符合安全設(shè)計規(guī)范的系統(tǒng)開發(fā)大全 - 全文

　　自動化程度的提高為人們?nèi)粘Ｉ钪械姆椒矫婷娑紟砹烁嗟氖孢m性和靈活性，但我們也需要注意到這些好處背后的安全風險。尤其是工業(yè)領(lǐng)域中讓人引以為傲的高精密生產(chǎn)線，它們應(yīng)當是易于使用，并能提供高度舒適和安全的操作性。

　　本文深切認為技術(shù)系統(tǒng)不應(yīng)當為人們和環(huán)境帶來超出允許風險范圍的安全風險。完全沒有風險是不現(xiàn)實的，所以風險可接受與否在于其嚴重程度。每個領(lǐng)域?qū)山邮茱L險程度都有自己的定義，并使用不同的安全等級對其進行衡量。對于電氣和可編程系統(tǒng)來說，得益于一系列標準建立，由此形成了關(guān)于功能安全的共識。這些標準適用于不同的應(yīng)用領(lǐng)域，但它們都基于由IEC61508標準派生出的安全理念。

　　圖1：常見的功能安全標準概覽

　　IEC61508標準覆蓋了系統(tǒng)的整個生命周期，并著重為系統(tǒng)中可能出現(xiàn)危險的部分制訂了相關(guān)規(guī)范。該標準旨在提供從零開始設(shè)計系統(tǒng)的最安全方式。實現(xiàn)功能安全的普遍措施是添加額外的元器件，用于監(jiān)控功能的正常運行以及在發(fā)生不正常的情況時對系統(tǒng)進行控制。這個理念常用于工業(yè)自動化或過程工業(yè)領(lǐng)域中。IEC61508標準定義了功能安全的操作模式：低要求操作模式、高要求操作模式和連續(xù)模式。操作模式則由每年對于安全功能的使用頻率決定。

　　同時，針對功能安全領(lǐng)域中的標準控制功能的設(shè)計方法是可選的，如航空器、汽車或家用電器。IEC61508標準中定義的連續(xù)模式包含這些信息。

　　通常做法是從分析所有可能對系統(tǒng)產(chǎn)生影響的關(guān)鍵問題開始。所有被定位的問題必須使用參數(shù)進行衡量，如暴露時間、受傷的嚴重程度以及脫離傷害的可能性。這是典型的風險分析措施，必須在沒有額外電氣保護系統(tǒng)的情況下對受控設(shè)備施行。系統(tǒng)整個生命周期的所有部分均必須使用該措施。憑借風險圖，風險分析將提供要求的安全完整性等級（Safety Integrity Level， SIL）。在遵循ISO13849標準的情況下，風險圖將提供要求的性能等級（Performance Level， PL）。PL與SIL相似，均定義了安全等級。在設(shè)計安全PLC（Safety PLC）、安全變頻驅(qū)動器（Safety Drive Inverter）或安全編碼器（Safety Encoder）等安全元器件時，通常的做法是從機器制造商處獲得要求的安全等級。要求的安全等級旨在將風險降低至允許風險范圍內(nèi)。SIL必須通過安全功能得以滿足，安全功能將由一系列安全元器件或安全設(shè)備實現(xiàn)。這就意味著單一的元器件無法滿足SIL，僅能用作安全鏈中的一部分。

　　為了滿足SIL要求，該標準涵蓋了兩種失效情況。第一類包含隨機失效以及所有類型的隨機硬件失效，而第二類包含所有系統(tǒng)失效。

　　隨機失效

　　隨機失效基于不同的參數(shù)進行計算得出，如元器件的失效概率（λ）、診斷覆蓋率（Diagnostic Coverage， DC）、硬件故障裕度（Hardware Fault Tolerance， HFT）、共同失效原因（β）以及測試間隔。事實上，安全與否不是與生俱來的，對于系統(tǒng)出現(xiàn)故障并進入到不安全狀態(tài)的情況，IEC61508標準僅涵蓋檢測不到、不安全的失效概率并根據(jù)合適的模式具體說明各類限制，PFD（根據(jù)要求的失效概率，Probability of Failure on Demand）適用于低要求操作模式，PFH（每小時的失效概率，Probability of Failure per Hour）適用于高要求操作模式和連續(xù)模式。舉個例子，SIL 3安全功能僅限于千年一遇的危險失效。反之，低要求操作安全功能（PFD）不應(yīng)當發(fā)生平均1000次安全要求出現(xiàn)1次失效的情況。作為額外的驗收標準，IEC61508要求安全失效分數(shù)處于指定的SFF（安全失效分數(shù)，Safe Failure Fraction）范圍內(nèi)，這取決于HFT和SIL。

