“ 功能安全产品实现技术“系列讲座 第2讲 功能安全与安全相关产品

PROCESS AUTOMATION INSTRUMENTATION Vol.34No.6June 2013修改稿收到日期:2013-05-14㊂第一作者谢亚莲(1966-),女,1991年毕业于上海机械学院可靠性技术专业,获硕士学位,高级工程师;主要从事可靠性技术和功能安全技术的研究㊂功能安全产品实现技术”系列讲座第1讲　安全相关产品的实现Chapter Ⅰ　Implementation of the Safety Related Products谢亚莲1,2　尹宝娟3(上海工业自动化仪表研究院1,上海　200233;上海仪器仪表自控检验测试所功能安全中心2,上海　200233;环境保护部核与辐射安全中心3,北京　100082)摘　要:根据功能安全的理论,对安全相关产品的实现过程进行了梳理㊂具体给出了实现安全相关产品的脉络,即如何将一个产品设计成满足安全完整性等级要求的安全相关产品㊂设计过程从结构上说,主要包括硬件实现和软件实现;从安全完整性来说,主要包括硬件安全完整性的实现和系统安全完整性的实现㊂关键词:安全相关产品　功能安全　安全完整性等级　随机硬件失效　系统失效中图分类号:TP202 文献标志码:AAbstract :The implementing process of the safety related products is analyzed and summarized in accordance with the theory of functional safety.The main route of the implementation of safety related products is given specifically ,i.e.,how to design a safety related product which meets the safety integrity level (SIL )requirements.From the structural viewpoint ,it mainly includes hardware implementation and software implementation ;while in respect of the safety integrity ,it includes the implementation of hardware safety integrity and the implementation of system safety integrity.Keywords :Safety related product　Functional safety　Safety integrity level (SIL )　Random hardware failure　System failure0　引言功能安全于20世纪80年代末起源于欧洲,其目的是为了控制㊁避免和减轻风险的发生,保证人员㊁财产和环境的安全㊂功能安全技术以可靠性技术为基础,综合了软硬件设计技术㊁试验技术㊁管理科学等,并将这一理念注入到软硬件设计中㊂1995年,欧洲率先推出了功能安全在机械领域的标准EN954;1998年,国际电工委员会(IEC)首次推出了功能安全的基础标准IEC 61508电气/电子/可编程电子安全系统的功能安全的第1部分,2000年,又相继推出了IEC 61508的第2部分和第7部分㊂在中国,2006年IEC 61508的等同标准GB /T 20438电气/电子/可编程电子安全相关系统的功能安全正式面世,标志着功能安全的理念已正式进入中国㊂目前,在石油化工㊁电力㊁机械等各领域,对可构成安全相关系统的安全相关产品有广泛的需求,而如何实现安全相关产品正是本文所要呈现的内容㊂1　安全相关产品的构成暂且定义可构成安全相关系统的㊁满足功能安全设计实现要求的㊁具有安全相关参数的产品是安全相关产品㊂安全相关系统通常由前端传感器单元㊁中间输入单元㊁逻辑单元与输出单元㊁终端执行单元构成,如广泛用于过程工业的压力变送器㊁温度变送器㊁气体探测器㊁液位变送器㊁可编程控制器㊁分布控制系统(distributed control system,DCS)㊁电磁阀㊁执行机构㊁截止阀㊁关断阀等都可成为安全相关产品㊂安全相关产品通常由硬件和软件构成,其示意如图1所示,结构如表1所示㊂图1　安全相关产品构成图Fig.1　The composition of safety related products29安全相关产品的实现　谢亚莲,等‘自动化仪表“第34卷第6期　2013年6月图1中:PE 为可编程电子装置;NP 为非可编程装置;H /W 为硬件;S /W 为软件㊂表1　可编程电子安全相关产品结构Tab.1　Structure of the programmable electronicsafety related productsPE 硬件结构PE 软件结构　PE 嵌入式软件PE 应用软件相关硬件,如CPU㊁I /O 卡㊁A /D 转换等　属系统软件,如通信驱动㊁故障处理㊁数据处理等用户应用软件,如输入/输出功能等2　安全相关产品的实现2.1　安全完整性等级安全完整性等级(safety integrity level,SIL)是指赋予安全相关产品的特有定量指标,也即SIL 等级(SIL1~SIL4)㊂安全完整性包含硬件安全完整性和系统安全完整性,衡量硬件安全完整性等级的一个重要因素是通过对定量参数的计算来评判㊂硬件安全完整性等级的划分如表2所示㊂表2　安全完整性等级对应的目标失效量Tab.2　The amount of target failure corresponding to the SIL安全完整性等级(SIL)要求时的平均失效概率每小时危险失效概率4[10-5,10-4)[10-9,10-8)3[10-4,10-3)[10-8,10-7)2[10-3,10-2)[10-7,10-6)1[10-2,10-1)[10-6,10-5)系统能力是衡量系统安全完整性满足规定的安全完整性等级的信心,表示为SC1~SC4㊂系统安全完整性包含硬件系统安全完整性和软件系统安全完整性,其通过采取控制系统失效的措施和避免系统失效的措施来达到㊂与完整性相关的概念如下㊂①安全完整性:E /E /PE 