“功能安全产品实现技术”系列讲座 第10讲实用功能安全设计技术解析

PROCESS AUTOMATION INSTRUMENTATION Vol.34No.6June 2013修改稿收到日期:2013-05-14㊂第一作者谢亚莲(1966-),女,1991年毕业于上海机械学院可靠性技术专业,获硕士学位,高级工程师;主要从事可靠性技术和功能安全技术的研究㊂功能安全产品实现技术”系列讲座第1讲　安全相关产品的实现Chapter Ⅰ　Implementation of the Safety Related Products谢亚莲1,2　尹宝娟3(上海工业自动化仪表研究院1,上海　200233;上海仪器仪表自控检验测试所功能安全中心2,上海　200233;环境保护部核与辐射安全中心3,北京　100082)摘　要:根据功能安全的理论,对安全相关产品的实现过程进行了梳理㊂具体给出了实现安全相关产品的脉络,即如何将一个产品设计成满足安全完整性等级要求的安全相关产品㊂设计过程从结构上说,主要包括硬件实现和软件实现;从安全完整性来说,主要包括硬件安全完整性的实现和系统安全完整性的实现㊂关键词:安全相关产品　功能安全　安全完整性等级　随机硬件失效　系统失效中图分类号:TP202 文献标志码:AAbstract :The implementing process of the safety related products is analyzed and summarized in accordance with the theory of functional safety.The main route of the implementation of safety related products is given specifically ,i.e.,how to design a safety related product which meets the safety integrity level (SIL )requirements.From the structural viewpoint ,it mainly includes hardware implementation and software implementation ;while in respect of the safety integrity ,it includes the implementation of hardware safety integrity and the implementation of system safety integrity.Keywords :Safety related product　Functional safety　Safety integrity level (SIL )　Random hardware failure　System failure0　引言功能安全于20世纪80年代末起源于欧洲,其目的是为了控制㊁避免和减轻风险的发生,保证人员㊁财产和环境的安全㊂功能安全技术以可靠性技术为基础,综合了软硬件设计技术㊁试验技术㊁管理科学等,并将这一理念注入到软硬件设计中㊂1995年,欧洲率先推出了功能安全在机械领域的标准EN954;1998年,国际电工委员会(IEC)首次推出了功能安全的基础标准IEC 61508电气/电子/可编程电子安全系统的功能安全的第1部分,2000年,又相继推出了IEC 61508的第2部分和第7部分㊂在中国,2006年IEC 61508的等同标准GB /T 20438电气/电子/可编程电子安全相关系统的功能安全正式面世,标志着功能安全的理念已正式进入中国㊂目前,在石油化工㊁电力㊁机械等各领域,对可构成安全相关系统的安全相关产品有广泛的需求,而如何实现安全相关产品正是本文所要呈现的内容㊂1　安全相关产品的构成暂且定义可构成安全相关系统的㊁满足功能安全设计实现要求的㊁具有安全相关参数的产品是安全相关产品㊂安全相关系统通常由前端传感器单元㊁中间输入单元㊁逻辑单元与输出单元㊁终端执行单元构成,如广泛用于过程工业的压力变送器㊁温度变送器㊁气体探测器㊁液位变送器㊁可编程控制器㊁分布控制系统(distributed control system,DCS)㊁电磁阀㊁执行机构㊁截止阀㊁关断阀等都可成为安全相关产品㊂安全相关产品通常由硬件和软件构成,其示意如图1所示,结构如表1所示㊂图1　安全相关产品构成图Fig.1　The composition of safety related products29安全相关产品的实现　谢亚莲,等‘自动化仪表“第34卷第6期　2013年6月图1中:PE 为可编程电子装置;NP 为非可编程装置;H /W 为硬件;S /W 为软件㊂表1　可编程电子安全相关产品结构Tab.1　Structure of the programmable electronicsafety related productsPE 硬件结构PE 软件结构　PE 嵌入式软件PE 应用软件相关硬件,如CPU㊁I /O 卡㊁A /D 转换等　属系统软件,如通信驱动㊁故障处理㊁数据处理等用户应用软件,如输入/输出功能等2　安全相关产品的实现2.1　安全完整性等级安全完整性等级(safety integrity level,SIL)是指赋予安全相关产品的特有定量指标,也即SIL 等级(SIL1~SIL4)㊂安全完整性包含硬件安全完整性和系统安全完整性,衡量硬件安全完整性等级的一个重要因素是通过对定量参数的计算来评判㊂硬件安全完整性等级的划分如表2所示㊂表2　安全完整性等级对应的目标失效量Tab.2　The amount of target failure corresponding to the SIL安全完整性等级(SIL)要求时的平均失效概率每小时危险失效概率4[10-5,10-4)[10-9,10-8)3[10-4,10-3)[10-8,10-7)2[10-3,10-2)[10-7,10-6)1[10-2,10-1)[10-6,10-5)系统能力是衡量系统安全完整性满足规定的安全完整性等级的信心,表示为SC1~SC4㊂系统安全完整性包含硬件系统安全完整性和软件系统安全完整性,其通过采取控制系统失效的措施和避免系统失效的措施来达到㊂与完整性相关的概念如下㊂①安全完整性:E /E /PE 安全相关系统在规定的条件下㊁规定的时间内满意地执行规定的安全功能的概率㊂②硬件安全完整性:安全相关系统的部分安全完整性,其与硬件随机失效的危险失效相关㊂③系统安全完整性:安全相关系统的部分安全完整性,其与属于危险失效的系统失效相关㊂④软件安全完整性:安全相关系统的部分安全完整性,其与由软件引起的㊁属于危险失效的系统失效相关㊂⑤安全完整性等级:一种离散的等级(四种可能等级之一),对应于安全完整性值的一个范围㊂四个安全完整性等级对应的目标失效量见表2㊂2.2　安全相关产品的实现根据图1所示安全相关产品构成图,通常可简单地认为安全相关产品由硬件和软件构成㊂安全相关产品的实现过程如图2所示㊂图2　安全相关产品的实现Fig.2　The implementation of safety related products由图2可知,达到目标安全完整性等级的安全相关产品的实现,就在于在安全相关产品的开发过程中使其硬件安全完整性等级和软件安全完整性等级达到目标安全完整性等级,即在设计开发过程中采取一些措施和手段降低随机硬件失效中不可诊断的危险失效的份额,同时采取一些措施和手段避免和控制产品在开发过程中引入的系统失效㊂这里硬件随机失效定义为由硬件的一个或几个可能的失效机理引起的㊁在随机时间发生的失效,随机硬件失效是可以量化的㊂系统失效被认为是与确定原因相关的失效,能通过改变设计㊁生产过程㊁操作模式㊁操作指令或其他影响因子来消除,系统失效是不能被量化的㊂2.3　与硬件安全完整性相关的参数安全相关产品的硬件从结构功能上来划分,又是由各子系统构成的㊂因此,要达到安全功能要求的安全完整性等级,除了要满足每个安全功能的危险失效概率要求,各子系统还要满足结构约束的要求,如表3所示㊂表3　结构约束Tab.3　Structural constraints安全失效分数安全结构HFT =0(1oo1)HFT =1(1oo2)HFT =2(1oo3)Type A Type B Type A Type B Type A Type B <60%SIL1不允许SIL2SIL1SIL3SIL260%~90%SIL2SIL1SIL3SIL2SIL4SIL390%~99%SIL3SIL2SIL4SIL3SIL4SIL4≥99%SIL3SIL3SIL4SIL4SIL4SIL4与完整性等级相关的硬件安全完整性由安全相关参数安全失效分数(safe failure fraction,SFF)(针对子系统)㊁硬件故障裕度(HFT)(针对子系统)㊁危险失39安全相关产品的实现　谢亚莲,等PROCESS AUTOMATION INSTRUMENTATION Vol.34No.6June 2013效概率(PFDavg /PFH)(针对每个安全功能)构成㊂硬件安全完整性的实现是通过设计合适的结构㊁采用适当的故障诊断措施等来满足上述安全相关参数的要求㊂2.4　系统安全完整性系统安全完整性包含硬件系统安全完整性和软件安全完整性㊂硬件安全完整性等级的系统安全完整性是通过采用避免系统失效的措施和控制系统故障的措施的实现㊂避免系统失效的措施可查阅IEC 61508.2(GB /T 20438⁃2)附录B,推荐针对硬件在不同安全生命周期阶段避免系统失效的措施和方法㊂安全相关产品在下列阶段必须考虑避免系统失效:①设计需求规范;②设计和开发;③集成;④运行和维护;⑤确认㊂控制系统故障的措施可查阅IEC 61508.2(GB /T 20438⁃2)附录A 表A15~表A17㊂IEC 61508标准要求应用质量管理(quality management,QM)的措施来避免在产品生命周期的不同阶段的失效,并根据安全完整性等级(SIL)采用相应的一些措施㊂如果按照推荐的重要度和有效性,采用这些措施可以减少可能的失效,然而设计失效或一般系统失效仍然存在于产品中,即无论这些措施被如何采用,仍然有残余系统失效概率发生,所以要求采取一些措施和技术,以控制系统故障㊂可采取的措施有以下几项㊂①控制由HW 和SW 设计引起的失效;②控制由环境应力或外部影响引起的失效;③控制由操作引起的失效㊂软件安全完整性的实现是通过在软件开发的生命周期中采用避免系统失效的措施㊂避免失效的措施见IEC 61508.3(GB /T 20438⁃3)附录A,需根据要求的安全完整性等级确定采用的措施㊁确定采用措施的有效性㊂3　结束语本文是对安全相关产品的实现的一个概述,希望借此文给读者展示关于安全相关产品实现的一个脉络,后续讲座将就此脉络展开,详述安全相关产品的实现过程㊂对证明安全相关产品实现过程的证据的评审,就是对安全相关产品的安全完整性等级(SIL)的评估㊂(上接第91页)集到的H 2S 浓度㊁位置等信息通过无线传感器网络发送到中控室,由中控室的上位机集中监视现场的H 2S 浓度和工作人员的位置㊁安全情况,有效地防止了H 2S 中毒事故的发生㊂参考文献[1]梁东.浅析硫化物对炼油设备的危害及防治对策[J].安全㊁健康和环境,2004(2):10-12.[2]朱燕群,刘克俭.石油加工行业中硫化氢的危害性及安全对策分析[J].职业与健康,2006(16):1248-1250.[3]隋秀香,李相方,尹邦堂,等.井场硫化氢检测系统的研制[J].天然气工业,2011(9):82-84.[4]戴天有,韩涛,王琴惠.硫化氢检测管的研制[J].干旱环境监测,2001(2):70-72.[5]杨燕明,王小如,杨芃原,等.半导体传感器检测含硫化氢可燃性气体的研究 硫化氢与可燃性气体的快速分离[J].化学传感器,1995(3):216-219.[6]刘美.WSN 多目标跟踪节点任务分配及跟踪算法研究[D].广州:华南理工大学,2010.[7]吴强荣.硫化氢检测仪的测量原理与应用[J].中国计量,2009(2):83-84.[8]李保中,郑应伟.硫化氢气体检测仪的使用与管理[J].计量技术,2008(7):59-61.[9]朱亮,严龙,邹兵,等.便携式硫化氢检测仪[J].仪表技术与传感器,2011(3):31-33.行业信息积极推进培训工作,有效拓展服务范畴作为国家人力资源和社会保障部 专业技术人才知识更新工程”的专项培训施教机构之一,上海工业自动化仪表研究院继续教育培训中心在5月先后成功举办了 仪器仪表及系统可靠性与功能安全技术培训班”㊁ 防爆技术高级研修班”㊂来自行业内生产制造企业㊁用户单位以及科研院所的近百名学员参加了此次培训并通过了考核㊂培训中心关注企业对安全生产的实际需求㊂功能安全培训旨在帮助企业相关人员认识功能安全的重要性,掌握自动化仪表功能安全技术㊂防爆技术培训则通过对工业防爆安全管理理念㊁爆炸基础理论以及最新防爆技术的介绍,增强从业人员对安全事故隐患的预防㊁甄别和应急能力㊂49安全相关产品的实现　谢亚莲,等。

