1、TV南德意志集團數字世界的 功能安全性從芯片設計到整個系統設計的智能解決方案電子書摘要隨著數字化和自動化技術發展， 電子、 電氣或可編程電子系統 （E / E / PES） 在安全應用領域的應用日益普遍。 現如今， 復雜性和連通性日益提高， 這對系統和發電廠技術的功能安全性提出了新的要求， 同時， 此前獨立應用之間的關系也越來越密切。 鑒此， 為了確保系統的安全性和可靠性， 跨學科專業知識與技術愈加重要。 因此， 出現了全新功能安全應用， 例如： 與人類攜手合作的協作機器人。 另外， 這些發展趨勢也體現在標準化水平方面。 實現安全要求時， 現行標準針對落實全新需求設定了起點。 本TV 南德意志

2、集團電子書總結了當前的趨勢和挑戰， 并概述了功能安全性所帶來的機遇。 在整個設計和開發階段， 第三方審核和測試活動在所有應用程序中發揮關鍵作用。 這一主題將會吸引系統、 零部件和機器制造商以及工廠和基礎設施業主或經理的 關注。2數字世界的功能安全性 | TV南德意志集團目錄1 簡介 32 功能安全領域的發展趨勢和挑戰問題 4 具有安全功能的現代化半導體4 更加嚴格的要求醫療器械行業面臨的機遇 5 機械行業： 保護性戰略方式轉變6 核工業對于起重設備的巨大需求 7 燃燒系統的修訂后版本8 過程工業中的安全儀表系統9 不斷完善的鐵路行業信號系統 10 設備安裝工程中的工業IT安全 11 將功能安全

3、作為一項管理責任123 結論133TV南德意志集團 | 數字世界的功能安全性1. 前言20世紀70年代， 意大利北部塞韋索（Seveso） 地區化工廠由于二惡英泄露導致過熱問題， 引發了一些無法控制的反應， 功能安全這一主題由此進入人們的關注視野。 此后，更加嚴格的工業安全規范紛紛出臺， 為國際標準的誕生奠定基礎。從交通運輸、 醫療保健和醫療器械到發電廠或游樂場以及游樂設施的設計， 功能安全已成為各行各業中的一項重要課題。 因此， 制造商和運營商應將產品和設備的質量和安全性放在首位， 以保護人員、 財產和環境， 使其免受技術風險的影響。隨著新應用的發展， 連通性日益提高， 標準化環境正在發生變

4、化。 協作機器人領域 （人與機器共同合作） 就是其中一項典型案例。 這一創新領域需要具備綜合全面的功能安全方法， 強調全部應用-包括特定和通用系統-中對于專業知識和資深經驗的需求。 其他項目需要掌握包括從設計和開發到制造和安裝、測試、 認證、 投入使用和退役的各個項目階段不同應用領域專業知識。因此， 測試和認證機構需要提供綜合全面的國際化服務， 確保能夠向業主、 管理人員和制造商提供一站式的跨學科的專業支持以及全面的國際化審批服務。4數字世界的功能安全性 | TV南德意志集團2. 功能安全領域的發展趨勢和挑戰問題具有安全功能的現代化半導體在功能安全嵌入式系統中使用復雜半導體， 必須確保微型化，

5、 目的是減少所占面積， 降低成本。 另外， 現代化設計具有兼容性、 可重用性和嵌入式安全功能特點要求。 導致芯片上已經開始采用配備安全機制的pCs， FPGAs和ASICs， 如鎖步架構或內存完整性測量。 該領域的挑戰問題是創新周期短， 設計復雜程度高， 集成密度增加。這些方面對此類設備的功能安全性評估工作產生了巨大的影響。 例如，必須將由新技術引發的新故障模式納入到考慮范圍當中。 以片上系統（SoC） 為例， 必須評估從屬故障情況。 已知的故障模式 （如瞬態故障）在小型結構一體化背景下的相關性提高。此外， 必須開發能夠證明安全措施有效性的充分驗證方法。 由于復雜性大大增加， 需要采用優質開發