安全相关系统在规定的条件下㊁规定的时间内满意地执行规定的安全功能的概率㊂②硬件安全完整性:安全相关系统的部分安全完整性,其与硬件随机失效的危险失效相关㊂③系统安全完整性:安全相关系统的部分安全完整性,其与属于危险失效的系统失效相关㊂④软件安全完整性:安全相关系统的部分安全完整性,其与由软件引起的㊁属于危险失效的系统失效相关㊂⑤安全完整性等级:一种离散的等级(四种可能等级之一),对应于安全完整性值的一个范围㊂四个安全完整性等级对应的目标失效量见表2㊂2.2　安全相关产品的实现根据图1所示安全相关产品构成图,通常可简单地认为安全相关产品由硬件和软件构成㊂安全相关产品的实现过程如图2所示㊂图2　安全相关产品的实现Fig.2　The implementation of safety related products由图2可知,达到目标安全完整性等级的安全相关产品的实现,就在于在安全相关产品的开发过程中使其硬件安全完整性等级和软件安全完整性等级达到目标安全完整性等级,即在设计开发过程中采取一些措施和手段降低随机硬件失效中不可诊断的危险失效的份额,同时采取一些措施和手段避免和控制产品在开发过程中引入的系统失效㊂这里硬件随机失效定义为由硬件的一个或几个可能的失效机理引起的㊁在随机时间发生的失效,随机硬件失效是可以量化的㊂系统失效被认为是与确定原因相关的失效,能通过改变设计㊁生产过程㊁操作模式㊁操作指令或其他影响因子来消除,系统失效是不能被量化的㊂2.3　与硬件安全完整性相关的参数安全相关产品的硬件从结构功能上来划分,又是由各子系统构成的㊂因此,要达到安全功能要求的安全完整性等级,除了要满足每个安全功能的危险失效概率要求,各子系统还要满足结构约束的要求,如表3所示㊂表3　结构约束Tab.3　Structural constraints安全失效分数安全结构HFT =0(1oo1)HFT =1(1oo2)HFT =2(1oo3)Type A Type B Type A Type B Type A Type B <60%SIL1不允许SIL2SIL1SIL3SIL260%~90%SIL2SIL1SIL3SIL2SIL4SIL390%~99%SIL3SIL2SIL4SIL3SIL4SIL4≥99%SIL3SIL3SIL4SIL4SIL4SIL4与完整性等级相关的硬件安全完整性由安全相关参数安全失效分数(safe failure fraction,SFF)(针对子系统)㊁硬件故障裕度(HFT)(针对子系统)㊁危险失39安全相关产品的实现　谢亚莲,等PROCESS AUTOMATION INSTRUMENTATION Vol.34No.6June 2013效概率(PFDavg /PFH)(针对每个安全功能)构成㊂硬件安全完整性的实现是通过设计合适的结构㊁采用适当的故障诊断措施等来满足上述安全相关参数的要求㊂2.4　系统安全完整性系统安全完整性包含硬件系统安全完整性和软件安全完整性㊂硬件安全完整性等级的系统安全完整性是通过采用避免系统失效的措施和控制系统故障的措施的实现㊂避免系统失效的措施可查阅IEC 61508.2(GB /T 20438⁃2)附录B,推荐针对硬件在不同安全生命周期阶段避免系统失效的措施和方法㊂安全相关产品在下列阶段必须考虑避免系统失效:①设计需求规范;②设计和开发;③集成;④运行和维护;⑤确认㊂控制系统故障的措施可查阅IEC 61508.2(GB /T 20438⁃2)附录A 表A15~表A17㊂IEC 61508标准要求应用质量管理(quality management,QM)的措施来避免在产品生命周期的不同阶段的失效,并根据安全完整性等级(SIL)采用相应的一些措施㊂如果按照推荐的重要度和有效性,采用这些措施可以减少可能的失效,然而设计失效或一般系统失效仍然存在于产品中,即无论这些措施被如何采用,仍然有残余系统失效概率发生,所以要求采取一些措施和技术,以控制系统故障㊂可采取的措施有以下几项㊂①控制由HW 和SW 设计引起的失效;②控制由环境应力或外部影响引起的失效;③控制由操作引起的失效㊂软件安全完整性的实现是通过在软件开发的生命周期中采用避免系统失效的措施㊂避免失效的措施见IEC 61508.3(GB /T 20438⁃3)附录A,需根据要求的安全完整性等级确定采用的措施㊁确定采用措施的有效性㊂3　结束语本文是对安全相关产品的实现的一个概述,希望借此文给读者展示关于安全相关产品实现的一个脉络,后续讲座将就此脉络展开,详述安全相关产品的实现过程㊂对证明安全相关产品实现过程的证据的评审,就是对安全相关产品的安全完整性等级(SIL)的评估㊂(上接第91页)集到的H 2S 浓度㊁位置等信息通过无线传感器网络发送到中控室,由中控室的上位机集中监视现场的H 2S 浓度和工作人员的位置㊁安全情况,有效地防止了H 2S 中毒事故的发生㊂参考文献[1]梁东.浅析硫化物对炼油设备的危害及防治对策[J].安全㊁健康和环境,2004(2):10-12.[2]朱燕群,刘克俭.石油加工行业中硫化氢的危害性及安全对策分析[J].职业与健康,2006(16):1248-1250.[3]隋秀香,李相方,尹邦堂,等.井场硫化氢检测系统的研制[J].天然气工业,2011(9):82-84.[4]戴天有,韩涛,王琴惠.硫化氢检测管的研制[J].干旱环境监测,2001(2):70-72.[5]杨燕明,王小如,杨芃原,等.半导体传感器检测含硫化氢可燃性气体的研究 硫化氢与可燃性气体的快速分离[J].化学传感器,1995(3):216-219.[6]刘美.WSN 多目标跟踪节点任务分配及跟踪算法研究[D].广州:华南理工大学,2010.[7]吴强荣.硫化氢检测仪的测量原理与应用[J].中国计量,2009(2):83-84.[8]李保中,郑应伟.硫化氢气体检测仪的使用与管理[J].计量技术,2008(7):59-61.[9]朱亮,严龙,邹兵,等.便携式硫化氢检测仪[J].仪表技术与传感器,2011(3):31-33.行业信息积极推进培训工作,有效拓展服务范畴作为国家人力资源和社会保障部 专业技术人才知识更新工程”的专项培训施教机构之一,上海工业自动化仪表研究院继续教育培训中心在5月先后成功举办了 仪器仪表及系统可靠性与功能安全技术培训班”㊁ 防爆技术高级研修班”㊂来自行业内生产制造企业㊁用户单位以及科研院所的近百名学员参加了此次培训并通过了考核㊂培训中心关注企业对安全生产的实际需求㊂功能安全培训旨在帮助企业相关人员认识功能安全的重要性,掌握自动化仪表功能安全技术㊂防爆技术培训则通过对工业防爆安全管理理念㊁爆炸基础理论以及最新防爆技术的介绍,增强从业人员对安全事故隐患的预防㊁甄别和应急能力㊂49安全相关产品的实现　谢亚莲,等。

