可靠性系列讲座-5.pdf-淘文阁

资源描述

《可靠性系列讲座-5.pdf》由会员分享，可在线阅读，更多相关《可靠性系列讲座-5.pdf（5页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、23续附表1正态分布函数表u0.00 0.01 0.02 0.03 0.04 0.05 0.06 0.07 0.08 0.09仪器仪表标准化与计量200751 4 编者按本刊“安全控制技术”栏目自 2 0 0 5年开设以来，得到了广大读者的广泛关注与大力支持。今年除了继续刊登这方面的优秀技术文章外，还特别增设一个板块“功能安全技术系列讲座”，共六讲，分别刊登在第一期至第六期，从功能安全的基本概念、方法、技术等各方面逐一深入讲解，使大家对功能安全有一个全面了解。主讲人是全国工业过程测量和控制标准化技术委员会主任委员、机械工业仪器仪表综合技术经济研究所副所长冯晓升教授。第五讲安全相关系统 S

2、I L设计的要求(续)冯晓升（机械工业仪器仪表综合技术经济研究所，北京市 1 0 0 0 5 5）Feng Xiaosheng(Instrumentation Technology&Economy Institute,Beijing 100055)Chapter 5:The Requirements of the Design of E/E/PESAbstract:The paper introduced the requirements of the design of E/E/PES.Key words:E/E/PES SIL【摘要】【关键词】主要讲述进行电气/电子/可编程电子安全相

3、关系统的 S I L（安全完整性等级）设计时需要满足的特殊要求。电气/电子/可编程电子安全完整性等级上一讲讲述了安全相关系统 S I L（安全完整性等级）设计时需要满足的各项要求，这一讲主要论述安全相关系统 S I L设计时必须采取的技术与措施要求。在进行安全相关的系统或设备如传感器、继电器、处理单元、执行器等设计时，为了声明系统或设备能够达到的最高 S I L级别，必须同时考虑这两部分要求。有不少人提出这样的问题：S I L 1级系统与 S I L 3 级系统的区别在哪里？如果我想设计一个 S I L 4级系统，我应该注意哪些方面？实际上，除了硬件的随机失效是可

4、以量化的外，功能安全标准中对于更多的不可量化的技术与措施进行了 S I L 分级。标准规定不同 S I L 等级的设备及系统，必须分别采取不同的技术与措施。所有技术与措施的目的都在于实现功能安全，避免和控制失效。由于故障与失效之间的原因或影响关系通常难以确定，当使用复杂硬件和软件时，失效的重点将从随机失效转变为系统失效，因此，无法列出导致复杂硬件失效的所有独立的物理原因。I E C 6 1 5 0 8标准所列技术与措施并不详尽，当然还可使用其它技术和措施，只要能提供相应的证据，保证支持所声明的诊断覆盖率。1 提高诊断覆盖率的方法为了控制硬件失效，提高硬件 S I L等级，必须采取一系列技术与措

5、施来检测故障与失效，这些技术措施的有效性与诊断覆盖率各有不同，I E C 6 1 5 0 8中列出了每一类部件需要检测的故障或失效。下面以机电装置、电子子系统、总线系统、处理单元、传感器和最终执行单元对诊断及采用的技术与措施为例来说明这种差别方式。Control Tech of Safety&Security仪器仪表标准化与计量200751 5对于机电装置如电气子系统，可以通过在线监视检测失效、继电器触点监视、比较器、多数表决器和无功电流原理来检测故障与失效。对于检测了“未加电或断电”、“触点被熔接”这两类故障的设备，诊断覆盖率可判定为低（6 0%）；对于检测了“未加电或断电”、“单个触点被熔

6、接”这两类故障的设备，诊断覆盖率可判定为中（9 0%）；对于检测了“未加电或断电”、“各触点被熔接”、“不可靠的导向触点”、“不可靠的开启”这四类故障的设备，诊断覆盖率可判定为高（9 9%）。对于电子子系统，推荐采取在线监视检测失效、比较器、多数表决器、利用冗余硬件进行测试、动态原理、访问端口和边界扫描结构的标准测试、监视冗余、带自动检验的硬件、模拟信号监视等诊断技术与措施来检测故障与失效。对于 I/O单元和接口，推荐采用测试模式、代码保护、多通道平行输出、监视输出与输入比较/表决等技术与措施来检测故障与失效。对于数据路径（内部

7、通信），推荐采用 1位硬件冗余、多位硬件冗余、完全硬件冗余、使用测试模式进行检查、传输冗余与信息冗余等技术与措施来检测故障与失效。对于通风和加热系统，推荐采用温度传感器、风扇控制、通过热保险丝启动安全断电、来自温度传感器和条件报警的交错报文、强制风冷的连接和状态指示等技术与措施诊断故障与失效。对于这些分离元件，检测了“s t u c k-a t”故障的设备，诊断覆盖率可判定为低（6 0%）；检测了“D C故障模型”和“漂移与振动”的设备，诊断覆盖率可判定为高（9 9%）。对于总线系统，诊断了“地址 s t u c k-a t”、“数据或地址s t u c k-a t”、“无或连