产品安全功能和自身安全功能说明产品安全功能和自身安全功能是指产品本身带有的安全防护措施和功能，用于保护用户和产品本身的安全性。

本文将从硬件安全、软件安全和网络安全等方面详细说明产品的安全功能。

首先，从硬件安全方面来看，一个安全的产品需要具备以下功能：1.物理安全防护：产品应采用坚固的外壳结构设计，防止外界物体对内部电路和元件的破坏，确保产品的稳定运行。

同时，产品还应具备抗震、防水、防尘等功能，以满足各种使用环境的需求。

2.防火防爆设计：对于一些特殊行业或是危险品行业的产品，需要具备防火防爆功能，以避免意外的发生，确保用户和设备的安全。

3.防电磁干扰：产品内部电路应设计为抗干扰能力强的电路，以避免外界电磁干扰对产品的影响。

同时，产品应具备对电磁辐射的抑制措施，以避免对周围环境和用户的干扰。

接下来，从软件安全方面来看，一个安全的产品需要具备以下功能：1.数据加密：产品应具备数据加密功能，保障用户在使用产品时的数据安全性。

可以采用对称加密算法或非对称加密算法等方式，确保数据传输的安全性和完整性。

2.身份认证和权限控制：产品应具备身份认证和权限控制功能，确保只有合法的用户才能使用产品，并且根据用户的权限不同，限制其访问和操作的范围，以防止非法操作和数据泄露。

3.漏洞修复和软件更新：产品应具备自动漏洞修复和软件更新功能，及时修复产品中的安全漏洞，避免被黑客攻击。

同时，产品应定期更新软件，以获得最新的安全性能和功能。

最后，从网络安全方面来看，一个安全的产品需要具备以下功能：1.防止入侵和攻击：产品应具备防火墙和入侵检测系统等功能，可以监控和阻止来自网络的攻击和入侵，保障网络的安全性。