产品安全功能和自身安全功能说明产品安全功能和自身安全功能是指产品本身带有的安全防护措施和功能，用于保护用户和产品本身的安全性。

本文将从硬件安全、软件安全和网络安全等方面详细说明产品的安全功能。

首先，从硬件安全方面来看，一个安全的产品需要具备以下功能：1.物理安全防护：产品应采用坚固的外壳结构设计，防止外界物体对内部电路和元件的破坏，确保产品的稳定运行。

同时，产品还应具备抗震、防水、防尘等功能，以满足各种使用环境的需求。

2.防火防爆设计：对于一些特殊行业或是危险品行业的产品，需要具备防火防爆功能，以避免意外的发生，确保用户和设备的安全。

3.防电磁干扰：产品内部电路应设计为抗干扰能力强的电路，以避免外界电磁干扰对产品的影响。

同时，产品应具备对电磁辐射的抑制措施，以避免对周围环境和用户的干扰。

接下来，从软件安全方面来看，一个安全的产品需要具备以下功能：1.数据加密：产品应具备数据加密功能，保障用户在使用产品时的数据安全性。

可以采用对称加密算法或非对称加密算法等方式，确保数据传输的安全性和完整性。

2.身份认证和权限控制：产品应具备身份认证和权限控制功能，确保只有合法的用户才能使用产品，并且根据用户的权限不同，限制其访问和操作的范围，以防止非法操作和数据泄露。

