關(guān)于使用白通道原理實現(xiàn)通信網(wǎng)絡(luò)的思考

很難想象沒有某種通信網(wǎng)絡(luò)的功能安全系統(tǒng)。因此，您會期望標準中的可用指南是明確無誤的。有人會說這很清楚，但當你與人辯論時，結(jié)果證明它是可以解釋的。

部分問題可能是有各種各樣的網(wǎng)絡(luò)，它們的屬性差異很大。

網(wǎng)絡(luò)類型包括

可能包含云的連接

沿著鐵路軌道運行超過 10 秒或 100 多公里的連接

煉油廠中的無線網(wǎng)絡(luò)

在工廠車間運行的全現(xiàn)場總線

工廠車間的點對點網(wǎng)絡(luò)

元件或子系統(tǒng)內(nèi)兩個PCB之間的連接

單個PCB上的IC之間的連接

IC內(nèi)的內(nèi)部通信網(wǎng)絡(luò)

黑通道網(wǎng)絡(luò)范式通過IEC 61784-3（現(xiàn)場總線）和IEC 62280/EN 50159（鐵路）等標準進行了很好的描述和控制。然而，即便如此，將現(xiàn)場總線標準應(yīng)用于上述列表下半部分的網(wǎng)絡(luò)也是合適的。IEC 61508確實確定了另一種類型的網(wǎng)絡(luò)，稱為白通道網(wǎng)絡(luò)，但關(guān)于白通道要求的內(nèi)容并不多。大多數(shù)其他標準遵循IEC 61508-2 7.4.11，以滿足其網(wǎng)絡(luò)要求。

首先，白色和黑色通道的名稱從何而來？

它被稱為黑色通道，因為你看不到它。那里都是黑暗的，所以你不知道路由器的可靠性，使用什么類型的開關(guān)，它們的EMI魯棒性和可靠性等。黑色通道甚至可能包含互聯(lián)網(wǎng)上的鏈接。

白色通道正好相反。它是按照IEC 61508設(shè)計的網(wǎng)絡(luò)，因此您可以完全了解并了解所有組件的可靠性，EMC魯棒性，故障模式等。當然，最好將其稱為“清晰”渠道。

標準中未提及灰色通道，但介于黑色和白色通道之間。它大部分是黑色的，但您確實知道它的一些屬性，并且可能會排除某些故障模式。

黑支票通道方法的問題包括

需要使用 0.01 的懲罰性 BER（誤碼率）/BEP（誤碼概率）以允許較差的 EMI 和未知組件的不可靠性（記住它的黑色，所以你看不到它們）

您需要計算及時性、損壞、偽裝舞會等的殘余錯誤率，并將它們添加到您的 PFH（每小時危險故障概率）中。這可能非常耗時，并與評估員達成一致。您可能還會驚訝于由于殘余錯誤率而導(dǎo)致的故障率有多大。

除非你能以某種方式證明它的合理性，否則你需要對可能不是真實的威脅實施大量防御。

您可以選擇標準網(wǎng)絡(luò)協(xié)議（如PROFIsafe），然后您的許多問題就會消失，因為有人已經(jīng)為您完成了所有計算，并使用最壞情況假設(shè)確定了檢測錯誤所需的防御措施。

那是覆蓋的黑色通道。

那么，標準對白色通道有什么看法，讓我們查閱IEC 61508-2：2010子條款7.4.11。

圖1 - IEC 61508-2：2010 7.4.11.2摘錄

這伴隨著下圖所示。兩者都有些令人困惑，因為它將白色通道描述為完全按照IEC 61508設(shè)計，但隨后提到它也應(yīng)該符合兩個黑色通道標準之一。許多白通道網(wǎng)絡(luò)將超出這兩個標準的范圍，例如兩個PCB之間的連接或任何點對點連接，例如4/20mA。該圖在網(wǎng)元的兩端都有粗大的黑色垂直線，似乎也表明防御是內(nèi)置在網(wǎng)絡(luò)的端點中，而不是內(nèi)置于構(gòu)建網(wǎng)絡(luò)的每個組件中。

圖2 - 白色信道網(wǎng)絡(luò)示意圖

忽略對黑信道網(wǎng)絡(luò)標準的引用，我認為這是錯誤的，我對白信道網(wǎng)絡(luò)要求的解釋是

您需要根據(jù)特定的SC（系統(tǒng)功能）設(shè)計網(wǎng)絡(luò)，并進行所有正確的設(shè)計審查，EMI測試，驗證和確認。選擇合適的組件等使用的任何軟件都需要開發(fā)到同一個SC。

