《“ 功能安全产品实现技术“系列讲座 第5讲 安全相关产.pdf》由会员分享,可在线阅读,更多相关《“ 功能安全产品实现技术“系列讲座 第5讲 安全相关产.pdf(3页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、PROCESS AUTOMATION INSTRUMENTATION Vol郾 34 No郾 10 October 2013修改稿收到日期:2013-05-14。作者谢亚莲(1966-),女,1991 年毕业于上海机械学院可靠性技术专业,获硕士学位,高级工程师;主要从事可靠性技术和功能安全技术的研究。“功能安全产品实现技术冶系列讲座第 5 讲摇安全相关产品的硬件实现(二)Chapter 吁摇 Implementation of the Hardware for Safety鄄related Products:Part 2谢亚莲1,2(上海工业自动化仪表研究院1,上海摇 200233;上海仪器仪
2、表自控检验测试所功能安全中心2,上海摇 200233)摘摇 要:安全相关产品的硬件设计需满足硬件安全完整性要求、系统安全完整性要求以及检测到故障时对系统(产品)的行为要求。为满足硬件安全完整性的要求,给出了架构设计的方法和量化随机失效影响的方法。同时,对实现系统安全完整性要求和检测到故障时对系统(产品)的行为要求进行了阐述。关键词:安全相关系统摇 子系统摇 组件摇 危险失效摇 安全失效摇 硬件故障裕度摇 架构约束摇 设计要求规范中图分类号:TP202摇 摇 摇 摇 文献标志码:AAbstract:The hardware design of safety-related products sh
3、all meet the requirements of hardware safety integrity,system safety integrity,andthe activities to the system(product)when failures have been detected.In order to satisfy the requirement of hardware safety integrity,themethod of architectural design and the method to make quantification for influen
4、ce of random failures are given.In addition,the requirementsfor implementing system safety integrity and the activities to the system(product)when failures have been detected are elaborated.Keywords:Safety鄄related system摇 Subsystem摇 Component摇 Dangerous failure摇 Failsafe摇 Hardware fault tolerance摇 A
5、rchitectural constraintsDesign requirement and specification0摇 引言在上一讲中,我们首先讲述了安全相关产品的设计理念及其特有的安全相关参数,其次讲述了如何编制产品设计要求规范(安全要求规范)。功能安全的设计理念就在于提出安全完整性的指标,并给出通过采取诊断措施和结构冗余的方法来实现安全完整性。安全相关产品设计围绕着实现安全功能和实现安全完整性目标值进行。安全相关产品的硬件设计包含满足硬件安全完整性要求、系统安全完整性要求以及检测到故障时对系统(产品)的行为要求。在这一讲中,我们将偏重于智能型安全相关产品,继续讨论如何对安全相关产品的
6、硬件进行设计,这是因为标准中的大多诊断措施和方法是针对智能型产品提出的。1摇 硬件安全完整性要求安全相关产品有别于非安全相关产品的特殊之处在于达到安全完整性目标值,因此安全相关产品的硬件安全完整性要求包括硬件安全完整性架构约束要求和量化随机失效影响要求。1)硬件安全完整性架构约束要求安全相关产品的设计主要围绕着满足架构约束要求进行,一般满足结构约束条件的产品其安全完整性目标设定值都能达到架构约束要求。安全相关产品的设计按照下面流程进行。(1)架构设计首先,基于产品安全要求规范,为实现安全相关产品的安全功能,进行产品的初步架构设计,规定需用功能块图表示构成产品的模块、输入、输出。其次,需确定功能
