符合安全设计规范的系统开发大全

作，用户则需要相关错误的信息并暂时避开导致错误发生的情况。如果分析人员得出的结论是工具的输出不可信或规范还不够详细，用户就必须制定其他方法来检测上述错误。

　　分析过程有可能为用户带来潜在问题。如果用户自身不具备有关该工具的足够知识、经验或数据，就会产生问题。在这种情况下，如果该工具的制造商能够为客户提供相关支持，比如所有必要的数据，则会非常有帮助，如果工具制造商还能提供由独立机构认证和批准的数据和文档，那就更为理想了。

　　莱迪思已邀请TÜV Rheinland按照IEC61508标准对"Diamond 2.1"工具套件进行了高达SIL 3级别的审核。这为安全项目团队提供了使用该工具链以及所有相关文档和安全手册的便利，使用者无需进行额外的确认。审核所获的结果节约了项目相关的成本和时间，并简化了为安全应用选择莱迪思FPGA的决策过程。同上述工具一道，莱迪思还可提供经过量产验证的 FPGA，可靠并且具备认可的失效概率数据。由相关机构颁发的认证让评估人员更加信任莱迪思的产品，并能加速型号审核流程。

　　安规产品设计的工作流程

　　除了所有的功能安全管理，还要实现安全设计流程以确保产品安全。让我们假设有一个需要实现SIL 2或SIL 3级别设备的项目。

　　项目第一步是建立安全方案。安全方案能够勾勒出具备相关细节的大致架构，如包含单通道或双通道架构、通信路径、输入和输出接口、电源等信息。安全要求规范（safety requirement specification， SRS）由安全方案和产品规范衍生。为了使方案确定下来，推荐在块层面执行第一次失效模式和影响分析（Failure Modes and Effect Analysis， FMEA）。通常情况下，FMEA结果会推进要求列表的制定。IEC61508标准提供了一些失效控制措施，包括复杂电子元器件故障模式和指令故障检测模式，用于支持结构化分析。在双通道或多通道架构中，共因失效必须得以定位和消除。对于安全设计来说，环境和EMC情况也是非常重要的。根据应用的情况，应当按需参照其他标准进行确认和检视。所有的要求都确定下来之后，就可以按照由高到低，从架构到模块的顺序开始设计。请记住一定要建立所有步骤的规范和描述，因为这些输入文件将用于所有的审核以及测试阶段。为了项目流程的顺利推进，所有的测试应当与开发同时进行。

　　在所有的原理图和电路导出之后，部分FMEA必须完成，随后进行安全参数的计算。部分FMEA也会被用做故障导入测试（Fault Insertion Test， FIT）规范中的输入信息。软件应当按照图2所示的流程来实现。

　　在完成系统和型号等所有测试后，该设计应当能够满足所有安全要求。最后一点特别关键，所有安全相关的信息必须写入新产品的用户手册中。

　　第一次实行这样的流程和设计可能会碰到一些困难。无论如何，良好的计划以及安全设计方面的专业技术将帮助您在市场上推出质量和安全性都很优秀的产品。为了降低启动成本，Innotec（http://www.innotecsafety.com/）可提供安全设计的审核服务，帮助您解决从方案到整合过程中的问题。