第5讲安全相关系统SIL设计的要求_续_

第5讲安全相关系统SIL设计的要求_续_.txt当你以为自己一无所有时，你至少还有时间，时间能抚平一切创伤，所以请不要流泪。能满足的期待，才值得期待；能实现的期望，才有价值。保持青春的秘诀，是有一颗不安分的心。不是生活决定何种品位，而是品位决定何种生活。本文由zzabchappy贡献pdf文档可能在WAP端浏览体验不佳。建议您优先选择TXT，或下载源文件到本机查看。ControlTechofSafety&Security［编者按］本刊“安全控制技术”栏目自２００５年开设以来，得到了广大读者的广泛关注与大力支持。今年除了继续刊登这方面的优秀技术文章外，还特别增设一个板块“功能安全技术系列讲座”共六讲，分别刊登在第，一期至第六期，从功能安全的基本概念、方法、技术等各方面逐一深入讲解，使大家对功能安全有一个全面了解。主讲人是全国工业过程测量和控制标准化技术委员会主任委员、机械工业仪器仪表综合技术经济研究所副所长冯晓升教授。第五讲安全相关系统ＳＩＬ设计的要求（续）Chapter5:TheRequirementsoftheDesignofE/E/PES冯晓升（机械工业仪器仪表综合技术经济研究所，北京市１０００５５）FengXiaosheng(InstrumentationTechnology&EconomyInstitute,Beijing100055)【摘要】主要讲述进行电气／电子／可编程电子安全相关系统的ＳＩＬ（安全完整性等级）设计时需要满足的特殊要求。【关键词】电气／电子／可编程电子安全完整性等级Abstract:ThepaperintroducedtherequirementsofthedesignofE/E/PES.Keywords:E/E/PESSIL上一讲讲述了安全相关系统ＳＩＬ（安全完整性等级）设计时需要满足的各项要求，这一讲主要论述安全相关系统ＳＩＬ设计时必须采取的技术与措施要求。在进行安全相关的系统或设备如传感器、继电器、处理单元、执行器等设计时，为了声明系统或设备能够达到的最高ＳＩＬ级别，必须同时考虑这两部分要求。有不少人提出这样的问题：ＳＩＬ１级系统与ＳＩＬ３级系统的区别在哪里？如果我想设计一个ＳＩＬ４级系统，我应该注意哪些方面？实际上，除了硬件的随机失效是可以量化的外，功能安全标准中对于更多的不可量化的技术与措施进行了ＳＩＬ分级。标准规定不同ＳＩＬ等级的设备及系统，必须分别采取不同的技术与措施。所有技术与措施的目的都在于实现功能安全，避免和控制失效。由于故障与失效之间的原因或影响关系通常难以确定，当使用复杂硬件和软件时，失效的重点将从随机失效转变为系统失效，因此，无法列出导致复杂硬件失效的所有独立的物理原因。ＥＣ６１５０８Ｉ标准所列技术与措施并不详尽，当然还可使用其它技术和措施，只要能提供相应的证据，保证支持所声明的诊断覆盖率。１提高诊断覆盖率的方法为了控制硬件失效，提高硬件ＳＩＬ等级，必须采取一系列技术与措施来检测故障与失效，这些技术措施的有效性与诊断覆盖率各有不同，ＩＥＣ６１５０８中列出了每一类部件需要检测的故障或失效。下面以机电装置、电子子系统、总线系统、处理单元、传感器和最终执行单元对诊断及采用的技术与措施为例来说明这种差别方式。１４仪器仪表标准化与计量2007·5本页已使用福昕阅读器进行编辑。福昕软件（Ｃ）２００５－２００９，版权所有，仅供试用。安全控制技术对于机电装置如电气子系统，可以通过在线监视检测失效、继电器触点监视、比较器、多数表决器和无功电流原理来检测故障与失效。对于检测了“未加电或断电”“触点被熔接”这两类故障的设备，诊断、覆盖率可判定为低（６０％）对于检测了“未加电或断；电”“单个触点被熔接”这两类故障的设备，诊断覆、盖率可判定为中（９０％）于检测了“未加电或断电”；对、“各触点被熔接”“不可靠的导向触点”“不可靠的开、、启”这四类故障的设备，诊断覆盖率可判定为高（９９％）。