很難想象沒有某種通信網(wǎng)絡(luò)的功能安全系統(tǒng)。因此，您會(huì)期望標(biāo)準(zhǔn)中的可用指南是明確無誤的。有人會(huì)說這很清楚，但當(dāng)你與人辯論時(shí)，結(jié)果證明它是可以解釋的。

部分問題可能是有各種各樣的網(wǎng)絡(luò)，它們的屬性差異很大。

網(wǎng)絡(luò)類型包括

可能包含云的連接

沿著鐵路軌道運(yùn)行超過 10 秒或 100 多公里的連接

煉油廠中的無線網(wǎng)絡(luò)

在工廠車間運(yùn)行的全現(xiàn)場總線

工廠車間的點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)

元件或子系統(tǒng)內(nèi)兩個(gè)PCB之間的連接

單個(gè)PCB上的IC之間的連接

IC內(nèi)的內(nèi)部通信網(wǎng)絡(luò)

黑通道網(wǎng)絡(luò)范式通過IEC 61784-3（現(xiàn)場總線）和IEC 62280/EN 50159（鐵路）等標(biāo)準(zhǔn)進(jìn)行了很好的描述和控制。然而，即便如此，將現(xiàn)場總線標(biāo)準(zhǔn)應(yīng)用于上述列表下半部分的網(wǎng)絡(luò)也是合適的。IEC 61508確實(shí)確定了另一種類型的網(wǎng)絡(luò)，稱為白通道網(wǎng)絡(luò)，但關(guān)于白通道要求的內(nèi)容并不多。大多數(shù)其他標(biāo)準(zhǔn)遵循IEC 61508-2 7.4.11，以滿足其網(wǎng)絡(luò)要求。

首先，白色和黑色通道的名稱從何而來？

它被稱為黑色通道，因?yàn)槟憧床坏剿?。那里都是黑暗的，所以你不知道路由器的可靠性，使用什么類型的開關(guān)，它們的EMI魯棒性和可靠性等。黑色通道甚至可能包含互聯(lián)網(wǎng)上的鏈接。

白色通道正好相反。它是按照IEC 61508設(shè)計(jì)的網(wǎng)絡(luò)，因此您可以完全了解并了解所有組件的可靠性，EMC魯棒性，故障模式等。當(dāng)然，最好將其稱為“清晰”渠道。

標(biāo)準(zhǔn)中未提及灰色通道，但介于黑色和白色通道之間。它大部分是黑色的，但您確實(shí)知道它的一些屬性，并且可能會(huì)排除某些故障模式。

黑支票通道方法的問題包括

需要使用 0.01 的懲罰性 BER（誤碼率）/BEP（誤碼概率）以允許較差的 EMI 和未知組件的不可靠性（記住它的黑色，所以你看不到它們）

您需要計(jì)算及時(shí)性、損壞、偽裝舞會(huì)等的殘余錯(cuò)誤率，并將它們添加到您的 PFH（每小時(shí)危險(xiǎn)故障概率）中。這可能非常耗時(shí)，并與評(píng)估員達(dá)成一致。您可能還會(huì)驚訝于由于殘余錯(cuò)誤率而導(dǎo)致的故障率有多大。

除非你能以某種方式證明它的合理性，否則你需要對(duì)可能不是真實(shí)的威脅實(shí)施大量防御。

您可以選擇標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議（如PROFIsafe），然后您的許多問題就會(huì)消失，因?yàn)橛腥艘呀?jīng)為您完成了所有計(jì)算，并使用最壞情況假設(shè)確定了檢測(cè)錯(cuò)誤所需的防御措施。

那是覆蓋的黑色通道。

那么，標(biāo)準(zhǔn)對(duì)白色通道有什么看法，讓我們查閱IEC 61508-2：2010子條款7.4.11。

圖1 - IEC 61508-2：2010 7.4.11.2摘錄

這伴隨著下圖所示。兩者都有些令人困惑，因?yàn)樗鼘咨ǖ烂枋鰹橥耆凑誌EC 61508設(shè)計(jì)，但隨后提到它也應(yīng)該符合兩個(gè)黑色通道標(biāo)準(zhǔn)之一。許多白通道網(wǎng)絡(luò)將超出這兩個(gè)標(biāo)準(zhǔn)的范圍，例如兩個(gè)PCB之間的連接或任何點(diǎn)對(duì)點(diǎn)連接，例如4/20mA。該圖在網(wǎng)元的兩端都有粗大的黑色垂直線，似乎也表明防御是內(nèi)置在網(wǎng)絡(luò)的端點(diǎn)中，而不是內(nèi)置于構(gòu)建網(wǎng)絡(luò)的每個(gè)組件中。

圖2 - 白色信道網(wǎng)絡(luò)示意圖

忽略對(duì)黑信道網(wǎng)絡(luò)標(biāo)準(zhǔn)的引用，我認(rèn)為這是錯(cuò)誤的，我對(duì)白信道網(wǎng)絡(luò)要求的解釋是

您需要根據(jù)特定的SC（系統(tǒng)功能）設(shè)計(jì)網(wǎng)絡(luò)，并進(jìn)行所有正確的設(shè)計(jì)審查，EMI測(cè)試，驗(yàn)證和確認(rèn)。選擇合適的組件等使用的任何軟件都需要開發(fā)到同一個(gè)SC。