6、和使用周期過程， 以確保系統故障始終處于較低水平。 最后， 在編制關于系統一體化完整性的用戶文檔時， 必須非常小心。 因此， 必須根據現有技術和具體技術解釋并擴展通用規范要求。設計和制造過程評估是規避系統故障后果出現的另一項關鍵因素。除上述內容之外， 半導體零部件用戶還需要借助內容豐富、 信息完整的文檔來實現安全直觀的系統設計。 所有這些都需要掌握全面的專業知識與技能?！鞍雽w領域面臨創新周期短，集成密度增加的挑戰。 確保標準能夠體現出最先進的技術就是挑戰問題之一。 ”Matthias Ramold全球功能安全負責人TV南德意志集團鐵路部5TV南德意志集團 | 數字世界的功能安全性更加嚴格的要

7、求醫療器械行業面臨的機遇故障引發后果的嚴重性。 借助功能性安全方法預防故障出現， 保護這些系統。 目前， 醫學工程越來越依賴由微處理器和軟件控制和監控的系統。 數字化和連通性不僅能夠提高功能安全的重要性； 還能帶來經濟機遇。 安全的產品設計、 盡早規避合規相關問題、 減少產品召回情況、縮短上市時間等只是部分潛在利益例子?！肮δ馨踩粌H有益于患者和用戶。 另外， 制造商還應避免與合規有關的問題， 并通過縮短上市時間而獲益。 ”Royth von Hahn博士TV南德意志集團 產品服務部 醫療器械是全球監管標準最嚴格的產品之一。 任何故障問題否可能對患者和使用者造成嚴重后果。 與多數其他安全相關行

8、業相比， 醫療器械的功能安全性沒有明確的定義。盡管如此， 各種規范和標準提出了若干要求， 這些要求只能通過運用功能安全的原則和方法來實現。 具體可參閱電氣安全和軟件相關 標準， 其中包括IEC 60601-1 “醫療電氣設備 - 第1部分： 基本安全和基礎性能的一般要求” ， 以及特定應用的具體標準、 軟件標準IEC 62304 “醫療器械軟件 - 軟件使用周期 流程” 。這些標準要求評估器械為患者和使用者帶來的危害。 涉及醫療器械和獨立控制醫療器械的軟件功能。 對于高風險器械而言， 規范和標準要求制定特定安全系統， 在最大程度上降低故障出現的可能性以及由于6數字世界的功能安全性 | TV南德

9、意志集團機械行業： 保護性戰略方式轉變機械行業內部功能安全的意義不斷提高。 在該行業領域當中， 操作人員和維護人員的安全始終都是關注焦點。 除此以外， 另一個目標是盡量降低操作和維護修理的成本。 因此，機器制造和操作必須遵守一系列法規和要求。 機械制造商必須證明其符合歐洲機械指令2006/42 / EC。 統一標準EN ISO 13849第1部分和第2部分以及EN 62061可被用于符合功能安全領域的規定要求。近年來， 隨著數字化日益發展， 電子、 電氣或可編程電子系統 （E / E / PES） 的使用越來越普遍， 適用于機器和機器系統的要求越來越全面和復雜。 這些技術顯著提高效率和自動化程

10、度同時在提高可操作性和盈利能力方面做出重大貢獻。 安全系統必須迎合這些更通用且更復雜的應用。 比如， 過去安全柵欄中監視范圍內的一道通道門打開時， 能夠及時停止機器的危險運動。 從防范進入和及時關閉機器變為可靠識別人員和持續運行。 這種趨勢可能導致破壞事件出現， 控制系統安全相關零部件變得更加復雜。 人機合作就是其中一項典型案例， 這為提高效率提供了巨大的潛力?！皺C械工程正在經歷范式轉變過程： 過去只能在安全柵欄后運行的機器， 現在協作工作有了可能。 ”Christian EberleTV南德意志集團 工業服務部7TV南德意志集團 | 數字世界的功能安全性核工業對于起重設備的巨大需求功能安全對

11、于起重和物料運輸設備的要求取決于一系列因素， 包括其具體用途在內。 在傳統行業中， 安全相關要求遵循歐盟機械指令2006/42 / EC。 德國法定事故保險和預防機構針對這些要求進行了補充， 特別是DGUV標準52起重機 （以前的BGV D6） 。適用于核電站安全相關材料處理的起重設備是以核安全標準為基礎，如KTA 3902 “核電站起重設備設計”。 原則上， 本標準的要求以常規標準為基礎， 特別是ISO 13849。 KTA標準3902包括超越傳統標準規定的要求， 包括提升裝置的所有必要安全功能列表和符合ISO 13849-1要求的性能等級 （PL） 。 在這種情況下， 為個人安全功能而制定

