用户中心
· 企业空间 首页 | 资讯 | 技术 | 产品 | 企业 | 博客 | 论坛| 在线研讨会
机械工业仪器仪表综合技术经济研究所
企业空间 > 资料下载 > 正文
  • 上传时间:2021/3/9 12:52:21
  • 下载次数:2518
  • 授权方式: 由提供单位免费提供,本站注册用户才可以下载此文件。注册  登录
  • 详细介绍:

    ?

    在功能安全设计过程中,执行失效分析是必要的环节之一,传统的基于硬件器件的失效分析已经较为成熟,但基于软件设计的失效分析还不为很多人了解,本文对软件失效分析进行初步的概述,后续将持续推出更多的详细介绍文章。



    1、基本原理

    软件HAZOP的基本流程和方法说明见标准《危险与可操作性分析(HAZOP)应用指南》。

    软件FMEAFTA的基本流程见《Software FMECA and FTA Guidance》。

     

    2、对于可编程电子(PES)相关的HAZOP引导词

    引导词

    标准解释

    PES中的解释

    No

    完全没有达到设计意图

    没有信号(信息)通过

    More

    数量上的增加

    比预期有更多的信号(信息)通过。

    对于某个特定的值(变量),意味着这个值(变量)太高了。

    Less

    数量上的减少

    PART OF是相同的

    As  well as

    性质上的变化(增多)

    MORE是相同的

    Part  of

    性质上的变化(减少)

    信号信息不完整

    Reverse

    与设计意图逻辑相反

    一般不使用

    Other  than

    完全替代

    信号信息是完整的并且语法正确,但内容/功能/语义不正确

    Early

    信号到达得过早,相对于参考时钟时间

    Before

    信号比预期的顺序达到得要早

    Late

    信号到达得过晚,相对于参考时钟时间

    After

    信号比预期的顺序达到得要晚

     

    3、软件失效分析的目的

    IEC61508的生命周期模型中,明确给出了需要执行软件验证。软件验证一般可以采用设计复审的方式,但该方法的缺点是如果没有一套专门的导则,复审可能难以按照一套系统化的方式实施(可能只能零散的检查、讨论等)。因此复审的输出非常依赖于开展该工作的人员。采用软件失效分析可以采用更加系统化的方式实施验证活动。

    另一方面,由于系统性失效不能在软件开发过程中完全避免,因此必须采用特定的故障措施(例如断言)来控制可能发生的软件失效,这些故障控制措施在对软件进行修改时,也可以起到一定的提示作用。因此在对软件架构进行验证时,需要知道那些部分的软件需要通过引入附加的措施实现故障控制,这些都可以通过软件失效分析获得。为了知道软件组件可能发生那些故障,需要采用软件HAZOP来确定软件组件的失效模式和相关安全措施的有效性。执行软件失效分析,以证明关键软件模块不会由于其他部分的失效(导致对该模块的输入异常)对该模块的功能造成不良影响。软件失效分析的目的还包括:

    • 加深对系统/软件的认识,从而能够识别出系统/软件中最为关键和重要的模块;

    • 实现对软件架构设计的验证;

    • 识别出系统/软件中安全和非安全模块,不同SIL要求模块之间的独立性和解耦;

    • 识别出用于检测失效的安全控制措施,如果某个模块具有独立的安全控制措施,那么该模块的关键度可能就可以降低:

    • 故障检测和诊断措施;

    • 错误检测和纠正代码;

    • 失效断言编程;

    • 防御性编程;

    • 作为优化V&V活动的基础。

     

    4、关键度等级的定义

    C1:无影响 interferencefree

    模块不会执行安全相关或安全关键的功能,可能只会通过接口从关键模块读取一些信息;

    C2:安全相关 safety relevant

    模块出现单个的信息错误或偏差不会导致不安全的状态,但其他模块的再发生失效将导致不安全的状态;

    C3:安全关键 safety critical

    单个信息措施或偏差即会导致不安全状态

     

    5、典型实施流程

    软件失效分析的前提是软件已经被非常清楚的进行了层次和模块细分,例如模块、单元、实体、对象、类等等,并且所有组件之间的功能和接口非常清晰,这些可能在软件架构设计/软件安全要求规范文件中进行了说明。

    对于这些组件的分析是通过发起假设:当其发生设计偏离时是否会导致危险的系统行为(当然这些首先取决于对于安全状态和危险状态有非常清晰的定义)。一个分析过程的示例是:某个组件可能最初被定义为C3级别,即当其发生单个失效时会导致危险场景,如果增加了某个诊断组件,可以对原来组件的失效进行检测,那么此时需要当诊断组件和原来组件都发生失效才会导致危险场景,因此该组件降低为C2级别。不同关键度的典型功能如下表:

    关键度

    典型功能

    理由

    C1

    历史记录

    非安全相关的数据显示

    历史记录会读取但不会修改安全数据

    即是显示组件与安全关键组件断开了连接,安全功能仍能继续正常运行

    C2

    看门狗触发功能

    错误处理功能

    仅当检测到错误时,两个功能才起作用

    C3

    安全相关变送器的测量功能

    安全功能完全取决于输入信号的正确性

    注:上表仅是一个通用性的说明,对于具体的软件需要分析才能确定其具体的组件关键度。

    6、关键度等级与SIL的关系

    一般对于定义的关键度组件需要满足的SIL要求如下表:

    组件的SIL能力要求

    组件关键度

    C1

    C2

    C3

    备注

    SIL1

    满足独立性和无影响性即可

    满足SIL1的适用性要求

    满足SIL1的适用性要求


    SIL2

    满足独立性和无影响性即可

    满足SIL1的适用性要求,且对于更高SIL的组件无影响

    满足SIL2的适用性要求


    SIL3

    满足独立性和无影响性即可

    满足SIL2的适用性要求,,且对于更高SIL的组件无影响

    满足SIL3的适用性要求



    7、软件HAZOP

    软件HAZOP的目的是识别哪些与设计意图的偏离可能是潜在危险,以及系统内各个组件之间的相关关系。一般情况下对于软件有如下划分和定义:

    软件组件(software component:一组软件模块用以执行一组特定的功能(例如文件处理),软件组件一般用接口进行描述;

    软件模块:一个完整的软件单元以执行某个特定的功能(例如读文件),软件模块用功能和接口进行描述;

    通过软件HAZOP可以系统性定义出“反向”测试用例。同软件失效分析确定软件代码中哪些地方需要进行断言编程或防御性编程。需要开展软件HAZOP的代码是不同的:

    • 原则上关键度分析中,所有存在SIL降低情况(C2C1)的软件组件都需要执行HAZOP

    • 对于C1的软件组件,重点分析这些组件发生故障时,不会对C2C3造成负面影响(这可能会包括对这些组件防护措施的分析,例如通过对指针范围的检查,确保其不会将数据写入C2C3分类的组件中);

    • 对于C2组件需要验证其功能的实现不会到C3造成安全关键影响(例如某个RAM测试功能可能会在测试中造成RAM存储的数据损坏,而且没有办法恢复);

    • 对于C3组件需要通过分析考虑是否存在C2的组件(监视、诊断等功能)实现对其关键度的降级;

    软件HAZOP的基本流程如下:

    1、初始化分析,定义范围和目标

    2、计划分析的会议

    3、执行分析

    4、审核分析,执行改进

    5、形成最终分析报告

    分析过程中,一些典型的属性和引导词结合如下:

    消息流图表达软件功能时的相关属性:

    属性

    引导词

    组合解释

    消息message

    No

    没有消息

    某个对象没有消息发出

    某个对象没有消息到达

     

    Part  of

    消息到达得不完整

    Other  than

    消息完整且语法正确,但内容或语义不正确

    Early

    消息比起预期的早到

    Late

    消息比其要求的晚到

    More

    比预期的更多消息到来

    Less

    比预期的更少的消息到来

     

    数据里图的表达时

    属性

    引导词

    组合解释

    数据流data flow

    No

    没有信息流

    Part  of

    信息没有完整的通过

    Reverse

    信息流方向错误

    Other  than

    信息完整且语法正确,但内容或语义不正确

    Early

    信息流发生得比其要求的早

    Late

    信息流发生得比其要求的晚

    More

    比预期的更多数据通过

    数据率

    More

    数据率太高

    Less

    数据率太低

    数据值

    More

    数据值太高

    Less

    数据值太低

     

    对于状态转移图

    属性

    引导词

    组合解释

    事件

    Event

    No

    事件没有发生

    As  well as

    另外的事件同时发生

    Other  than

    不同于预期事件的不期望事件发生

    动作

    Action

    No

    没有动作发生

    As  well as

    附加的动作发生

    Part  of

    动作执行不完整

    Other  than

    错误的动作发生

     


  • 企业介绍
专业从事功能安全IEC61508、61511(SIL)的培训; 专业从事安全产品(安全PLC、仪表、系统)的SIL1/2/3认证评测工作; 专业从事HAZOP、SIL定级和SIL验证等评估工作  更多>>
  • 产品分类
  • 联系方式

机械工业仪器仪表综合技术经济研究所

联系人:熊文泽

地址:广安门外大街甲397

邮编:100055

电话:010-63461786

传真:010-63262677

公司网址:http://www.fs-china.org

  • 该空间手机版

扫描此二维码即可访问该空间手机版

  • 在线反馈
1.我有以下需求:



2.详细的需求:
 
姓名:  
单位:
电话:  
邮件:  
您还没有登录,请登陆,
如果您还没有注册,点击这里注册.
  • 网友反馈
  • 王力 在2014/12/15 17:41:00留言
  • 留言类型:贵公司产品销售人员联系我,
  • 详细留言:我已经购买了贵公司的ARK-2120无风扇嵌入式工控机,除了你家我还看了: E+H:http://www.endress-h.com pilz:http://www.pilz-zh.com 邦纳:http://www.banner-cn.com 穆格:http://www.moog-cn.com 穆格伺服阀:http://www.moog-cn.com 哈威:http://www.hawe-zh.com 力士乐:http://www.rexroth-zh.com 请问这些是正规的吗?可以开发票吗?
  • 孙慧丽 在2014/9/12 13:57:00留言
  • 留言类型:得到贵公司产品详细资料,
  • 详细留言:想咨询SIL培训今年安排在什么时间,可否先发些资料来看下
  • 周建虎 在2014/7/28 15:42:00留言
  • 留言类型:得到贵公司产品详细资料,
  • 详细留言:想看一下贵公司给欧姆龙发的SIL3证书,网上的图片不清楚。
  • 佘铭 在2011/3/24 22:17:00留言
  • 留言类型:我想得到贵公司产品详细资料,
  • 详细留言:SIS方面的讲义、行业资料等等
更多请进入空间管理中心查看
关于我们 | 网站地图 | 联系我们
© 2003-2018    经营许可编号:京ICP证120335号
公安机关备案号:110102002318  服务热线:010-82053688
我要反馈