2.数据传输加密：产品应具备安全的数据传输通道，采用SSL/TLS 等加密协议，确保用户在使用产品时的数据传输安全。

3.安全监控和报警：产品应具备安全监控和报警功能，及时监测和发现异常情况，并向用户发送报警信息，以便用户及时采取措施。

PROCESS AUTOMATION INSTRUMENTATION Vol.35No.2February 2014修改稿收到日期:2013-12-10㊂作者廖丽华(1983-),女,2010年毕业于南京航空航天大学安全技术及工程专业,获硕士学位;主要从事功能安全及软件的验证与确认方面的研究工作㊂功能安全产品实现技术”系列讲座第9讲　安全相关产品的软件实现(三)Chapter Ⅸ　Implementation of the Software for Safety Related Products :Part 3廖丽华1,2　谢亚莲1,2(上海工业自动化仪表研究院1,上海　200233;上海仪器仪表自控检验测试所功能安全中心2,上海　200233)摘　要:首先介绍了功能安全相关产品软件实现中软件验证与确认的狭义概念㊂然后基于标准IEC 61508⁃3:2010(GB /T 20438.3⁃2013),对软件安全生命周期中代码复审㊁模块测试与集成测试的一系列验证要求进行了分析,并针对每个阶段的活动流程㊁内容要求㊁测试用例设计方法㊁测试规程㊁测试结果的评审等做出详细的说明㊂最后提出安全软件的自身特性㊂关键词:功能安全　安全软件　验证与确认　代码复审　模块测试　集成测试中图分类号:TP202 文献标志码:AAbstract :Firstly ,the narrow concept of software verification and validation for functional safety related products in software implementation are introduced.Then ,on the basis of IEC 61508⁃3:2010(GB /T 20438.3⁃2013),a series of verification requirements in software safety life cycle are analyzed ,e.g.,the code review ,module testing and integration testing ,and aiming at activity processes ,contents requirement ,test case design methodologies ,test procedures and the assessments to the test result in each stage are introduced in detail.Finally ,the own characteristics of safety software are proposed.Keywords :Functional safety　Safety software　Verification and validation　Code review　Module test　Integration test0　引言功能安全软件的一切验证和确认活动主要是为检验与评估软件是否已正确执行其产品的安全功能㊂软件验证主要针对安全完整性等级要求的程度,测试和评估软件安全生命周期在给定阶段的输出,保证该阶段输出对于相应输入的正确性和一致性;软件确认主要是为了证明安全相关产品在软硬件集成后符合软件安全要求规定㊂本文所述的软件验证是指狭义的软件安全生命周期中后期的静态代码复审㊁模块测试㊁集成测试阶段的验证技术,主要是动态的,与上述安全生命周期的早期的几个阶段不同,因为前期的验证主要是静态的㊂本文的软件验证技术主要是软件测试,它是软件代码实现后(除代码复审外)一切验证与确认活动的主要方法,其首要条件是最好考虑到软件验证的独立性,必须由开发人员外的专业领域测试人员进行,避免陷入开发人员既定的编程思维,从而不利于算法优化㊁代码优化,避免代码重用等错误㊂1　代码复审代码复审可依靠多种代码检查方式来完成,包括软件审查㊁人工走查和形式化检查㊂代码复审是针对软件的整个源代码,不管是一般芯片自带的㊁编译器自动生成的和人工开发的代码,都要进行软件走查和人工走查,一般同时进行,相辅相成;而形式化检查是否需要,则按安全完整性等级和软件模块设计规范选择㊂为达到软件安全完整性等级的要求,源代码应需具有以下代码属性:可读㊁可理解㊁可测试性;满足软件模块设计的规定要求;满足编码标准的规定要求;满足安全计划编制中规定的所有相关要求㊂软件走查的主要任务是依据制定好的软件编码标准和已选择的软件测试工具对源代码进行分析,从而生成代码复审报告;然后让开发人员针对违背编码标准的语句在不会影响整个模块设计的前提下(如果确认为模块设计的问题,则重回模块设计阶段修改验证)进行修改,直到顺利通过编码标准为止;最后如果存在软件和硬件的实际需求而无法通过编码标准的语句,则须针对每条语句给予违背编码规则说明文档记录㊂29第9讲　安全相关产品的软件实现(三)　廖丽华,等‘自动化仪表“第35卷第2期　2014年2月人工走查的主要工作是依据‘软件详细设计说明“对源代码进行分析,确保所有代码是执行预定功能且不执行其非预定功能,去除一切重复㊁无用㊁错误的代码;除此之外还要针对软件走查的代码复审报告进行逐条语句验证与确认,该条语句是否确实违背编码规则㊂这个检查工作非常关键,需复审人员耐心地读懂程序并仔细地推敲其是否与‘软件详细设计说明“达成一致性㊁正确性㊁完整性㊂形式化检查一般在安全相关产品规定的软件安全功能和软件系统性能能力较高且软件系统比较复杂的情况下使用,是一种动态的分析方法;使用某种严格的数学方法来证明复杂的软件不存在数据溢出㊁内存泄露㊁未初始化的内存㊁被零除和指针越界等运行时错误㊂该方法也能靠软件测试工具支持㊂代码复审的执行过程如图1所示㊂图1　代码复审的执行过程Fig.1　Execute process of code review2　模块测试测试软件模块是对代码实现和软件模块设计的验证,与代码复审相结合,用于确保软件模块设计满足其相关规范㊂该阶段重点是选用合适的测试方法对软件模块的具体实现㊁内部的逻辑结构㊁数据流向等进行全面的测试,除了功能需求,还要增加非正常逻辑的测试,而这些是影响到软件单元测试充分性的关键,最终确保软件执行其预定功能且不执行其非预定功能㊂功能安全软件的模块测试在开始前一般应具备以下条件:模块测试规范及计划(模块设计阶段已生成);所提交的被测软件版本受控(源代码清单);源代码已正确通过编码规则检查(代码复审报告);源代码已正确通过编译或汇编;软件详细设计说明;已搭建好的测试环境(包括测试的运行环境和测试工具环境)㊂采用的测试方法为白盒,在其基础上确定测试需要的其他配套技术及方法,如测试数据生成与验证技术㊁测试数据输入技术㊁测试结果获取技术㊂设计测试用例一般需考虑下面几个方法:边界值分析;控制流分析;接口分析;等价类方法;形式化证明或断言;量化的统计证据㊂功能安全软件的模块测试活动流程如图2所示㊂模块测试各阶段的输入㊁输出如图3所示㊂图2　软件模块测试活动流程Fig.2　Activity process of software moduletesting图3　模块测试中各阶段的主要数据流Fig.3　The main dataflow of each stage during module testing根据模块测试计划中测试须达到的覆盖率水平等进行结果核对,判断是否出现异常或需要补充测试用例情况,如出现相应的情况应做出对应的处理,其具体流程如图4所示㊂图4　结果核对活动的控制流程Fig.4　The controlling flowchart of result verification activities最后应对测试执行活动㊁模块测试文档(包括模块测试报告㊁测试用例㊁测试记录㊁测试日志和测试异常报告等)进行评审㊂评审一般包括下面几点内容:测试执行活动的有效性;测试结果的正确性㊁完备性和合理性;整个测试过程是否达到了模块测试规范的要求;测试中所有生成的文档是否符合规范㊂结束模块测试工作一般应具备以下条件:已按要求完成了模块测试规范所规定的测试任务;实际测试过程遵循了原定的软件测试计划要求;客观㊁详细地记录了测试过程和测试中发现的所有问题;测试文档齐39第9讲　安全相关产品的软件实现(三)　廖丽华,等PROCESS AUTOMATION INSTRUMENTATION Vol.35No.2February 2014全㊁符合规范;测试的全过程自始至终在控制下进行;测试中的问题或异常有合理解释或正确有效的处理;全部测试工具㊁被测软件㊁测试支持软件和评审结果已纳入配置管理㊂3　集成测试功能安全软件由于通常是嵌入式软件,所以集成有两个概念,一个是纯粹的软件模块集成,一个是硬件和软件相结合的可编程电子集成,本文所述的集成是没有硬件参与的软件集成㊂软件集成测试主要是验证所有软件模块相互作用以实现其预定功能而不实现非预定功能,确保软件系统满足安全功能和系统性能力的特定要求㊂功能安全软件的集成测试活动流程如表1所示㊂对具体的安全相关产品的软件,可根据软件安全功能和软件系统性能力选择适当的集成测试技术㊂软件集成测试一般应符合以下要求:①对集成软件进行必要的静态分析;②采用自底向上增量集成法,测试新组装的软件集成;③逐项测试软件概要设计文档规定的软件的功能㊁性能等特性;④测试软件之间㊁软件和硬件之间的所有接口;⑤测试运行条件(如数据结构㊁输入/输出通道容量㊁内存空间㊁调用频率等)在边界状态下和人为设定的状态下软件的功能和性能;⑥应按概要设计文档要求,对软件的功能㊁性能进行强度测试;⑦对执行安全功能代码进行安全性分析,明确每一个故障状态和导致故障的可能原因,并对执行安全功能代码进行针对性㊁重复性的测试㊂表1　软件集成测试活动流程Tab.1　The controlling flowchart of result verification activities任务活动输入材料活动内容输出材料制定集成测试计划软件概要设计说明;系统集成测试规范;软件架构设计说明将软件划分为可管理的集成集;指定集成测试的总方法;指定完备的测试要求;指定测试完成的标准;指定总的进度安排详细的集成测试计划指定测试资源的要求集成测试的总体资源需求设计集成测试用例集成测试计划;软件集成测试规范;软件源代码清单;软件概要设计说明获取模块层次结构图;按需求获取测试规程;确定测试用例设计方法;根据产品信息,按需扩大测试用例集的说明集成测试用例;集成测试的增强需求;附加的测试用例说明;实现集成计划集成测试用例;测试流程;测试的总体资源需求;软件数据结构说明搭建测试环境;编制测试脚本,更新测试过程测试脚本;测试过程设计并实施驱动或桩驱动程序执行集成测试测试用例说明;测试脚本与驱动程序;集成测试规范说明;配置完备的测试环境运行测试;记录并判定测试结果;分析每次失败原因,采取对应措施包含在测试总结报告中的执行信息(包括测试输出㊁测试事件描述㊁故障分析结果㊁错误修正活动㊁不能修改错误的理由㊁资源消耗数据㊁执行轨迹总结信息等)核对测试完成准则判定测试完成的准则;执行信息;测试规范说明对测试过程的正常终止情况进行核对;对测试过程的异常终止情况进行核对;补充测试集记录于测试总结报告内的核对信息,包括终止条件及任何测试用例的附加情况;附加的或修订后的测试规格说明;附加的测试数据评价测试效果和被测的软件集成测试计划;执行信息;核对信息;附加的测试用例说明描述测试状态;描述软件系统状态;完成测试总结报告;保存测试中的所有文档测试结果分析报告;全部测试工具㊁被测软件㊁测试支持软件和评审结果已纳入配置管理4　结束语功能安全软件的验证与确认贯穿于安全相关产品软件实现的全过程㊂由于该活动是可重复性的,所以配置管理至关重要,以便后期如果出现事故查找故障出处㊂同时,还要注重安全软件本身的特性:①无移植性,针对软件使用的特定环境而开发的功能安全软件,其如需移植,则必须重新测试使用平台;②灵活性,在保证完成安全功能的前提下要保持软件操作等的灵活性;③效率性,安全软件主要是实现安全功能,如果没有产品特别需求,这个不需太强求;④正确性,这个是必须要遵循的,整个验证和确认过程都是为了证明这一点㊂49第9讲　安全相关产品的软件实现(三)　廖丽华,等。