12、的PLs取決于所涉及的風險以及假設功能失效的情況下放射性釋放的潛在程度。因此， ISO 13849制定了用于核工程中識別和控制隨機故障的措施的基本適用要求。 但是， ISO 13849要求為預防系統錯誤或常見故障而采取的措施僅指質量保證， 旨在預防設計、 開發和制造中的某些缺陷問題。它們無法在各種情況下滿足核工程的確定性設計原則。 在這種情況下，個人安全功能可能具有較高的安全意義， 因為一旦失效則有可能導致違反核安全目標。根據KTA 3902規定， 這些功能需要兩個冗余和不同的安全設備實現，以確保對系統故障進行可靠控制。在這種情況下， 兩個安全設備當中至少一個必須符合PL e （或符合 SIL

13、 3） 。 對于第二個安全設備而言， PL c即可滿足要求。 實際上， 不同制造商通常需要采用兩種控制系統來滿足這一要求。 此外， 不同的測量原則還被用于確定需要監測的起重設備的狀況?！昂斯こ讨械拇_定性設計原則需要具備不同的冗余系統和各種測量原理。 ”Cornelia BhlerTV南德意志集團 工業服務部8數字世界的功能安全性 | TV南德意志集團燃燒系統的修訂后版本方法設計這些安全系統， 達到和驗證具體應用的安全完整性水平。 這要求掌握功能安全領域專業知識，而且還要熟悉流程工程流程及其行為， 特別是在現有操作條件和故障容錯時間方面?，F行標準采用根據戰略評估安全功能的具體應用設計的方法。 具

14、體事例包括燃燒和燃料處理系統的EN 746-2及其相應標準， 最近與ISO 13577-4一同發布國際標準ISO 13577-2。 適用于爐子的電氣設備標準EN 50156-1提供了類似方法， 其中安全設備和子系統必須符合EN 50156-2。這使得工廠制造商、 業主和管理人員可以根據技術標準設計獲得審批且優質的硬連線安全器械和設備的安全性功能。 但是， 他們也可以選擇帶有傳感器和致動器的可自由編程安全儀表系統。 在相關專業標準定義的框架范圍內， 共有兩個選項允許利益相關者找到實現安全功能的最佳解決方案。必須根據具體應用設計生產工業燃燒系統 （如熱處理設備） 。 功能安全系統被用于監測燃燒過程

15、并預防關鍵工廠情況出現。 憑借通過硬線電路實現安全功能掌握的數十年資深經驗， 與可用的優質安全器械和設備相結合， 確保充分控制相關技術標準中定義的故障模型。同時采用傳感器和致動器， 并且獲得審批， 具有SIL-或PL-分類安全功能和通過可自由編程的安全控制器控制的電路系統的燃燒系統所占比例將有所增加。 需要采用一種系統性的“對工業燃燒系統制造商、 所有者和管理者而言， 具有不同方法滿足功能安全要求。 ”Johannes SteiglechnerTV南德意志集團 工業服務部9TV南德意志集團 | 數字世界的功能安全性過程工業中的安全儀表系統在完善的第一步過程中， 專家定義可能發生的損壞事件及其發

16、生概率。 另外， 還確定必須監控的工藝參數及其質量， 以及達到某些特定限度時， 如何予以響應。 必須在危害和風險評估框架內完成， 其中包括相關安全目標在內。 當容器達到最大允許壓力時， SIS將關閉容器填充或加熱程序， 從而將超壓的概率過程工業中經常使用氣體和流體，如果發生意外泄露情況， 則有可能對人和環境造成重大風險。 安全儀表系統 （SIS） 有助于預防這些損壞事件并限制其不良后果。 符合相關標準的要求是確保SIS可靠性的關鍵。 基本上以EN 61508第1-4部分和EN 61511第1-3部分規定的安全使用周期作為基礎。 過程工業中的化學反應經常在高壓和高溫條件下運行。 實例包括分離反應

