9.功能安全产品的设计流程

功能安全产品的设计流程

自动化程度的提高为人们日常生活中的方方面面都带来了更多的舒适性和灵活性，但我们也需要注意到这些好处背后的安全风险。尤其是工业领域中让人引以为傲的高精密生产线，它们应当是易于使用，并能提供高度舒适和安全的操作性。

本文深切认为技术系统不应当为人们和环境带来超出允许风险范围的安全风险。完全没有风险是不现实的，所以风险可接受与否在于其严重程度。每个领域对可接受风险程度都有自己的定义，并使用不同的安全等级对其进行衡量。对于电气和可编程系统来说，得益于一系列标准建立，由此形成了关于功能安全的共识。这些标准适用于不同的应用领域，但它们都基于由IEC61508标准派生出的安全理念。

图1：常见的功能安全标准概览

IEC61508标准覆盖了系统的整个生命周期，并着重为系统中可能出现危险的部分制订了相关规范。该标准旨在提供从零开始设计系统的最安全方式。实现功能安全的普遍措施是添加额外的元器件，用于监控功能的正常运行以及在发生不正常的情况时对系统进行控制。这个理念常用于工业自动化或过程工业领域中。 IEC61508标准定义了功能安全的操作模式：低要求操作模式、高要求操作模式和连续模式。操作模式则由每年对于安全功能的使用频率决定。

同时，针对功能安全领域中的标准控制功能的设计方法是可选的。IEC61508标准中定义的连续模式包含这些信息。

通常做法是从分析所有可能对系统产生影响的关键问题开始。所有被定位的问题必须使用参数进行衡量，如暴露时间、受伤的严重程度以及脱离伤害的可能性。这是典型的风险分析措施，必须在没有额外电气保护系统的情况下对受控设备施行。系统整个生命周期的所有部分均必须使用该措施。凭借风险图，风险分析将提供要

求的安全完整性等级(Safety Integrity Level， SIL)。在遵循ISO13849标准的情况下，风险图将提供要求的性能等级(Performance Level， PL)。PL与SIL相似，均定义了安全等级。在设计安全PLC(Safety PLC)、安全变频驱动器(Safety Drive Inverter)或安全编码器(Safety Encoder)等安全元器件时，通常的做法是从机器制造商处获得要求的安全等级。要求的安全等级旨在将风险降低至允许风险范围内。SIL必须通过安全功能得以满足，安全功能将由一系列安全元器件或安全设备实现。这就意味着单一的元器件无法满足SIL，仅能用作安全链中的一部分。

为了满足SIL要求，该标准涵盖了两种失效情况。第一类包含随机失效以及所有类型的随机硬件失效，而第二类包含所有系统失效。

随机失效

随机失效基于不同的参数进行计算得出，如元器件的失效概率(λ)、诊断覆盖率(Diagnostic Coverage， DC)、硬件故障裕度(Hardware Fault Tolerance， HFT)、共同失效原因(β)以及测试间隔。事实上，安全与否不是与生俱来的，对于系统出现故障并进入到不安全状态的情况，IEC61508标准仅涵盖检测不到、不安全的失效概率并根据合适的模式具体说明各类限制，PFD(根据要求的失效概率，Probability of Failure on Demand)适用于低要求操作模式，PFH(每小时的失效概率，Probability of Failure per Hour)适用于高要求操作模式和连续模式。举个例子，SIL 3安全功能仅限于千年一遇的危险失效。反之，低要求操作安全功能(PFD)不应当发生平均1000次安全要求出现1次失效的情况。作为额外的验收标准，IEC61508要求安全失效分数处于指定的SFF(安全失效分数，Safe Failure Fraction)范围内，这取决于HFT和SIL。

表1：安全完整性等级的PFD和PFH值

表2：安全失效分数与硬件故障裕度的关系

危险失效的失效概率可通过实现诊断功能和冗余得以降低。冗余度需要参照硬件故障裕度(HFT)。HFT值为0的系统发生1次失效即可产生危险。也就是说，HFT值为N的系统能够承受N-1次失效。如果诊断单元

能够检测到故障并将系统引入安全状态，局部诊断覆盖即可降低重大失效带来的影响(?du = ?d·(1-DC))。除了故障(硬错误，Hard-Error)导致的元器件失效概率，设计工程师还必须尽量减少软错误(Soft-Error)。在测算时，软错误率是非常关键的一点，因为相比硬错误导致的失效率，软错误率会提升。

FPGA器件的领先制造商莱迪思半导体公司为客户提供适用于所有推荐的安全元器件的失效概率和软错误率数据。

避免系统失效

除了上文提到的情况，另一项当务之急是尽可能避免系统失效，这取决于要求的SIL，而SIL会因为措施的数量和使用程度发生变化。产品生命周期中的每个阶段针对系统失效都有不同的要求。规范概述了以下设计流程：实现、验证和确认。针对结构完善的设计来说，推荐采用V模式(V-Model)。针对于软件设计和FPGA编程，该标准具体说明了其设计阶段和验证阶段。

图2：IEC61608-2:2010规范中针对FPGA设计的V模式

综上所述，功能安全管理技术方面的措施对于避免系统失效来说是至关重要的。安全管理包括在研发开始之前为所有的设计和验证步骤制定详细的计划。由此可见，安全管理人员必须要有一个定义明确的项目计划。

文档管理

作为安全项目的一部分，必须完善制定文档管理方面的规范。文档管理描述了如何处理、储存、发布和修改文档，以及文档的访问权限和每个团队成员的受限情况。版本控制应当作为自动化流程由工具实现。

需求管理

管理所有的需求是安全项目中非常必要的一部分。每项安全需求在整个安全项目中都应当是可追踪的。安全项目的最终目标是确保所有的需求都能够被正确地实现。相关测试可用来确认特定的需求能否降低风险。就此而论，必须根据精确的数据、完整性和一致性来组织整理要求。从架构到实现的模块，模块测试到整合，再到系统测试的整个过程中，安全项目必须要能显示需求产生于哪个部分。