　　表1：安全完整性等級的PFD和PFH值

　　表2：安全失效分數(shù)與硬件故障裕度的關(guān)系

　　危險失效的失效概率可通過實現(xiàn)診斷功能和冗余得以降低。冗余度需要參照硬件故障裕度（HFT）。HFT值為0的系統(tǒng)發(fā)生1次失效即可產(chǎn)生危險。也就是說，HFT值為N的系統(tǒng)能夠承受N-1次失效。如果診斷單元能夠檢測到故障并將系統(tǒng)引入安全狀態(tài)，局部診斷覆蓋即可降低重大失效帶來的影響（?du = ?d·（1-DC））。除了故障（硬錯誤，Hard-Error）導致的元器件失效概率，設(shè)計工程師還必須盡量減少軟錯誤（Soft-Error）。在測算時，軟錯誤率是非常關(guān)鍵的一點，因為相比硬錯誤導致的失效率，軟錯誤率會提升。

　　FPGA器件的領(lǐng)先制造商萊迪思半導體公司為客戶提供適用于所有推薦的安全元器件的失效概率和軟錯誤率數(shù)據(jù)。
本文選自電子發(fā)燒友《安防技術(shù)特刊》，更多優(yōu)質(zhì)內(nèi)容，馬上下載閱覽

　　避免系統(tǒng)失效

　　除了上文提到的情況，另一項當務(wù)之急是盡可能避免系統(tǒng)失效，這取決于要求的SIL，而SIL會因為措施的數(shù)量和使用程度發(fā)生變化。產(chǎn)品生命周期中的每個階段針對系統(tǒng)失效都有不同的要求。規(guī)范概述了以下設(shè)計流程：實現(xiàn)、驗證和確認。針對結(jié)構(gòu)完善的設(shè)計來說，推薦采用V模式（V-Model）。針對于軟件設(shè)計和FPGA編程，該標準具體說明了其設(shè)計階段和驗證階段。

　　圖2：IEC61608-2:2010規(guī)范中針對FPGA設(shè)計的V模式

　　綜上所述，功能安全管理技術(shù)方面的措施對于避免系統(tǒng)失效來說是至關(guān)重要的。安全管理包括在研發(fā)開始之前為所有的設(shè)計和驗證步驟制定詳細的計劃。由此可見，安全管理人員必須要有一個定義明確的項目計劃。

　　文檔管理

　　作為安全項目的一部分，必須完善制定文檔管理方面的規(guī)范。文檔管理描述了如何處理、儲存、發(fā)布和修改文檔，以及文檔的訪問權(quán)限和每個團隊成員的受限情況。版本控制應(yīng)當作為自動化流程由工具實現(xiàn)。

　　需求管理

　　管理所有的需求是安全項目中非常必要的一部分。每項安全需求在整個安全項目中都應(yīng)當是可追蹤的。安全項目的最終目標是確保所有的需求都能夠被正確地實現(xiàn)。相關(guān)測試可用來確認特定的需求能否降低風險。就此而論，必須根據(jù)精確的數(shù)據(jù)、完整性和一致性來組織整理要求。從架構(gòu)到實現(xiàn)的模塊，模塊測試到整合，再到系統(tǒng)測試的整個過程中，安全項目必須要能顯示需求產(chǎn)生于哪個部分。