7、模块的硬件故障裕度(HFT),即该功能模块是否需要冗余。架构设计基于功能的要求和架构约束条件的要求。最后,硬件安全完整性的约束条件考虑了组件的复杂性、安全失效分数等级、硬件故障裕度和可声明的最大安全完整性等级,并规定了它们之间的关系。组件的复杂性容易确定,且在已知安全完整性等级目标设定的情况下,根据 IEC 61508 的相关内容,安全失效分数和硬件故障裕度也可以被确定。例如,微处理器单元的安全完整性等级为 SIL2 的29第 5 讲摇 安全相关产品的硬件实现(二)摇 谢亚莲自动化仪表第 34 卷第 10 期摇 2013 年 10 月架构设计,微处理器属于 B 类组件,对它进行架构设计基于的约
8、束条件如表 1 所示3。各别安全完整性等极可达到 SIL2,可查到其对应的安全失效分数和硬件故障裕度。当 HFT=2 时,在组件内部的设计中不可能采用高冗余,而且成本也太高,所以舍去;当 HFT=0时,要求安全失效分数大于 90%,需采用具有中等诊断覆盖率的诊断措施达到要求的安全失效分数;当HFT=1 时,安全失效分数在 60%和 90%之间,至少需采用具有低诊断覆盖率的诊断措施达到要求的安全失效分数。后两种架构都是可行的方案,但要确定所选的诊断措施是否满足诊断测试时间间隔的要求。表 1摇 B 类组件的安全功能的最大允许安全完整性等级Tab.1摇 Maximum allowable safet
9、y integrity levelfor a safety function executed by ClassB component组件的安全失效分数硬件故障裕度012摇 60%不允许SIL 1SIL 2摇 60%90%SIL 1SIL 2SIL 3摇 90%99%SIL 2SIL 3SIL 4摇 逸99%SIL 3SIL 4SIL 4(2)诊断功能设计针对架构约束的要求,对各执行功能的模块设计诊断功能。诊断功能的设计包括诊断测试方法和诊断测试时间间隔这两个方面。关于各类功能模块应采用的诊断方法及各种方法可达到的诊断覆盖率在标准 IEC 61508.2 附录 A 表A.1 表 A.14 中有
10、详细的介绍,可以参考或直接采用,当然也可以采用标准未曾提及的其他诊断方法。可变内存进行诊断的方法及可达到的诊断覆盖率如表 2所示(引自 IEC 61508.2 表 A.6)。表 2摇 可变内存范围Tab.2摇 Variable memory ranges诊断技术/措施GB/T 20438.7经考虑能达到的最大诊断覆盖率检测板(checkerboard)或跨步(march)RAM 测试法A.5.1低漫步路径(walk鄄path)RAM 测试法A.5.2中跳步模式(galpat)或透明跳步模式(transparent galpat)RAM测试法A.5.3高执行诊断功能的时间应根据诊断测试时间间隔来
11、决定,是在开机时执行诊断功能,还是在正常操作运行时执行诊断功能。确定诊断测试时间间隔的输入确定和标准要求为:产品的工作模式、要求模式或连续模式;上电时间间隔;诊断出故障后的平均修理时间(mean repair time,MRT);安全相关系统的平均恢复时间(mean time to restoration,MTTR);过程安全时间;受控装置的要求率;实现功能的模块的硬件故障裕度。这些输入来源于安全要求规范和其他实际应用的惯例,从而也可确定在什么时候执行诊断功能。标准中规定诊断测试时间间隔如下。淤 若安全相关产品的工作模式是高要求连续模式,则当该功能模块的硬件故障裕度为 0 时,诊断测试时间的设
12、定需满足:诊断测试时间间隔和执行特定功能,以获得或维持安全状态的时间总和小于过程安全时间,或诊断测试率与要求率之比等于或大于 100。当该功能模块的硬件故障裕度大于 0 时,诊断测试时间间隔和对检测到的故障的维修时间的总和小于在计算特定安全功能安全完整性时所用的平均恢复时间(MTTR)。于 若安全相关产品的工作模式是低要求操作模式时,则诊断测试时间间隔和对检测到的故障的维修时间的总和小于在计算特定安全功能安全完整性时所用的平均恢复时间(MTTR)。2)量化随机失效影响的要求对安全相关产品的每个安全功能在随机硬件失效与数据通信过程随机影响下的安全完整性进行估算的过程如下。淤 对安全相关产品的每个
13、安全功能的实现建模,如构建可靠性框图,确定实现某一安全功能的安全相关产品的各功能模块,以及各功能模块的串并联关系。如果该功能模块的失效会导致安全相关产品的安全功能失效,则该功能模块在可靠性框图中用串联表示;如果该功能模块执行的功能可被另一功能模块执行,即该功能模块的失效不会导致安全相关产品的安全功能失效,则该功能模块与执行同一功能的另一功能模块在可靠性框图中用并联表示。于 对功能模块中的每一个元器件估计其失效率,失效率的数据来源于公认的通用数据,如 SN 29500、IEC 62380、GJB 299C 等,也可采用具体现场获得的失效数据。盂 对每一功能模块进行分析,采用 FMECA 法(故障