PROCESS AUTOMATION INSTRUMENTATION Vol.34No.7July 2013修改稿收到日期:2013-05-14㊂作者谢亚莲(1966-),女,1991年毕业于上海机械学院可靠性技术专业,获硕士学位,高级工程师;主要从事可靠性技术和功能安全技术的研究㊂功能安全产品实现技术”系列讲座第2讲　功能安全与安全相关产品Chapter Ⅱ　Functional Safety and Safety⁃related Products谢亚莲1,2(上海工业自动化仪表研究院1,上海　200233;上海仪器仪表自控检验测试所功能安全中心2,上海　200233)摘　要:介绍了引入功能安全的原因和功能安全的目的,以及危险㊁风险㊁安全功能㊁安全完整性和安全相关系统之间的内在关联㊂通过一个安全相关系统的实例,给出了几类安全相关产品确定安全功能和设定安全完整性目标值的方法;同时指出了执行机构和阀的特殊性,并针对这种特殊性,引入了部分行程测试这一解决方法㊂关键词:功能安全　危险　风险　安全功能　安全完整性等级中图分类号:TP202 文献标志码:AAbstract :The reasons for introducing functional safety and the purposes of functional safety ,as well as the inherent relationship among hazards ,risks ,safety function ,safety integrity ,and safety⁃related system are described.With a safety related system as practical example ,the methods of determining safety functions and setting target values of safety integrity for several types of safety related products are given.Inaddition ,the particularities of the actuator and valve are pointed out ,and in accordance with these particularities ,the solution of partial stroke test is introduced.Keywords :Functional safety　Hazard　Risk　Safety function　Safety integrity level0　引言IEC 61508(GB /T 20438)是完整的㊁系统性的关于电气/电子/可编程电子安全相关系统的功能安全的基础标准;以基于风险的方式确定E /E /PE 安全相关系统的安全要求规范;采用整体安全生命周期模型作为技术框架,系统地论述了为保证E /E /PE 安全相关系统的功能安全所需进行的活动㊂本文通过对危险㊁风险㊁安全功能㊁安全完整性㊁安全相关系统㊁安全相关产品之间的内在关联的介绍,有助于大家了解以下几个概念,即安全相关产品为什么要具有这样的安全功能,并达到这样的安全完整性与安全完整性等级㊂1　功能安全功能安全,首先是安全的概念,所谓安全就是不存在不可接受的风险,这种风险是指由危险的发生而造成的对人身健康的伤害㊁财产的损失和环境的破坏㊂功能安全是属于受控装置(equipments under control,EUC)和EUC 控制系统的整体安全的一部分㊂用于避免使在爆炸气体中的设备成为潜在点燃源的安全装置,如处在爆炸气体中的笼型转子,当转子的温度超过某一限值,将会引起气体爆炸㊂要限制笼型转子的温升,采用一个依赖于电流的安全装置,即将测量转子的电流作为输入信号,当电流超过某一限定值,采取措施切断笼型转子的供电电源,从而防止爆炸危险的发生㊂这属于功能安全㊂采用风扇抽风强制降温的方式,也属于安全的一个例子,但它不能保证防止危险的发生,不属于功能安全㊂由于EUC 和EUC 控制系统潜在的危险而导致风险的存在,从而引出了对功能安全的需求㊂功能安全的起因是危险和风险,功能安全的目的是将风险降低到可接受的范围内,功能安全的实现是通过电气/电子/可编程安全相关系统(简称E /E /PE 安全相关系统)㊁其他技术安全相关系统和外部风险降低设施正确执行其功能㊂功能安全的目的示意图如图1所示㊂29功能安全与安全相关产品　谢亚莲‘自动化仪表“第34卷第7期　2013年7月图1　功能安全目的示意图Fig.1　The purpose of functional safety功能安全是 纵深防御”的理念㊂E /E /PE 安全相关系统通常用于预防危险的发生,在危险条件产生时即切断危险源,使EUC 及其控制系统保持在安全状态;虽然在一些情况下它也用于减轻危险产生的后果,例如气体探测器检测到着火或气体泄漏,采取紧急减压措施㊂其他技术安全相关系统和外部风险降低设施用于在危险发生后减轻危险所造成的后果,通常它是在控制系统失控㊁E /E /PE 安全相关系统因危险失效而不能执行其安全功能时发挥作用,例如属于其他技术安全相关系统的减压阀泄压,属于外部风险降低设施的安全壳将危险源密封在壳内,阻止其向外扩散㊂当然,功能安全的基础标准GB /T 20438所关注的是E /E /PE 安全相关系统,我们所研究和关注的也是E /E /PE 安全相关系统实现的安全功能㊁安全功能降低风险的能力即安全完整性等级㊁构成E /E /PE 安全相关系统的安全相关产品等㊂2　安全功能与安全相关系统安全相关这个词语是被用来描述要求执行规定的功能,以确保风险保持在一个可接受的水平㊂这个规定的功能就被定义为安全功能㊂因此,执行安全功能的系统就是安全相关系统㊂对安全相关系统的要求包含安全功能的要求和安全完整性等级的要求㊂安全功能的要求来源于危险分析,即必须做什么以避开危险事件;安全完整性等级的要求来源于风险评估,即安全功能必须执行到什么程度以使残余风险可接受㊂安全相关系统需求产生的过程如图2所示㊂图2　安全相关系统需求产生示意图Fig.2　The demand generation of safety⁃related systems EUC 和EUC 控制系统的功能安全中包含一个或多个安全相关系统,以实现一个或多个安全功能㊂安全相关系统通常独立于装置控制系统,但也存在装置控制系统同时作为安全相关系统执行安全功能㊂一些领域的功能安全标准对安全相关系统的独立要求有明确规定㊂如在自动扶梯和自动人行道的标准EN 115⁃2008(国标GB 16899⁃2011)中就明确规定安全相关系统和电梯控制系统必须分开㊂3　安全相关产品的目标设定虽然我们在上述内容中讲述了危险㊁风险㊁安全功能和安全相关系统它们之间的内在关联,但是安全相关产品的设计者并不需要过多关注危险和风险,而是需要知道作为实现功能安全的基础 安全相关产品在安全相关系统中需实现的功能以及安全完整性需要达到的目标值㊂在过程工业中,存在这样一个安全相关系统:当反应炉烧嘴板冷却水流量低时,执行烧嘴板及燃烧室保护㊂安全相关系统的安全功能描述为:当反应炉烧嘴板冷却水流量低于低低报警(LL)值,触发连锁,同时关闭氧气进料阀㊂辅助功能为打开放空阀,该功能属于非安全功能㊂安全功能的安全完整性等级要求达到SIL2㊂安全相关系统配置如表1所示,按常规安全相关系统的安全完整性目标值分配如图3所示㊂表1　安全相关系统配置表Tab.1　Configuration of the safety⁃related system子系统名称构成系统的组件名称传感器子系统 涡街流量计模拟量输入安全栅逻辑单元子系统 输入模块输出模块PLC终端执行元件子系统气动调节阀执行机构定位器电磁阀图3　安全完整性目标值分配示意图Fig.3　Schematic diagram of the allocation ofsafety integrity target values参照表1和图3,构成系统的安全相关产品及目标设定如下㊂39功能安全与安全相关产品　谢亚莲PROCESS AUTOMATION INSTRUMENTATION Vol.34No.7July 20133.1　传感器子系统传感器子系统通常包含各种变送器和输入端安全栅㊂在过程工业中,常见的各类变送器包括压力变送器㊁温度变送器㊁流量计㊁液位变送器㊁氧气分析仪㊁气体探测器等;在机械工业中,常见的各类变送器包括转速测量仪㊁位置变送器等㊂这类安全相关产品需要确定的目标有以下两项㊂①安全功能需将产品放在安全相关系统中,分析其在安全相关系统中为保证安全相关系统正确执行其安全功能应具有的功能㊂该功能便设定为产品的安全功能㊂同时,需考虑产品的现场总线通信功能是否也设定为安全功能等㊂如流量计,其安全功能为流量测量㊂②安全完整性目标值按照市场需求对产品进行定位㊂市场对变送器的要求一般为SIL2,所以按结构约束条件,变送器在结构设计上要求达到SIL2㊂按照安全相关系统的安全完整性目标值分配,传感器子系统的安全完整性目标值通常为30%SIL2,所以变送器设定的安全完整性目标值最好不大于20%SIL2㊂采用验证测试时间间隔为1年来计算要求时危险失效概率(PFDavg)和每小时危险失效概率(probability of failure per hour,PFH)㊂对于安全栅,其在结构设计上至少应达到SIL2,而它的安全完整性目标值最好不大于5%SIL2㊂3.2　逻辑单元子系统逻辑单元子系统通常由输入模块㊁PLC 和输出模块组成㊂PLC 的安全功能和安全完整性的目标设定可参考关于可编程控制器功能安全的相关标准IEC 61131⁃6,在此不再叙述㊂3.3　终端元件子系统在过程工业中,较为常见的终端元件子系统是阀组㊂气动调节阀阀组的构成包含气动执行机构㊁电磁阀㊁定位器㊁气动调节阀等㊂同上述传感器子系统一样,需要确定的各终端单元目标也有以下两项㊂①安全功能对于终端元件子系统各单元,它们的安全功能比较清晰,如电磁阀执行开启和关闭功能㊁执行机构执行角行程或直行程㊁定位器能按照输入信号正确控制阀的开度等㊂也就是说各终端单元的主要功能就是它们的安全功能㊂②安全完整性目标值㊂虽然在安全相关系统的安全完整性目标分配上,终端元件的目标失效值为60%SIL2,但若给气动执行机构和调节阀分配安全完整性目标值,而仍然沿袭固有的设计理念,那么这样的目标安全完整性是难以通过传统的机械设计来实现,除非它本身就满足目标安全完整性㊂若完全依靠机械设计,结构约束条件要想达到SIL2的要求是比较困难的㊂因为机械类设备的平均无故障工作时间(mean time between failures,MTBF)和失效模式分布取决于设备的结构㊁材料㊁制造工艺㊁正常工作时的流体介质等,这些因素导致的结果是难以预测的,也就难以展开针对结构约束条件和目标安全完整性的机械设计㊂目前,较为先进的设计理念是引入诊断功能的智能化设计,采用部分行程测试法(partial stroke test,PST),关注由执行机构和阀杆卡死引起或由阀泄漏引起的阀操作失效㊂对这类失效进行诊断,从而提高安全失效分数(safety failure fraction,SFF),使阀和执行机构的安全完整性等级提高到SIL2甚至SIL3㊂部分行程测试法使工厂能够周期性地检查和确认阀和执行机构的完整性和安全性特征,而不需关停工艺线㊂综合上述,对于由机械结构构成的气动执行机构和阀设定安全完整性目标值没有实际意义,而设计具有诊断故障功能的阀门定位器更为有效㊂关于安全相关产品目标值设定的方法同样适用于DCS 系统,即只需关注系统实现的安全功能与安全功能实现相关的各个模块,然后再将安全完整性目标值分解给各个模块㊂4　结束语对功能安全的起因㊁目的,以及危险㊁风险㊁安全功能和安全相关系统的内在关联只需概念性了解就可以了,我们的目的是设计安全功能㊁安全完整性和安全完整性等级(SIL)都具有市场竞争力的安全相关产品,因为安全相关产品是实现功能安全的基础㊂在讲述了安全相关产品实现的过程㊁安全相关产品的目标设定之后,后续的讲座将就功能安全管理㊁安全相关产品的软件硬实现方法进行展开㊂‘自动化仪表“　中文核心期刊　中国科技核心期刊邮发代号:4-304;　2013年定价:15元/月,全年价:180元;　国外代号:M 72149功能安全与安全相关产品　谢亚莲。