　　組織和責任

　　分工明確并且結(jié)構(gòu)完善的團隊對于確保高效無縫地完成所有任務(wù)來說是至關(guān)重要的。團隊結(jié)構(gòu)和小組領(lǐng)導應(yīng)當按照層次順序設(shè)定。所有的聯(lián)系信息都應(yīng)當是可用的，特別是對于分散的團隊來說，必須為團隊成員制定通訊和協(xié)作的方式。這對于審核人員、開發(fā)人員和測試人員能否各司其職具有重要意義。

　　措施的定義

　　根據(jù)要求的SIL，該標準提供了一系列適用于每個生命周期的表格，包含推薦或強烈推薦的措施，可作為默認的失效避免工具使用。在研發(fā)開始之前，應(yīng)當選擇所有涉及到設(shè)計和驗證方法的技術(shù)。IEC 61508規(guī)范的第2和第3部分列出了所有技術(shù)。第2部分涵蓋了所有硬件領(lǐng)域以及所有ASIC或FPGA領(lǐng)域。第3部分涵蓋了所有軟件領(lǐng)域。FPGA編程被囊括進IEC61508標準的第2部分中，這有點讓人費解，不過這不是技術(shù)問題，更多的是標準化組織的原因。不過這個不要緊，因為開發(fā)FPGA軟件的方法與開發(fā)微控制器軟件的方法相似。不同點在于技術(shù)。舉個例子，仿真技術(shù)在FPGA設(shè)計過程中更加常用，而微控制器則更需要帶有調(diào)試工具的硬件。

　　表3：F.2 IEC61508-2表2摘要

　　表3展示了降低FPGA設(shè)計中系統(tǒng)失效的技術(shù)列表的摘要。對于一般硬件和軟件設(shè)計，也有適用的類似表格。使用這些表格的原則是始終如一的。標注為“HR”的措施必須得以施行。如果不這么做，那么相關(guān)決策是不合理的。標注為“R”的措施應(yīng)當在條件允許的情況下使用。

　　驗證和確認計劃

　　驗證和確認流程也必須在安全功能實現(xiàn)之前計劃好。所有的設(shè)計階段都要選擇故障避免文檔中的措施進行驗證。計劃的措施必須闡明目前的項目將在真實情況中如何表現(xiàn)。舉個例子，計劃的措施可以是靜態(tài)代碼分析。那么對應(yīng)的驗證和確認計劃應(yīng)當覆蓋所有將由代碼檢查器檢驗的軟件模塊（SW-Module），包含使用該工具的流程并將如何對結(jié)果進行處理、分析和存檔的說明。

　　另一個例子是FPGA設(shè)計過程中的網(wǎng)表檢查。第一步是明確這個步驟必須完成，誰來執(zhí)行這個任務(wù)以及輸入和輸出的文件是什么。下一步是定義進行該任務(wù)需要使用的工具以及發(fā)布流程。

　　該計劃可用作針對所有驗證和確認流程的檢查表，能夠為所有計劃流程的完成度提供完整的概覽。

　　工具認證

　　針對在生命周期中的所有階段密集使用任何類型軟件工具的情況，所有將用于實現(xiàn)安全部分的工具將按照它們對于安全功能的影響進行分析。這意味著，首先需要列出所有的工具，然后將所有的軟件工具根據(jù)工具重要性等級（IEC61508-4:2010標準中的T1、T2、T3等級）進行分類。

　　表4：工具重要性等級

　　表4展示了標準中的相關(guān)定義以及萊迪思工具列表，后者按照使用FPGA實現(xiàn)安全相關(guān)任務(wù)時的相應(yīng)等級進行分類。在真實的項目中，該列表需要填上所有使用到的工具。知曉某個工具在項目中的重要性是有用的，但這并不會讓人們獲得更加安全的系統(tǒng)。這就是為什么要進行額外的工作，比如說進行工具認證讓工程師對使用的工具有把握。有把握的意思是能夠確認或知曉工具發(fā)生的錯誤。如果該工具能夠正確地滿足規(guī)范要求并且使用者已經(jīng)獲得了該工具經(jīng)過確認的憑據(jù)，那么他就可以不受任何約束地使用該工具。如果該工具無法按照規(guī)范要求工作，用戶則需要相關(guān)錯誤的信息并暫時避開導致錯誤發(fā)生的情況。如果分析人員得出的結(jié)論是工具的輸出不可信或規(guī)范還不夠詳細，用戶就必須制定其他方法來檢測上述錯誤。

