共模错误 common mode error
共模错误是双通道或其他冗余结构中的错误,每个通道或结构同时以相同的方式受到影响。
共因错误 common cause error
共因错误是由单个事件导致的多项错误,且这多项错误之间没有因果关系。
失效模式和效果分析 failure modes and effects analysis;FMEA
失效模式和效果分析是识别与考核每一个硬件部件的失效模式的一种分析技术。
独立性 independent
独立性是指不受控制器数据流的不利影响,也不受其他控制器功能故障或共模效应的影响。
不可变贮存 invariable memory
不可变贮存是指在处理器系统内,含有在程序执行期间不预定用于改变的数据的贮存器范围。
可变贮存 variable memory
可变贮存是指在处理器系统内,含有在程序执行期间预定用于改变的数据的贮存器范围。
本节主要讲述软件术语的相关定义,其中包括共模错误、共因错误、失效模式和效果分析、独立性、不可变贮存器和可变贮存器。
1.共模错误
共模错误又可称为共模故障。共模错误是一种相依故障事件,由于空间、环境、设计及人为因素造成的失误等原因,使得故障事件不再被认为是独立的事件;由于组成系统的各个部件之间的相互作用,在它们中间发生的部件故障不再被认为是相互独立的了。共模错误在双通道或其他冗余结构中常发生。由于双通道或其他冗余结构的输入、通道和结构设计方法、输出等都存在非完全独立的方式,所以其中的结构、组件容易以同样的方式受到影响而失效。
2.共因错误
共因错误在概念上是指单个事件导致的多项错误,且这多项错误之间没有因果关系。与共模错误的区别在于,共因错误指的是在一个系统内的两个或多个部分由于单一事件的原因同时产生了错误;而共模错误则是指在一个系统内的两个或多个部分同时以同种方式产生了同一种错误。
3.失效模式和效果分析
失效模式和效果分析(FMEA)是检查尽可能多的组件与子系统以识别系统中潜在的失效模式及其原因和结果的过程。对于每个组件,失效模式及其对系统其余部分的影响都记录在特定的FMEA工作表中。这种工作表有很多变体。FMEA可以是定性分析,但当数学失效率模型与统计失效率比数据库结合使用时,可以作为定量分析的基础。它是最早用于失效分析的高度结构化的系统技术之一。它是由可靠性工程师在20世纪50年代后期开发的,用于研究军事系统故障可能引起的问题。FMEA通常是系统可靠性研究的第一步。
目前存在几种不同类型的FMEA,如功能性、设计、处理等。FMEA是失效分析的归纳推理(前向逻辑)单点,并且是可靠性工程、安全工程和质量工程的核心任务。成功的FMEA活动可基于对类似产品和过程的经验,或者基于失效逻辑的通用物理原理,帮助识别潜在的失效模式。它在产品生命周期的各个阶段广泛用于开发和制造行业。有时FMEA会扩展到FMECA(失效模式,影响和严重性分析)。FMECA将根据对失效模式的分析,确定每种失效模式对产品工作的影响,找出单点故障,并按失效模式的严重度及其发生概率确定其危害性。效果分析是指研究这些失效在不同系统级别上的后果,需要功能分析作为确定功能FMEA或零件(硬件)FMEA的所有系统级别的正确失效模式的输入。FMEA用于基于失效(模式)效应严重性的降低,或者基于降低失效概率或两者的降低来降低风险的缓解结构。FMEA原则上是完整的归纳(前向逻辑)分析,但是只有通过了解失效机理才能估计或降低失效概率。因此,FMEA可以包括有关失效原因的信息(演绎分析),以通过消除已识别的(根本)原因来减小失效发生的可能性。
4.独立性
独立性指的是不受其他因素影响的能力,包括数据流的不利影响、控制器功能的不利影响和其他共模效应的不利影响。例如,双通道采用相同的输入方式,其独立性低于采用不同的输入方式的独立性;带有比较的双通道(相同的)的独立性低于带有比较的双通道(不同的)的独立性。