【功能安全】功能安全产品的设计流程自动化程度的提高为人们日常生活中的方方面面都带来了更多的舒适性和灵活性，但我们也需要注意到这些好处背后的安全风险。

尤其是工业领域中让人引以为傲的高精密生产线，它们应当是易于使用，并能提供高度舒适和安全的操作性。

本文深切认为技术系统不应当为人们和环境带来超出允许风险范围的安全风险。

完全没有风险是不现实的，所以风险可接受与否在于其严重程度。

每个领域对可接受风险程度都有自己的定义，并使用不同的安全等级对其进行衡量。

对于电气和可编程系统来说，得益于一系列标准建立，由此形成了关于功能安全的共识。

这些标准适用于不同的应用领域，但它们都基于由IEC61508标准派生出的安全理念。

图1：常见的功能安全标准概览IEC61508标准覆盖了系统的整个生命周期，并着重为系统中可能出现危险的部分制订了相关规范。

该标准旨在提供从零开始设计系统的最安全方式。

实现功能安全的普遍措施是添加额外的元器件，用于监控功能的正常运行以及在发生不正常的情况时对系统进行控制。

这个理念常用于工业自动化或过程工业领域中。

IEC61508标准定义了功能安全的操作模式：低要求操作模式、高要求操作模式和连续模式。

操作模式则由每年对于安全功能的使用频率决定。

同时，针对功能安全领域中的标准控制功能的设计方法是可选的。

IEC61508标准中定义的连续模式包含这些信息。

通常做法是从分析所有可能对系统产生影响的关键问题开始。

所有被定位的问题必须使用参数进行衡量，如暴露时间、受伤的严重程度以及脱离伤害的可能性。

这是典型的风险分析措施，必须在没有额外电气保护系统的情况下对受控设备施行。

系统整个生命周期的所有部分均必须使用该措施。

凭借风险图，风险分析将提供要求的安全完整性等级(Safety Integrity Level，SIL)。

在遵循ISO13849标准的情况下，风险图将提供要求的性能等级(Performance Level， PL)。

功能安全功能安全是指确保系统在正常操作、故障和故障恢复期间，能够保持运行的安全性。

在许多行业中，功能安全是非常重要的，特别是在涉及人员生命安全或财产损失的领域。

功能安全的概念和实践已经存在了很长时间，但它在现代信息技术和自动化系统中的重要性越来越突出。

许多行业都引入了功能安全标准和规范，以确保系统的设计和运行能够满足特定的安全要求。

在功能安全的概念中，有几个重要的方面需要考虑。

首先是系统的可靠性和可用性。

系统必须设计成能够在故障情况下继续正常运行，避免停机和数据丢失。

其次是系统的安全性和完整性。

系统必须能够防止未经授权的访问和数据篡改，并确保系统的数据完整性。

最后是系统的故障恢复能力。

系统必须能够自动检测和纠正故障，以避免系统崩溃。

为了确保功能安全，必须采取一系列的措施和方法。

首先是系统的设计。

在设计阶段，必须考虑到所有可能的故障和故障恢复情况，以确保系统能够在面对故障时正确操作。

其次是系统的测试和验证。

在开发和部署系统之前，必须进行全面的测试和验证，以确保系统达到预期的功能安全要求。

最后是系统的监控和维护。

一旦系统投入运行，必须进行定期的监控和维护，以确保系统能够持续满足功能安全要求。

在不同的行业中，有许多不同的功能安全标准和规范。

例如，在汽车行业中，ISO 26262是一种用于功能安全的国际标准，要求设计和开发具有功能安全性能的电子和电气系统。

在医疗行业中，IEC 60601是一种用于医疗电气设备的国际标准，要求这些设备具有高度的功能安全性。

在核电行业中，IEC 61508是一种适用于电气、电子和可编程电子系统的国际标准，要求这些系统具有可靠的功能安全性能。

功能安全的实现还需要考虑到人因因素。

人操作错误是导致许多故障和事故的主要原因。

因此，在设计和开发功能安全系统时，必须考虑到人工因素，并采取适当的措施来减少因为人的错误而导致的故障。

总之，功能安全是确保系统在正常操作、故障和故障恢复期间能够保持运行的安全性。

“功能安全产品实现技术”系列讲座第8讲安全相关产品的软件实现(二)廖丽华;尹宝娟【摘要】首先介绍了功能安全相关产品软件实现过程中软件设计的基本概念及软件验证相关要求;接着基于标准IEC 61508-3:2010(GB/T 20438.3-2013),对软件安全生命周期中软件架构设计、支持工具、软件系统设计和编码实现阶段的验证活动进行了分析.此外还对每个阶段规定验证的要求、内容、输入和输出等做了详细说明.最后提出了安全软件在生命周期各阶段可根据软件系统的大小进行裁剪的思路.【期刊名称】《自动化仪表》【年(卷),期】2014(035)001【总页数】3页(P92-94)【关键词】功能安全;软件设计;架构设计;系统设计;支持工具【作者】廖丽华;尹宝娟【作者单位】上海工业自动化仪表研究院,上海200233;上海仪器仪表自控检验测试所,上海200233;环境保护部核与辐射安全中心,北京100082【正文语种】中文【中图分类】TP2020 引言安全相关产品的软件实现的前期工作主要是软件设计，主要包括软件架构设计、支持工具选择、软件系统设计以及编码实现的整个过程。

软件设计主要是从软件安全要求规范与E/E/PE系统架构出发，根据其确定的功能需求设计软件系统的整体架构、选取合适的支持工具、划分功能模块、确定每个模块的实现算法以及代码的编写规则，形成具体的设计方案。

当软件执行不同安全完整性等级的安全功能时，所有的软件都被认为属于最高安全完整性等级，除非在设计中表明不同安全完整性等级的安全功能之间的充分独立性。

同时应证明独立性在空间域和时间域上均得到实现，或任何对独立性的违背均得到控制，且对独立性的论证应文档化。

在软件的整个设计阶段选取技术和措施时，应考虑软件设计的下列属性:①有关软件安全要求规范的完整性;②有关软件安全要求规范的正确性;③防止固有设计错误;④简单性和易懂性;⑤行为的可预见性;⑥可验证和可测试的设计;⑦故障裕度;⑧抵御外部事件造成的共因失效。

11. 如何在设计中实现功能安全？11、如何在设计中实现功能安全？在当今的设计领域，实现功能安全已成为至关重要的任务。

无论是产品设计、系统设计还是工程设计，确保功能的安全性都是保障用户生命财产安全、提升产品质量和可靠性的关键。

那么，如何在设计中有效地实现功能安全呢？首先，深入理解功能安全的概念和标准是基础。

功能安全并非一个模糊的概念，而是有明确的定义和严格的标准。

例如，国际标准 IEC 61508 就为功能安全提供了全面的指导。

设计团队需要对这些标准进行深入研究，明确安全目标、安全完整性等级（SIL）等关键指标。

只有这样，才能在设计之初就确立清晰的方向。

风险评估是实现功能安全的重要步骤。

要全面识别潜在的危险和风险，包括但不限于机械故障、电气故障、环境因素等。

这需要对设计对象的使用场景、操作方式、可能遇到的异常情况等进行详细的分析。

通过定性和定量的风险评估方法，如故障树分析（FTA）、失效模式与影响分析（FMEA）等，确定风险的可能性和严重性。

在硬件设计方面，选用高质量、可靠性高的组件和材料是关键。

不能仅仅考虑成本，而忽视了组件的稳定性和耐用性。

同时，要进行合理的电路设计，包括过压保护、过流保护、静电防护等措施，以防止电气故障引发的安全问题。

在布局和布线时，也要考虑电磁兼容性（EMC）和热管理，避免电磁干扰和过热导致的故障。

软件在现代设计中扮演着重要角色，因此软件的功能安全不容忽视。

采用可靠的编程方法和规范，进行严格的代码审查和测试。

使用安全的编程语言和开发工具，确保软件在各种条件下都能稳定运行。

对于关键的控制算法和逻辑，要有充分的验证和备份机制，以防止软件错误导致的安全事故。

设计过程中的验证和测试是保障功能安全的重要环节。

通过模拟各种实际使用场景和异常情况，对设计进行全面的测试。

包括功能测试、性能测试、安全测试等。

使用专业的测试设备和工具，对测试结果进行详细的分析和记录。

如果发现问题，要及时进行改进和优化，确保设计满足功能安全的要求。

NXP培训PPT如何进行功能安全设计•ISO 26262 是对 IEC 61508 的改编，旨在满足道路车辆内电气和/或电子（E/E）系统的特定需求。

ISO 26262 解决了由 E/E 安全相关系统的故障行为引起的可能危害。

解决系统故障和随机硬件故障带来的风险。

系统安全是通过多种安全措施实现的。

ISO 26262 提供了一种基于汽车特定风险的方法来确定完整性等级 [汽车安全完整性等级（ASIL）]。

ISO 26262使用ASIL来指定ISO 26262的适用要求，以避免不合理的残余风险。

汽车制造商、汽车供应商（一级供应商）、半导体供应商和知识产权供应商之间符合 ISO 26262 标准风险评估使用三个标准进行：•严重程度- 造成多大的伤害？•暴露–多久可能发生一次？•可控性–危险可以控制吗？•对于每个危险事件，根据严重性、暴露和可控性确定 ASIL然后制定安全目标，预防或减轻每次事件，避免不合理的风险功能安全概念功能安全概念涉及：−故障检测和故障缓解−安全状态转换−容错机制−驾驶员警告问：这是一种自上而下的方法，通常是作为脱离上下文的安全元素（SEooC）开发的组件和IP，如何做出假设？安全机制是由E/E功能或元件或其他技术实现的技术解决方案，用于检测故障或控制故障，以实现或保持安全状态实施安全机制以防止故障导致单点故障或减少残余故障并防止故障成为潜在故障- 多点故障是单个故障，与其他独立故障相结合，导致多个点故障。

故障检测和响应时间· 诊断测试间隔−通过安全机制执行在线诊断测试之间的时间· 故障响应时间−从检测到故障到达到安全状态的时间跨度· 容错时间间隔−在危险事件发生之前，系统中可能存在一个或多个故障的时间跨度· 多点故障检测间隔开发和维护旨在安装在道路车辆中的安全相关元件或物品的生产过程。

−通常，符合ISO TS 16949的现有生产流程也与ISO 26262要求保持一致·此外，可能还需要符合与安全相关的特殊特性- 此类与安全相关的特殊特性的示例包括：- 特定工艺参数（例如温度范围或紧固扭矩- 材料特性- 生产公差- 配置此外，在生产过程中需要对变更或现场退货进行安全影响分析，>增强标准流程以符合要求。