8、续访问”、“仲裁信号s t u c k-a t”故障的总线，诊断覆盖率可判定为低（6 0%）；诊断了“超时”、“错误的地址解码”、“数据和地址的 D C故障模型”、“访问时间错误”、“无或连续仲裁”故障的总线，诊断覆盖率可判定为中（9 0%）；诊断了“超时”、“错误的地址解码”、“影响内存数据的所有故障”、“数据或地址错误”、“访问时间错误”、“无或连续仲裁”故障的总线，诊断覆盖率可判定为高（9 9%）。对于如处理单元、看门狗等 C P U单元，诊断了“数据和地址 s t u c k-a t”、“错误编码或不执行”、“s t u c k-a t”故障的单元，诊断覆

9、盖率可判定为低（6 0%）；诊断了“数据和地址的 DC故障模型”、“错误编码或错误执行”、“D C故障模型”故障的单元，诊断覆盖率可判定为中（9 9%）；诊断了“数据和地址的 D C故障模型”、“内存单元的动态交叉”、“无寻址、错误寻址或多重寻址”、“未定义失效假设”、“D C故障模型”的处理单元，诊断覆盖率可判定为高（9 9%）。对于中断处理单元，诊断了“无或连续中断”故障的单元，诊断覆盖率可判定为低（6 0%）；诊断了“无或连续中断”、“中断的交叉”故障的单元，诊断覆盖率可判定为中（9 0%）。对于不可变内存，诊断了“数据和地址固定故障(s t

10、u c k-a t)”故障的单元，诊断覆盖率可判定为低（6 0%）；诊断了“数据和地址的 D C故障模型”故障的单元，诊断覆盖率可判定为中（9 0%）；诊断了“影响内存数据的所有故障”的单元，诊断覆盖率可判定为高（9 9%）。对于可变内存，诊断了“数据和地址固定故障”的单元，诊断覆盖率可判定为低（6 0%）；诊断了“数据和地址的 D C故障模型”、“软错误引起的信息改变”故障的单元，诊断覆盖率可判定为中（9 0%）；诊断了“数据和地址的 DC故障模型”、“内存单元的动态交叉”、“无寻址、错误寻址或多重寻址”、“软错误引起的信息改变”故障的单元，诊断覆盖率可

11、判定为高（9 9%）。对于传感器，诊断了“固定故障”的单元，诊断覆盖率可判定为低（6 0%）；诊断了“D C故障模型”、“漂移和振动”故障的单元，诊断覆盖率可判定为中（9 0%）。对于最终元件如执行器，诊断了“固定故障 s t u c ka t”故障的单元，诊断覆盖率可判定为低（6 0%）;诊断了“D C故障模型”、“漂移和振动”的单元，可判定为中（9 0%）。S I L等级越高，要求的诊断覆盖率就越高。因此S I L 3级设备诊断的故障类型必定多于 S I L 1级设备，采取的技术措施的有效性也一定高于 S I L 1级系统。2 控制

12、由硬件和软件设计引起失效的技术措施必须采用程序顺序监视技术，检测出有缺陷的程序序列。该技术为 S I L 1 4级所极力推荐的。若不使用这种技术或措施，则应详细说明不使用的理由。对于 S I L 1级系统，可采用程序顺序的时序或逻辑监视，但对于 S I L 4级系统，就必须通过程序中的多个检测点进行程序顺序的时序和逻辑监视。应在“利用在线监视检测失效”、“利用冗余硬件进行测试”、“访问端口和边界扫描结构的标准测试”、“代码保护”、“多种硬件”、“故障检测和诊断”、“差错校验和纠错码”、“失效断言编程”、“安全包技术”、“多种程序设计”等技术中至少选择一种，应用于控制硬件或软件设计引起的系统失效

13、。3 控制由环境用力或影响引起的失效必须采用防电压击穿、电压波动、过压、低压的措施，检测或允许一个电源引起的失效；必须分隔开电力线和信息线，以减小信息线中大电流感生的串音；必须提高抗干扰性，以减小对安全相关系统的电磁干扰；必须采用抗物理环境（如温度、湿度、水、振动、灰尘、腐蚀物）的措施，以防止实际环境的影响引起失效；这些技术为 S I L 1 4级所极力推荐，若不使用这种技术或措施，则应详细说明不使用的理由。要采用抗温升措施，控制通风和加热中的失效。安全控制技术本页已使用福昕阅读器进行编辑。福昕软件(C)2 0 0 5-2