3.漏洞修复和软件更新：产品应具备自动漏洞修复和软件更新功能，及时修复产品中的安全漏洞，避免被黑客攻击。

同时，产品应定期更新软件，以获得最新的安全性能和功能。

最后，从网络安全方面来看，一个安全的产品需要具备以下功能：1.防止入侵和攻击：产品应具备防火墙和入侵检测系统等功能，可以监控和阻止来自网络的攻击和入侵，保障网络的安全性。

2.数据传输加密：产品应具备安全的数据传输通道，采用SSL/TLS 等加密协议，确保用户在使用产品时的数据传输安全。

3.安全监控和报警：产品应具备安全监控和报警功能，及时监测和发现异常情况，并向用户发送报警信息，以便用户及时采取措施。

功能安全技术讲座第二讲功能安全的基本方法
冯晓升
【期刊名称】《仪器仪表标准化与计量》
【年(卷),期】2007(000)002
【摘要】重点讲述了功能安全标准采用的端到端、全系统、全生命周期三个基本方法.
【总页数】4页(P15-18)
【作者】冯晓升
【作者单位】机械工业仪器仪表综合技术经济研究所,北京市,100055
【正文语种】中文
【中图分类】X9
【相关文献】
1.功能安全技术讲座第五十二讲:基于IEC61800-5-2的伺服系统功能安全应用 [J], 肖家麒;张瑞
2.功能安全技术讲座第七讲安全仪表及设备的功能安全认证前准备 [J], 史学玲
3.功能安全技术讲座第九讲如何使用专用工具进行功能安全设计与评估 [J], 孟邹清
4.功能安全技术讲座第十讲功能安全的管理 [J], 冯晓升
5.功能安全技术讲座——第二十七讲：功能安全型电子产品的MCU故障检测 [J], 肖家麒
因版权原因，仅展示原文概要，查看原文内容请购买。

功能安全学习笔记0021，功能安全的定义1.1 本质安全与功能安全为了了解功能安全的概念，先得熟悉下和“本质安全”和“功能安全”的概念。

假如以铁道的路⼝为例，⽐较⼀下基于两种安全概念的避免路⼝事故的⽅法。

这⾥避免路⼝事故就是安全⽬标，为了实现这个⽬标，可进⾏如下操作：⾸先，如果把铁道路⼝撤掉，直接改造成⽴交桥的形式，让⽕车和汽车都⾛各⾃的路，这样就不会发⽣⼈或者车辆横穿铁道⼝的事故了。

像这样，根据系统的特性把危险源直接除掉的⽅法是「本质安全」。

其次，假如我们在铁道路⼝设置信号灯和道⼝⾃动栏杆，当⽕车来临时前闪红灯，同时将栏杆放下，避免⾏⼈或者车辆通过。

像这样通过栏杆的拦截功能及预警灯来抑制事故风险的技术叫做「功能安全」。

在这⾥信号灯和⾃动栏杆⼀种安全机制（Safety Mechanism）。

理想的情况是不管什么场合都采⽤「本质安全」，但事实上，在很多场合⾥，由于系统⾃⾝的原因，不可能把危险源除掉。

特别是像车载电控系统这样⾮常复杂的电⼦化系统，以上所述的本质安全很难被实现和应⽤。

因此我们只能采⽤功能安全，它的⽬的就是在本质安全⽆法达到时，尽可能的通过增加安全机制去提⾼安全等级，实现安全⽬标。

1.2 电⼦控制器的功能安全对于汽车⽽⾔，可将汽车看成⼀个“机器⼈”，驾驶员给这个“机器⼈”发送信号，⽐如踩踏板加油，汽车收到命令然后执⾏：电喷系统增加喷油，发动机输出扭矩增加，实现车辆加速。

对于传统汽车⽽⾔，它的结构简单，且⼤多数命令都是通过机械⽅式来实现的，如⽼式汽车的机械式节⽓门等，其失效的可预见性⼤；⽽现在汽车，其电⼦电⽓化增强，驾驶员的指令会先转换成相关信号，然后这些信号传递给控制器的处理芯⽚，然后最终驱动相关的执⾏器来执⾏，其失效的可预见性⼤⼤降低。

正因为现代汽车随着电⼦电⽓化的程度越来越⾼，其整车的安全性很⼤程度就取决于电⼦控制器的安全性，⽐如发动机控制器ECU，变速箱控制器TCU，车辆稳定性控制器ESP等等。