PROCESS AUTOMATION INSTRUMENTATION Vol.34No.10October 2013修改稿收到日期:2013-05-14㊂作者谢亚莲(1966-),女,1991年毕业于上海机械学院可靠性技术专业,获硕士学位,高级工程师;主要从事可靠性技术和功能安全技术的研究㊂功能安全产品实现技术”系列讲座第5讲　安全相关产品的硬件实现(二)Chapter Ⅴ　Implementation of the Hardware for Safety⁃related Products :Part 2谢亚莲1,2(上海工业自动化仪表研究院1,上海　200233;上海仪器仪表自控检验测试所功能安全中心2,上海　200233)摘　要:安全相关产品的硬件设计需满足硬件安全完整性要求㊁系统安全完整性要求以及检测到故障时对系统(产品)的行为要求㊂为满足硬件安全完整性的要求,给出了架构设计的方法和量化随机失效影响的方法㊂同时,对实现系统安全完整性要求和检测到故障时对系统(产品)的行为要求进行了阐述㊂关键词:安全相关系统　子系统　组件　危险失效　安全失效　硬件故障裕度　架构约束　设计要求规范中图分类号:TP202 文献标志码:AAbstract :The hardware design of safety-related products shall meet the requirements of hardware safety integrity ,system safety integrity ,and the activities to the system (product )when failures have been detected.In order to satisfy the requirement of hardware safety integrity ,the method of architectural design and the method to make quantification for influence of random failures are given.In addition ,the requirements for implementing system safety integrity and the activities to the system (product )when failures have been detected are elaborated.Keywords :Safety⁃related system　Subsystem　Component　Dangerous failure　Failsafe　Hardware fault tolerance　Architectural constraintsDesign requirement and specification0　引言在上一讲中,我们首先讲述了安全相关产品的设计理念及其特有的安全相关参数,其次讲述了如何编制产品设计要求规范(安全要求规范)㊂功能安全的设计理念就在于提出安全完整性的指标,并给出通过采取诊断措施和结构冗余的方法来实现安全完整性㊂安全相关产品设计围绕着实现安全功能和实现安全完整性目标值进行㊂安全相关产品的硬件设计包含满足硬件安全完整性要求㊁系统安全完整性要求以及检测到故障时对系统(产品)的行为要求㊂在这一讲中,我们将偏重于智能型安全相关产品,继续讨论如何对安全相关产品的硬件进行设计,这是因为标准中的大多诊断措施和方法是针对智能型产品提出的㊂1　硬件安全完整性要求安全相关产品有别于非安全相关产品的特殊之处在于达到安全完整性目标值,因此安全相关产品的硬件安全完整性要求包括硬件安全完整性架构约束要求和量化随机失效影响要求㊂1)硬件安全完整性架构约束要求安全相关产品的设计主要围绕着满足架构约束要求进行,一般满足结构约束条件的产品其安全完整性目标设定值都能达到架构约束要求㊂安全相关产品的设计按照下面流程进行㊂(1)架构设计首先,基于产品安全要求规范,为实现安全相关产品的安全功能,进行产品的初步架构设计,规定需用功能块图表示构成产品的模块㊁输入㊁输出㊂其次,需确定功能模块的硬件故障裕度(HFT),即该功能模块是否需要冗余㊂架构设计基于功能的要求和架构约束条件的要求㊂最后,硬件安全完整性的约束条件考虑了组件的复杂性㊁安全失效分数等级㊁硬件故障裕度和可声明的最大安全完整性等级,并规定了它们之间的关系㊂组件的复杂性容易确定,且在已知安全完整性等级目标设定的情况下,根据IEC 61508的相关内容,安全失效分数和硬件故障裕度也可以被确定㊂例如,微处理器单元的安全完整性等级为SIL2的29第5讲　安全相关产品的硬件实现(二)　谢亚莲架构设计,微处理器属于B类组件,对它进行架构设计基于的约束条件如表1所示[3]㊂各别安全完整性等极可达到SIL2,可查到其对应的安全失效分数和硬件故障裕度㊂当HFT=2时,在组件内部的设计中不可能采用高冗余,而且成本也太高,所以舍去;当HFT=0时,要求安全失效分数大于90%,需采用具有中等诊断覆盖率的诊断措施达到要求的安全失效分数;当HFT=1时,安全失效分数在60%和90%之间,至少需采用具有低诊断覆盖率的诊断措施达到要求的安全失效分数㊂后两种架构都是可行的方案,但要确定所选的诊断措施是否满足诊断测试时间间隔的要求㊂表1　B类组件的安全功能的最大允许安全完整性等级Tab.1　Maximum allowable safety integrity levelfor a safety function executed by ClassB component组件的安全失效分数硬件故障裕度012　60%不允许SIL1SIL2　60%~90%SIL1SIL2SIL3　90%~99%SIL2SIL3SIL4　≥99%SIL3SIL4SIL4 (2)诊断功能设计针对架构约束的要求,对各执行功能的模块设计诊断功能㊂诊断功能的设计包括诊断测试方法和诊断测试时间间隔这两个方面㊂关于各类功能模块应采用的诊断方法及各种方法可达到的诊断覆盖率在标准IEC61508.2附录A表A.1~表A.14中有详细的介绍,可以参考或直接采用,当然也可以采用标准未曾提及的其他诊断方法㊂可变内存进行诊断的方法及可达到的诊断覆盖率如表2所示(引自IEC61508.2表A.6)㊂表2　可变内存范围Tab.2　Variable memory ranges诊断技术/措施GB/T20438.7经考虑能达到的最大诊断覆盖率检测板(checkerboard)或跨步(march)RAM测试法A.5.1低漫步路径(walk⁃path)RAM测试法A.5.2中跳步模式(galpat)或透明跳步模式(transparent