关于功能安全型产品的设计方案

电气/电子/可编程电子产品（包括软硬件架构，传感单元，执行单元，可编程电子，集成电路，嵌入式软件，应用软件等等）可依据已经分配的安全要求着手进行该功能安全产品的具体设计工作，在具体实施设计之前，一份经分析论证的设计方案需要被编制完成从而指导设计工作的实现。

本文主要展开以下两个话题----1功能安全型福建产品设计方案与普通型福建产品设计方案的区别；2功能安全型福建产品设计方案的具体实施，并在阐述过程中通过举例以简化理解的复杂度。

1.功能安全型福建产品设计方案与普通型福建产品设计方案的区别
顾名思义，功能安全型福建产品设计方案与普通型福建产品设计方案本质上的区别就是前者需要根据IEC61508标准所提出的产品安全参数进行设计与开发论证，这些参数主要包含：硬件架构的制约性，随机失效的量化，集成电路实现片上冗余的架构要求，系统安全完整性（系统性能力），满足系统性能力的合规路线，故障检测及措施，安全通信要求等等。总体上说是在普通型福建产品设计方案的基础上增加考量安全相关项，实践参考可依据如图1列举所示。



图1，两种设计方案的区别


2.功能安全型福建产品设计方案的具体实施
节描述了两种方案所涉及的项目区别，本节介绍在设计中考量的几种主要安全指标。
硬件架构约束，是指产品能够声明的更高SIL等级受限于其硬件架构。假设产品在基于Route1H即基于硬件故障裕度和安全失效分数定义产品硬件安全完整性等级的情况下：



表1，A类产品更大可声明SIL等级硬件架构约束




表2，B类产品更大可声明SIL等级硬件架构约束


如表1和2所示，产品的硬件所能声明的更高SIL等级受到硬件故障裕度和安全失效分数的制约，那么在福建产品设计方案中就应该根据产品的种类（A或B）以及所需要声明的更高安全完整性等级去进行硬件架构的设置，在充分考量技术指标与经济价值等因素之后建立适合产品的硬件安全架构。（所谓A类与B类产品，其区别往往在于是否具有底层软件，A类产品属于纯模拟（机械）产品，B类产品属于数字型或者智能型产品）

随机失效的量化，针对硬件器件由物理退化机制引起的时间不可预测的失效进行分析并计算整个功能安全型产品的失效率，比较常规的方法有FMEDA（Failure Modes Effects and Diagnostic Analysis）失效模式、影响及其诊断分析，FTA(Fault Tree Analysis)故障树分析， Markov Model马尔可夫模型等。在整个过程中应多次计算所得出的计算结果是否符合安全等级的要求，并在设计上做出反复的修正从而得到产品满足技术指标的更优化方案。

系统安全完整性（系统性能力），该指标包含硬件与软件两重性质，也就是系统性的硬件安全完整性等级与系统性的软件安全完整性等级的组合。假设产品依据Route1S进行设计，那么该产品的软硬件开发方法应严格遵循IEC61508 标准所要求亦或是所推荐的方法进行。根据目标安全完整性等级的不同各种技术措施的推荐等级也不相同，分别为M（），HR（强烈推荐），R（推荐），NR（不推荐）。

例如在硬件方面：



表3，摘自IEC61508 第二部分Table A.15



如表3所示，IEC61508标准强烈推荐了对于产品程序运行的监测技术，那么根据该推荐措施的某实例就是依据监测要求选择在CPU外部设计看门狗电路亦或是使用CPU内部自带的立看门狗，由于该要求属于硬件要求，所以一些CPU的内部非立（软件）看门狗就不适用于该技术措施。

例如在软件方面：



表4，摘自IEC61508 第三部分Table A.2


如表4所示，我们看到1和2两种技术对应软件安全完整性SIL3等级要求分别是强烈推荐与推荐，由于两种软件设计技术较为普遍，所以在功能安全产品中使用对于软件研发人员来说并不陌生，比如在关键功能模块中使用失效断言编程技术来满足Fault Detection；在数据通信中采取CRC-16循环码用于校验数据的正确性从而满足Error Detecting Codes。

综上，本文介绍了功能安全型产品的设计方案与普通型福建产品设计方案的区别，然后对功能安全型产品中的几种安全指标进行描述与解析，并通过举例阐述了其实践性。希望在今后的文章中能就关于功能安全型产品中所涉及的技术指标的设计与实现和大家做更深入的交流。

爱玛福建产品设计公司至今已有十年设计经验，专注于产品外观设计，结构设计，模具制作，生产制作。 设计合作模式多选择，实力合作更放心，助您打造！爱玛产品设计，三防设计12年，提供三防产品设计,产品外观设计,产品结构设计