14、 0 0 9，版权所有，仅供试用。仪器仪表标准化与计量200751 6对于 S I L 1系统，可以使用温度传感器检测超标温度；对于 S I L 4系统，则要求通过热保险丝触发安全关闭这样有效性高的技术。应在“利用冗余硬件进行测试”、“代码保护”、“抗合成信号传输”、“多种硬件”等技术中至少选择一种，应用于控制由环境应用或影响引起的失效。4 控制操作过程失效的技术措施必须采取修改保护技术，防止修改安全相关系统的硬件与软件。例如利用传感器信号的似真性检查、技术过程检测以及自动起动测试，自动控制地检测修改或变换。当检测到一个修改时，就采取应急动作。应在“利用在

15、线监测检测失效”、“输入确认”、“失效断言编程”等技术中至少选择一种，应用于控制系统工作失效。5 在安全要求规范中避免失误的技术措施为了达到所需要的功能安全，从安全要求规范入手，避免失误是十分必要的。必须有项目管理。在开发和测试安全相关系统时采用一种组织模型、一些规则和措施。包括：建立一个组织模型，特别是质量保证的组织模型；定义一个设计机构；定义一个序列计划；定义一个内部检验的标准化程序；配置管理与采用质保措施定量评估。对于 S I L 1系统，要求有行动和责任的定义、进度表编制和资源分配、相关人员培训、修改后的一致性检查等措施；但对于 S I L 4系统，就要求与设计无关的确认、项目监视、标

16、准化的确认规程、配置管理、失效统计、计算机辅助工程、计算机辅助软件工程等措施保障，才能达到要求。必须编制文档，通过把开发过程中的每一步编写成文件从而避免失效和便于评估系统安全性。对于S I L 1系统，要求有图形和自然语言描述，例如方块图、流程图；而对于 S I L 4系统，就要求有与整个文档组织的内容和编排相协调的指南、内容检查列表、计算机辅助文档管理、形式化变更控制等措施。要求分离开安全相关系统与非安全相关系统。对S I L 1系统，只要安全相关系统与非安全相关系统之间有定义完善的接口就可以接受，但对于 S I L

17、 4级系统，就要求完全将二者分离，非安全相关系统不应对安全相关系统进行写访问，而且物理位置完全分开，以避免共同原因的影响。应在“规范的检查”、“半形式化的方法”、“检查列表”、“计算机辅助规范工具”、“形式化方法”等技术中至少选择一种，应用于安全要求规范中避免失误。6 在设计和开发过程中避免引入故障的技术措施必须遵循指南和标准进行系统设计，采用项目管理、编制文档等措施，进行结构化、模块化设计。这些措施的严格程序及技术应用的深度，取决于 S I L等级，S I L 级别越高，技术措施的严格程序及有效性要求越高。应在“全用经充分试验过的部件”、“半形式化方法”、“检查列表”、“计算机辅助设计工具

18、”、“仿真”、“硬件检查或硬件走查”等技术中至少选择一种，应用于在设计和开发过程中避免引入故障。7 在集成过程中避免故障的技术措施必须采用项目管理、编制文档和功能测试技术，避免在集成阶段产生失效以及揭示在本阶段和前面阶段产生的失效。这些措施的严格程序及技术应用的深度，取决于 S I L等级，S I L级别越高，技术措施的严格程序及有效性要求越高。应在“黑盒测试”、“现场经验”、“统计测试”等技术方法中至少选择一种，应用于在集成过程中避免故障。8 在操作和维护规程中避免失效的技术与措施必须制定操作和维护说明书，充分考虑用户友善性、维护友善性，采用项目管理并编制

19、文档。这些措施的严格程序及技术应用的深度，取决于 S I L等级，S I L级别越高，技术措施的严格程序及有效性要求越高。应在“有限的操作可能性”、“防止操作员出错”、“仅可由熟练操作员进行操作”等要求中选择至少一种，应用于在操作和维护规程中避免失效。9 在安全确认过程中避免失效的技术措施在进行安全确认过程中，必须采取功能测试、在环境条件下测试功能技术以评估安全相关系统是否能耐受典型的环境影响；必须采取浪涌抗扰性测试检验安全相关系统应付峰值浪涌的能力；采用故障插入测试技术评估系统执行安全功能的可靠性。同时针对不同等级 S I

20、 L系统，执行不同等级的项目管理与文档编制管理要求。应在“静态分析、动态分析和失效分析”、“仿真和失效分析”、“最差情况分析、动态分析和失效分析”、“静态分析和失效分析”等分析技术中选择至少一种，应用于在安全确认过程中避免失效。应在“扩展的功能测试”、“黑盒测试”、“故障插入测试”、“静态测试”、“最差情况测试”、“现场经验”等测试技术中至少选择一种，用于在安全确认过程中避免失效。1 0 结束语为了实现功能安全，需要采用大量的技术措施避免和控制失效。本文 14章论述了用于控制随机硬件、系统、环境和操作失效的技术与措施，5 9章论述为了避免生命周期不同阶段中系统失效的技术与措施。结合上一讲的内容，集中反映了安全相关系统及硬件 S I L设计时需要考虑的主要方面。(下一讲将介绍安全控制软件的功能安全要求。)Control Tech of Safety&Security

展开阅读全文