可靠性系列讲座-14.pdf

《可靠性系列讲座-14.pdf》由会员分享，可在线阅读，更多相关《可靠性系列讲座-14.pdf（5页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、23续附表1正态分布函数表u0.00 0.01 0.02 0.03 0.04 0.05 0.06 0.07 0.08 0.09Control Tech of Safety&Security24仪器仪表标准化与计量2009.2功能安全技术讲座【摘 要】【关键词】Abstract:Diagnostic coverage is one of the most important parameters of the Functional Safety Theory.The paper described some key points for analysis and usage of diagnos

2、tic coverage,and also gave the detail of how to calculate DC.Keywords:Diagnostic Coverage Functional Safety诊断覆盖率是功能安全理论中的重要参数之一。本文阐述了在诊断覆盖率的分析和应用过程中需要注意的要点，并给出了该参数的详细计算步骤，有助于初学者加深对功能安全基本技术理论的理解。诊断覆盖率 功能安全编者按 本刊在20072008的两年间，在“安全控制技术”栏目共安排了12讲功能安全技术讲座，系统介绍了功能安全的基本概念、方法与技术，并针对读者关心的一些问题进行了分析，得到广大读者的广泛关

3、注与积极回应。2009年，该讲座还将继续进行，主题将集中在安全相关子系统的功能安全评估与认证技术上。本讲主讲人是孟邹清工程师。第十四讲 如何理解和分析功能安全技术中的诊断覆盖率Chapter 14:How to Understand and Analyze Diagnostic Coverage in Functional Safety 孟邹清（机械工业仪器仪表综合技术经济研究所，北京市 100055）Meng Zouqing(Instrumentation Technology&Economy Institute,P.R.China,Beijing 10005)主讲人简介：孟邹清，工学硕士，

4、机械工业仪器仪表综合技术经济研究所功能安全中心工程师。对功能安全标准IEC 61508和IEC 61511有深入研究，致力于安全完整性的分析技术，计算方法和优化技术方面的研究，参与并完成了科技部开放项目E/E/PE安全系统安全完整性水平优化工具的设计开发，参与多项国家科技部863课题项目，在多份杂志及学术期刊上发表了多篇有关功能安全的论文。随着功能安全标准和技术的普及，业内对安全工程的SIL评估、安全产品的SIL认证的需求也逐渐增加，越来越多的SIL背后的技术细节问题成为人们关注和研究的对象。诊断覆盖率便是其中之一。1 如何理解诊断覆盖率根据GB/T 20438(IEC 61508)标准，诊断

5、覆盖率（diagnostic coverage）是指进行自动诊断测试而导致的硬件危险失效概率的降低部分。这里有两点需安全控制技术25仪器仪表标准化与计量2009.2要注意。一是，这里的诊断是指的部件的内部自诊断，这些诊断测试包括，但不限于：比较检验，例如监测和比较冗余信号；附加内部测试例行程序，例如内存的校验和；外部激励测试，例如通过控制路径发送一个脉冲信号；某个模拟信号的连续监测，例如检测指示传感器失效的超量程值。相对于诊断测试的是检验测试（proof test），即，用以检测安全相关系统失效的周期性测试，在必要时可把系统复原到正常状态或实际上接近正常的状态。一般来说，检验测试为离线的外部测

6、试。二是，这里的诊断覆盖率实际上是指的危险失效的诊断覆盖率。直观上看诊断覆盖率这个概念，很容易被理解为所有可以被诊断测试检测到的失效率部分与总的失效率之比。即但是在功能安全理论中，由于把失效率按照失效模式影响的不同又细分为安全失效（lS）和危险失效（lD），那么就相应的出现了可以被检测到的安全失效（lSD）和可以被检测到的危险失效（lDD），因此诊断覆盖率也相应的有危险失效的诊断覆盖率DCD和安全失效的诊断覆盖率DCS，其中依定义，有2 如何分析计算诊断覆盖率为了计算诊断覆盖率，需要准备好如下的材料，这些材料也是进行功能安全评估所必需的：设备/系统的详细方块图，描述子系统之间以及子系统与系统中

