工業(yè)自動化����、物流以及智能電網(wǎng)等很多工業(yè)領(lǐng)域都要求機械設(shè)備和產(chǎn)品具有安全性,經(jīng)過了功能安全認證��。當開發(fā)必須符合全世界安全標準的機械設(shè)備時����,靈活性和逐漸增高的安全成本是非常重要的決定因素�。在這些應(yīng)用中���,安全要求產(chǎn)生了新的機械開發(fā)過程�����,增加了電子設(shè)備的復雜度�����,一般會導致顯著增加硬件成本�,延長了產(chǎn)品面市時間���。工業(yè)芯片系統(tǒng)能夠幫助工程師在獲得IEC
61508產(chǎn)品認證過程中節(jié)省18個月的設(shè)計時間�����。具有Altera
FPGA等經(jīng)過認證的器件意味著���,設(shè)計人員可以充分發(fā)揮FPGA的靈活性優(yōu)勢,不用擔心這些器件能否用于安全應(yīng)用����。
設(shè)計挑戰(zhàn)
如果公司計劃將產(chǎn)品銷售到需要符合當?shù)匕踩?guī)章制度的國家����,這些國家要求有功能安全評估人員的認證��,例如���,新的機械建造規(guī)范(2006/42
/EG),這是產(chǎn)品出口到歐洲必須滿足的要求����,那么,這些公司必須在整個設(shè)計過程中采用安全方法��,這樣才能參與競爭�����。工廠操作人員需要對機械設(shè)備進行安全操作����,以提高效能,例如�,在部分機械設(shè)備還在工作時對設(shè)備進行維護,顯著縮短開機和停機時間等。
當公司決定開發(fā)安全產(chǎn)品時�,必須把安全作為核心系統(tǒng)功能。歷史上�,通過冗余控制器或者通信模塊等其他功能,結(jié)合電路來監(jiān)視系統(tǒng)���,在系統(tǒng)中增加安全功能����。與從開始就針對安全和成本競爭力進行優(yōu)化的設(shè)計安全應(yīng)用相比���,這些置入的安全組件是事后加入到系統(tǒng)概念中���,明顯提高了成本,不夠靈活���,無法更新��。
開發(fā)安全應(yīng)用的設(shè)計挑戰(zhàn)包括:
? 采用“安全”設(shè)計方法以及安全概念�。
? 需要更多的工程投入(時間和技術(shù))���,結(jié)果產(chǎn)品推遲面市��,提高了總體擁有成本�。
? 工程管理,采集所有系統(tǒng)組件的數(shù)據(jù)�,根據(jù)安全規(guī)范要求對工程進行記錄。
成功設(shè)計的關(guān)鍵是采用經(jīng)過驗證的設(shè)計方法���,合格的工具和器件作為產(chǎn)品的一部分���,從產(chǎn)品開發(fā)的一開始就考慮安全問題。
典型的應(yīng)用步驟
如果沒有想到安全問題��,開發(fā)一個具體應(yīng)用的五個典型設(shè)計步驟包括:
? 體系結(jié)構(gòu)開發(fā)
? 組件選擇
? 應(yīng)用設(shè)計實現(xiàn)
? 集成和測試
? 發(fā)布
第一步是產(chǎn)品體系結(jié)構(gòu)��,如圖1所示����。對于驅(qū)動器等典型的電機控制應(yīng)用��,設(shè)計步驟把系統(tǒng)分成系統(tǒng)控制�、通信和實時電機控制功能等部分。例如��,對于系統(tǒng)的控制部分和實時部分��,體系結(jié)構(gòu)選擇軟件實現(xiàn),對于通信部分確定使用硬件/軟件方法��,以支持實時工業(yè)以太網(wǎng)通信協(xié)議�����。
圖1.體系結(jié)構(gòu)開發(fā)
下一步是選擇組件(圖2)�����。做出決定后�����,具體實施時���,控制軟件可能運行在標準應(yīng)用處理器上�����,在數(shù)字信號處理器(DSP)上實現(xiàn)實時電機控制部分��,而采用基于FPGA的方法實現(xiàn)系統(tǒng)中的通信部分����。采用FPGA,系統(tǒng)能夠在可以互換的相同器件中靈活的實現(xiàn)各種工業(yè)以太網(wǎng)標準�����,例如以太網(wǎng)/IP�、