galpat)RAM测试法A.5.3高执行诊断功能的时间应根据诊断测试时间间隔来决定,是在开机时执行诊断功能,还是在正常操作运行时执行诊断功能㊂确定诊断测试时间间隔的输入确定和标准要求为:产品的工作模式㊁要求模式或连续模式;上电时间间隔;诊断出故障后的平均修理时间(mean repair time,MRT);安全相关系统的平均恢复时间(mean time to restoration,MTTR);过程安全时间;受控装置的要求率;实现功能的模块的硬件故障裕度㊂这些输入来源于安全要求规范和其他实际应用的惯例,从而也可确定在什么时候执行诊断功能㊂标准中规定诊断测试时间间隔如下㊂①若安全相关产品的工作模式是高要求连续模式,则当该功能模块的硬件故障裕度为0时,诊断测试时间的设定需满足:诊断测试时间间隔和执行特定功能,以获得或维持安全状态的时间总和小于过程安全时间,或诊断测试率与要求率之比等于或大于100㊂当该功能模块的硬件故障裕度大于0时,诊断测试时间间隔和对检测到的故障的维修时间的总和小于在计算特定安全功能安全完整性时所用的平均恢复时间(MTTR)㊂②若安全相关产品的工作模式是低要求操作模式时,则诊断测试时间间隔和对检测到的故障的维修时间的总和小于在计算特定安全功能安全完整性时所用的平均恢复时间(MTTR)㊂2)量化随机失效影响的要求对安全相关产品的每个安全功能在随机硬件失效与数据通信过程随机影响下的安全完整性进行估算的过程如下㊂①对安全相关产品的每个安全功能的实现建模,如构建可靠性框图,确定实现某一安全功能的安全相关产品的各功能模块,以及各功能模块的串并联关系㊂如果该功能模块的失效会导致安全相关产品的安全功能失效,则该功能模块在可靠性框图中用串联表示;如果该功能模块执行的功能可被另一功能模块执行,即该功能模块的失效不会导致安全相关产品的安全功能失效,则该功能模块与执行同一功能的另一功能模块在可靠性框图中用并联表示㊂②对功能模块中的每一个元器件估计其失效率,失效率的数据来源于公认的通用数据,如SN29500㊁IEC62380㊁GJB299C等,也可采用具体现场获得的失效数据㊂③对每一功能模块进行分析,采用FMECA法(故障模式㊁影响和危害度分析)或诊断覆盖率,将总的失效率划分为安全失效㊁可检测的危险失效以及不可检39第5讲　安全相关产品的硬件实现(二)　谢亚莲‘自动化仪表“第34卷第10期　2013年10月PROCESS AUTOMATION INSTRUMENTATION Vol.34No.10October 2013测的危险失效㊂需考虑诊断测试的诊断测试时间间隔,只有满足标准中规定的诊断测试时间间隔的诊断测试才有效㊂④对可靠性框图为并联的冗余功能模块部分,需确定共因失效因子㊂⑤完成每一功能模块的安全失效㊁可检测的危险失效和不可检测到的危险失效的失效率计算后,按照可靠性框图对安全相关产品进行计算,具体计算方法将在下一讲中讲述㊂事实上,建模的方法有很多,应由分析人员根据具体情况来确定最合适的方法㊂可行的建模方法包括因果分析㊁马尔可夫模型等㊂2　系统安全完整性要求安全相关产品在其实现过程中需满足的系统安全完整性要求包括避免系统性故障的要求和控制系统性故障的要求㊂1)避免系统性故障的要求设计和开发安全相关产品的软硬件时,为避免引入故障,应采用一组适当的技术和措施,具体参见IEC61508.2的表B2和IEC 61508.3的附录A,针对硬件的技术和措施参见IEC 61508的表B2㊂根据所需的安全完整性等级,所选择的设计方法具有的特性应有助于:简化模块化和控制复杂性;清晰和精确地表述(功能㊁与外部的接口㊁顺序和时间相关信息以及并发和同步);利于文档和信息的交流;验证和确认㊂如适用,应使用自动测试工具和集成开发工具㊂设计期间,应编制安全相关产品的集成测试计划㊂编制测试计划的文档应包括:所执行测试的类型和所遵循的规程;测试环境㊁工具㊁配置和程序;通过/失败的准则㊂同时,在设计阶段就应编写安全相关产品的操作和维护规范㊂2)控制系统性故障的要求为控制系统性故障,安全相关产品的设计特点应使得安全相关产品能容许:硬件中的任何残余设计故障,除非能排除硬件设计故障的可能性(见IEC 61508.2表A.15);环境应力,包括电磁干扰(见IEC 61508.2表A.16);操作员造成的失误(见IEC 61508.2表A.17);软件中的任何残余设计故障(见IEC 61508.2表A.15)㊂在设计和开发活动中应考虑可维护性和可测试性,以便在最终的E /E /PE 安全相关系统中实现这些属性㊂安全相关产品的设计应充分考虑人员的能力和局限性,并应合理分配操作者和维护人员的活动㊂所有接口的设计应根据良好的人员操作习惯并应适合操作者的认知能力和培训水平,对操作者和维护人员所犯的可预见的致命错误,只要有可能都应能通过设计来防止和消除,或者在完成该动作之前对这些动作进行二次确认㊂3　检测到故障时系统行为的要求若安全相关产品为安全相关系统的一个组件,当诊断测试检测到安全相关产品的一个危险失效时,安全相关产品启动报警功能将故障信息输出㊂若安全相关产品即为安全相关系统,并有明确的控制对象受控设备(equipment under control,EUC),则在硬件故障裕度大于零的子系统中,对通过诊断测试㊁检验测试或其他方法检测出的危险故障应采取的措施有:执行某个规定动作以实现或维持EUC 安全状态,或者隔离子系统的故障部分,以保证EUC 继续安全工作,同时修理故障部分㊂如果在计算随机硬件失效概率时设定的平均修复时间(MRT)内未完成修理,那么应该采取某一规定的动作以达到或维持安全状态㊂安全状态包括安全关闭EUC,或者安全关闭与故障子系统相关的EUC 部分㊂对于硬件故障裕度等于零的子系统,当该子系统仅在低要求模式下运行安全功能时,对通过诊断测试㊁检验测试或其他方法检测出的危险故障应采取的措施有:执行某个规定动作以实现或维持安全状态,或者在计算随机硬件失效概率时设定的平均修复时间(MRT)内修理故障子系统,且EUC 的连续安全应通过附加措施和约束来保证㊂该附加措施和约束应在安全相关系统的操作和维护规程中进行规定㊂对于硬件故障裕度等于零的子系统,当该子系统在高要求或连续操作模式下运行安全功能时,对通过诊断测试㊁检验测试或其他方法检测到危险故障,应采取规定的动作以达到或维持EUC 的安全状态㊂4　结束语安全相关产品的硬件设计要求包含满足硬件安全完整性要求㊁系统安全完整性要求以及检测到故障时对系统(产品)的行为要求㊂建立了功能安全的设计理念,在掌握了安全相关产品的设计方法后,只要按步骤且按照标准的要求来设计与功能安全相关的产品或系统,就能实现安全相关产品或系统的安全功能和安全完整性这两个目标㊂49第5讲　安全相关产品的硬件实现(二)　谢亚莲。