您需要對(duì)使用的所有組件進(jìn)行可靠性預(yù)測(cè)。

您需要使用 FMEDA 或類似來計(jì)算 λ的（危險(xiǎn)的未檢測(cè)到故障率）和診斷以使其足夠低（取決于所需的 SIL）。

并非網(wǎng)絡(luò)中使用的所有IC都需要按照IEC 61508進(jìn)行開發(fā)。大多數(shù)工業(yè)安全系統(tǒng)都是使用標(biāo)準(zhǔn)組件構(gòu)建的。

應(yīng)將 EMI 視為始終存在，而不是間歇性事件。

您的 EMI 測(cè)試應(yīng)有裕量（參見 IEC 61508-2：2010 表 A.16），這樣您就不會(huì)在實(shí)際應(yīng)用中遇到預(yù)期的 EMI 水平的 EMI 故障。如果設(shè)計(jì)中的組件（例如濾波電容器）出現(xiàn)故障，則可能會(huì)因 EMI 而發(fā)生故障，但這已經(jīng)包含在 FMEDA 和 λ的.

沒有必要采用刑事BER/BEP。網(wǎng)絡(luò)中所有組件的故障率可通過FMEDA或其他可靠性預(yù)測(cè)（作為IEC 61508設(shè)計(jì)的一部分）獲得，并且由于EMI構(gòu)成系統(tǒng)故障模式，因此應(yīng)消除由EMI引起的故障。數(shù)據(jù)包丟失或延遲的唯一方法是組件故障。數(shù)據(jù)包損壞的唯一方法是EMI性能差或旨在提供良好EMI的組件故障。

也許，上面最具爭議的是我的斷言，即在為IEC 61508設(shè)計(jì)的網(wǎng)絡(luò)中，您不應(yīng)該因EMI而出現(xiàn)故障。讓我們看看一些證據(jù)。

首先，讓我們斷言EMI是一種系統(tǒng)故障模式，而不是隨機(jī)硬件故障模式，然后考慮IEC 6第61508部分中的以下內(nèi)容。

圖 3 - IEC 61508-6：2010 A.1 摘錄

因此，如果EMI是一種系統(tǒng)性故障模式（證據(jù)可遵循），則應(yīng)通過設(shè)計(jì)審查、仔細(xì)設(shè)計(jì)和測(cè)試來降低其影響，以便EMI和其他此類故障模式引起的系統(tǒng)故障率與目標(biāo)SIL的目標(biāo)PFH上的隨機(jī)硬件故障率相稱。

我查了一個(gè)相稱的定義，我發(fā)現(xiàn)“在大小或程度上，在比例上是對(duì)應(yīng)的”。好的，因此使用的措施必須將故障降低到與隨機(jī)硬件故障相同的級(jí)別。但是EMI是一種系統(tǒng)性故障模式嗎，讓我們尋找它的證據(jù)。

下面是一張拼貼畫，顯示了表明EMI是一種系統(tǒng)性故障模式的證據(jù)。

圖 4 - IEC 61508-2：2010 中與 EMI（電磁抗擾度）相關(guān)的各種指導(dǎo)

其他一些標(biāo)準(zhǔn)甚至更清楚地說明了這一點(diǎn)。讓我們從IEC 61000-1-2（電磁兼容性（EMC）-第1-2部分：一般-實(shí)現(xiàn)電氣和電子系統(tǒng)（包括電磁現(xiàn)象設(shè)備）功能安全的方法）開始。

圖5 - IEC 61000-1-2摘錄

而且很難比IEC 61326-3-1（測(cè)量，控制和實(shí)驗(yàn)室使用的電氣設(shè)備-EMC要求-第3-1部分：安全相關(guān)系統(tǒng)和旨在執(zhí)行安全相關(guān)功能（功能安全）的設(shè)備的抗擾度要求-一般工業(yè)應(yīng)用）更清晰。

圖6 - IEC 61326-3-1

“在量化硬件安全完整性時(shí)，沒有必要考慮電磁現(xiàn)象的影響”這句話肯定是該論點(diǎn)的關(guān)鍵。

它是行業(yè)特定功能安全標(biāo)準(zhǔn)的最新標(biāo)準(zhǔn)，由一個(gè)龐大而多樣化的團(tuán)隊(duì)開發(fā)，其 11 個(gè)部分有很多細(xì)節(jié)。此外，汽車領(lǐng)域的幾乎所有東西都與安全有關(guān)，所以這些人非常專注。汽車對(duì) EMI 提出了嚴(yán)格的 EMI 要求和詳細(xì)的測(cè)試。ISO 26262沒有參考黑色通道標(biāo)準(zhǔn)IEC 61784-3或IEC 62280，也沒有要求計(jì)算殘余錯(cuò)誤率。但是，您需要添加針對(duì)腐敗、延誤、偽裝舞會(huì)等的防御措施。但影響不是量化的，本質(zhì)上是定性的。這符合我對(duì)如何實(shí)施白通道網(wǎng)絡(luò)的理解，并符合IEC 61508-61508：2 2010.7.4和表A.7至A.15中關(guān)于控制系統(tǒng)故障控制的要求。

審核編輯：郭婷