5.不可变贮存器
不可变贮存器是一种半导体贮存器,其特性是一旦贮存数据就无法将其改变或删除,且内容不会因为电源关闭而消失。在电子或计算机系统中,不可变贮存器通常用以贮存不需要经常变更的程序或数据。由于不可变贮存器中的数据是长期贮存的,对可靠性和安全性要求较高,所以对故障的监测要求也高。
对于不可变贮存器出现的所有一位故障,对应的可接受的措施有周期修改的检查和、多重检查和、带有一位冗余的字保护。若出现了99.6%以上的信息错误覆盖率,则对应可接受的措施有进行冗余CPU的相互比较或独立硬件比较器的比较、带有比较的贮存器、单字或双字的周期循环冗余检查、带有多位冗余的字保护。
不可变贮存器可能包括在程序执行期间数据不改变的随机贮存器结构。
6.可变贮存器
可变贮存器是在处理器系统内设置的在程序执行期间用来贮存改变的数据的贮存器。可变贮存器一般为易失性贮存器,不能长久地保存信息,贮存的内容会因为电源关闭而清除。
容错时间 fault tolerating time
容错时间是从故障发生到被控设备关闭、危险出现之前家电所能承受的时间。
故障响应时间 fault reaction time
故障响应时间是从故障发生到控制达到规定状态点的时间。
规定状态 defined state
规定状态是具备以下特征的控制的状态。
控制家电处于一种状态,在这种状态下,输出终端能确保在任何情况下都处于安全状态。当转换到规定状态的起因被解除时,家电应该按照适当的要求启动;或者在第2部分规定的时间内,控制系统主动执行保护动作来发起关机或防止进入不安全状态;或者控制器仍在运作,继续满足所有与安全有关的功能要求。
复杂电子组件 complex electronics
复杂电子组件是由具有下列特性的电子元件构成的组件。
(1)电子元件能提供一个以上的功能输出。
(2)失效模式比较复杂,不能简单地用固定型失效模式或针脚交叉连接的失效模式,或者其他简单失效模式进行描述。
重置 reset
使系统从安全状态重置进而重启的动作称为重置。
降级(性能)degradation(of performance)
降级(性能)是指任何装置、设备或系统的运行性能与其预期性能的不期望的偏离。
危害 harm
危害是人身物理伤害或损害、财产或环境损害。
危险 hazard
危险是指潜在的伤害源。
风险 risk
风险是危害发生的概率和危害的严重程度的组合。
合理的可预见的误用 reasonably foreseeable misuse
合理的可预见的误用是指在某种情况或目的下,未按照供应商的预期使用产品、过程或服务,这可能是由于产品的设计与一般人的行为相结合造成的结果。
功能安全 functional safety
功能安全是与应用相关的安全,取决于安全相关控制功能的正常执行。
本节主要讲述一些功能安全的相关定义,包括容错时间、故障响应时间、规定状态、复杂电子组件、重置、降级(性能)、危害、危险、风险、合理的可预见的误用及功能安全。
1.容错时间
容错时间指从设备出现故障到设备停止或出现危险的这段时间,控制器必须在这段时间内关闭或调整设备状态,以避免设备因故障而停止或出现危险。在出现故障后,控制器可以选择关闭被控设备,也可以采取其他能避免危险发生的措施。
2.故障响应时间
故障响应时间指的是从设备出现故障到设备经控制器调整到规定状态的时间。故障发生后,系统通过周期性自检或故障监测等方式发现故障,根据预先设置的程序启动安全措施,从而使家电达到预先规定的安全状态。
3.规定状态
规定状态是预先设置的安全状态,也可理解为紧急安全状态。规定状态通常在故障发生后,控制器调整设备直到达到一个安全状态。规定状态可以是以下3种之一。
