《IEC61508-7电气电子可编程的功能安全性电子安全相关.docx》由会员分享,可在线阅读,更多相关《IEC61508-7电气电子可编程的功能安全性电子安全相关.docx(162页珍藏版)》请在三一办公上搜索。
1、国际标准 IEC 61508-72000年3月 第一版电气电子/可编程的功能安全性电子安全相关系统第7部分:技术与方法总览目 录前 言9简 介11Clause条款1.范围132.标准参考文献153.义和缩略语15附件A(补充信息)E/E/PES 的技术和方法总览:随机硬件故障的控制(见 IEC 61508-2)16A.1 电器的16A.1.1利用在线监控进行故障检测16A.1.2 继电器接点的监控16A.1.3 比较器17A.1.4 交叉投票表决器17A.1.5 停止当前工作模式(中断返回)17A.2 电子17A.2.2 动力学原理18A.2.3 标准测试登陆端口和边界检测架构18A.2.4
2、自动防故障装置硬件18A.2.5 监控的冗余19A.2.6 具有自动检查装置的电器/电子元件19A.2.7 相似信号监控20A.2.8降低额定20A.3 处理单元20A.3.1 通过软件进行自我检测:有限数量的模式(单通道)20A.3.2 使用软件进行自我检测:步进位(单通道)21A.3.3由硬件支持的自我检测(单通道)21A.3.4编码处理(单通道)21A.3.5 使用软件进行相互比较22A.4 持久存储范围22A.4.1 字存储多位冗余(例如使用带有修正的海明码进行ROM监控)22A.4.2 修正的校验和23A.4.3 单字签名(8位)23A.4.4 双字签名(16位)23A.4.5 阻止
3、复制(例如具有硬件或者软件比较的双重 ROM )24A.5 恒定的存储器范围24A.5.1 RAM测试“检查板”或者“过程”24A.5.2 RAM测试“步行区”25A.5.3 RAM测试“galpat”或者“transparent galpat”26A.5.4 RAM 测试“Abraham”26A.5.6 用带有修正的海明码进行 RAM 监控,或者用带有错误检测纠正编码(EDC)进行 RAM 监控27A.5.7具有硬件或者软件比较和可读/可写功能的双重RAM27A.6 I/O 单元和接口(外部通讯)28A.6.1测试模式28A.6.2 编码保护28A.6.3 多通道平行输出29A.6.4 监控
4、的输出29A.6.5 输入比较/投票30A.7 数据路径(内部通讯)30A.7.1 一位硬件冗余30A.7.2 多位硬件冗余30A.7.3 完全的硬件冗余31A.7.4使用测试模式进行检查31A.7.5传输冗余31A.7.6 信息冗余32A.8 电源32A.8.1 具有安全断电的超电压保护32A.8.2 电压控制(第二个)33A.8.3 具有安全断电方式的节电方式33A.9 临时和逻辑程序序列监控33A.9.1 具有分时扫描的看门狗(无时窗)33A.9.2 具有分时扫描和时窗的看门狗34A.9.3 程序序列的逻辑监控34A.9.4 程序序列的临时监控和逻辑监控的结合34A.9.5 具有在线检查
5、的临时监控35A.10 通风和加热35A.10.1 温度传感器35A.10.2 风扇控制35A.10.3 经过外部热扩散的安全关闭激励35A.10.5 强迫通风冷却和状态指示的连接36A.11 通讯和大面积存储36A.11.1 电器能量线与信息线的分离36A.11.2 复合线的空间分离36A.11.3 干扰免疫性的提高36A.11.4 Antivalent 信号传输37A.12传感器37A.12.1 参比传感器37A.12.2 正向激励开关38A.13 决定性元素(制动器)38A.13.1 监控38A.13.2 复合制动器的横向监控38A.14 应对物理环境的方法39附件B(作为信息使用)E/
