1、国际标准 IEC 61508-72000年3月 第一版电气电子/ 可编程的功能安全性电子安全相关系统第 7 部分:技术与方法总览目 录前 言 .9简 介 11Clause 条款1.范围 132.标准参考文献 153.义和缩略语 15附件 A(补充信息)E/E/PES 的技术和方法总览:随机硬件故障的控制(见 IEC 61508- 2) .16A.1 电器的 16A.1.1 利用在线监控进行故障检测 .16A.1.2 继电器接点的监控 16A.1.3 比较器 17A.1.4 交叉投票表决器 17A.1.5 停止当前工作模式(中断返回) 17A.2 电子 17A.2.2 动力学原理 18A.2.3
2、 标准测试登陆端口和边界检测架构 18A.2.4 自动防故障装置硬件 18A.2.5 监控的冗余 19A.2.6 具有自动检查装置的电器 /电子元件 .19A.2.7 相似信号监控 20A.2.8 降低额定 .20A.3 处理单元 20A.3.1 通过软件进行自我检测:有限数量的模式(单通道) 20A.3.2 使用软件进行自我检测:步进位(单通道) 21A.3.3 由硬件支持的自我检测(单通道) .21A.3.4 编码处理(单通道) .21A.3.5 使用软件进行相互比较 22A.4 持久存储范围 22A.4.1 字存储多位冗余(例如使用带有修正的海明码进行 ROM 监控) .22A.4.2
3、修正的校验和 23A.4.3 单字签名(8 位) .23A.4.4 双字签名(16 位) .23A.4.5 阻止复制(例如具有硬件或者软件比较的双重 ROM ) .24A.5 恒定的存储器范围 24A.5.1 RAM 测试 “检查板”或者“过程” .24A.5.2 RAM 测试 “步行区” .25A.5.3 RAM 测试 “galpat”或者“transparent galpat” .26A.5.4 RAM 测试 “Abraham” .26A.5.6 用带有修正的海明码进行 RAM 监控,或者用带有错误检测纠正编码(EDC)进行 RAM 监控 .27A.5.7 具有硬件或者 软件比较和可读 /
4、可写功能的双重 RAM .27A.6 I/O 单元和接口(外部通讯) .28A.6.1 测试模式 .28A.6.2 编码保护 28A.6.3 多通道平行输出 29A.6.4 监控的输出 29A.6.5 输入比较/投票 .30A.7 数据路径(内部通讯) 30A.7.1 一位硬件冗余 30A.7.2 多位硬件冗余 30A.7.3 完全的硬件冗余 31A.7.4 使用测试模式进行检查 .31A.7.5 传输冗余 .31A.7.6 信息冗余 32A.8 电源 32A.8.1 具有安全断电的超电压保护 32A.8.2 电压控制(第二个) 33A.8.3 具有安全断电方式的节电方式 33A.9 临时和逻
5、辑程序序列监控 33A.9.1 具有分时扫描的看门狗(无时窗) 33A.9.2 具有分时扫描和时窗的看门狗 34A.9.3 程序序列的逻辑监控 34A.9.4 程序序列的临时监控和逻辑监控的结合 34A.9.5 具有在线检查的临时监控 35A.10 通风和加热 35A.10.1 温度传感器 35A.10.2 风扇控制 35A.10.3 经过外部热扩散的安全关闭激励 35A.10.5 强迫通风冷却和状态指示的连接 36A.11 通讯和大面积存储 36A.11.1 电器能量线与信息线的分离 36A.11.2 复合线的空间分离 36A.11.3 干扰免疫性的提高 36A.11.4 Antivalen
6、t 信号传输 .37A.12 传感器 .37A.12.1 参比传感器 37A.12.2 正向激励开关 38A.13 决定性元素(制动器) 38A.13.1 监控 38A.13.2 复合制动器的横向监控 38A.14 应对物理环境的方法 39附件 B(作为信息使用)E/E/PES 的技术和方法总览:系统故障的避免(见 IEC 61508-2 和 IEC 61508-3)40B.1 通用方法和技术 40B.1.1 项目管理 .40B.1.2 文档 .41B.1.3 将非安全相关系统与安全相关系统隔开 .43B.1.4 多样化的硬件 43B.2 E/E/PES 安全需求规范 .44B.2.1 结构化