功能安全技术讲座第十讲功能安全的管理
冯晓升
【期刊名称】《仪器仪表标准化与计量》
【年(卷),期】2008(000)004
【摘要】管理作为影响系统失效的重要因素,是达到安全必不可少的手段.功能安全管理贯穿于整体安全生命周期的所有阶段之中,有其独到的思想方法.
【总页数】4页(P12-14,21)
【作者】冯晓升
【作者单位】机械工业仪器仪表综合技术经济研究所,北京市,100055
【正文语种】中文
【中图分类】X9
【相关文献】
1.功能安全技术讲座第五十二讲:基于IEC61800-5-2的伺服系统功能安全应用 [J], 肖家麒;张瑞
2.功能安全技术讲座第七讲安全仪表及设备的功能安全认证前准备 [J], 史学玲
3.功能安全技术讲座第九讲如何使用专用工具进行功能安全设计与评估 [J], 孟邹清
4.功能安全技术讲座第一讲功能安全基本概念的建立 [J], 冯晓升
5.功能安全技术讲座——第二十七讲：功能安全型电子产品的MCU故障检测 [J], 肖家麒
因版权原因，仅展示原文概要，查看原文内容请购买。

“功能安全产品实现技术”系列讲座第9讲安全相关产品的
软件实现(三)
廖丽华;谢亚莲
【期刊名称】《自动化仪表》
【年(卷),期】2014(035)002
【摘要】首先介绍了功能安全相关产品软件实现中软件验证与确认的狭义概念.然后基于标准IEC 61508-3:2010(GB/T 20438.3-2013),对软件安全生命周期中代码复审、模块测试与集成测试的一系列验证要求进行了分析,并针对每个阶段的活动流程、内容要求、测试用例设计方法、测试规程、测试结果的评审等做出详细的说明.最后提出安全软件的自身特性.
【总页数】3页(P92-94)
【作者】廖丽华;谢亚莲
【作者单位】上海工业自动化仪表研究院,上海200233;上海仪器仪表自控检验测试所功能安全中心,上海200233;上海工业自动化仪表研究院,上海200233;上海仪器仪表自控检验测试所功能安全中心,上海200233
【正文语种】中文
【中图分类】TP202
【相关文献】
1.“功能安全产品实现技术”系列讲座第8讲安全相关产品的软件实现(二) [J], 廖丽华;尹宝娟
2.“功能安全产品实现技术”系列讲座第5讲安全相关产品的硬件实现(二) [J], 谢亚莲
3.“功能安全产品实现技术”系列讲座第7讲安全相关产品的软件实现(一) [J], 谢亚莲;庄凌昀
4.“功能安全产品实现技术”系列讲座第1讲安全相关产品的实现 [J], 谢亚莲;尹宝娟
5.“功能安全产品实现技术”系列讲座第6讲安全相关产品的硬件实现(三) [J], 谢亚莲;郭栋
因版权原因，仅展示原文概要，查看原文内容请购买。