“功能安全产品实现技术”系列讲座第8讲安全相关产品的软件实现(二)廖丽华;尹宝娟【摘要】首先介绍了功能安全相关产品软件实现过程中软件设计的基本概念及软件验证相关要求;接着基于标准IEC 61508-3:2010(GB/T 20438.3-2013),对软件安全生命周期中软件架构设计、支持工具、软件系统设计和编码实现阶段的验证活动进行了分析.此外还对每个阶段规定验证的要求、内容、输入和输出等做了详细说明.最后提出了安全软件在生命周期各阶段可根据软件系统的大小进行裁剪的思路.【期刊名称】《自动化仪表》【年(卷),期】2014(035)001【总页数】3页(P92-94)【关键词】功能安全;软件设计;架构设计;系统设计;支持工具【作者】廖丽华;尹宝娟【作者单位】上海工业自动化仪表研究院,上海200233;上海仪器仪表自控检验测试所,上海200233;环境保护部核与辐射安全中心,北京100082【正文语种】中文【中图分类】TP2020 引言安全相关产品的软件实现的前期工作主要是软件设计，主要包括软件架构设计、支持工具选择、软件系统设计以及编码实现的整个过程。

软件设计主要是从软件安全要求规范与E/E/PE系统架构出发，根据其确定的功能需求设计软件系统的整体架构、选取合适的支持工具、划分功能模块、确定每个模块的实现算法以及代码的编写规则，形成具体的设计方案。

当软件执行不同安全完整性等级的安全功能时，所有的软件都被认为属于最高安全完整性等级，除非在设计中表明不同安全完整性等级的安全功能之间的充分独立性。

同时应证明独立性在空间域和时间域上均得到实现，或任何对独立性的违背均得到控制，且对独立性的论证应文档化。

在软件的整个设计阶段选取技术和措施时，应考虑软件设计的下列属性:①有关软件安全要求规范的完整性;②有关软件安全要求规范的正确性;③防止固有设计错误;④简单性和易懂性;⑤行为的可预见性;⑥可验证和可测试的设计;⑦故障裕度;⑧抵御外部事件造成的共因失效。

［编者按］　本刊“安全控制技术”栏目自２００５年开设以来，得到了广大读者的广泛关注与大力支持。

今年除了继续刊登这方面的优秀技术文章外，还特别增设一个板块“功能安全技术系列讲座”，共六讲，分别刊登在第一期至第六期，从功能安全的基本概念、方法、技术等各方面逐一深入讲解，使大家对功能安全有一个全面了解。

主讲人是全国工业过程测量和控制标准化技术委员会主任委员、机械工业仪器仪表综合技术经济研究所副所长冯晓升教授。

第二讲　功能安全的基本方法主讲人简介：冯晓升，全国工业过程测量与控制标准化技术委员会主任委员，教授级高工。

一九八二年毕业于浙江大学。

不仅是ＩＥＣ　ＴＣ６５　ＭＴ１３工作组的中国专家，参与ＩＥＣ　６１５０８标准维护工作，还是ＩＥＣ　ＴＣ６５　ＳＣ６５Ｃ　ＷＧ１２工作组的中国专家，参与工业控制网络功能安全标准ＩＥＣ　６１７８４－３的制定。

同时又是等同采用ＩＥＣ　６１５０８的中国国家标准ＧＢ／Ｔ　２０４３８．１～７的起草工作组组长，主持了国际功能安全标准的研究与中国国家标准ＧＢ／Ｔ　２０４３８．１～７的制定工作，对功能安全标准及技术有深入研究。

冯晓升（机械工业仪器仪表综合技术经济研究所，北京市 １０００５５）Feng Xiaosheng(Instrumentation Technology & Economy Institute, Beijing 100055)Chapter 2: Basic Methods of the Functional SafetyAbstract: The paper mainly introduced the basic methods of the functional safety standard, the three basic methods of end to end, whole system, and whole life circle.Key words: Functional Safety End to End Whole System Whole Life Circle【摘 要】【关键词】重点讲述了功能安全标准采用的端到端、全系统、全生命周期三个基本方法。