6、E/PES 的技术和方法总览:系统故障的避免(见 IEC 61508-2和IEC 61508-3)40B.1 通用方法和技术40B.1.1 项目管理40B.1.2 文档41B.1.3 将非安全相关系统与安全相关系统隔开43B.1.4 多样化的硬件43B.2 E/E/PES安全需求规范44B.2.1 结构化的规范44B.2.2形式方法44B.2.3 不完全的形式方法45B.2.3.1概要45B.2.3.2 有限状态机器/状态转移图表45B.2.3.3 时间Petri网络46B.2.4 计算机辅助规范工具47B.2.4.1 概要47B.2.4.2面向非特定方法的工具47B.2.4.3 具有分层分析
7、的面向模型的流程47B.2.4.4实体模型48B.2.4.5 激励和答案48B.2.5清单49B.2.6 规范的检查50B.3 E/E/PES设计与开发50B.3.1 指南与标准的遵守50B.3.2 结构化设计51B.3.3 使用试验证明效果良好的元件52B.3.4 模块化53B.3.5 计算机辅助设计工具53B.3.6 仿真54B.3.7 检查(复查与分析)55B.3.8 演示55B.4 E/E/PES运行与维护流程56B.4.1 运行和维护指导56B.4.2 用户友好性56B.4.3 维护的友好性57B.4.4 限制操作可能性57B.4.5 只能由熟练的操作人员进行操作57B.4.6 预防
8、操作人员所产生的错误58B.4.7(未被使用)58B.4.8 发生改变58B.4.9 输入确认58B.5 E/E/PES 的集成59B.5.1 功能测试59B.5.2 黑盒测试59B.5.3 统计测试60B.5.4行业领域经验61B.6 E/E/PES 安全确认62B.6.1 在环境条件下的功能测试62B.6.2 干预波动免疫测试62B.6.3(没有被使用)63B.6.4 静态分析63B.6.5 动态分析63B.6.6 错误分析64B.6.6.1 故障模块与效果分析64B.6.6.2 起因结果图表65B.6.6.3事件树分析65B.6.6.4 错误模式,影响与危害程度分析65B.6.6.5 故
9、障树分析66B.6.7 最坏案例分析67B.6.8扩充的功能测试67B.6.9 最差案例测试67B.6.10 错误插入测试68附件C(补充知识性的)取得软件安全完整性的技术和方法总览(见 IEC 61508-3)69C.1 概要69C.2 要求和详细设计69C.2.1 结构化的方法69C.2.1.1概要69C.2.1.2 核心控制需求表现71C.2.1.3 JSD - 杰克逊系统的开发71C.2.1.4 MASCOT - 软件构造的组件方法,运行和测试71C.2.1.5 实时 Yourdon72C.2.1.6 SADT 结构化分析与设计技术73C.2.2 数据流图表74C.2.3 结构图表75
10、C.2.4 形式方法75C.2.4.1概要75C.2.4.2 CCS 通讯系统计算76C.2.4.3 CSP - 通讯顺序过程77C.2.4.4 HOL 较高序列逻辑77C.2.4.5 LOTOS78C.2.4.6 OBJ78C.2.4.7 临时逻辑79C.2.4.8 VDM,VDM+ - Vienna 开发方法79C.2.4.9 Z81C.2.5 保护性的编程81C.2.6 设计与编码标准83C.2.6.1 概要83C.2.6.2 编码标准83C.2.6.3 没有动态变量或者动态对象84C.2.6.4 在动态变量或者动态对象创建期间的在线检查84C.2.6.5 有限使用中断85C.2.6.6
11、 有限的制用指针85C.2.6.7 有限使用迭代85C.2.7 结构化编程85C.2.8 信息隐藏/封装86C.2.9 组件方法87C.2.10 使用信任/验证的软件组件和组成要素87C.3 架构设计89C.3.1 错误检测与诊断89C.3.2 错误检测与纠正代码90C.3.3 错误断言编程90C.3.5 软件的多样性(多样化编程)91C.3.6 恢复阻塞92C.3.7 向后恢复92C.3.8 向前恢复93C.3.9 重试错误恢复机制93C.3.10 记住执行的案例94C.3.11 合体的降级94C.3.12 人工智能错误纠正95C.3.13 动态重新配置95C.4 开发工具和编程语言96C.