7、的规范 44B.2.2 形式方法 .44B.2.3 不完全的形式方法 45B.2.3.1 概要 .45B.2.3.2 有限状态机器/状态转移图表 .45B.2.3.3 时间 Petri 网络 .46B.2.4 计算机辅助规范工具 47B.2.4.1 概要 47B.2.4.2 面向非特定方法的工具 .47B.2.4.3 具有分层分析的面向模型的流程 47B.2.4.4 实体模型 .48B.2.4.5 激励和答案 48B.2.5 清单 .49B.2.6 规范的检查 50B.3 E/E/PES 设计与开发 .50B.3.1 指南与标准的遵守 50B.3.2 结构化设计 51B.3.3 使用试验证明效
8、果良好的元件 52B.3.4 模块化 53B.3.5 计算机辅助设计工具 53B.3.6 仿真 54B.3.7 检查(复查与分析) 55B.3.8 演示 55B.4 E/E/PES 运行与维护流程 .56B.4.1 运行和维护指导 56B.4.2 用户友好性 56B.4.3 维护的友好性 57B.4.4 限制操作可能性 57B.4.5 只能由熟练的操作人员进行操作 57B.4.6 预防操作人员所产生的错误 58B.4.7(未被使用) 58B.4.8 发生改变 58B.4.9 输入确认 58B.5 E/E/PES 的集成 59B.5.1 功能测试 59B.5.2 黑盒测试 59B.5.3 统计测
9、试 60B.5.4 行业领域经验 .61B.6 E/E/PES 安全确认 62B.6.1 在环境条件下的功能测试 62B.6.2 干预波动免疫测试 62B.6.3(没有被使用) 63B.6.4 静态分析 63B.6.5 动态分析 63B.6.6 错误分析 64B.6.6.1 故障模块与效果分析 64B.6.6.2 起因结果图表 65B.6.6.3 事件树分析 .65B.6.6.4 错误模式,影响与危害程度分析 65B.6.6.5 故障树分析 66B.6.7 最坏案例分析 67B.6.8 扩充的功能测试 .67B.6.9 最差案例测试 67B.6.10 错误插入测试 68附件 C(补充知识性的)
10、取得软件安全完整性的技术和方法总览(见 IEC 61508-3) .69C.1 概要 69C.2 要求和详细设计 69C.2.1 结构化的方法 69C.2.1.1 概要 .69C.2.1.2 核心控制需求表现 71C.2.1.3 JSD - 杰克逊系统的开发 71C.2.1.4 MASCOT - 软件构造的组件方法,运行和测试 71C.2.1.5 实时 Yourdon 72C.2.1.6 SADT 结构化分析与设计技术 73C.2.2 数据流图表 74C.2.3 结构图表 75C.2.4 形式方法 75C.2.4.1 概要 .75C.2.4.2 CCS 通讯系统计算 .76C.2.4.3 CS
11、P - 通讯顺序过程 77C.2.4.4 HOL 较高序列逻辑 77C.2.4.5 LOTOS.78C.2.4.6 OBJ 78C.2.4.7 临时逻辑 79C.2.4.8 VDM,VDM+ - Vienna 开发方法 79C.2.4.9 Z.81C.2.5 保护性的编程 81C.2.6 设计与编码标准 83C.2.6.1 概要 83C.2.6.2 编码标准 83C.2.6.3 没有动态变量或者动态对象 84C.2.6.4 在动态变量或者动态对象创建期间的在线检查 84C.2.6.5 有限使用中断 85C.2.6.6 有限的制用指针 85C.2.6.7 有限使用迭代 85C.2.7 结构化编程
12、 85C.2.8 信息隐藏/封装 .86C.2.9 组件方法 87C.2.10 使用信任/验证的软件组件和组成要素 .87C.3 架构设计 89C.3.1 错误检测与诊断 89C.3.2 错误检测与纠正代码 90C.3.3 错误断言编程 90C.3.5 软件的多样性(多样化编程) 91C.3.6 恢复阻塞 92C.3.7 向后恢复 92C.3.8 向前恢复 93C.3.9 重试错误恢复机制 93C.3.10 记住执行的案例 94C.3.11 合体的降级 94C.3.12 人工智能错误纠正 95C.3.13 动态重新配置 95C.4 开发工具和编程语言 96C.4.1 强壮类型编程语言 96C.