对于电子子系统，推荐采取在线监视检测失效、比较器、多数表决器、利用冗余硬件进行测试、动态原理、访问端口和边界扫描结构的标准测试、监视冗余、带自动检验的硬件、模拟信号监视等诊断技术与措施来检测故障与失效。对于Ｉ／Ｏ单元和接口，推荐采用测试模式、代码保护、多通道平行输出、监视输出与输入比较／表决等技术与措施来检测故障与失效。对于数据路径（内部通信）推荐采用１位硬件冗余、，多位硬件冗余、完全硬件冗余、使用测试模式进行检查、传输冗余与信息冗余等技术与措施来检测故障与失效。对于通风和加热系统，推荐采用温度传感器、风扇控制、通过热保险丝启动安全断电、来自温度传感器和条件报警的交错报文、强制风冷的连接和状态指示等技术与措施诊断故障与失效。于这些分离元件，对检测了“ｓｔｕｃｋ－ａｔ”故障的设备，诊断覆盖率可判定为低（６０％）检测了“ＤＣ故障模型”和“漂移与振；动”的设备，诊断覆盖率可判定为高（９９％）。对于总线系统，诊断了“地址ｓｔｕｃｋ－ａｔ”“数据、或地址ｓｔｕｃｋ－ａｔ”无或连续访问”仲裁信号ｓｔｕｃｋ－“、“、ａｔ”故障的总线，诊断覆盖率可判定为低（６０％）诊；断了“超时”“错误的地址解码”“数据和地址的ＤＣ、、故障模型”“访问时间错误”“无或连续仲裁”故障、、的总线，诊断覆盖率可判定为中（９０％）诊断了“超；时”“错误的地址解码”“影响内存数据的所有故、、障”“数据或地址错误”“访问时间错误”“无或连、、、续仲裁”故障的总线，诊断覆盖率可判定为高（９９％）。对于如处理单元、看门狗等ＣＰＵ单元，诊断了“数据和地址ｓｔｕｃｋ－ａｔ”“错误编码或不执行”“ｓｔｕｃｋ－、、ａｔ”故障的单元，诊断覆盖率可判定为低（６０％）诊；断了“数据和地址的ＤＣ故障模型”“错误编码或错、误执行”“ＤＣ故障模型”故障的单元，诊断覆盖率可、判定为中（９９％）诊断了“数据和地址的ＤＣ故障模；型”“内存单元的动态交叉”“无寻址、错误寻址或、、多重寻址”“未定义失效假设”“ＤＣ故障模型”的处、、理单元，诊断覆盖率可判定为高（９９％）。对于中断处理单元，诊断了“无或连续中断”故障的单元，诊断覆盖率可判定为低（６０％）断了“无；诊或连续中断”“中断的交叉”故障的单元，诊断覆盖、率可判定为中（９０％）。对于不可变内存，诊断了“数据和地址固定故障（ｓｔｕｃｋ－ａｔ）”故障的单元，诊断覆盖率可判定为低（６０％）诊断了“数据和地址的ＤＣ故障模型”故障的；单元，诊断覆盖率可判定为中（９０％）诊断了“影响；内存数据的所有故障”的单元，诊断覆盖率可判定为高（９９％）。对于可变内存，诊断了“数据和地址固定故障”的单元，诊断覆盖率可判定为低（６０％）诊断了“数据；和地址的ＤＣ故障模型”“软错误引起的信息改变”故、障的单元，诊断覆盖率可判定为中（９０％）断了“数；诊据和地址的ＤＣ故障模型”“内存单元的动态交叉”、、“无寻址、错误寻址或多重寻址”“软错误引起的信息、改变”故障的单元，诊断覆盖率可判定为高（９９％）。对于传感器，诊断了“固定故障”的单元，诊断覆盖率可判定为低（６０％）诊断了“ＤＣ故障模型”；、“漂移和振动”故障的单元，诊断覆盖率可判定为中（９０％）。对于最终元件如执行器，诊断了“固定故障ｓｔｕｃｋａｔ”故障的单元，诊断覆盖率可判定为低（６０％）诊断；了“ＤＣ故障模型”“漂移和振动”的单元，可判定为、中（９０％）。ＳＩＬ等级越高，要求的诊断覆盖率就越高。因此ＳＩＬ３级设备诊断的故障类型必定多于ＳＩＬ１级设备，采取的技术措施的有效性也一定高于ＳＩＬ１级系统。２控制由硬件和软件设计引起失效的技术措施必须采用程序顺序监视技术，检测出有缺陷的程序序列。该技术为ＳＩＬ１～４级所极力推荐的。若不使用这种技术或措施，则应详细说明不使用的理由。对于ＳＩＬ１级系统，可采用程序顺序的时序或逻辑监视，但对于ＳＩＬ４级系统，就必须通过程序中的多个检测点进行程序顺序的时序和逻辑监视。