您需要對使用的所有組件進行可靠性預(yù)測。

您需要使用 FMEDA 或類似來計算 λ的（危險的未檢測到故障率）和診斷以使其足夠低（取決于所需的 SIL）。

并非網(wǎng)絡(luò)中使用的所有IC都需要按照IEC 61508進行開發(fā)。大多數(shù)工業(yè)安全系統(tǒng)都是使用標準組件構(gòu)建的。

應(yīng)將 EMI 視為始終存在，而不是間歇性事件。

您的 EMI 測試應(yīng)有裕量（參見 IEC 61508-2：2010 表 A.16），這樣您就不會在實際應(yīng)用中遇到預(yù)期的 EMI 水平的 EMI 故障。如果設(shè)計中的組件（例如濾波電容器）出現(xiàn)故障，則可能會因 EMI 而發(fā)生故障，但這已經(jīng)包含在 FMEDA 和 λ的.

沒有必要采用刑事BER/BEP。網(wǎng)絡(luò)中所有組件的故障率可通過FMEDA或其他可靠性預(yù)測（作為IEC 61508設(shè)計的一部分）獲得，并且由于EMI構(gòu)成系統(tǒng)故障模式，因此應(yīng)消除由EMI引起的故障。數(shù)據(jù)包丟失或延遲的唯一方法是組件故障。數(shù)據(jù)包損壞的唯一方法是EMI性能差或旨在提供良好EMI的組件故障。

也許，上面最具爭議的是我的斷言，即在為IEC 61508設(shè)計的網(wǎng)絡(luò)中，您不應(yīng)該因EMI而出現(xiàn)故障。讓我們看看一些證據(jù)。

首先，讓我們斷言EMI是一種系統(tǒng)故障模式，而不是隨機硬件故障模式，然后考慮IEC 6第61508部分中的以下內(nèi)容。

圖 3 - IEC 61508-6：2010 A.1 摘錄

因此，如果EMI是一種系統(tǒng)性故障模式（證據(jù)可遵循），則應(yīng)通過設(shè)計審查、仔細設(shè)計和測試來降低其影響，以便EMI和其他此類故障模式引起的系統(tǒng)故障率與目標SIL的目標PFH上的隨機硬件故障率相稱。

我查了一個相稱的定義，我發(fā)現(xiàn)“在大小或程度上，在比例上是對應(yīng)的”。好的，因此使用的措施必須將故障降低到與隨機硬件故障相同的級別。但是EMI是一種系統(tǒng)性故障模式嗎，讓我們尋找它的證據(jù)。

下面是一張拼貼畫，顯示了表明EMI是一種系統(tǒng)性故障模式的證據(jù)。

圖 4 - IEC 61508-2：2010 中與 EMI（電磁抗擾度）相關(guān)的各種指導(dǎo)

其他一些標準甚至更清楚地說明了這一點。讓我們從IEC 61000-1-2（電磁兼容性（EMC）-第1-2部分：一般-實現(xiàn)電氣和電子系統(tǒng)（包括電磁現(xiàn)象設(shè)備）功能安全的方法）開始。

圖5 - IEC 61000-1-2摘錄

而且很難比IEC 61326-3-1（測量，控制和實驗室使用的電氣設(shè)備-EMC要求-第3-1部分：安全相關(guān)系統(tǒng)和旨在執(zhí)行安全相關(guān)功能（功能安全）的設(shè)備的抗擾度要求-一般工業(yè)應(yīng)用）更清晰。

圖6 - IEC 61326-3-1

“在量化硬件安全完整性時，沒有必要考慮電磁現(xiàn)象的影響”這句話肯定是該論點的關(guān)鍵。

它是行業(yè)特定功能安全標準的最新標準，由一個龐大而多樣化的團隊開發(fā)，其 11 個部分有很多細節(jié)。此外，汽車領(lǐng)域的幾乎所有東西都與安全有關(guān)，所以這些人非常專注。汽車對 EMI 提出了嚴格的 EMI 要求和詳細的測試。ISO 26262沒有參考黑色通道標準IEC 61784-3或IEC 62280，也沒有要求計算殘余錯誤率。但是，您需要添加針對腐敗、延誤、偽裝舞會等的防御措施。但影響不是量化的，本質(zhì)上是定性的。這符合我對如何實施白通道網(wǎng)絡(luò)的理解，并符合IEC 61508-61508：2 2010.7.4和表A.7至A.15中關(guān)于控制系統(tǒng)故障控制的要求。

審核編輯：郭婷