13、4.3 认证工具和认证解释器 97C.4.4 工具和解释器:使用中增加的可信度: 98C.4.4.1 源程序与可执行代码的比较 98C.4.6 合适的编程语言 99C.5 验证和修改 103C.5.1 概率测试 103C.5.2 数据记录和分析 104C.5.3 接口测试 104C.5.4 边界值分析 105C.5.5 错误猜测 105C.5.6 错误播种(错误插值) 106C.5.7 等价类和输入分割测试 106C.5.8 基于结构的测试 107C.5.9 控制流分析. .108C.5.10 数据流分析 108C.5.11 潜在电流分析 109C.5.12 符号执行 110C.5.13 形式
14、验证 110C.5.15 Fagan 检查 .111C.5.17 原型 /animation.112C.5.18 过程仿真 113C.5.19 性能需求 113C.5.20 性能建模 114C.5.21 雪崩/压力测试 .115C.5.22 响应定时与存储约束 115C.5.23 影响分析 115C.5.24 软件配置管理 116C.6 功能安全估计 117C.6.1 决策表 (真实表) .117C.6.2 危害和操作性能研究 ( HAZOP )117C.6.3 通常故障起因分析 118C.6.4 马尔科夫模型 119C.6.5 可靠性方块图 120C.6.6 Monte-Carlo 仿真 1
15、21附录 D(提供信息性质的)用于确定预先开发的软件的软件安全完整性的一个概率方法 .122D.1 概述 122D.2 统计测试公式与它们使用的例子 123D.2.1 低请求运行模式的简单统计测试 123D.2.1.1 先决条件 123D.2.1.2 结果 123D.2.1.3 例子 123D.2.2 一个低请求运行模式的输入空间(域)测试 123D.2.2.1 先决条件 123D.2.2.2 结果 123D.2.2.3 例子 124D.2.3 高请求或者连续运行模式的简单统计测试 124D.2.3.1 先决条件 124D.2.3.2 结果 124D.2.3.3 例子 125D.2.4 完全测
16、试 125D.2.4.1 先决条件 125D.2.4.2 结果 125D.2.4.3 例子 126D.3 参考文献 126参考文献: .128索 引 .131表 C.l特定编程语言的建议 102表 D.l安全完整性水平可信度的必要历史纪录 122表 D.2低请求运行模式的故障概率 123表 D.3两个测试点间的平均距离 124表 D.4高命令或者连续运行模式的故障概率 125表 D.5测试所有程序属性的概率 126国际电气委员会电气/电子/可编程电子安全相关系统的功能安全性第七部分:技术与方法总览前 言1)1) IEC(国际电气技术委员会)是一个世界范围的负责标准化的组织,它由各个国家的电气委
17、员会(国家IEC 委员会)。IEC 的目标是在所有关于电气与电子领域的问题上提高国际合作。为了实现这个目标和其它的组织活动,IEC 颁布国际标准。国际标准的准备工作委托给技术委员会来完成;任何国家的 IEC 委员会如果对要指定的标准感兴趣,都可以参加的标准制定的准备工作。IEC 与国际标准化组织进行紧密合作,并遵守两个组织已经达成一致的协议中的条件。2) IEC 关于技术问题上的正式决定或者协议,都要尽可能的,反映出相关主题的国际范围内的大多数意见,因为每个技术委员会是所有对此领域感兴趣的国家委员会的代表。3) 文件以建议的形式被制定以使它能在国际上使用,并以标准的形式,技术说明的形式,技术报
18、告或者指南的方式进行颁布并被参与制定的国家委员会所接受。4) 为了提高国际的统一性,IEC 国家委员会承担了在国家和地区范围内最大限度的应用 IEC 标准的工作。任何 IEC 标准与相应的国家地区标准相矛盾的地方应在后面清晰的指出来。5) IEC 不以标志性的方式表示承认任何声称符合 IEC 标准的任何设备并不承担任何责任。6) 应 该 注 意 到 有 可 能 一 些 国 际 标 准 的 基 础 和 要 素 可 能 涉 及 到 了 专 利 权 的 问 题 。 IEC 不 对 认 证 这 些 专 利 权 负 责 。国际标准 IEC 61508-7 已经由负责工业过程测量与控制的 IEC 技术委员
