很难想象没有某种通信网络的功能安全系统。因此,您会期望标准中的可用指南是明确无误的。有人会说这很清楚,但当你与人辩论时,结果证明它是可以解释的。
部分问题可能是有各种各样的网络,它们的属性差异很大。
网络类型包括
可能包含云的连接
沿着铁路轨道运行超过 10 秒或 100 多公里的连接
炼油厂中的无线网络
在工厂车间运行的全现场总线
工厂车间的点对点网络
元件或子系统内两个PCB之间的连接
单个PCB上的IC之间的连接
IC内的内部通信网络
黑通道网络范式通过IEC 61784-3(现场总线)和IEC 62280/EN 50159(铁路)等标准进行了很好的描述和控制。然而,即便如此,将现场总线标准应用于上述列表下半部分的网络也是合适的。IEC 61508确实确定了另一种类型的网络,称为白通道网络,但关于白通道要求的内容并不多。大多数其他标准遵循IEC 61508-2 7.4.11,以满足其网络要求。
首先,白色和黑色通道的名称从何而来?
它被称为黑色通道,因为你看不到它。那里都是黑暗的,所以你不知道路由器的可靠性,使用什么类型的开关,它们的EMI鲁棒性和可靠性等。黑色通道甚至可能包含互联网上的链接。
白色通道正好相反。它是按照IEC 61508设计的网络,因此您可以完全了解并了解所有组件的可靠性,EMC鲁棒性,故障模式等。当然,最好将其称为“清晰”渠道。
标准中未提及灰色通道,但介于黑色和白色通道之间。它大部分是黑色的,但您确实知道它的一些属性,并且可能会排除某些故障模式。
黑支票通道方法的问题包括
需要使用 0.01 的惩罚性 BER(误码率)/BEP(误码概率)以允许较差的 EMI 和未知组件的不可靠性(记住它的黑色,所以你看不到它们)
您需要计算及时性、损坏、伪装舞会等的残余错误率,并将它们添加到您的 PFH(每小时危险故障概率)中。这可能非常耗时,并与评估员达成一致。您可能还会惊讶于由于残余错误率而导致的故障率有多大。
除非你能以某种方式证明它的合理性,否则你需要对可能不是真实的威胁实施大量防御。
您可以选择标准网络协议(如PROFIsafe),然后您的许多问题就会消失,因为有人已经为您完成了所有计算,并使用最坏情况假设确定了检测错误所需的防御措施。
那是覆盖的黑色通道。
那么,标准对白色通道有什么看法,让我们查阅IEC 61508-2:2010子条款7.4.11。
图1 - IEC 61508-2:2010 7.4.11.2摘录
这伴随着下图所示。两者都有些令人困惑,因为它将白色通道描述为完全按照IEC 61508设计,但随后提到它也应该符合两个黑色通道标准之一。许多白通道网络将超出这两个标准的范围,例如两个PCB之间的连接或任何点对点连接,例如4/20mA。该图在网元的两端都有粗大的黑色垂直线,似乎也表明防御是内置在网络的端点中,而不是内置于构建网络的每个组件中。
图2 - 白色信道网络示意图
忽略对黑信道网络标准的引用,我认为这是错误的,我对白信道网络要求的解释是
您需要根据特定的SC(系统功能)设计网络,并进行所有正确的设计审查,EMI测试,验证和确认。选择合适的组件等使用的任何软件都需要开发到同一个SC。
您需要对使用的所有组件进行可靠性预测。
您需要使用 FMEDA 或类似来计算 λ的(危险的未检测到故障率)和诊断以使其足够低(取决于所需的 SIL)。
并非网络中使用的所有IC都需要按照IEC 61508进行开发。大多数工业安全系统都是使用标准组件构建的。
应将 EMI 视为始终存在,而不是间歇性事件。
您的 EMI 测试应有裕量(参见 IEC 61508-2:2010 表 A.16),这样您就不会在实际应用中遇到预期的 EMI 水平的 EMI 故障。如果设计中的组件(例如滤波电容器)出现故障,则可能会因 EMI 而发生故障,但这已经包含在 FMEDA 和 λ的.
没有必要采用刑事BER/BEP。网络中所有组件的故障率可通过FMEDA或其他可靠性预测(作为IEC 61508设计的一部分)获得,并且由于EMI构成系统故障模式,因此应消除由EMI引起的故障。数据包丢失或延迟的唯一方法是组件故障。数据包损坏的唯一方法是EMI性能差或旨在提供良好EMI的组件故障。
也许,上面最具争议的是我的断言,即在为IEC 61508设计的网络中,您不应该因EMI而出现故障。让我们看看一些证据。
首先,让我们断言EMI是一种系统故障模式,而不是随机硬件故障模式,然后考虑IEC 6第61508部分中的以下内容。
图 3 - IEC 61508-6:2010 A.1 摘录
因此,如果EMI是一种系统性故障模式(证据可遵循),则应通过设计审查、仔细设计和测试来降低其影响,以便EMI和其他此类故障模式引起的系统故障率与目标SIL的目标PFH上的随机硬件故障率相称。
我查了一个相称的定义,我发现“在大小或程度上,在比例上是对应的”。好的,因此使用的措施必须将故障降低到与随机硬件故障相同的级别。但是EMI是一种系统性故障模式吗,让我们寻找它的证据。
下面是一张拼贴画,显示了表明EMI是一种系统性故障模式的证据。
图 4 - IEC 61508-2:2010 中与 EMI(电磁抗扰度)相关的各种指导
其他一些标准甚至更清楚地说明了这一点。让我们从IEC 61000-1-2(电磁兼容性(EMC)-第1-2部分:一般-实现电气和电子系统(包括电磁现象设备)功能安全的方法)开始。
图5 - IEC 61000-1-2摘录
而且很难比IEC 61326-3-1(测量,控制和实验室使用的电气设备-EMC要求-第3-1部分:安全相关系统和旨在执行安全相关功能(功能安全)的设备的抗扰度要求-一般工业应用)更清晰。
图6 - IEC 61326-3-1
“在量化硬件安全完整性时,没有必要考虑电磁现象的影响”这句话肯定是该论点的关键。
它是行业特定功能安全标准的最新标准,由一个庞大而多样化的团队开发,其 11 个部分有很多细节。此外,汽车领域的几乎所有东西都与安全有关,所以这些人非常专注。汽车对 EMI 提出了严格的 EMI 要求和详细的测试。ISO 26262没有参考黑色通道标准IEC 61784-3或IEC 62280,也没有要求计算残余错误率。但是,您需要添加针对腐败、延误、伪装舞会等的防御措施。但影响不是量化的,本质上是定性的。这符合我对如何实施白通道网络的理解,并符合IEC 61508-61508:2 2010.7.4和表A.7至A.15中关于控制系统故障控制的要求。
审核编辑:郭婷
-
电容器
+关注
关注
64文章
6202浏览量
99310 -
emi
+关注
关注
53文章
3582浏览量
127352 -
现场总线
+关注
关注
3文章
519浏览量
38535
发布评论请先 登录
相关推荐
评论