- 安全设计流程的简单描述
在安全设计中,通常且在某些情况下必须使用V模型设计方法。它定义并描述了一个健壮和可靠的软硬件设计过程,包括系统安全需求的定义,并贯穿设计、实施、测试和验证的整个过程,以确保这些需求在最终产品中得到正确和充分的满足。
在规范阶段,需要识别安全相关的关键系统(或子系统)的所有危险。以燃气锅炉为例,由于气体易燃,气体泄漏就是一种危险。因此,规范描述了必须在一定时间内检测到气体泄漏以防止火灾和爆炸。在设计层面,需要指定一个或多个可以降低危险发生可能性的安全特性。这可以是气体传感器或安装在燃气阀上的位置传感器,以确定阀门是否关闭。现在,与非安全应用不同的是,安全特性必须在运行时验证其按预期工作。这被称为功能安全。换句话说,安全机制必须是功能性的。设计师,或者OEM厂商,通过应用适当的诊断机制(自检)确保气体传感器和阀门位置传感器按预期工作,如果诊断检测到故障,系统必须进入安全状态以避免危险。在这种情况下,安全状态可能是关闭一个次级关闭阀,启动通风系统,或发出警报表明安全机制未正常工作。
各类安全标准也关注电子设备中的故障,即使是在较小规模的硅基组件中,例如系统中的微控制器。
一个普遍的误解是,功能安全的目标是避免故障,这是不正确的,部分原因是故障的概率永远不会为零。理解功能安全的正确方式是,安全相关的关键系统必须在定义的时间间隔内,以安全的方式检测和响应故障,这被称为故障容忍时间间隔(FTTI)。例如,使用气体传感器来检测是否存在气体泄漏(一个安全特性)的燃气锅炉,必须有可能验证气体传感器是否按预期工作并能检测到泄漏的气体。可能可以容忍10毫秒的泄漏,因为它不代表危险,但不太可能允许泄漏持续数十秒,因为那时泄漏的气体量就代表了危险。
因此我们的目标是理解危险和故障——以及如何可靠地检测它们。
- 故障模式效应和诊断分析(FMEDA)
每个安全标准都有略微不同的安全级别。对于IEC 61508标准,这些级别被称为安全完整性级别(SIL),范围从SIL 1到SIL 3。汽车行业的ISO 26262标准使用汽车安全完整性级别(ASIL),从ASIL A到ASIL D。IEC 60730标准则使用A类到C类。
由于FMEDA起源于ISO 26262标准,为了简化本文档的其余部分,我们将坚持使用这一标准的定义,并称之为ASIL。
2.1 故障模式效应和诊断分析(FMEDA)- 故障时间(FIT)
为了达到特定的ASIL级别,故障时间(FIT)率必须低于给定的限制。FIT率是指每十亿小时操作中预期的故障数量,因此它是故障概率的统计表示。
通常,在安全关键应用中,微控制器(MCU)被分配了整个电子模块允许的总FIT数的一定比例,例如10%。这可以根据设计的其余部分从一个应用调整到另一个应用。ASIL级别以及可接受的FIT限制是危害影响的结果,这表示为危害的严重性、暴露程度和可控性的乘积(有关详细信息,请参阅ISO 26262标准)。与ASIL A、B或C应用相比,与更严重伤害风险相关的ASIL D应用因此需要更低的FIT。
在ISO 26262标准中,ASIL B和ASIL C允许100 FITs,而ASIL D允许10 FITs。在Microchip的FMEDA中,默认情况下,MCU被分配了10%的FIT,因此MCU的允许FIT分别是ASIL B和ASIL C的10 FIT,以及ASIL D应用的1 FIT。
这一部分强调了在设计安全关键系统时,必须确保系统的FIT率符合所选ASIL级别的要求。通过FMEDA,设计者可以评估MCU的故障率,并确保它不会超过为特定安全级别设定的阈值。这有助于确保即使在发生故障的情况下,系统也能保持必要的安全性能,从而保护人员和环境免受伤害。通过这种方式,FMEDA成为了实现功能安全和满足安全标准要求的重要工具。