19、会(65)的系统小组委员会 65A 准备。这个标准的正文给予下列的文件:FDlS 投票报告65A/293/FDIS 65A/229/RVD关于投票表决通过标准的完整信息可以在报告中的投票表决部分查到,见上表。这次公布的标准按照 ISO/IEC 指导建议的第三部分拟定附件中的 A,B,C,D 只是起到提供信息的目的。IEC61508 由下列部分组成,通用标题为电气/电子/ 可编程电子安全相关系统的功能安全性:- 第 1 部分:一般要求- 第 2 部分:电气/电子/可编程电子安全相关系统的要求- 第 3 部分:软件要求- 第 4 部分:定义和缩略语- 第 5 部分:确定安全整体水平方法的实例- 第
20、 6 部分:IEC 61508-2 和IEC 61508-3 的应用指南- 第 7 部分:技术和措施综述委员会已经决定这次发布的标准内容将在 2006 年以前保持不变。到期后,公布的标准将会 再次确认; 取消; 用修订版本代替,或者 修订。简 介由电气和/或者电子元件组成的系统来完成安全功能已经在很多领域使用很多年了,基于计算机的系统(通常指可编程的电子系统(PES)正被使用在非安全功能的的所有领域中并且越来越多的开始完成安全功能的任务。如果计算机系统的技术要被有效安全的开发,那么那些负责决策的人能够对那些决策涉及到的安全领域提供指导就显得非常重要。这个国际标准制定了一个通用方法,这个通用方法
21、针对由电气和/或电子和/或可编程的电子元件(电气/电子/可编程的电子系统(E/E/PES)组成的系统的安全周期活动,这些元件主要用来执行安全功能。为了能为所有的给予电气的安全相关系统开发出一个合理并且持久的技术策略,这个统一方法已经被采纳。一个主要的目标是便于应用方面的标准的开发。在 大 多 数 情 况 下 , 安 全 性 有 许 多 保 护 系 统 来 实 现 , 这 些 保 护 系 统 基 于 很 多 技 术 ( 例 如 机 械 , 水 力 , 风 力 , 电 气,电力,可编程的电子装置)。因此任何安全系统必须不仅考虑到一个单独系统内的所有元素(例如传感器,控制装置和制动器)而且要考虑到所
22、有的安全相关的系统,这些安全系统组成了安全相关系统的联合体。因此,由于这个国际标准关心的是电气/电子/可编程电子装置(E/E/PES)安全相关系统,它同时可以提供了一个框架,在这个框架以内,基于其它技术的安全相关系统也可以被考虑。意识到在不同应用领域里的 E/E/PES 应用的多样性和广泛的复杂性,危险性和潜在风险,在任何的特定应用里,安全性方法的确切规定将依赖于特定应用的许多隐私。通用性的国际标准将使这样的规定在将来的相关应用领域的国际标准中被详细阐明。关于这个国际标准 当 E/E/PES 被用于执行安全性功能时,需要考虑所有相关的 E/E/PES 和软件安全周期阶段(例如,从初始概念,经过
23、设计,开发,运行和维护到淘汰); 这个标准的设计考虑到了快速发展的技术;标准的框架是充分鲁棒的并且全面适应了将来发展的需要; 使处理安全相关的 E/E/PES 应用领域标准能够得以发展;在这个标准框架内的的应用领域国际标准的发展应该在应用领域和交叉应用领域保持高度一致(例如,在根本的原则,技术上,等等);他们将具有安全感和经济上的双重利益; 提供了一个安全要求说明发展的方法,这个方法对于 E/E/PE 安全相关系统的需要的功能安全是必要的。 使用安全状态水平来指定对于要被 E/EP 安全相关系统所执行的安全功能的安全状态的目标水平; 采用基于风险的方法来确定安全状态水平要求; 为 E/E/PE
24、 安全相关系统设定数字的目标失败的衡量方法,它与安全状态水平有关; 在一个失败的危险模式下,为目标失败的衡量方法设定一个下限,这种模式可以要求一个单独的 E/E/PE安全相关系统;对于运行在以下情形下的 E/E/PE 安全相关系统; 当运行在一个低端命令模式时,下限的失败概率通常被设置为 105 ,来执行它的命令的设计功能; 当运行在一个高端命令模式或者连续模式时,下限的危险失败概率通常被设置为 109 每小时;注- 一个单独的 E/E/PE 安全相关系统不是一定具有单通道架构。 采 用 广 泛 的 原 理 , 技 术 和 方 法 来 取 得 E/E/PE 安 全 相 关 系 统 的 功 能
25、安 全 性 , 但 是 不 依 赖 于 故 障 的 功 能 安 全性 概 念 , 当 故 障 模 式 被 完 好 定 义 并 且 复 杂 性 水 平 相 对 比 较 低 时 , 这 个 概 念 可 能 很 有 价 值 但 是 故 障 安 全的 概 念 在 这 里 被 认 为 是 不 合 适 的 , 因 为 E/E/PE 安 全 相 关 系 统 得 完 全 复 杂 性 范 围 处 于 标 准 范 围 以 内 , 将 由E/E/PE 安 全 相 关 相 关 系 统 执 行 的 功 能 ; 已 经 就 要 就 会 执 行 它 的 设 计 功 能 的 故 障 ; 每 小 时 中 的 一 个 危 险 故