14、模式、影响和危害度分析)或诊断覆盖率,将总的失效率划分为安全失效、可检测的危险失效以及不可检39第 5 讲摇 安全相关产品的硬件实现(二)摇 谢亚莲PROCESS AUTOMATION INSTRUMENTATION Vol郾 34 No郾 10 October 2013测的危险失效。需考虑诊断测试的诊断测试时间间隔,只有满足标准中规定的诊断测试时间间隔的诊断测试才有效。榆 对可靠性框图为并联的冗余功能模块部分,需确定共因失效因子。虞 完成每一功能模块的安全失效、可检测的危险失效和不可检测到的危险失效的失效率计算后,按照可靠性框图对安全相关产品进行计算,具体计算方法将在下一讲中讲述。事实上,建
15、模的方法有很多,应由分析人员根据具体情况来确定最合适的方法。可行的建模方法包括因果分析、马尔可夫模型等。2摇 系统安全完整性要求安全相关产品在其实现过程中需满足的系统安全完整性要求包括避免系统性故障的要求和控制系统性故障的要求。1)避免系统性故障的要求设计和开发安全相关产品的软硬件时,为避免引入故障,应采用一组适当的技术和措施,具体参见 IEC61508.2 的表 B2 和 IEC 61508.3 的附录 A,针对硬件的技术和措施参见 IEC 61508 的表 B2。根据所需的安全完整性等级,所选择的设计方法具有的特性应有助于:简化模块化和控制复杂性;清晰和精确地表述(功能、与外部的接口、顺序
16、和时间相关信息以及并发和同步);利于文档和信息的交流;验证和确认。如适用,应使用自动测试工具和集成开发工具。设计期间,应编制安全相关产品的集成测试计划。编制测试计划的文档应包括:所执行测试的类型和所遵循的规程;测试环境、工具、配置和程序;通过/失败的准则。同时,在设计阶段就应编写安全相关产品的操作和维护规范。2)控制系统性故障的要求为控制系统性故障,安全相关产品的设计特点应使得安全相关产品能容许:硬件中的任何残余设计故障,除非能排除硬件设计故障的可能性(见 IEC 61508.2表 A.15);环境应力,包括电磁干扰(见 IEC 61508.2表 A.16);操作员造成的失误(见 IEC 61
17、508.2 表 A.17);软件中的任何残余设计故障(见 IEC 61508.2 表 A.15)。在设计和开发活动中应考虑可维护性和可测试性,以便在最终的 E/E/PE 安全相关系统中实现这些属性。安全相关产品的设计应充分考虑人员的能力和局限性,并应合理分配操作者和维护人员的活动。所有接口的设计应根据良好的人员操作习惯并应适合操作者的认知能力和培训水平,对操作者和维护人员所犯的可预见的致命错误,只要有可能都应能通过设计来防止和消除,或者在完成该动作之前对这些动作进行二次确认。3摇 检测到故障时系统行为的要求若安全相关产品为安全相关系统的一个组件,当诊断测试检测到安全相关产品的一个危险失效时,安
18、全相关产品启动报警功能将故障信息输出。若安全相关产品即为安全相关系统,并有明确的控制对象受控设备(equipment under control,EUC),则在硬件故障裕度大于零的子系统中,对通过诊断测试、检验测试或其他方法检测出的危险故障应采取的措施有:执行某个规定动作以实现或维持 EUC 安全状态,或者隔离子系统的故障部分,以保证 EUC 继续安全工作,同时修理故障部分。如果在计算随机硬件失效概率时设定的平均修复时间(MRT)内未完成修理,那么应该采取某一规定的动作以达到或维持安全状态。安全状态包括安全关闭 EUC,或者安全关闭与故障子系统相关的 EUC 部分。对于硬件故障裕度等于零的子系
19、统,当该子系统仅在低要求模式下运行安全功能时,对通过诊断测试、检验测试或其他方法检测出的危险故障应采取的措施有:执行某个规定动作以实现或维持安全状态,或者在计算随机硬 件失效概率 时设定的平 均 修 复 时 间(MRT)内修理故障子系统,且 EUC 的连续安全应通过附加措施和约束来保证。该附加措施和约束应在安全相关系统的操作和维护规程中进行规定。对于硬件故障裕度等于零的子系统,当该子系统在高要求或连续操作模式下运行安全功能时,对通过诊断测试、检验测试或其他方法检测到危险故障,应采取规定的动作以达到或维持 EUC 的安全状态。4摇 结束语安全相关产品的硬件设计要求包含满足硬件安全完整性要求、系统安全完整性要求以及检测到故障时对系统(产品)的行为要求。建立了功能安全的设计理念,在掌握了安全相关产品的设计方法后,只要按步骤且按照标准的要求来设计与功能安全相关的产品或系统,就能实现安全相关产品或系统的安全功能和安全完整性这两个目标。49第 5 讲摇 安全相关产品的硬件实现(二)摇 谢亚莲