PROCESS AUTOMATION INSTRUMENTATION Vol.34No.10October 2013修改稿收到日期:2013-05-14㊂作者谢亚莲(1966-),女,1991年毕业于上海机械学院可靠性技术专业,获硕士学位,高级工程师;主要从事可靠性技术和功能安全技术的研究㊂功能安全产品实现技术”系列讲座第5讲　安全相关产品的硬件实现(二)Chapter Ⅴ　Implementation of the Hardware for Safety⁃related Products :Part 2谢亚莲1,2(上海工业自动化仪表研究院1,上海　200233;上海仪器仪表自控检验测试所功能安全中心2,上海　200233)摘　要:安全相关产品的硬件设计需满足硬件安全完整性要求㊁系统安全完整性要求以及检测到故障时对系统(产品)的行为要求㊂为满足硬件安全完整性的要求,给出了架构设计的方法和量化随机失效影响的方法㊂同时,对实现系统安全完整性要求和检测到故障时对系统(产品)的行为要求进行了阐述㊂关键词:安全相关系统　子系统　组件　危险失效　安全失效　硬件故障裕度　架构约束　设计要求规范中图分类号:TP202 文献标志码:AAbstract :The hardware design of safety-related products shall meet the requirements of hardware safety integrity ,system safety integrity ,and the activities to the system (product )when failures have been detected.In order to satisfy the requirement of hardware safety integrity ,the method of architectural design and the method to make quantification for influence of random failures are given.In addition ,the requirements for implementing system safety integrity and the activities to the system (product )when failures have been detected are elaborated.Keywords :Safety⁃related system　Subsystem　Component　Dangerous failure　Failsafe　Hardware fault tolerance　Architectural constraintsDesign requirement and specification0　引言在上一讲中,我们首先讲述了安全相关产品的设计理念及其特有的安全相关参数,其次讲述了如何编制产品设计要求规范(安全要求规范)㊂功能安全的设计理念就在于提出安全完整性的指标,并给出通过采取诊断措施和结构冗余的方法来实现安全完整性㊂安全相关产品设计围绕着实现安全功能和实现安全完整性目标值进行㊂安全相关产品的硬件设计包含满足硬件安全完整性要求㊁系统安全完整性要求以及检测到故障时对系统(产品)的行为要求㊂在这一讲中,我们将偏重于智能型安全相关产品,继续讨论如何对安全相关产品的硬件进行设计,这是因为标准中的大多诊断措施和方法是针对智能型产品提出的㊂1　硬件安全完整性要求安全相关产品有别于非安全相关产品的特殊之处在于达到安全完整性目标值,因此安全相关产品的硬件安全完整性要求包括硬件安全完整性架构约束要求和量化随机失效影响要求㊂1)硬件安全完整性架构约束要求安全相关产品的设计主要围绕着满足架构约束要求进行,一般满足结构约束条件的产品其安全完整性目标设定值都能达到架构约束要求㊂安全相关产品的设计按照下面流程进行㊂(1)架构设计首先,基于产品安全要求规范,为实现安全相关产品的安全功能,进行产品的初步架构设计,规定需用功能块图表示构成产品的模块㊁输入㊁输出㊂其次,需确定功能模块的硬件故障裕度(HFT),即该功能模块是否需要冗余㊂架构设计基于功能的要求和架构约束条件的要求㊂最后,硬件安全完整性的约束条件考虑了组件的复杂性㊁安全失效分数等级㊁硬件故障裕度和可声明的最大安全完整性等级,并规定了它们之间的关系㊂组件的复杂性容易确定,且在已知安全完整性等级目标设定的情况下,根据IEC 61508的相关内容,安全失效分数和硬件故障裕度也可以被确定㊂例如,微处理器单元的安全完整性等级为SIL2的29第5讲　安全相关产品的硬件实现(二)　谢亚莲架构设计,微处理器属于B类组件,对它进行架构设计基于的约束条件如表1所示[3]㊂各别安全完整性等极可达到SIL2,可查到其对应的安全失效分数和硬件故障裕度㊂当HFT=2时,在组件内部的设计中不可能采用高冗余,而且成本也太高,所以舍去;当HFT=0时,要求安全失效分数大于90%,需采用具有中等诊断覆盖率的诊断措施达到要求的安全失效分数;当HFT=1时,安全失效分数在60%和90%之间,至少需采用具有低诊断覆盖率的诊断措施达到要求的安全失效分数㊂后两种架构都是可行的方案,但要确定所选的诊断措施是否满足诊断测试时间间隔的要求㊂表1　B类组件的安全功能的最大允许安全完整性等级Tab.1　Maximum allowable safety integrity levelfor a safety function executed by ClassB component组件的安全失效分数硬件故障裕度012　60%不允许SIL1SIL2　60%~90%SIL1SIL2SIL3　90%~99%SIL2SIL3SIL4　≥99%SIL3SIL4SIL4 (2)诊断功能设计针对架构约束的要求,对各执行功能的模块设计诊断功能㊂诊断功能的设计包括诊断测试方法和诊断测试时间间隔这两个方面㊂关于各类功能模块应采用的诊断方法及各种方法可达到的诊断覆盖率在标准IEC61508.2附录A表A.1~表A.14中有详细的介绍,可以参考或直接采用,当然也可以采用标准未曾提及的其他诊断方法㊂可变内存进行诊断的方法及可达到的诊断覆盖率如表2所示(引自IEC61508.2表A.6)㊂表2　可变内存范围Tab.2　Variable memory ranges诊断技术/措施GB/T20438.7经考虑能达到的最大诊断覆盖率检测板(checkerboard)或跨步(march)RAM测试法A.5.1低漫步路径(walk⁃path)RAM测试法A.5.2中跳步模式(galpat)或透明跳步模式(transparent