7、可能影响所考虑的安全功能的部分之间的关联；子系统硬件示意图，描述每一部件或组件，以及部件之间的关连；每个部件或组件的失效模式和相应的失效率。如图1所示，诊断覆盖率的计算步骤如下：a、视待分析对象的复杂程度，以合理的方式将其划分为多个子系统或模块，对于简单的对象，可以视为一个模块；b、对每一个模块的每个部件或组件，分析其可能的失效模式，并确定该种失效模式可能的失效率占该部件或组件总失效率的百分比（a）；这里的分析应包括所有的部件，不论电气的、电子的、机电的还是机械的，只要这些部件是为了保证安全功能可以正确实施所必需的。对于每个部件应考虑所有可能导致某种非安全状态的危险失效模式（当要求响应时阻止这

8、种安全响应）或对设备/系统的安全完整性的其它损害。c、在不存在诊断测试的情况下，根据将导致的结果（不存在诊断测试时）对失效模式进行以下分类：安全失效（即：E/E/PE安全相关系统的安全完整性没有受到损害，例如，失效导致安全关机或对E/E/PE安全相关系统的安全完整性没有影响）；危险失效（即：导致E/E/PE安全相关系统或系统的部分丧失功能或导致E/E/PE安全相关系统的安全完整性产生了不同方式的损害）d、引入配比系数g，即安全失效或危险失效图1 诊断覆盖率的计算步骤Control Tech of Safety&Security26仪器仪表标准化与计量2009.2占总失效的百分比，从而求得lS、

9、lD。需要说明的是，在对每一部件或组件的失效率进行估算时，应使用来自公认的工业源数据，并考虑应用环境因素。特别是在子系统包含较少数量的部件的情况下，以及在估算某个特定部件的安全和危险失效概率过程中出现的任何错误会对安全失效分数的计算产生重大影响的情况下，最好是使用具体应用的数据。另外，对于简单部件来说，安全失效和危险失效的划分可能是确定性的，其它情况则基于工程判断。对于复杂部件，不能对失效模式进行详细分析时，通常将失效分为安全失效50%，危险失效50%。e、考虑诊断测试的作用，对每一部件或组件的每一失效模式，估算诊断测试可检测到的安全失效分数（dcS）和诊断测试可检测到的危险失效分数（dcD）

10、，从而将失效率细分为可检测到的安全失效（lSD）、不可检测到的安全失效（lSU）、可检测到的危险失效（lDD）、不可检测到的危险失效（lSU）。在估算dcS、dcD的过程中，对于简单的部件，其短路和开路失效可以被100%的诊断覆盖率检测到，但是对于复杂的B类部件，一般来说很难清晰全面的罗列出所有的失效模式及其关联影响，或者由于技术等方面的限制很难被100%的诊断检测到，因此，其诊断覆盖率的最高声明值被加以限制（见表1，详细信息请参见GB/T 20438-2附录A）。我们在估算时应考虑这些限制，否则将需要给出详细的说明来证明该估算的可靠性。f、求和。经过以上步骤，每一个部件的每一失效模式下都有一

11、组共4个失效数据：lSD、lSU、lD D、lD U，将 这 些 数 据 分 别 求 和，得 到S lS D、SlSU、SlDD、SlDU。g、求诊断覆盖率。h、同时，我们还可以求得功能安全理论中的另一个重要参数安全失效分数（SFF）。3 结束语通过采用诊断测试技术来降低发生危险失效的可能性，提高系统的安全完整性；通过分析计算诊断覆盖率来为证明系统的安全完整性提供必要的有理有力的依据。诊断覆盖率的分析技术正逐步的发展和完善，一些专用的方法和数据支撑体系也正逐步建立。由于起步较晚，我国在技术研究和数据储备上与国外发达国家相比尚有一定差距。但是，随着我们对这一理论体系接受和关注的不断升级，差距必将

12、逐步缩小。参考文献1 GB/T 20438-2006,电气/电子/可编程电子安全相关系统的功能安全表1 不同部件可声明的最大诊断覆盖率（部分数据）部件低诊断覆盖率中诊断覆盖率高诊断覆盖率CPU（见注3）寄存器，内部RAM编码和执行包括标志寄存器（见注3）地址计算（见注3）程序计算器，堆栈指针全部小于70%50%7050%6050%7050%6050%7040%60全部小于90%85%9075%9585%9860%9099%99.99 85%98BUS（总线）内存管理单元总线仲裁50%50%70%70%90%99%90%99%中断处理40%6060%9085%98时钟（石英）（见注4）5095%99