固有故障安全设计原则理解和应用探讨.docVIP

固有故障安全设计原则理解和应用探讨 　　摘 要 　　安全设计原则是重要的系统设计和产品开发技术，本文全面介绍了固有故障安全设计原则（inherent fail-safety）的概念、应用场景和实现形式，澄清了对该原则的一些认识误区，并以二取二表决器的设计为例，进一步说明了该原则的应用。 　　【关键词】安全原则 固有故障安全原则 表决器 　　1 安全设计原则概述 　　安全设计原则是欧标（现已成为铁标）体系下重要的设计和开发技术，常用到的安全设计原则包括功能安全原则和技术安全原则。固有故障安全原则属于技术安全原则中的故障安全系列。常见的故障安全原则包括了：固有故障安全原则、组合式安全原则和反应式故障安全原则。下面主要探讨对固有故障安全原则的理解和应用。 　　2 固有故障安全原则 　　2.1 固有故障安全原则概念 　　固有故障安全原则是指：允许安全功能由单一部件来完成，且该部件自身所有的故障模式没有危险性，都是可以预见的，可信的，并需要在指定的应用环境下，结合该部件的故障模式，分析该部件的所有特性。固有故障安全的部件除了能够单独实现安全功能外，也可以用在组合式或反应式故障安全系统的某些功能上，如危险事件发生时切断系统输出。安全设计原则通常应用在产品技术层面，典型的应用是表决器设计、I/O设计、防护设备设计等。常用的措施包括FMEA分析、保护性编码技术等。 　　2.2 固有故障安全原则的常见认识误区 　　在固有故障安全设计原则的应用中，经常存在以下一些典型的认识误区： 　　误区1：安全完善度等级为四级（SIL4）的涉安系统，必须要实现固有故障安全设计原则 　　标准当中规定了系统、子系统以及设备级的体系结构要求：采用单套硬件结构的SIL4系统/设备必须实现固有故障安全原则；采用冗余硬件结构的SIL4系统或设备必须实现组合式故障安全原则。所以，并非SIL4的涉安系统都强制要求实现该原则。这个结论可以用来辨别另外一种认识误区，即：认为系统的结构应该由指标来决定，如果指标能够达到SIL4的要求，无所谓采用哪一种结构，冗余或单套结构都可以。很明显，按照标准规范，除了指标之外，还需考虑不同安全级别要求下的体系结构，不能唯指标论。 　　误区2：电子器件的失效模式复杂多样，具有不可预见性，无法实现固有故障安全设计 　　对于电子器件而言，不同器件的失效模式不一样。有些器件的失效模式是有限的，标准当中罗列了常见分立元件的失效模式，并在相关标准当中列举了一个案例，用分立元件实现了具有固有故障安全属性的“逻辑与”功能电路，在该电路中，任何可能的错误，都会导向限制状态。 　　此外，对于有些器件而言，很难甚至几乎不可能预测它的所有失效模式，典型的器件包括了微处理器、可编程门阵列（fpga）等集成电路。对于这些器件的使用需要格外注意，通常的做法是采用组合式、反应式故障安全原则，或者采用保护性编码策略的数据传输机制实现安全功能。标准当中列举了单结构fpga实现sil3、sil4的设计案例，其中一种实现方式就采用了保护性编码策略的数据传输机制，这是固有故障安全原则的主要实现方式之一，是单结构实现固有故障安全原则的典型例子。 　　上述两个方面说明了电子器件具备实现固有故障安全原则的能力。 　　误区3：使用了动态驱动功能电路的设备都可以认为实现了固有故障安全原则 　　设备的安全等级和安全指标是针对所要实现的功能而言的，安全设计原则一般应用在产品/设备层面的功能中。在详细设计中，如果没有界定清楚功能的应用层面，或者需求划分粒度过细，容易产生这样的误解。 　　功能是指系统或设备在所处运营条件下具备的某种能力。如果动态驱动功能电路实现的是设备层面的基本功能，它的任何故障都会触发设备故障导向安全，并能够把运行结果传递到所在运营环境中，则认为该设备实现了固有故障安全原则；反之，如果动态驱动功能电路仅影响设备内部状态，其运行结果并没有传递到所在运营环境中，则认为该功能仅仅是设备内部的一个子功能模块，并非是设备自身的能力体现。所以，需要通过对动态驱动电路功能级别的界定，和运行结果的影响范围来判定，该设备是否实现了固有故障安全原则。 　　3 固有故障安全原则的应用 　　在充分认识和深入理解固有故障安全原则之后，下面以二取二表决器的设计为例，说明固有故障安全原则的实际应用。 　　3.1 表决器初步设计 　　在安全平台设计中，表决器是十分关键的功能部件，主要用于对不同处理器运算结果的一致性比较，是安全平台的技术难点之一。在二取二结构中，表决器的常见结构如图1。 　　图1显示了二取二冗余模式中的表决器结构，表决器采用单部件实现。按照SIL4安全完善度等级的要求，采用单硬件结构的设备必须实现固有故障安全原则，依据此要求，图1结构中的表决器设计，其