galpat)RAM测试法A.5.3高执行诊断功能的时间应根据诊断测试时间间隔来决定,是在开机时执行诊断功能,还是在正常操作运行时执行诊断功能㊂确定诊断测试时间间隔的输入确定和标准要求为:产品的工作模式㊁要求模式或连续模式;上电时间间隔;诊断出故障后的平均修理时间(mean repair time,MRT);安全相关系统的平均恢复时间(mean time to restoration,MTTR);过程安全时间;受控装置的要求率;实现功能的模块的硬件故障裕度㊂这些输入来源于安全要求规范和其他实际应用的惯例,从而也可确定在什么时候执行诊断功能㊂标准中规定诊断测试时间间隔如下㊂①若安全相关产品的工作模式是高要求连续模式,则当该功能模块的硬件故障裕度为0时,诊断测试时间的设定需满足:诊断测试时间间隔和执行特定功能,以获得或维持安全状态的时间总和小于过程安全时间,或诊断测试率与要求率之比等于或大于100㊂当该功能模块的硬件故障裕度大于0时,诊断测试时间间隔和对检测到的故障的维修时间的总和小于在计算特定安全功能安全完整性时所用的平均恢复时间(MTTR)㊂②若安全相关产品的工作模式是低要求操作模式时,则诊断测试时间间隔和对检测到的故障的维修时间的总和小于在计算特定安全功能安全完整性时所用的平均恢复时间(MTTR)㊂2)量化随机失效影响的要求对安全相关产品的每个安全功能在随机硬件失效与数据通信过程随机影响下的安全完整性进行估算的过程如下㊂①对安全相关产品的每个安全功能的实现建模,如构建可靠性框图,确定实现某一安全功能的安全相关产品的各功能模块,以及各功能模块的串并联关系㊂如果该功能模块的失效会导致安全相关产品的安全功能失效,则该功能模块在可靠性框图中用串联表示;如果该功能模块执行的功能可被另一功能模块执行,即该功能模块的失效不会导致安全相关产品的安全功能失效,则该功能模块与执行同一功能的另一功能模块在可靠性框图中用并联表示㊂②对功能模块中的每一个元器件估计其失效率,失效率的数据来源于公认的通用数据,如SN29500㊁IEC62380㊁GJB299C等,也可采用具体现场获得的失效数据㊂③对每一功能模块进行分析,采用FMECA法(故障模式㊁影响和危害度分析)或诊断覆盖率,将总的失效率划分为安全失效㊁可检测的危险失效以及不可检39第5讲　安全相关产品的硬件实现(二)　谢亚莲‘自动化仪表“第34卷第10期　2013年10月PROCESS AUTOMATION INSTRUMENTATION Vol.34No.10October 2013测的危险失效㊂需考虑诊断测试的诊断测试时间间隔,只有满足标准中规定的诊断测试时间间隔的诊断测试才有效㊂④对可靠性框图为并联的冗余功能模块部分,需确定共因失效因子㊂⑤完成每一功能模块的安全失效㊁可检测的危险失效和不可检测到的危险失效的失效率计算后,按照可靠性框图对安全相关产品进行计算,具体计算方法将在下一讲中讲述㊂事实上,建模的方法有很多,应由分析人员根据具体情况来确定最合适的方法㊂可行的建模方法包括因果分析㊁马尔可夫模型等㊂2　系统安全完整性要求安全相关产品在其实现过程中需满足的系统安全完整性要求包括避免系统性故障的要求和控制系统性故障的要求㊂1)避免系统性故障的要求设计和开发安全相关产品的软硬件时,为避免引入故障,应采用一组适当的技术和措施,具体参见IEC61508.2的表B2和IEC 61508.3的附录A,针对硬件的技术和措施参见IEC 61508的表B2㊂根据所需的安全完整性等级,所选择的设计方法具有的特性应有助于:简化模块化和控制复杂性;清晰和精确地表述(功能㊁与外部的接口㊁顺序和时间相关信息以及并发和同步);利于文档和信息的交流;验证和确认㊂如适用,应使用自动测试工具和集成开发工具㊂设计期间,应编制安全相关产品的集成测试计划㊂编制测试计划的文档应包括:所执行测试的类型和所遵循的规程;测试环境㊁工具㊁配置和程序;通过/失败的准则㊂同时,在设计阶段就应编写安全相关产品的操作和维护规范㊂2)控制系统性故障的要求为控制系统性故障,安全相关产品的设计特点应使得安全相关产品能容许:硬件中的任何残余设计故障,除非能排除硬件设计故障的可能性(见IEC 61508.2表A.15);环境应力,包括电磁干扰(见IEC 61508.2表A.16);操作员造成的失误(见IEC 61508.2表A.17);软件中的任何残余设计故障(见IEC 61508.2表A.15)㊂在设计和开发活动中应考虑可维护性和可测试性,以便在最终的E /E /PE 安全相关系统中实现这些属性㊂安全相关产品的设计应充分考虑人员的能力和局限性,并应合理分配操作者和维护人员的活动㊂所有接口的设计应根据良好的人员操作习惯并应适合操作者的认知能力和培训水平,对操作者和维护人员所犯的可预见的致命错误,只要有可能都应能通过设计来防止和消除,或者在完成该动作之前对这些动作进行二次确认㊂3　检测到故障时系统行为的要求若安全相关产品为安全相关系统的一个组件,当诊断测试检测到安全相关产品的一个危险失效时,安全相关产品启动报警功能将故障信息输出㊂若安全相关产品即为安全相关系统,并有明确的控制对象受控设备(equipment under control,EUC),则在硬件故障裕度大于零的子系统中,对通过诊断测试㊁检验测试或其他方法检测出的危险故障应采取的措施有:执行某个规定动作以实现或维持EUC 安全状态,或者隔离子系统的故障部分,以保证EUC 继续安全工作,同时修理故障部分㊂如果在计算随机硬件失效概率时设定的平均修复时间(MRT)内未完成修理,那么应该采取某一规定的动作以达到或维持安全状态㊂安全状态包括安全关闭EUC,或者安全关闭与故障子系统相关的EUC 部分㊂对于硬件故障裕度等于零的子系统,当该子系统仅在低要求模式下运行安全功能时,对通过诊断测试㊁检验测试或其他方法检测出的危险故障应采取的措施有:执行某个规定动作以实现或维持安全状态,或者在计算随机硬件失效概率时设定的平均修复时间(MRT)内修理故障子系统,且EUC 的连续安全应通过附加措施和约束来保证㊂该附加措施和约束应在安全相关系统的操作和维护规程中进行规定㊂对于硬件故障裕度等于零的子系统,当该子系统在高要求或连续操作模式下运行安全功能时,对通过诊断测试㊁检验测试或其他方法检测到危险故障,应采取规定的动作以达到或维持EUC 的安全状态㊂4　结束语安全相关产品的硬件设计要求包含满足硬件安全完整性要求㊁系统安全完整性要求以及检测到故障时对系统(产品)的行为要求㊂建立了功能安全的设计理念,在掌握了安全相关产品的设计方法后,只要按步骤且按照标准的要求来设计与功能安全相关的产品或系统,就能实现安全相关产品或系统的安全功能和安全完整性这两个目标㊂49第5讲　安全相关产品的硬件实现(二)　谢亚莲。