(1)设备的输出终端能确保在任何情况下都处于安全状态,当故障的起因解除时,设备可以按照要求重启。例如,当设备输出的两路信号互斥时,如果输出都为1,则可能导致重大风险,系统监测到通道运行故障或输出故障后,可以设置两路输出持续为0,直到消除故障起因,重启设备。
(2)控制系统在容错时间内发出关机指令,关闭设备;或者控制系统执行保护动作,防止进入不安全状态。例如,当洗衣机监测到转速超出设计值时,可以发出关闭电源的指令,令洗衣机关机;或者锁定洗衣机的门锁开关,避免人员因误操作打开门锁而受到伤害。
(3)控制器继续运行操作,但应采取增加监测频率和启动安全操作等措施,从而满足所有与安全有关的功能要求。
4.复杂电子组件
复杂电子组件是由复杂的电子元件装配而成的,每个电子元件都具有一个以上的功能输出,其失效模式也较为复杂。
5.重置
重置即复位,重新载入参数、重新初始化。重置往往是在设备出现故障而不能继续运行(如死机)后进行的,是从安全状态复位重新启动的操作。在设备上多会设计一个“RESET”按键,用来重启系统,重置按键一般隐藏在设备背面或侧面。
6.降级(性能)
降级(性能)是指装置、设备或系统的运行性能偏离了预期的性能要求,在预期性能可接受的范围之外。降级可以是设备性能指标的下降,也可以是设备整体功能或局部功能的暂时性或永久性失效。
7.危害
危害即危险灾害。危害能引起人员的伤害或对人员的健康造成负面影响。危害还可能对财产或环境造成损害。
8.危险
危险是指危害的潜在根源,包括短时间内发生的对人员伤害的威胁或对财产环境损害的威胁(如着火或爆炸),以及长时间对人体健康有慢性影响的威胁(如有毒物质的释放)。
9.风险
风险是发生伤害的不确定性。这种不确定性包括发生伤害与否的不确定和伤害严重程度的不确定。在对风险进行半定量分析时,会评估发生伤害的概率和伤害结果严重性等级,将出现伤害的概率乘以(或加)伤害结果严重性等级,即可得到风险的半定量评估值。
10.合理的可预见的误用
人们在使用一个产品、过程或服务时,可能没有按照提供方预期的使用要求、条件和方式,从而导致危险,这就是合理的可预见的误用。这种误用多是由于产品的设计缺陷加上人的行为习惯导致的。
11.功能安全
当安全系统满足以下条件时,就认为是功能安全的:任一随机故障、系统故障或共因失效都不会导致安全系统故障,从而引起人员的伤害或死亡、环境的破坏、设备财产的损失,即装置或控制系统的安全功能无论在正常情况下还是在有故障存在的情况下,都应该保证正常实施。
A类软件 software A
A类软件不用于决定被控设备安全的控制功能。
B类软件 software B
B类软件用来防止被控设备的不安全操作的控制功能。
C类软件 software C
C类软件用来预防特定危害(如被控设备爆炸)的控制功能。
本节对控制器软件的不同类别进行了定义。控制器软件类别定义的主要依据是其安全控制功能所解决的风险或隐患,隐患的危害性越大,对应软件控制器的安全风险级别就越高,对软件控制器的安全技术要求也就越高。控制器软件类别的定义也是为后面分类介绍每类控制器所需的安全控制技术错误做好铺垫。
在对控制功能进行分类时,应考虑该功能对家电安全的作用。注意:控制功能包括从传感设备到处理电路(用到的硬件和软件)的整个回路,也包括执行驱动器。按照控制功能所解决的隐患的级别,将控制器软件分为A类、B类、C类3个类别。A类的安全风险级别最低,C类的安全风险级别最高。
1.A类软件
A类软件是不具有防止被控设备不安全操作控制功能的软件,即A类软件对安全控制功能没有需求。A类软件也可称为安全无关软件,多用于家电的基本功能、性能调节,用来控制电器的正常使用,如空调的功能模式选择、房间恒温器、湿度控制器、照明控制器、定时器和计时开关。这类软件完成的控制功能不涉及安全方面,即使这些功能失效也不会导致安全风险,不会导致人身安全伤害和额外的财产损失。
