新手误解的IEC61508–1,您也中招了吗?
中英夹杂•技术部落格 - 适合爱阅读中文,却以英文汲取专业技术的你 -
IEC-61508 specification 有7个Parts。对于刚接触FuSa的您来说,觉得越读越不明白、再看就晕头转向的话,希望我这一系列文章可以帮助您了解IEC-61508:2010的基本结构与概要,并且避开新手容易误解的地方。
如果您还没有理解什么是Functional Safety的话,我会先推荐您去阅读以下2篇入门简介:
结构
首先很重要的概念是,是Part 1 至 Part 4是规范(normative)范围, 也就是必须遵守的部分;而 Part 5至 Part 7 是 资讯 (informative)范围,可作为指南。
从结构上来看,您可以看到Part 1 里面一共有8个条款。从 Clause 5开始到 Clause 8为止,每个条款与子条款都有自己的目标 “objective”与 规定 “requirements”。此规律,也会延续到Part 2 与 Part 3里。
Clause 7 占了 Part 1 很大一部分,它的 Figure 2 至 Figure 5 介绍了Safety Lifecycle Phases,Table 1 列出了各周期里的考虑范围“scope”、需求来源“input”、产出“output”,还有 Table 2 和 Table 3 带出了SIL level 及其Target Failure Measures,等等一系列的重要概念。
尽管其他条款占的版面小,其实它们也一样重要。所有条款里提到的目标与规定,都必需贯彻到整个FuSa系统的生命周期里面。
敏锐的您应该会发现Clause 5 “Documentation”, Clause 6 “Management of Functional Safety”, Clause 8 “Functional Safety Assessment” 还有 Clause 7.18 “Verification” 并没有出现在Figure 2内。如果您细看它们的条款,其实它们没有出现在图里,是因为每一个阶段内都要达成这些目标与规定。
个人认为,全面的概念应该如下图所示:
容易错过的细节
从一开始的Introduction到Clause 3,看起来像是可以直接跳过的序言,其实里面有好些重要的概念;很多不够细心的读者,会直接跳至Clause 4,甚至直接从Clause 7开始阅读, 而错过了重点, 比如:
- Clause 1.2 —
此IEC-61508国际标准并不涵盖:
- E/E/PE 器材本身造成的风险
- 需要达到SIL 1以下的系统
- 可以独自把风险降至可以接受程度的E/E/PE system
- 医用器材
2. Clause 4.2 —
在以下情况,此标准里的某些不适用的条款可以被豁免:
- 该E/E/PE 系统为Low Complexity设计
- 该产品是全新开发的技术
注:IEC-61508是基本FuSa标准,适用于各行业, 一直被认为是一系列工业标准的“基准伞”。因此,没有相关领域标准的新创科技都会参考IEC-61508。
新手的误解
在Clause 7里面,新手可能产生的误解有好几项。我将它们归纳为2组:
1)有关 Figure 2 — Safety Lifecycle Phases
简介:整个Clause 7 都是按照此图的序列来进行解说。
Clause 7.1谈的是“general” 概念,它提供一个systematic approach, 着重的是每个phase都是下一个phase 的input,按照这些input来产出一些output;接着,Safety Lifecycle的16个阶段各别通过Clause 7.2至 7.17 来阐述需要达成的objectives & requirements。 最后,Clause 7.18阐明每个阶段都得经过确认。
误解1:误解为Waterfall development process
Safety Lifecycle Phases只代表该产品的各个阶段,但是不表示它是使用Waterfall workflow来开发。
误解2: 以为FuSa就是保障系统安全的唯一途径
如果您仔细看的话,Box 11 “Other risk reduction measures” 是用虚线表示。而在图下面的注释里也说了该周期不属于IEC-61508范围内。
其实,系统安全就像一个洋葱,是经过多方面考量后,加上一层又一层的安全措施堆叠起来,其中包括很多的被动安全措施,而FuSa只是其中一层的、属于主动式的安全措施。
2)有关 Table 2 & 3 — SIL 与 Target Failure Measures
简介:根据不同的Mode of Operations,Target Failure Measures的定义也不同,而它们的定义分别呈现在2个不同的表格里。
误解1: 以为低于SIL 1 的产品不需要或没有安全性
低于SIL 1的产品也是需要达到一定程度的安全性 (譬如不漏电),只是它不需要设计成IEC-61508要求的功能安全。
误解2: 混淆了demand mode与continous mode的定义
因为High demand mode 常与Continous mode 出现在一起,新手会很容易误解它们代表着一样的概念。当知道了它们其实不相同时,却又不理解差别在哪里。
其实,它们的差别在于目的性,不在于signal 的 on / off 。
Demand mode 代表着Safety Function平时不参与在系统的正常运作里 (即 “normal operation”), 只在有需要时才发出Demand, 让系统进入Safe State。 然后根据Demand 的频密度, 又可以分成Low Demand Mode与 High Demand Mode。
Continuous Mode 则代表Safety Function一直参与在系统的正常运作里; 换言之,保持或进入Safe State是该系统运作的其中一项的日常功能。比如刹车系统或 互锁式护罩系统 (Guard Interlock System)。
误解3: 以为右边栏 (column) 代表的是 Safety Function发生的概率/频率
新手们应该都会意识到,2 个 表格探讨着不同的东西,Low Demand Mode 说的是“Probability”与 “per year”, 而High or Continuous Mode 说的是 “Frequency”与 “per hour”。
可是,很多新手就会不小心忽略掉重点所在,也就是“Dangerous Failure”。
右边栏里的数值,说的是要执行Safety Function时却因为各种Fault而执行不了 (Dangerous Failure) 的概率或频率。 要达到左边栏里的SIL,低于右边栏的阈值就是其中一个requirement。
注意,请也不要误解为要达到左边栏里的SIL,该系统能够执行Safe State的概率或频率只能那么多。
误解4: 以为达到Table 2 & 3 里的PFH / PFDavg阈值, 就达成左边栏的SIL
要设计成适合某程度的SIL,有2大主要关键:
关键1:推导出来的PFH 与 PFDavg 值符合标准
关键2:Hardware Fault Tolerance, 详情在IEC-61508 Part 2里。
设计FuSa系统,不能仅仅考虑数学运算,如何挑选合适的诊断与设计,也是达成特定SIL的条件。
在这里,希望您能避开以上新手容易产生的误解。下一篇,我会提供Part 2的概念大纲,让新手们能够快速掌握重点,并厘清各项误解。谢谢!