12、4.1 强壮类型编程语言96C.4.3 认证工具和认证解释器97C.4.4 工具和解释器:使用中增加的可信度:98C.4.4.1 源程序与可执行代码的比较98C.4.6 合适的编程语言99C.5 验证和修改103C.5.1 概率测试103C.5.2 数据记录和分析104C.5.3 接口测试104C.5.4 边界值分析105C.5.5 错误猜测105C.5.6 错误播种(错误插值)106C.5.7 等价类和输入分割测试106C.5.8 基于结构的测试107C.5.9 控制流分析.108C.5.10 数据流分析108C.5.11 潜在电流分析109C.5.12 符号执行110C.5.13 形式验证
13、110C.5.15 Fagan 检查111C.5.17 原型 /animation112C.5.18 过程仿真113C.5.19 性能需求113C.5.20 性能建模114C.5.21 雪崩/压力测试115C.5.22 响应定时与存储约束115C.5.23 影响分析115C.5.24 软件配置管理116C.6 功能安全估计117C.6.1 决策表 (真实表)117C.6.2 危害和操作性能研究 ( HAZOP )117C.6.3 通常故障起因分析118C.6.4 马尔科夫模型119C.6.5 可靠性方块图120C.6.6 Monte-Carlo 仿真121附录 D(提供信息性质的)用于确定预先
14、开发的软件的软件安全完整性的一个概率方法122D.1 概述122D.2 统计测试公式与它们使用的例子123D.2.1 低请求运行模式的简单统计测试123D.2.1.1 先决条件123D.2.1.2 结果123D.2.1.3 例子123D.2.2 一个低请求运行模式的输入空间(域)测试123D.2.2.1 先决条件123D.2.2.2 结果123D.2.2.3 例子124D.2.3 高请求或者连续运行模式的简单统计测试124D.2.3.1 先决条件124D.2.3.2 结果124D.2.3.3 例子125D.2.4 完全测试125D.2.4.1 先决条件125D.2.4.2 结果125D.2.4
15、.3 例子126D.3 参考文献126参考文献:128索 引131表C.l特定编程语言的建议102表D.l安全完整性水平可信度的必要历史纪录122表D.2低请求运行模式的故障概率123表D.3两个测试点间的平均距离124表D.4高命令或者连续运行模式的故障概率125表D.5测试所有程序属性的概率126国际电气委员会电气/电子/可编程电子安全相关系统的功能安全性第七部分:技术与方法总览前 言1) IEC(国际电气技术委员会)是一个世界范围的负责标准化的组织,它由各个国家的电气委员会(国家IEC委员会)。IEC的目标是在所有关于电气与电子领域的问题上提高国际合作。为了实现这个目标和其它的组织活动,
16、IEC颁布国际标准。国际标准的准备工作委托给技术委员会来完成;任何国家的IEC委员会如果对要指定的标准感兴趣,都可以参加的标准制定的准备工作。IEC与国际标准化组织进行紧密合作,并遵守两个组织已经达成一致的协议中的条件。2) IEC关于技术问题上的正式决定或者协议,都要尽可能的,反映出相关主题的国际范围内的大多数意见,因为每个技术委员会是所有对此领域感兴趣的国家委员会的代表。3) 文件以建议的形式被制定以使它能在国际上使用,并以标准的形式,技术说明的形式,技术报告或者指南的方式进行颁布并被参与制定的国家委员会所接受。4) 为了提高国际的统一性,IEC国家委员会承担了在国家和地区范围内最大限度的
17、应用IEC标准的工作。任何IEC标准与相应的国家地区标准相矛盾的地方应在后面清晰的指出来。5) IEC不以标志性的方式表示承认任何声称符合IEC标准的任何设备并不承担任何责任。6) 应该注意到有可能一些国际标准的基础和要素可能涉及到了专利权的问题。IEC不对认证这些专利权负责。国际标准IEC 61508-7已经由负责工业过程测量与控制的IEC技术委员会(65)的系统小组委员会65A准备。这个标准的正文给予下列的文件:FDlS投票报告65A/293/FDIS65A/229/RVD关于投票表决通过标准的完整信息可以在报告中的投票表决部分查到,见上表。这次公布的标准按照ISO/IEC指导建议的第三部
18、分拟定附件中的A,B,C,D只是起到提供信息的目的。IEC61508由下列部分组成,通用标题为电气/电子/可编程电子安全相关系统的功能安全性:- 第 1 部分:一般要求- 第 2 部分:电气/电子/可编程电子安全相关系统的要求- 第 3 部分:软件要求- 第 4 部分:定义和缩略语- 第 5 部分:确定安全整体水平方法的实例- 第 6 部分:IEC 61508-2 和IEC 61508-3 的应用指南- 第 7 部分:技术和措施综述委员会已经决定这次发布的标准内容将在2006年以前保持不变。到期后,公布的标准将会l 再次确认;l 取消;l 用修订版本代替,或者l 修订。简 介由电气和/或者电子