26、 障 。电器/电子/可编程电子安全相关系统的功能安全性第七部分:技术和方法总览1.范 范围1.1 IEC61508 的这一部分包含了一个与 IEC61508-2 和 IEC61508-3 相关的关于各种安全技术和方法的总览。注意注 - 这份参考资料应该被看成是方法和工具的基本参考或者离子并且它们可能不代表技术发展水平。1.2 IEC 61508-1,IEC 61508-2,IEC 61508-3 和 IEC 61508-4 时基本的安全性公开标准,尽管这个情况不适用于低复杂性 E/E/PE 安全相关系统的背景中(见 IEC 61508-4 的 3.4.4)。作为基本的安全性公开标准,它们可能被
27、筹备与 IEC 指南 104 和 ISO/ IEC 指南 51 原理相一致的标准的技术委员会使用。IEC 61508 同样将被用作单机标准。技术委员会的一个责任是,无论在哪里应用,要在它自己的公开标准中使用安全性公开标准。在这种背景下,这种基本安全公开标准的需求,测试方法或者测试条件将不能使用,除非已经在那些技术委员会准备的公开标准中特别提到或者包括进去。注意 1 - 一个 E/E/PE 安全相关系统的功能安全只能在所有的相关要求已经满足的情况下才能取得。因此,很重要的一条就是所有的相关要求要被仔细地考虑,充分的参考。注意 2 - 在美国和加拿大,直到 IEC 61511(也就是 IEC 61
28、508)建议的过程领域应用作为国际标准在美国和加拿大公布,现存的基于 IEC 61508(也就是 ANSI/ISA 584. 01-1996)的国家过程安全标准可以作为 IEC 61508 的替代标准来使用。1.3 图 1 显示了这个标准的第 1 部分到第 7 部分的所有框架并指出了 IEC 61508-7 在 E/E/PE 安全相关系统的功能安全方面取得的成绩中所扮演的角色。定义和缩写第 4 部分文档第五条款和附录 A功能安全管理第 6条第 1 部分功能安全评价第 8条第 1 部分第 1 部分第 2部分第 2部分和第 3部分应用指南E/E/PE安全相关系统的安全要求的分配7.6E/E/PE安
29、全相关系统的安全要求的分配7.6E/E/PE安全相关系统的安装、调试和安全确认,7.13 和7.14第 1 部分E/E/PE安全相关系统的运行和维护、改动和翻新、退役或者废弃,7.15 to 7.17第 1 部分用来开发安全完整性要求的基于风险的方法第 5 部分综合安全要求的开发 (概念、范围定义、危险和风险分析)( E/E/PE安全相关系统、其它技术安全相关系统和外部风险降低设施)7.17.5 P第 1 部分 技术要求用来开发安全完整性要求的基于风险的方法第 7 部分E/E/PE安全相关系统的安全要求 的分配7.6第 1 部分第 6 部分其他要求第 2 部分第 3 部分2标准参考文献下面的标
30、准文件包含了很多条款,通过参考正文中的文献,这些条款构成了 IEC61508 这一部分的条款。对于过期的参考文献,并不适用于下面任何公开标准的更正,或者修订。然而,同意遵守 IEC61508 的团体将被鼓励研究将下面指出的大多数的最新文件版本进行应用的可能性。对于更新的参考文献,标准文件的最新版本指的是已经应用的文件。ISO 和 IEC 的会员维护当前合法国际标准的登记注册。IEC61508-1:1998,电器气/电子/可编程电子安全相关系统的功能安全 第一部分 1 部分:一般要求IEC61508-2,电器气/电子/可编程电子安全相关系统的功能安全 第 2 二部分:电器气/电子/可编程电子安全
31、相关系统的要求IEC61508-3:1998,电器气/电子/可编程电子安全相关系统的功能安全 第 3 三部分:软件要求IEC61508-4:1998,电器气/电子/可编程电子安全相关系统的功能安全 第 4 四部分:定义和缩略语IEC61508-5:1998,电器气/电子/可编程电子安全相关系统的功能安全 第 5 五部分:确定安全状态水平的发放实例IEC61508-6:电器电气/电子/可编程电子安全相关系统的功能安全 第 6 六部分:IEC61508-2 和IEC61508-3 应用的指南IEC 指南 104:1997,安全性公开标准,基本安全性公开标准的使用和群体安全性公开标准的准备IEC/I
