搜索
硬件安全完整性要求机械工业仪器仪表综合技术经济研究所副总工程师全国工业过程测量与控制标准化技术委员会系统及功能安全分技术委员会(SAC/TC124/SC10)副主任委员史学玲教授安全完整性SIL硬件安全完整性系统安全完整性硬件安全完整性要求结构约束随机硬件失效硬件故障裕度IEC61508ISO13849安全失效分数指定结构组合部件IEC61508ISO13849PFD/PFH共因失效因子MTTFd失效概率硬件安全完整性要求诊断覆盖率DC1结构约束结构约束—IEC61508硬件安全功能所声明的最高安全完整性等级,受限于硬件故障裕度和执行该安全功能的子系统的安全失效分数。对于这些要求:硬件故障裕度N意味着N+1个故障会导致安全功能的丧失,在确定硬件故障裕度时不考虑其它可能控制故障影响的措施,如诊断;若一个故障可直接引起一个或几个后续故障的发生,这些故障可视为单个故障;在确定硬件故障裕度时,如果相对于子系统安全完整性而言某些故障出现的可能性很小,这些故障可不考虑。不考虑这类故障的合理性应被证明和文档化。子系统安全失效分数的定义为子系统的平均安全失效率加检测到的平均危险失效率与子系统总平均失效率之比。HFT与冗余HFT=0单通道系统HFT=1冗余系统HFT=2三重冗余-----------------------------------------------1oo3HFT=22oo3HFT=13oo3HFT=0三个通道?..X硬件故障裕度(HFT)A类安全相关子系统的结构约束满足下列条件的子系统可视为A类:a)所有组成部件的失效模式都被很好地定义;并且b)故障状况下子系统的行为能够完全确定;并且c)通过现场经验获得充足而可靠的数据,可显示出满足所声明的检测到的和未检测到的危险失效的失效率。典型A类设备:开关、气动增压器、执行器、阀门,或由电阻、电容放大器等构成的简单电子模块。安全失效分数硬件故障裕度01260%SIL1SIL2SIL360%-90%SIL2SIL3SIL490%-99%SIL3SIL4SIL4≥99%SIL3SIL4SIL4B类安全相关子系统的结构约束满足下列条件的子系统可视为B类:a)至少一个组成部件的失效模式未被很好地定义;或b)故障状况下子系统的行为不能完全确定;或c)通过现场经验获得的可靠的数据不够充分,不足以显示出满足所声明的检测到的和未检测到的危险失效的失效率。典型B类子系统:基于微处理器的设备,或具有复杂自定义逻辑的设备。安全失效分数硬件故障裕度01260%不允许SIL1SIL260%-90%SIL1SIL2SIL390%-99%SIL2SIL3SIL4≥99%SIL3SIL4SIL4定义:在一些工作并联配置中,需要n中的m个单元能工作,以使系统能起作用。这称为n中取m(或m/n)并联冗余.常用的表决结构:1oo1,1oo2,2oo2,2oo3,1oo1D,1oo2DMooN表决结构1oo1这种结构包括一个单通道,在这种结构中当产生一次要求时,任何危险失效就会导致一个安全功能失效。图V11oo1物理块图MooN表决结构通道诊断1oo2此结构由两个并联的通道构成,无论那一个通道都能处理安全功能。因此,如果两个通道都存在危险失效,则在要求时某个安全功能失效。假设任何诊断测试仅报告发现故障,但并不改变任何输出状态或输出表决。图V21oo2物理块图1oo2通道1通道2诊断MooN表决结构2oo2此结构由并联的两个通道构成,因此,安全功能要求两个通道都工作。假设任何诊断测试仅报告发现故障,并不改变任何输出状态或输出表决。图V32oo2物理块图2oo2通道1通道2诊断MooN表决结构z2oo2or1oo2?传感器输入电路控制模块输出电路执行机构输入电路控制模块输出电路MooN表决结构传感器输入电路控制模块输出电路输入电路控制模块输出电路执行机构2oo3此结构由三个并联通道构成,其输出信号具有多数表决安排,这样,如果仅其中一个通道的输出与其它两个通道的输出状态不同时,输出状态不会因此而改变。