19、元件组成的系统来完成安全功能已经在很多领域使用很多年了,基于计算机的系统(通常指可编程的电子系统(PES)正被使用在非安全功能的的所有领域中并且越来越多的开始完成安全功能的任务。如果计算机系统的技术要被有效安全的开发,那么那些负责决策的人能够对那些决策涉及到的安全领域提供指导就显得非常重要。这个国际标准制定了一个通用方法,这个通用方法针对由电气和/或电子和/或可编程的电子元件(电气/电子/可编程的电子系统(E/E/PES)组成的系统的安全周期活动,这些元件主要用来执行安全功能。为了能为所有的给予电气的安全相关系统开发出一个合理并且持久的技术策略,这个统一方法已经被采纳。一个主要的目标是便于应用
20、方面的标准的开发。在大多数情况下,安全性有许多保护系统来实现,这些保护系统基于很多技术(例如机械,水力,风力,电气,电力,可编程的电子装置)。因此任何安全系统必须不仅考虑到一个单独系统内的所有元素(例如传感器,控制装置和制动器)而且要考虑到所有的安全相关的系统,这些安全系统组成了安全相关系统的联合体。因此,由于这个国际标准关心的是电气/电子/可编程电子装置(E/E/PES)安全相关系统,它同时可以提供了一个框架,在这个框架以内,基于其它技术的安全相关系统也可以被考虑。意识到在不同应用领域里的E/E/PES应用的多样性和广泛的复杂性,危险性和潜在风险,在任何的特定应用里,安全性方法的确切规定将依
21、赖于特定应用的许多隐私。通用性的国际标准将使这样的规定在将来的相关应用领域的国际标准中被详细阐明。关于这个国际标准 当E/E/PES被用于执行安全性功能时,需要考虑所有相关的E/E/PES和软件安全周期阶段(例如,从初始概念,经过设计,开发,运行和维护到淘汰); 这个标准的设计考虑到了快速发展的技术;标准的框架是充分鲁棒的并且全面适应了将来发展的需要; 使处理安全相关的E/E/PES应用领域标准能够得以发展;在这个标准框架内的的应用领域国际标准的发展应该在应用领域和交叉应用领域保持高度一致(例如,在根本的原则,技术上,等等);他们将具有安全感和经济上的双重利益; 提供了一个安全要求说明发展的方
22、法,这个方法对于E/E/PE安全相关系统的需要的功能安全是必要的。 使用安全状态水平来指定对于要被E/EP安全相关系统所执行的安全功能的安全状态的目标水平; 采用基于风险的方法来确定安全状态水平要求; 为E/E/PE安全相关系统设定数字的目标失败的衡量方法,它与安全状态水平有关; 在一个失败的危险模式下,为目标失败的衡量方法设定一个下限,这种模式可以要求一个单独的E/E/PE安全相关系统;对于运行在以下情形下的E/E/PE安全相关系统; 当运行在一个低端命令模式时,下限的失败概率通常被设置为105,来执行它的命令的设计功能; 当运行在一个高端命令模式或者连续模式时,下限的危险失败概率通常被设置
23、为109每小时;注- 一个单独的E/E/PE安全相关系统不是一定具有单通道架构。 采用广泛的原理,技术和方法来取得E/E/PE安全相关系统的功能安全性,但是不依赖于故障的功能安全性概念,当故障模式被完好定义并且复杂性水平相对比较低时,这个概念可能很有价值 但是故障安全的概念在这里被认为是不合适的,因为E/E/PE安全相关系统得完全复杂性范围处于标准范围以内,将由E/E/PE安全相关相关系统执行的功能;已经就要就会执行它的设计功能的故障;每小时中的一个危险故障。电器/电子/可编程电子安全相关系统的功能安全性第七部分:技术和方法总览1.范 范围1.1 IEC61508的这一部分包含了一个与IEC6
24、1508-2和IEC61508-3相关的关于各种安全技术和方法的总览。注意注 - 这份参考资料应该被看成是方法和工具的基本参考或者离子并且它们可能不代表技术发展水平。1.2 IEC 61508-1,IEC 61508-2,IEC 61508-3和IEC 61508-4时基本的安全性公开标准,尽管这个情况不适用于低复杂性E/E/PE安全相关系统的背景中(见IEC 61508-4的3.4.4)。作为基本的安全性公开标准,它们可能被筹备与IEC指南104和ISO/ IEC指南51原理相一致的标准的技术委员会使用。IEC 61508同样将被用作单机标准。技术委员会的一个责任是,无论在哪里应用,要在它自