32、SO 指南 51:1990,标准中关于安全性方面的涵盖的指南3义和缩略语为了实现 IEC 61508 的目标,使用在 IEC 61508-4 种给出的定义和缩略语。附 件 A(补充信息)E/E/PES 的技术和方法总览:随机硬件故障的控制(见 IEC 61508-2)A.1 电器的全球目标:为了控制电器元件的故障。A.1.1 利用在线监控进行故障检测注意注 - 这个技术/方法被 IEC61508-2 的表 A.2,A.3,A.7 和 A.14 到 A.19 中参考。目的:通 过 监 控 E/E/PE 安 全 相 关 系 统 的 行 为 对 常 规 ( 在 线 ) 的 控 制 中 的 设 备 (
33、 EUC) 运 行 的 响 应 , 来 检 测 故 障 。描述:在特定条件下,故障可以用 EUC 的(例如)时间表现的信息来检测。例如,如果一个开关,它是E/E/PE 安全相关系统的一部分,被 EUC 在正常情况下激活,如果开关没有在预期的时间改变状态,将会检测出一个故障。通常这不太可能是本地故障。A.1.2 继电器接点的监控注意注 - 这个技术/方法被 IEC61508-2 的表 A.2 和 A.15 参考。目的:检测继电器接点的故障(例如焊接)。描述:被动接点(或者主动引导接点)的继电器的设计是为了它们的接点能够紧密地连在一起。假设有两套对调接点的装置,a 和 b,如果正常打开型接点,a,
34、焊接,正常关闭型接点 b,当紧挨着的继电器线圈不能被断开,则不能闭合。因此,当继电器线圈断开时,对正常关闭型的接点 b 关闭情况的监控可以被用来证明正常打开型接点 a 已经打开。正常关闭接点 b 的闭合故障指示了接点 a 的故障,所以对任何由接点 a 控制的机器,监控电流应该保证能够正常关闭,或者保证关闭在进行中。参考文献:Zusammenstellung und Bewertung elektromechanischer Sicherheitsschaltungen fr Verroeg-elungseinrichtungen. F. Kreutzkampf, W. Hertel, Sich
35、erheitstechnisches Informations- und Arbeitsblatt 330212, BIA-Handbuch. 17. Lfg. X/91, Erich Schmidt Verlag, Bielefeld.Anlagensicherung mit Mitteln der MSR-Technik. G. Strohrman, Oldenburg, 1983.A.1.3 比较器注意注 - 这个技术/方法被 IEC61508-2 的表 A.2,A3 和 A.4 参考。目的:为了能尽早尽可能的在独立处理单元或者比较器中检测出(非并发)的故障。描述:独立处理单元的信号被一
36、个硬件比较器循环连续比较。比较器本身可能被外部测试,或者它可能使用了自我监控技术。在处理器的运行状态上检测出的差异将产生一个失败的信息。A.1.4 交叉投票表决器注意注 - 这个技术/方法被 IEC61508-2 的表 A.2,A3 和 A.4 参考。目的:在至少三个硬件通道中的一个来检测并屏蔽故障。描述:一个投票单元采用少数服从多数原则(2 相对于 3,3 相对于 3,或者 m 相对于 n)来检测并屏蔽故障。投票器本身可能有外部检测,或者它采用其它的自我监控技术。参考文献: Guidelines for Safe Automation of Chemical Processes. CCPS,
37、 AIChE, New York, 1993.化学过程安全自动化指南 CCPS, AIChE, New York, 1993.Anlagensicherung mit Mitteln der MSR-Technik. Praxis der Sicherheitstechnik, Vol 1, Decherna, 1988. ,Sicherung von Anlagen der Verfahrenstechnik mit Mitteln der Mess-, Steuerungs- und Regelungstechnik. VDINDE Blatt 1 to 5, 1984 to 1988.A