“功能安全产品实现技术”系列讲座第1讲安全相关产品的
实现
谢亚莲;尹宝娟
【期刊名称】《自动化仪表》
【年(卷),期】2013(34)6
【摘要】根据功能安全的理论,对安全相关产品的实现过程进行了梳理。

具体给出了实现安全相关产品的脉络,即如何将一个产品设计成满足安全完整性等级要求的安全相关产品。

设计过程从结构上说,主要包括硬件实现和软件实现;从安全完整性来说,主要包括硬件安全完整性的实现和系统安全完整性的实现。

【总页数】3页(P92-94)
【关键词】安全相关产品;功能安全;安全完整性等级;随机硬件失效;系统失效
【作者】谢亚莲;尹宝娟
【作者单位】上海工业自动化仪表研究院;上海仪器仪表自控检验测试所功能安全中心;环境保护部核与辐射安全中心
【正文语种】中文
【中图分类】TP202
【相关文献】
1.“功能安全产品实现技术”系列讲座第8讲安全相关产品的软件实现(二) [J], 廖丽华;尹宝娟
2.“功能安全产品实现技术”系列讲座第9讲安全相关产品的软件实现(三) [J], 廖丽华;谢亚莲
3.“功能安全产品实现技术”系列讲座第5讲安全相关产品的硬件实现(二) [J], 谢亚莲
4.“功能安全产品实现技术”系列讲座第7讲安全相关产品的软件实现(一) [J], 谢亚莲;庄凌昀
5.“功能安全产品实现技术”系列讲座第6讲安全相关产品的硬件实现(三) [J], 谢亚莲;郭栋
因版权原因，仅展示原文概要，查看原文内容请购买。