25、己的公开标准中使用安全性公开标准。在这种背景下,这种基本安全公开标准的需求,测试方法或者测试条件将不能使用,除非已经在那些技术委员会准备的公开标准中特别提到或者包括进去。注意1 - 一个E/E/PE安全相关系统的功能安全只能在所有的相关要求已经满足的情况下才能取得。因此,很重要的一条就是所有的相关要求要被仔细地考虑,充分的参考。注意2 - 在美国和加拿大,直到IEC 61511(也就是IEC 61508)建议的过程领域应用作为国际标准在美国和加拿大公布,现存的基于IEC 61508(也就是ANSI/ISA 584. 01-1996)的国家过程安全标准可以作为IEC 61508的替代标准来使用。
26、1.3 图1显示了这个标准的第1部分到第7部分的所有框架并指出了IEC 61508-7在E/E/PE安全相关系统的功能安全方面取得的成绩中所扮演的角色。定义和缩写第4部分文档第五条款和附录A功能安全管理第6条第1部分功能安全评价第8条第1部分第1部分 第2部分第2部分和第3部分应用指南E/E/PE安全相关系统的安全要求的分配7.6E/E/PE安全相关系统的安全要求的分配7.6E/E/PE安全相关系统的安装、调试和安全确认,7.13 和7.14第1部分E/E/PE安全相关系统的运行和维护、改动和翻新、退役或者废弃,7.15 to 7.17第1部分用来开发安全完整性要求的基于风险的方法第5部分综合
27、安全要求的开发 (概念、范围定义、危险和风险分析)( E/E/PE安全相关系统、其它技术安全相关系统和外部风险降低设施)7.17.5P第1部分技术要求用来开发安全完整性要求的基于风险的方法第7部分E/E/PE安全相关系统的安全要求的分配7.6第1部分第6部分其他要求第2部分第3部分2标准参考文献下面的标准文件包含了很多条款,通过参考正文中的文献,这些条款构成了IEC61508这一部分的条款。对于过期的参考文献,并不适用于下面任何公开标准的更正,或者修订。然而,同意遵守IEC61508的团体将被鼓励研究将下面指出的大多数的最新文件版本进行应用的可能性。对于更新的参考文献,标准文件的最新版本指的是
28、已经应用的文件。ISO和IEC的会员维护当前合法国际标准的登记注册。IEC61508-1:1998,电器气/电子/可编程电子安全相关系统的功能安全 第一部分1部分:一般要求IEC61508-2,电器气/电子/可编程电子安全相关系统的功能安全 第2二部分:电器气/电子/可编程电子安全相关系统的要求IEC61508-3:1998,电器气/电子/可编程电子安全相关系统的功能安全 第3三部分:软件要求IEC61508-4:1998,电器气/电子/可编程电子安全相关系统的功能安全 第4四部分:定义和缩略语IEC61508-5:1998,电器气/电子/可编程电子安全相关系统的功能安全 第5五部分:确定安全
29、状态水平的发放实例IEC61508-6:电器电气/电子/可编程电子安全相关系统的功能安全 第6六部分:IEC61508-2和IEC61508-3应用的指南IEC指南 104:1997,安全性公开标准,基本安全性公开标准的使用和群体安全性公开标准的准备IEC/ISO指南51:1990,标准中关于安全性方面的涵盖的指南3义和缩略语为了实现IEC 61508的目标,使用在IEC 61508-4种给出的定义和缩略语。附 件 A(补充信息)E/E/PES的技术和方法总览:随机硬件故障的控制(见IEC 61508-2)A.1 电器的全球目标:为了控制电器元件的故障。A.1.1 利用在线监控进行故障检测注意
30、注 - 这个技术/方法被IEC61508-2的表A.2,A.3,A.7和A.14到A.19中参考。目的:通过监控E/E/PE安全相关系统的行为对常规(在线)的控制中的设备(EUC)运行的响应,来检测故障。描述:在特定条件下,故障可以用EUC的(例如)时间表现的信息来检测。例如,如果一个开关,它是E/E/PE安全相关系统的一部分,被EUC在正常情况下激活,如果开关没有在预期的时间改变状态,将会检测出一个故障。通常这不太可能是本地故障。A.1.2 继电器接点的监控注意注 - 这个技术/方法被IEC61508-2的表A.2和A.15参考。目的:检测继电器接点的故障(例如焊接)。描述:被动接点(或者主
31、动引导接点)的继电器的设计是为了它们的接点能够紧密地连在一起。假设有两套对调接点的装置,a和b,如果正常打开型接点,a,焊接,正常关闭型接点b,当紧挨着的继电器线圈不能被断开,则不能闭合。因此,当继电器线圈断开时,对正常关闭型的接点b关闭情况的监控可以被用来证明正常打开型接点a已经打开。正常关闭接点b的闭合故障指示了接点a的故障,所以对任何由接点a控制的机器,监控电流应该保证能够正常关闭,或者保证关闭在进行中。参考文献:Zusammenstellung und Bewertung elektromechanischer Sicherheitsschaltungen fr Verroeg-elu