38、.1.5 停止当前工作模式(中断返回)注意注 IEC 61508-2 的表 A.2,A3A9,A14 和 A.415 参考了这个技术/方法。目标:如果电源被切断或者不可使用,则执行安全功能.描述:如果接点打开并且没有电流通过,则执行安全功能。例如,如果使用制动器来停止马达的危险性动作,则通过闭合安全相关系统的接点来打开制动器,通过打开安全相关系统的接点来关闭制动器。参考文献:化学处理的自动化指南,CCPS,AIChE,纽约, 1993。AA.2 电子总体目标:控制固态元件的故障。注意注 IEC 61508-2 的表 A.3,A16,A.17 和 A19 参考了这个技术/方法目标:为了用硬件冗余
39、检测故障,例如,使用其余的不需要执行处理功能的硬件。描述:荣誉硬件可以用来检测指定安全功能的平率是否合适。这个方法通常在实现 A.1.1 或者 A.2.2 时是必要的。参考文献:Elektronik in der Sicherheitstechnik. H. Jrs, D. Reinert, Sicherheitstechnisches Informations- und Arbeitsblatt 330220, BIA-Handbuch, Erich-Schmidt Verlag, Bielefeld, 1990.A.2.2 动力学原理注意注 IEC 61508-2 的表 A.3 参考了这个
40、技术/方法目的:为了用动态信号处理来检测静态故障描述:另外的静态信号的强制变化(内部或者外部产生的)帮助检测元件中的静态故障。这个技术通常与机械电子元件联系在一起。参考文献:Elektronik in der Sicherheitstechnik. H. Jrs, D. Reinert, Sicherheitstechnisches Informations-und Arbeitsblatt 330220, BIA-Handbuch, Erich-Schmidt Verlag, Bielefeld, 1993.A.2.3 标准测试登陆端口和边界检测架构注意注 IEC 61508-2 的表 A.
41、3,A16 和 A.19 参考了这个技术/方法。目标:边界检测测试是一个 IC 设计技术描述:这个技术通过解决如何获取登陆其范围以内的电流测试点这个问题提高了 IC 的可测性。在一个由核心逻辑模块,输入和输出缓冲器组成的典型的边界检测 IC 里,一个移位寄存器被放于近邻 IC 管脚的核心逻辑模块和输入输出缓冲器之间。每个边缘检测单元内部都包含了移位寄存器。通过标准测试登陆端口,边缘检测单元可以控制并观测每个 IC 的输入输出的发生的情况。IC 核心逻辑模块的内部测试通过将,单片核心逻辑模块与从周围元件所接收的激励分离开来然后执行一个内部测试,这样一个过程来完成。这些测试可以用来检测 IC 中的
42、故障。参考文献:IEEE 1149.1:1990,标准测试登陆端口与边界检测架构A.2.4 自动防故障装置硬件注意注 - IEC61508-2 的表 A.3 参考了这个技术/方法。目的:如果故障出现,将系统置于安全状态。描述:在硬件连接数控系统中,一个单元可能运行在一个自动防故障模式下,如果 - 定义的一套故障将导致一个安全的状态,并且- - 它们被检测出来-例如 定义的一套故障可能包括绑定故障,开路故障,元件内部和元件间的短路和定向短路。参考文献: Dependability of Critical Computer Systems 1. F. J. Redmill, Elsevier Ap
43、plied Science, 1988,ISBN 1-85166-203-0.Elektronik in der Sicherheitstechnik. H. Jrs, D. Reinert, Sicherheitstechnisches InformationsundArbeitsblatt 330220, BIA-Handbuch, Erich-Schmidt Verlag, Bielefeld, 1993.A.2.5 监控的冗余注意注 - IEC61508-2 的表 A.3 参考了这个技术/方法。目标:为了检测故障,可以由如下办法实现通过提供集中功能部件,监控每个部件的状态来检测故障,如