17、器或蒸餾塔等容器。 超過這些容器設計壓力的壓力可以激活任何機械超壓閥， 以避免容器破裂。 但是， 同時也會導致容器中的一些有害氣體和酸排出。 鑒此， 必須采取措施確保安全實現排放安全。 除此之外， 容器部分內容損失也意味著可銷售產品損失， 加上工廠停機時間導致出現損失。 SIS能夠將容器超壓的可能性降至可接受水平， 從而大大減少確保容器內容物安全排放的技術工作和成本。 “設計和評估SIS功能安全的團隊必須確保公正性和獨立性， 這點至關重要。 ”Christian Zauner TV南德意志集團工業服務部 降至可容忍的剩余風險水平。 SIS由傳感器、 邏輯單元和致動器組成，必須符合當前具體故障預

18、防和故障控制措施。 同時適用于單個零部件及其相互作用。 相關標準的一個基本要求是建立功能安全管理體系。 這適用于安全使用周期中的所有利益相關者， 包括工廠業主、 經理、 工廠建設者和零部件供應商。 設計和評估SIS功能安全的團隊必須確保公正性和獨立性， 這點至關重要。 與第三方專家團隊合作的供應商、 運營商和工廠建設者不僅履行職責； 在新設備設計和測試以及對現有設備修正方面同樣做到了公正性， 確定其符合所有法律要求， 從而盡可能減少可能需要采取的后續措施的成本和工作。10數字世界的功能安全性 | TV南德意志集團不斷完善的鐵路行業信號系統的故障概率。 必須分析隨機硬件故障， 以證明即使發生故障

19、時， 也可達到定性安全目標。 應將系統故障限制在一定水平， 相關安全完整性等級 （SIL） 所要求的程度。 通過顯著的過程重點與特定措施和方法結合完成。為了實現安全目標， 必須采取均衡的措施和方法。 適用于預防故障原因出現， 也可用于控制管理可能出現的影響。 研究證明信號系統中的大多數風險都是由無法通過安全分析、 詳細檢驗或正確評估確定的系統性故障導致出現的。也適用于這些風險的后果和所采取的任何反應。 相比之下， 隨機硬件故障所占比例不超過10%。為了顯著提高信號系統的安全性，必須重視行動措施的有效性， 以預防信號系統使用周期內系統故障問題出現。技術進步不僅僅體現在鐵路信號系統方面。 這意味著

20、傳統機械和機電系統正在逐漸實現現代化， 并被現代微電子所取代。 系統越來越復雜， 通常會導致故障出現的概率提高。 在常規機械和機電系統中， 故障和故障效應通常具有決定性作用。 進而可以充分測試這些系統。但是， 由于現代微電子技術的出現， 以及對軟件日益廣泛的依賴，目前只能在有限的程度上實現目標。 特別是當出現故障時， 信號系統的行為更難控制。 可靠使用這些現代化系統需要發展可以借助標準進行描述的適當措施。EN 5012X系列功能安全的關鍵標準通過采取基于風險的方法來解決問題。 它們將系統和隨機故障的容忍危險率定為故障安全基準。 安全完整性等級 （SILs） 形式的定性目標提供了一個等級數值，

21、它決定著必須采用哪些限制系統故障的技術和行動。 相比之下， 定量目標以數字故障率的形式覆蓋隨機故障“通過關注有效的措施行動預防系統故障， 我們大大提高了 信號系統的安全性。 ”Sven NowakTV南德意志集團11TV南德意志集團 | 數字世界的功能安全性多年來， 電站始終采用一種確定性的方法確保功能安全性。 這種方法已被納入到蒸汽鍋爐411,412,413技術規則、 604系列相關技術規則以及DDA 1001建議當中。 這些規則詳細描述了必須實現的系統冗余情況，以便根據不同操作模式降低初始風險。 電站或蒸汽發生器以及類似系統當中的熔爐裝置現行有效標準EN 50156直接采用了確定性冗余，

22、使其符合最新術語 （硬件容錯， HFT） 定義。 非型式審批限制設備的結構要求或許是這方面最有說服力的 設備安裝工程中的工業IT安全例子。 基本采用TRDs未變要求。 關鍵變化涉及到添加更多組合和詳細信息 （測試周期和診斷覆蓋水平） ， 其中通過功能安全基本標準（EN 61508和EN 61511與德國子標準VDE / VDI 2180） 的概率方法提高相關性。由于德國等國家追求實現能源轉型， 電站之間的連通性未來將發揮更加重要的作用。 由此將會產生一系列后果， 其中一項就是電站自動化水平提高， 允許實現遠程監控和管理。 與此同時， 直接監管功能的安全意義將繼續上升。 但是， 遠程監控和管理將