32、ngseinrichtungen. F. Kreutzkampf, W. Hertel, Sicherheitstechnisches Informations- und Arbeitsblatt 330212, BIA-Handbuch. 17. Lfg. X/91, Erich Schmidt Verlag, Bielefeld.Anlagensicherung mit Mitteln der MSR-Technik. G. Strohrman, Oldenburg, 1983.A.1.3 比较器注意注 - 这个技术/方法被IEC61508-2的表A.2,A3和A.4参考。目的:为了能尽早
33、尽可能的在独立处理单元或者比较器中检测出(非并发)的故障。描述:独立处理单元的信号被一个硬件比较器循环连续比较。比较器本身可能被外部测试,或者它可能使用了自我监控技术。在处理器的运行状态上检测出的差异将产生一个失败的信息。A.1.4 交叉投票表决器注意注 - 这个技术/方法被IEC61508-2的表A.2,A3和A.4参考。目的:在至少三个硬件通道中的一个来检测并屏蔽故障。描述:一个投票单元采用少数服从多数原则(2相对于3,3相对于3,或者m相对于n)来检测并屏蔽故障。投票器本身可能有外部检测,或者它采用其它的自我监控技术。参考文献: Guidelines for Safe Automatio
34、n of Chemical Processes. CCPS, AIChE, New York, 1993.化学过程安全自动化指南 CCPS, AIChE, New York, 1993.Anlagensicherung mit Mitteln der MSR-Technik. Praxis der Sicherheitstechnik, Vol 1, Decherna, 1988. ,Sicherung von Anlagen der Verfahrenstechnik mit Mitteln der Mess-, Steuerungs- und Regelungstechnik. VDIND
35、E Blatt 1 to 5, 1984 to 1988.A.1.5 停止当前工作模式(中断返回)注意注 IEC 61508-2的表A.2,A3A9,A14和A.415参考了这个技术/方法。目标:如果电源被切断或者不可使用,则执行安全功能.描述:如果接点打开并且没有电流通过,则执行安全功能。例如,如果使用制动器来停止马达的危险性动作,则通过闭合安全相关系统的接点来打开制动器,通过打开安全相关系统的接点来关闭制动器。参考文献:化学处理的自动化指南,CCPS,AIChE,纽约,1993。AA.2 电子总体目标:控制固态元件的故障。注意注 IEC 61508-2的表A.3,A16,A.17和A19参
36、考了这个技术/方法目标:为了用硬件冗余检测故障,例如,使用其余的不需要执行处理功能的硬件。描述:荣誉硬件可以用来检测指定安全功能的平率是否合适。这个方法通常在实现A.1.1或者A.2.2时是必要的。参考文献:Elektronik in der Sicherheitstechnik. H. Jrs, D. Reinert, Sicherheitstechnisches Informations- und Arbeitsblatt 330220, BIA-Handbuch, Erich-Schmidt Verlag, Bielefeld, 1990.A.2.2 动力学原理注意注 IEC 61508
37、-2的表A.3参考了这个技术/方法目的:为了用动态信号处理来检测静态故障描述:另外的静态信号的强制变化(内部或者外部产生的)帮助检测元件中的静态故障。这个技术通常与机械电子元件联系在一起。参考文献:Elektronik in der Sicherheitstechnik. H. Jrs, D. Reinert, Sicherheitstechnisches Informations-und Arbeitsblatt 330220, BIA-Handbuch, Erich-Schmidt Verlag, Bielefeld, 1993.A.2.3 标准测试登陆端口和边界检测架构注意注 IEC 6