44、果检测到任何行为上的差异可以通过发起一个跳变到一个安全状态。描述:安全功能被至少两个硬件通道执行。这些通道的输出被监控,当检测到一个故障时(例如,如果所有的通道发出的输出信号不相同),将开始一个安全状态。参考文献: Dependability of Critical Computer Systems 1. F. J. Redmill, Elsevier Applied Science, 1988,ISBN 1-851 66-203-0.Elektronik in der Sicherheitstechnik. H. Jrs, D. Reinert, Sicherheitstechnisches
45、 Informationsund Arbeitsblatt 330220, BIA-Handbuch, Erich-Schmidt Verlag, Bielefeld, 1993.A.2.6 具有自动检查装置的电器/电子元件注意注 IEC 61508-2 的表 A.3 参考了这个技术/方法。目标:通过安全功能的周期检查来检测故障描述:在 过 程 开 始 前 已 经 被 测 试 , 并 在 合 适 的 间 隔 周 期 反 复 测 试 。 仅 在 每 个 测 试 成 功 的 条 件 下 EUC 才 能 继 续运 行 。参考文献:Dependability of Critical Computer
46、Systems 1. F. J. Redmill, Elsevier Applied Science, 1988, ISBN 1-85166-203-0.Elektronik in der Sicheiheitstechnik. HJrs, D. Reinert, Sicherheitstechnisches Informationsund Arbeitsblatt 330220, BIA-Handbuch, Erich-Schmidt Verlag, Bielefeld, 1993.A.2.7 相似信号监控注意注 IEC61508-2 的表 A.3 和 A.14 参考了这个技术/方法。目标:
47、提高测量信号的可信度描述:任何时候有了一个选择,相似信号相对于数字开/关优先使用。例如,差错或者安全状态由相似信号电平代表,通常具有信号电平承受监控。这个技术提供了连续监控和发射器中较高的可信度,并减少了必要的发射器感知功能的检验频率。外部接口,例如脉冲管,同样需要测试。参考文献:UKOOA Guidelines for Instrument-Based Systems, UK Offshore OperatorsAssociation Limited, December 1995.A.2.8降低额定目标:提高硬件元件的可靠性描述:硬件元件运行在有系统设计所保证的最大等级以下。降低额定是保证在
48、所有正常运行的环境下,元件能够在最大压力水平下工作的很好的手段。A.3 处理单元总体目标:识别处理单元中导致错误结果的的故障A.3.1 通过软件进行自我检测:有限数量的模式(单通道)注意注 IEC 61508-2 的表 A.4 参考了这个技术/方法。目标:尽早尽可能的检测出处理单元的故障。描述:硬件使用标准技术进行构造,这些基础并没有把安全要求考虑进去。故障检测完全由其余的软件功能来实现,这些软件使用至少两个互补数据模式(例如,55(十六进制)和 AA(十六进制)参考文献:Microcomputers in safety technique - an aid to orientation fo
49、r developer and manufacturer. H. Hlscher, J. Rader, Verlag TV Rheinland, Kln, 1986, ISBN 3-88585-315-9.安全技术中的微型计算机 开发者与生产者的一个辅助方向. H. Hlscher, J. Rader, Verlag TV Rheinland, Kln, 1986, ISBN 3-88585-315-9. A.3.2 使用软件进行自我检测:步进位(单通道)注意注 IEC 61508-2的表A.4参考了这个技术/方法。目标:为了能够尽早尽可能的检测出物理存储器中的故障(例如,寄存器)和处理单元的指令解码器。描述:故障检测完全有其它的软件功能来实现,这些软件功能使用能够检测故理存储器(数据和地址寄存器)和指令解码器的数据模式执行自我检测(例如,步进位模式)。然而,诊断的覆盖率仅为 90%.参考文献:Microcomputers in safety technique - an aid to orientation for developer and manufacturer. H. Hlscher,
