微波EDA网,见证研发工程师的成长!
首页 > 硬件设计 > 嵌入式设计 > 现场总线系统的功能安全评价

现场总线系统的功能安全评价

时间:12-13 来源:互联网 点击:

险指根据当今社会的水准所能够接受的风险。

6.安全 (Safety)

不存在不可接受的风险。

7.安全系统 (Safely-elated-syStem)

是用于两个目的:一是执行要求的安全功能以达到或保持EUC的安全状态;二是自身或与其他E/E/PES安全系统、其他技术安全系统或外部风险降低设施一道,对于要求的安全功能达到必要的安全完整性。

安全系统是在接受命令后采取适当的动作以防止EUC进入危险状态。安全系统的失效应被包括在导致确定的危险事件中。尽管可能有其他系统具备安全功能,但仅是指用其自身能力达到要求的允许风险的安全系统。安全系统可大致分为安全控制系统和安全防护系统。

安全系统可以是EUC控制系统的组成部分,也可用传感器和/或执行器与EUC的接口,既可用在EUC控制系统中执行安全功能的方式达到要求的安全完整性水平,也可用分离的/独立的专门用于安全的系统执行安全功能。

(二)IEC61508的基本概念

TEC61508标准规定随机失效的后果必须定量评估,使用随机存取测量系统 (RAMS)方法计算有效性。量化与故障相关的系统失效是没有用的,应当通过组织指导来避免系统失效,或通过技术措施来控制。

1.风险和安全完整性慨念

2.功能安全保证的内容

功能安全保证主要包括两部分内容:失效识别和安全完整性水平。

(1)失效识别。

失效就是功能单元失去实现其功能的能力。一些功能是根据所达到的行为进行规定的,在执行功能时,某些特定的行为是不允许的,这些行为的出现就是失效。失效可能是随机失效,这种失效通常由于硬件装置的耗损所致。也可能是系统失效,这在硬件和软件中都可能出现。失效识别就是要分辨出不同部件的各种失效原因,估算出系统失效概率。

(2)安全完整性水平 (SIL) (safety integrity level)。

一种离散的水平,用于规定分配给E/E/PE安全系统的安全功能的安全完整性要求,安全系统的安全完整性水平越高,安全系统实现所要求的安全功能失败的可能性就越低。IEC61508中规定系统有4种安全完整性水平,SIL4是最高的,安全完整性水平1是最低的。

三、现场总线系统的功能安全评价

(一)现场总线系统完成的功能

现场总线系统所起的作用是通信,它包括一组硬件和软件,允许两个或多个装置之间信息交换。在受控过程中,它不应该传播或建立会产生危险情形的错误:它应能找出数据的讹误,保证实时数据的传送,传递应有序,避免混乱。同时应能随时了解可能出现的故障状态,避免出现因通信错误触发不合理的安全动作,例如使过程在不该停止时停了下来,或使过程在出现故障时还继续工作等。

  (二)现场总线系统安全功能评价的方法

要证明一个系统或子系统是否可以用在安全领域,是否符合IEC61508标准,有两个途径:一是按照IEC61508的原则设计一个新系统;二是沿用以前已经使用并证明是安全的系统,用"proven in use"方法来验证。现场总线系统的功能安全评价一般都采取第二种方法。这是一个在"使用中证实"的概念。如果一种产品或系统已经在使用中,只要供应商有足够的证据证明它是安全的,那么以后相同的产品或系统就允许应用在同等安全的领域。

IEC61508中提出的这种"proven in use"的概念对于供应商和用户都有极大的激励作用。目前世界上此重要的设备供应商都开始对自己的产品进行这方面认证工作。但"Proven in use"实际上有很严格的限制条件:

(l)Proven in use方法只能用于那些满足相关要求的功能和接口子系统;

(2)子系统的工作条件与原子系统的工作条件完全相同或十分相近;

(3)如果子系统的工作条件不同,则需要用分析和测试的方法来论证该系统的功能安全完整性可能达到的水平,以保证该系统可用于安全领域;

(4)声明的失效率有足够的统计学数据基础;

(5)收集有足够的失效数据;

(6)考虑了子系统的复杂性,子系统对风险降低的贡献,子系统失效对整个系统可能造成的后果,新设计等。

Copyright © 2017-2020 微波EDA网 版权所有

网站地图

Top