假设任何诊断测试只报告发现故障,不改变任何输出状态或者输出表决。图V42oo3物理块图MooN表决结构通道通道通道诊断2oo31oo1D这种结构包括一个带有诊断能力的功能单通道和一个诊断通道,两者均能将输出转到安全状态。图V51oo1D物理块图通道诊断与1oo1的区别和联系?MooN表决结构1oo2D此结构中由并联的两个通道构成,正常工作期间,两个通道都执行安全功能。此外,如果任一通道中诊断测试检测到一个故障,则将采用输出表决,因此整个输出状态则按照另一通道给出的输出状态。如果诊断测试在两个通道同时检测到故障、或者检测到两个通道间存在的差异时,输出则转到安全状态。为了检测两个通道间的差异,通过一种与另一通道无关的方法,无论其中那个通道都能确定另一通道的状态。MooN表决结构图V61oo2D物理块图1oo2D1oo2D通道通道诊断诊断MooN表决结构安全PLC结构的变化MooN表决结构安全失效分数(SFF)定义:实际意义上的安全失效率占总失效率的百分比SFF=其中:其中:λDD——检测到的危险失效的概率;λS——安全失效的概率。λ——总的失效概率。ΣλDD+ΣλSΣλ安全失效分数(SFF)把每个失效率分为“检测出”和“未被检出”(通过在线测试)检测到的安全失效λλSDSD未检测到的危险失效λλDUDU检测到的危险失效λλDDDD未被检到的安全失效λλSUSU安全失效分数(SFF)安全失效分数体现的是子系统在线诊断的能力可同时提高可用性与安全性其优点取决于具体的系统结构安全失效分数(SFF)用法:与硬件故障裕度(HFT)一起,用来验证硬件结构约束的安全完整性。危险失效分为检测到的危险失效λDD与未检测到的危险失效λDU。检测到的危险失效取决于故障检测措施的有效性,对系统中每一个单独部件都要评估DC。dDDDDC⋅=λλ)1(dDDUDC−⋅=λλ安全失效分数(SFF)传感器的诊断:单个传感器60%二个传感器80%多个传感器2oo3,2oo490%安全失效分数(SFF)SλDDλDUλSFF=+++SλDDλΣΣΣΣΣ器件λDCλSλDDλDUλS+λDD①20060%100604016099%100991199②10090%5045595例:单元:FIT(10E-09)例1:SFF=((100+50)+(60+45))/(200+100)=85%例2:SFF=((100+50)+(99+45))/(200+100)=98%SFF计算示例安全失效分数(SFF)1诊断覆盖率定义:进行自动诊断测试而导致的硬件危险失效概率的降低部分。DC=式中:DC——诊断覆盖率:λDD——检测到的危险失效的概率;λD——危险失效的概率。ΣλDDΣλD诊断覆盖率DC检测到的安全失效λλSDSD未检测到的危险失效λλDUDU检测到的危险失效λλDDDD未被检到的安全失效λλSUSU用法:λD*DC=λDDλD*(1-DC)=λDU设备的诊断覆盖率计算:•设备研发制造企业的工作;•设计和工程单位可直接向产品供应商索取诊断覆盖率DC1提高诊断覆盖率的措施提高诊断覆盖率的措施为达到诊断覆盖率的相应级别(见附录C),表A.1给出了为控制硬件失效而由技术和措施检测出的故障和失效的要求。表A.2-表A.15支持表A.1的要求,为诊断测试推荐了技术和措施,并推荐了使用这些技术和措施可实现的最高的诊断覆盖率等级。这些测试可以连续地或定期地进行。这些表并不取代7.4的任何要求。表A.2~表A.15并不详尽,当然还可使用其他技术和措施,只要提供相应的证据,保证支持所声明的诊断覆盖率。1:GB/T20438.7的附录A给出了这些表中所有技术和措施的概述。表A.2~表A.15的第二列给出了要求所在的条款。2:诊断覆盖率的低、中和高3级分别定量为60%、90%和99%。