38、1508-2的表A.3,A16和A.19参考了这个技术/方法。目标:边界检测测试是一个IC设计技术描述:这个技术通过解决如何获取登陆其范围以内的电流测试点这个问题提高了IC的可测性。在一个由核心逻辑模块,输入和输出缓冲器组成的典型的边界检测IC里,一个移位寄存器被放于近邻IC管脚的核心逻辑模块和输入输出缓冲器之间。每个边缘检测单元内部都包含了移位寄存器。通过标准测试登陆端口,边缘检测单元可以控制并观测每个IC的输入输出的发生的情况。IC核心逻辑模块的内部测试通过将,单片核心逻辑模块与从周围元件所接收的激励分离开来然后执行一个内部测试,这样一个过程来完成。这些测试可以用来检测IC中的故障。参考文
39、献:IEEE 1149.1:1990,标准测试登陆端口与边界检测架构A.2.4 自动防故障装置硬件注意注 - IEC61508-2的表A.3参考了这个技术/方法。目的:如果故障出现,将系统置于安全状态。描述:在硬件连接数控系统中,一个单元可能运行在一个自动防故障模式下,如果 - 定义的一套故障将导致一个安全的状态,并且 - 它们被检测出来-例如 定义的一套故障可能包括绑定故障,开路故障,元件内部和元件间的短路和定向短路。参考文献: Dependability of Critical Computer Systems 1. F. J. Redmill, Elsevier Applied Scie
40、nce, 1988,ISBN 1-85166-203-0.Elektronik in der Sicherheitstechnik. H. Jrs, D. Reinert, Sicherheitstechnisches InformationsundArbeitsblatt 330220, BIA-Handbuch, Erich-Schmidt Verlag, Bielefeld, 1993.A.2.5 监控的冗余注意注 - IEC61508-2的表A.3参考了这个技术/方法。目标:为了检测故障,可以由如下办法实现通过提供集中功能部件,监控每个部件的状态来检测故障,如果检测到任何行为上的差异可
41、以通过发起一个跳变到一个安全状态。描述:安全功能被至少两个硬件通道执行。这些通道的输出被监控,当检测到一个故障时(例如,如果所有的通道发出的输出信号不相同),将开始一个安全状态。参考文献: Dependability of Critical Computer Systems 1. F. J. Redmill, Elsevier Applied Science, 1988,ISBN 1-851 66-203-0.Elektronik in der Sicherheitstechnik. H. Jrs, D. Reinert, Sicherheitstechnisches Informations
42、und Arbeitsblatt 330220, BIA-Handbuch, Erich-Schmidt Verlag, Bielefeld, 1993.A.2.6 具有自动检查装置的电器/电子元件注意注 IEC 61508-2的表A.3参考了这个技术/方法。目标:通过安全功能的周期检查来检测故障描述:在过程开始前已经被测试,并在合适的间隔周期反复测试。仅在每个测试成功的条件下EUC才能继续运行。参考文献:Dependability of Critical Computer Systems 1. F. J. Redmill, Elsevier Applied Science, 1988, IS
43、BN 1-85166-203-0.Elektronik in der Sicheiheitstechnik. H.Jrs, D. Reinert, Sicherheitstechnisches Informationsund Arbeitsblatt 330220, BIA-Handbuch, Erich-Schmidt Verlag, Bielefeld, 1993.A.2.7 相似信号监控注意注IEC61508-2的表A.3和A.14参考了这个技术/方法。目标:提高测量信号的可信度描述:任何时候有了一个选择,相似信号相对于数字开/关优先使用。例如,差错或者安全状态由相似信号电平代表,通常具
44、有信号电平承受监控。这个技术提供了连续监控和发射器中较高的可信度,并减少了必要的发射器感知功能的检验频率。外部接口,例如脉冲管,同样需要测试。参考文献:UKOOA Guidelines for Instrument-Based Systems, UK Offshore OperatorsAssociation Limited, December 1995.A.2.8降低额定目标:提高硬件元件的可靠性描述:硬件元件运行在有系统设计所保证的最大等级以下。降低额定是保证在所有正常运行的环境下,元件能够在最大压力水平下工作的很好的手段。A.3 处理单元总体目标:识别处理单元中导致错误结果的的故障A.3.1 通过软件进行自我检测:有限数量的模式(单通道