EtherCat、PROFINET����,或者SERCOS III等。利用靈活的通信部分體系結(jié)構(gòu)���,可以定制標準硬件平臺��,很容易滿足最終用戶的特殊協(xié)議需求����。
圖2.組件選擇
確定如何劃分并選擇了組件后���,設(shè)計團隊可以針對各自的應(yīng)用展開開發(fā)工作。然后����,他們將組件集成為一個完整的系統(tǒng)��,測試系統(tǒng)功能�,發(fā)布產(chǎn)品���。
增加安全性
如果按照產(chǎn)品要求����,開發(fā)功能安全設(shè)計�����,則需要增強其他的工程階段����,如圖3黃色部分所示。
圖3.根據(jù)安全步驟而增加的設(shè)計步驟
設(shè)計安全應(yīng)用的目的是獲得功能安全認證�,例如IEC 61508等,因此����,這導致工程越來越復雜。IEC
61508規(guī)范涵蓋了從開發(fā)具體應(yīng)用到產(chǎn)品退出市場的整個安全生命周期���。按照安全標準的步驟和過程����,則需要簡化與評估人員的通信,以確保能夠清楚的理解安全目標�、概念、過程和解決方案����,滿足安全要求。
工程啟動和風險分析
在工程啟動和風險分析階段�����,根據(jù)應(yīng)用的一般要求來確定安全范圍���。對于實施階段���,確定并梳理和記錄應(yīng)用所需要和能夠?qū)崿F(xiàn)的安全完整性等級(SIL),作為風險分析和評估的基礎(chǔ)��。風險分析是以后測量的基礎(chǔ)��,它表明了對產(chǎn)品邊界的理解�,與產(chǎn)品范圍定義密切相關(guān)�。它是所需SIL的基礎(chǔ)�,詳細定義了安全功能��,以及產(chǎn)品文檔框架���。這需要在組件級以及系統(tǒng)級完成����。
體系結(jié)構(gòu)開發(fā)
然后��,設(shè)計人員開發(fā)體系結(jié)構(gòu)來滿足功能和安全要求�����。他們對安全要求進行提煉��,記錄在操作和維護階段實現(xiàn)的某些功能���,確定驗證能否滿足安全要求而需要采取的策略����。
安全要求規(guī)范
對于安全驅(qū)動��,工程范圍可能包括幾個方面,例如�����,確定驅(qū)動參數(shù)是否在允許的范圍內(nèi)����,或者,安全I/O信號是否是關(guān)鍵事件等�。驅(qū)動最基本的安全特性是“安全關(guān)閉”(STO),以安全方式斷開電機電源��。這一過程還可能包括與出現(xiàn)安全事件的整個自動化系統(tǒng)進行通信�����,必須在一定的時間周期內(nèi)進行評估�,例如,按照一系列步驟順序關(guān)斷整個應(yīng)用����。
驗證和認證規(guī)劃
驗證規(guī)劃的開發(fā)包括受控失敗插入方法,以測試系統(tǒng)�,進行其他的監(jiān)控,觀察系統(tǒng)�����,對比當前參數(shù)和預先確定的參數(shù)����,以及允許值。
組件選擇�����,組件��,IP和工具資格
典型的工程都有組件選擇步驟����,但是設(shè)計人員應(yīng)確保組件和IP功能適合安全應(yīng)用。重要的是考慮殘留錯誤概率�����,這是計算產(chǎn)品全部失敗概率(FIT)以及最終SIL的基礎(chǔ)����。可以通過收集廣泛應(yīng)用的產(chǎn)品的器件和設(shè)計工具數(shù)據(jù)來實現(xiàn)這一點���,這樣�,不會出現(xiàn)系統(tǒng)錯誤,能夠可靠使用(例如�����,對于IP)����,還可以通過使用處理器或者FPGA等半導體產(chǎn)品錯誤概率報告以及可靠性信息來實現(xiàn)它。