23、會引發另一項安全問題。由于控制系統與互聯網相連， 因此必須加以保護， 禁止受未經授權第三方訪問。 這些全新挑戰的意義未來幾年會日益顯現。 全新IEC標準 62443在系統和管理層面以及設備層面面臨上述挑戰。 該標準提供了一種綜合方法， 以確保系統的IT安全性、 網絡安全性和系統完整性。 允許組織優化控制和處理系統， 探測潛在漏洞， 并制定有效的措施行動加以保護。 該標準以工業自動化和控制系統 （IACS） 當中的IT安全作為重點。 需要借助這些系統確保自動化系統和基礎設施的可靠性和安全運行?！半S著自動化和連通性發展， 我們面臨越來越多關于考慮功能安全領域當中工業IT安全問題。 ”Karsten

24、 KlinglerTV南德意志集團工業服務部12數字世界的功能安全性 | TV南德意志集團因此， 功能安全管理 （FSM） 是相關功能安全標準的關鍵要素。包括所涉個人的角色和任務的定義、 能力證明以及資質衡量， 確保掌握最新知識。 另外， 必須在安全使用周期范圍內定義其他要素， 其中包括所需文件的類型和范圍以及質量保證。 覆蓋編制文件程序、 工作指導和清單以及官方簽名授權。除此以外， 必須規范、 修訂和配置管理現場經驗記錄。 FSM與質量更高的管理系統之間存在多個接口。 必須特別關注。 例如，在報價階段盡早清晰界定各方的責任已被證明是一種良好的做法。 這是因為功能安全不僅是零部件或系統供應商的

25、責任， 而是系統未來所有者的責任。組織機構和人員有責任推出功能安全的產品和系統。 需要借助一種管理框架來執行不同的功能安全需求， 規范執行活動的過程和組織。將功能安全作為一項管理責任餅圖以順時針順序顯示出安全使用周期的各個階段。 根據發生的頻率， 將導致事故或事件發生的故障分配至這些階段。44 %6 %15 %20 %15 %規范設計與執行運營、 服務和 維護安裝與調試調試后變更調整故障原因是什么？“功能安全責任不僅需要供應商承擔; 業主也應分擔這個責任。 管理層負責建立有效的 流程。 ”Rolf Zollner博士TV南德意志集團工業服務部13TV南德意志集團 | 數字世界的功能安全性3.

26、結論生活和工業各個領域日益增長的數字化和自動化不僅提高了功能安全和工業IT安全的重要意義； 同時也提供了經濟機遇。 安全的產品設計、盡早規避合規相關問題、 減少產品召回情況、 縮短上市時間等只是部分潛在利益例子。 制造商和所有者可以通過建立系統的流程重點利用這些機遇， 包括考慮整個系統的使用周期， 以及盡早 （最好在開發階段） 借助第三方合作伙伴的輔助支持。TV南德意志集團專家推出可被用于驗證安全和保障措施效率的方法。 因此， 在評估階段應考慮零部件的穩健性以及完整的使用周期，包括開發過程在內。 這些措施旨在最大程度上預防系統性故障情況的發生。 另外， TV 南德意志集團專家特別關注用戶文檔，

27、 確保推動安全和便捷系統一體化。另外， TV 南德意志集團還在產品投放市場、 運行以及更換機器和機器系統期間為制造商和運營商提供專業輔助支持。通過與TV 南德意志集團功能安全專家合作開展評估工作， 制造商和業主在建立新工廠和改造現有工廠時， 履行職責， 驗證設計和測試工作的客觀性和獨立性。系統和設備之間關聯性日益增強，將上遠程遙控的可能性不斷提高，導致更加需要采取適當的方法來保護系統， 預防未經授權訪問， 以及嵌入在硬件和軟件中的安全功能的安全相關操作問題出現。 TV 南德意志集團根據lEC 62443-4-1為制造商提供相關測試和認證服務， 并根據lEC 62443-2-4為系統集成商提供相關測試和認證服務。 TV 南德意志集團在功能安全方面具有資深經驗和良好的國際聲譽。在此基礎上， 跨學科專家團隊采用從芯片設計到整個工廠檢驗的一種綜合方法。 確保進行綜合性行業評估工作， 并提供符合復雜的功能安全要求的保證。