应在“利用在线监视检测失效”“利用冗余硬件、进行测试”“访问端口和边界扫描结构的标准测试”、、“代码保护”“多种硬件”“故障检测和诊断”“差错、、、校验和纠错码”“失效断言编程”“安全包技术”“多、、、种程序设计”等技术中至少选择一种，应用于控制硬件或软件设计引起的系统失效。３控制由环境用力或影响引起的失效必须采用防电压击穿、电压波动、过压、低压的措施，检测或允许一个电源引起的失效；必须分隔开电力线和信息线，以减小信息线中大电流感生的串音；必须提高抗干扰性，以减小对安全相关系统的电磁干扰；必须采用抗物理环境（如温度、湿度、水、振动、灰尘、腐蚀物）的措施，以防止实际环境的影响引起失效；这些技术为ＳＩＬ１～４级所极力推荐，若不使用这种技术或措施，则应详细说明不使用的理由。要采用抗温升措施，控制通风和加热中的失效。仪器仪表标准化与计量2007·5１５ControlTechofSafety&Security对于ＳＩＬ１系统，可以使用温度传感器检测超标温度；对于ＳＩＬ４系统，则要求通过热保险丝触发安全关闭这样有效性高的技术。应在“利用冗余硬件进行测试”“代码保护”“抗、、合成信号传输”“多种硬件”等技术中至少选择一种，、应用于控制由环境应用或影响引起的失效。４控制操作过程失效的技术措施必须采取修改保护技术，防止修改安全相关系统的硬件与软件。例如利用传感器信号的似真性检查、技术过程检测以及自动起动测试，自动控制地检测修改或变换。当检测到一个修改时，就采取应急动作。应在“利用在线监测检测失效”“输入确认”“失、、效断言编程”等技术中至少选择一种，应用于控制系统工作失效。５在安全要求规范中避免失误的技术措施为了达到所需要的功能安全，从安全要求规范入手，避免失误是十分必要的。必须有项目管理。在开发和测试安全相关系统时采用一种组织模型、一些规则和措施。包括：建立一个组织模型，特别是质量保证的组织模型；定义一个设计机构；定义一个序列计划；定义一个内部检验的标准化程序；配置管理与采用质保措施定量评估。对于ＳＩＬ１系统，要求有行动和责任的定义、进度表编制和资源分配、相关人员培训、修改后的一致性检查等措施；但对于ＳＩＬ４系统，就要求与设计无关的确认、项目监视、标准化的确认规程、配置管理、失效统计、计算机辅助工程、计算机辅助软件工程等措施保障，才能达到要求。必须编制文档，通过把开发过程中的每一步编写成文件从而避免失效和便于评估系统安全性。对于ＳＩＬ１系统，要求有图形和自然语言描述，例如方块图、流程图；而对于ＳＩＬ４系统，就要求有与整个文档组织的内容和编排相协调的指南、内容检查列表、计算机辅助文档管理、形式化变更控制等措施。要求分离开安全相关系统与非安全相关系统。对ＳＩＬ１系统，只要安全相关系统与非安全相关系统之间有定义完善的接口就可以接受，但对于ＳＩＬ４级系统，就要求完全将二者分离，非安全相关系统不应对安全相关系统进行写访问，而且物理位置完全分开，以避免共同原因的影响。应在“规范的检查”“半形式化的方法”“检查、、列表”“计算机辅助规范工具”“形式化方法”等技、、术中至少选择一种，用于安全要求规范中避免失误。应６在设计和开发过程中避免引入故障的技术措施必须遵循指南和标准进行系统设计，采用项目管理、编制文档等措施，进行结构化、模块化设计。这些措施的严格程序及技术应用的深度，取决于ＳＩＬ等级，ＳＩＬ级别越高，技术措施的严格程序及有效性要求越高。应在“全用经充分试验过的部件”“半形式化方、法”“检查列表”“计算机辅助设计工具”“仿真”、、、、“硬件检查或硬件走查”等技术中至少选择一种，应用于在设计和开发过程中避免引入故障。７在集成过程中避免故障的技术措施必须采用项目管理、编制文档和功能测试技术，避免在集成阶段产生失效以及揭示在本阶段和前面阶段产生的失效。这些措施的严格程序及技术应用的深度，取决于ＳＩＬ等级，ＳＩＬ级别越高，技术措施的严格程序及有效性要求越高。应在“黑盒测试”“现场经验”“统计测试”等、、技术方法中至少选择一种，应用于在集成过程中避免故障。８在操作和维护规程中避免失效的技术与措施必须制定操作和维护说明书，充分考虑用户友善