功能安全意义与标准
功能安全意义与标准
有功能安全认证相关需求的客户越来越多,需要认证的产品越来越多
基于SIL认证的典型产品:
安全阀门、执行器
铁路用各类控制、防护等电子、电气产品
安全变送器、安全继电器等
安全光幕,安全开关等
控制器,包括伺服、PLC等
安全仪表系统
其他有安全要求的电子、电气、可编程电子产品
基于ClassB认证的典型产品:
家电产品,例如洗衣机等
类家电类产品,例如扫地机、割草机、烟雾传感器等
无人机
光伏逆变
STM32生态有完备的功能安全设计包资源,可以简化、加快客户功能安全认证。
识别出潜在的,可能导致人身伤害或者物品毁坏事故发生的危险条件,情况或者事件
通过一些改善或者预防的措施,来降低或避免这些事故的影响
当失效出现时,系统能监测到并进入一个可知的安全状态
主动发现系统故障,降低风险(减少伤害发生的概率和严重性)
使系统始终处于“安全状态”
以滚筒洗衣机门锁控制逻辑举例:在正常工作时,需要按照预定功能正常处理,操作人员的安全能够得到保护;在异常时,如若未充分考虑功能安全,随着传感器数据错误或门锁控制单元故障或者主控本身的bug、硬件故障等的出现,则可能造成门锁在非安全状态下打开,进而带来伤害操作人员安全的风险;在异常时,如若充分考虑功能安全机制,对各部分异常能够主动发现并作出有效处理,则可以确保系统始终处于安全状态。
功能安全和信息安全不同,但二者有重叠的部分。在垂直应用中则分开两个板块分别进行阐述。
功能安全资源主要覆盖面向家电应用的IEC60730(CLASSB)认证相关标准及以IEC61508为基础的SIL认证相关标准。
标准 | 应用范围 | ST 资源 |
UL/CSA/IEC 60730-1 | 家用和类似用途电动控制器第一部分:通用要求 | |
UL/CSA/IEC 60335-1 | 家用和类似用途电器- 安全 | |
IEC61508:2010 | 电气/电子/可编程电子安全相关系统的功能安全 |
IEC61508是基础标准,又延展到了不同应用的细分标准。
1.故障、错误、失效
故障(Fault)是指可引起要素或相关项失效的异常情况,可以分为永久故障和非永久故障。
错误(Error)指计算的、观测的、测量的值或条件与真实的、规定的、理论上正确的值或条件之间的差异。错误可由未预见的工作条件引起或由所考虑的系统、子系统或组件的内部故障引起。故障可表现为所考虑要素内的错误,该错误可最终导致失效。
失效(Failure)针对的是功能的丧失或者终止。
可以看出故障,错误和失效的大概关系是故障可引起错误,错误再导致失效。
2.风险
风险(Risk)评定的三个维度:严重度,暴露度,可控度。
3.安全状态
设备始终需要处于“安全状态”,有以下两种情况:
系统处于正常工作状态
系统出现故障,再不能保证安全功能,所以关闭系统以降低存在的风险。从功能安全的角度,这是可以接受的。
4.随机硬件失效和系统失效
随机硬件失效:系统出现物理损坏(永久性的或瞬时的)造成原有功能失效。比如:芯片的寄存器,SRAM受EMI(电磁干扰)影响而失效。
系统失效:由于设计和开发时错误,使得系统的行为违背了设计的初衷。比如:工厂生产流程不合理,软件开发流程有漏洞导致有遗漏的bugs没解决。
5.“软”错误
“软”错误不是软件错误,是发生在半导体和存储器件中可以恢复的瞬态错误。例SRAM里读出来的数据是错的,但对出错地址重新写值又工作正常。