表A.1在操作过程中要检测或在推导安全失效分数中要分析的故障或失效部件见表对所声明的诊断覆盖率或安全失效分数的要求低(60%)中(90%)高(99%)机电装置A.2未加电或断电触点被熔接未加电或断电单个触点被熔接未加电或断电各触点被熔接不可靠的导向触点(对于继电器,若按照EN50205或等同标准进行构建和测试,则不假定这种失效)不可靠的开启(对于定位开关,若按照EN60947-5-1或等同标准构建和测试,则不假定这种失效)分离硬件数字I/O模拟I/O电源A.3,A.7,A.9,A.11固定故障(Stuck-at)固定故障(Stuck-at)固定故障(Stuck-at)DC故障模型DC故障模型漂移和振动DC故障模型漂移和振动DC故障模型漂移和振动DC故障模型漂移和振动DC故障模型漂移和振动总线一般要求内存管理单元直接内存访问总线仲裁(见注1)A.3A.7A.8地址固定故障(Stuck-at)数据或地址固定故障(Stuck-at)无或连续访问仲裁信号固定故障(Stuck-at)超时错误的地址解码数据和地址的DC故障模型访问时间错误无或连续仲裁超时错误的地址解码影响内存数据的所有故障数据或地址错误访问时间错误无或连续或错误仲裁CPU寄存器,内部RAM编码和执行,包括标记寄存器地址计算程序计数器,堆栈指针A.4、A.10数据和地址固定故障(Stuck-at)错误编码或不执行固定故障(Stuck-at)固定故障(Stuck-at)数据和地址的DC故障模型错误编码或错误执行DC故障模型DC故障模型数据和地址的DC故障模型内存单元的动态交叉无寻址、错误寻址或多重寻址未定义失效假设未定义失效假设DC故障模型表A.1在操作过程中要检测或在推导安全失效分数中要分析的故障或失效部件见表对所声明的诊断覆盖率或安全失效分数的要求低(60%)中(90%)高(99%)中断处理A.4无或连续中断无或连续中断中断的交叉无或连续中断中断的交叉不可变内存A.5数据和地址固定故障(Stuck-at)数据和地址的DC故障模型影响内存数据的所有故障可变内存A.6数据和地址固定故障(Stuck-at)数据和地址的DC故障模型对于集成度不低于1Mbits的DRAM,软错误引起的信息改变数据和地址的DC故障模型内存单元的动态交叉无寻址、错误寻址或多重寻址对于集成度不低于1Mbits的DRAM,软错误引起的信息改变时钟(石英)A.12分谐波或超谐波分谐波或超谐波分谐波或超谐波通信和大容量存储器A.13错误的数据或地址不传输影响内存数据的所有故障错误的数据或地址错误的传输时间错误的传输顺序影响内存数据的所有故障错误的数据或地址错误的传输时间错误的传输顺序传感器A.14固定故障(Stuck-at)DC故障模型漂移和振动DC故障模型漂移和振动最终元件A.15固定故障(Stuck-at)DC故障模型漂移和振动DC故障模型漂移和振动注1:总线仲裁是一种决定哪个设备具有总线控制权的机制。注2:固定故障(Stuck-at)是一种故障种类,可以用部件引脚的连续“0”或“1”或“on”来表示。注3:“DC故障模型”(DC为直流)包括的失效模式有:固定故障(Stuck-at)、固定开故障(Stuck-open),开路或高阻抗输出以及信号线间的短路。表A.2电气子系统的诊断技术措施及覆盖率诊断技术/措施见IEC61508.7经考虑能达到的最大诊断覆盖率注利用在线监视检测失效A.1.1低(低要求模式)中(高要求或连续模式)依赖于失效检测的诊断覆盖率继电器触点监视A.1.2高比较器A.1.3高若在安全导则中失效模式起支配作用,则高多数表决器A.1.4高依赖于表决质量无功电流原理A.1.5低仅对无需用连续控制来实现或维护EUC安全状态的E/E/PE安全相关系统有效注1:本表不取代附录C的任何要求。注2:附录C的要求与诊断覆盖率的确定有关。注3:有关本表的一般注释,见表A.1前的正文。表A.3电子子系统诊断技术措施及覆盖率诊断技术/措施见GB/TXXXX.7经考虑能达到的最大诊断覆盖率注利用在线监视检测失效A.1.1低(低要求模式)中(高要求或连续模式)依赖