　　分析過程有可能為用戶帶來潛在問題。如果用戶自身不具備有關(guān)該工具的足夠知識、經(jīng)驗或數(shù)據(jù)，就會產(chǎn)生問題。在這種情況下，如果該工具的制造商能夠為客戶提供相關(guān)支持，比如所有必要的數(shù)據(jù)，則會非常有幫助，如果工具制造商還能提供由獨立機構(gòu)認證和批準的數(shù)據(jù)和文檔，那就更為理想了。

　　萊迪思已邀請TüV Rheinland按照IEC61508標準對“Diamond 2.1”工具套件進行了高達SIL 3級別的審核。這為安全項目團隊提供了使用該工具鏈以及所有相關(guān)文檔和安全手冊的便利，使用者無需進行額外的確認。審核所獲的結(jié)果節(jié)約了項目相關(guān)的成本和時間，并簡化了為安全應(yīng)用選擇萊迪思FPGA的決策過程。同上述工具一道，萊迪思還可提供經(jīng)過量產(chǎn)驗證的 FPGA，可靠并且具備認可的失效概率數(shù)據(jù)。由相關(guān)機構(gòu)頒發(fā)的認證讓評估人員更加信任萊迪思的產(chǎn)品，并能加速型號審核流程。

　　安規(guī)產(chǎn)品設(shè)計的工作流程

　　除了所有的功能安全管理，還要實現(xiàn)安全設(shè)計流程以確保產(chǎn)品安全。讓我們假設(shè)有一個需要實現(xiàn)SIL 2或SIL 3級別設(shè)備的項目。

　　項目第一步是建立安全方案。安全方案能夠勾勒出具備相關(guān)細節(jié)的大致架構(gòu)，如包含單通道或雙通道架構(gòu)、通信路徑、輸入和輸出接口、電源等信息。安全要求規(guī)范（safety requirement specification， SRS）由安全方案和產(chǎn)品規(guī)范衍生。為了使方案確定下來，推薦在塊層面執(zhí)行第一次失效模式和影響分析（Failure Modes and Effect Analysis， FMEA）。通常情況下，F(xiàn)MEA結(jié)果會推進要求列表的制定。IEC61508標準提供了一些失效控制措施，包括復雜電子元器件故障模式和指令故障檢測模式，用于支持結(jié)構(gòu)化分析。在雙通道或多通道架構(gòu)中，共因失效必須得以定位和消除。對于安全設(shè)計來說，環(huán)境和EMC情況也是非常重要的。根據(jù)應(yīng)用的情況，應(yīng)當按需參照其他標準進行確認和檢視。所有的要求都確定下來之后，就可以按照由高到低，從架構(gòu)到模塊的順序開始設(shè)計。請記住一定要建立所有步驟的規(guī)范和描述，因為這些輸入文件將用于所有的審核以及測試階段。為了項目流程的順利推進，所有的測試應(yīng)當與開發(fā)同時進行。

　　在所有的原理圖和電路導出之后，部分FMEA必須完成，隨后進行安全參數(shù)的計算。部分FMEA也會被用做故障導入測試（Fault Insertion Test， FIT）規(guī)范中的輸入信息。軟件應(yīng)當按照圖2所示的流程來實現(xiàn)。

　　在完成系統(tǒng)和型號等所有測試后，該設(shè)計應(yīng)當能夠滿足所有安全要求。最后一點特別關(guān)鍵，所有安全相關(guān)的信息必須寫入新產(chǎn)品的用戶手冊中。

　　第一次實行這樣的流程和設(shè)計可能會碰到一些困難。無論如何，良好的計劃以及安全設(shè)計方面的專業(yè)技術(shù)將幫助您在市場上推出質(zhì)量和安全性都很優(yōu)秀的產(chǎn)品。為了降低啟動成本，Innotec（http://www.innotecsafety.com/）可提供安全設(shè)計的審核服務(wù)，幫助您解決從方案到整合過程中的問題。