2.B类软件
B类软件是用来防止被控设备不安全操作控制功能的软件。B类软件是安全相关的软件,完成的控制功能与普通安全性相关,用于处理电器非正常工作,防止由于保护电子线路出现故障而使电器不安全动作。例如,控制器中的热断路器用来防止电器温度过高而产生电器损坏或自燃,洗衣机的门锁控制洗衣机在门打开时停止转动,防止衣物和水飞溅伤人。
3.C类软件
C类软件也是安全相关的软件。C类软件用于预防和处理安全风险级别更高的特殊危险(如爆炸)。例如,燃烧器控制器和封闭的水加热系统用的热断路器,用来防止当保护电子线路出现故障时导致危害。C类软件完成的控制功能与特殊类型的安全相关,一般认为,C类软件用于高危险性的产品。
序列号 sequence number
序列号是消息的附加数据段包含的一个数字号,该数字号按照预定方式变化。
时间戳 time stamp
发送方把传输时间信息附加在消息上,此传输时间信息即时间戳。
源和目的标识符 source and destination identifier
源和目的标识符指分配给每个实体的标识符。
反馈信息 feed-back message
通过回传信道从接收端返回发送端的信息称为反馈信息。
标识过程 identification procedure
标识过程是构成与安全相关的应用程序的一部分的过程。
安全代码 safety code
安全代码是安全相关消息中包含的冗余数据,以允许通过安全相关传输功能检测到数据损坏。
密码技术 cryptographic techniques
密码技术是指将输入数据和作为参数的密钥经过算法计算得到的输出数据。
超时 time-out
超时是指两条消息间的延迟超过了约定允许的最长时间。
公用网络
在公用网络中,数据和信号不被限制在诸如家庭或特定地方的物理空间中。
本节主要介绍一些数据交换相关的基本概念,如序列号、时间戳、源和目的标识符、反馈信息、标识过程、安全代码、密码技术、超时及公用网络。
1.序列号
在数学上,序列是被排成一列的对象,序列中的每个元素不是在其他元素之前,就是在其他元素之后。相同的元素可以在序列中的不同位置出现多次,元素之间的顺序非常重要。元素的数量(可能是无限的)称为序列的长度。
序列号中的元素由数字或字符组成。序列号是一种标识号,是对象的唯一标识,如各种设备、计算机、软件等都有一个唯一的标识号。在家电软件控制器领域,序列号可应用在实时数据传输中。这里的序列号更多的是一种流水号,在发送消息的附加数据段中包含序列号,每发送一个消息,序列号加1,并附加到下一个消息的附加数据段中。由于安全原因,初始序列号常使用随机序列生成。这样,序列号可帮助信号接收器识别丢失或乱序的数据包。
2.时间戳
时间戳是发送方在发送消息时附加在消息上的当前准确时间,这样可以将发送的消息内容和当前的时间进行绑定。时间戳用一串字符或编码信息来表示时间信息。时间信息包括当前的日期和时间,其中时间可以精确到毫秒。在家电软件控制器领域,时间戳常用于各控制器之间的同步。
3.源和目的标识符
源和目的标识符可以由名称、数字或任意位的形式构成。此标识符用于控制器之间与安全相关的通信,通常情况下,该标识符会被默认添加到消息中,用于识别源和目的地的名称(标识)。
4.反馈信息
控制系统首先从发送端发送信息,传输到接收端,然后又把接收端处理的结果通过回传信道返送回发送端。发送端根据接收的反馈信息,可以对后续信息的再输出产生影响,起到制约的作用,以达到预定的目的。
5.标识过程
前面提到,标识过程是构成与安全相关的应用程序的一部分的过程。总体来说,标识过程可区分为两种类型。
双向标识过程:在回传信道可用的情况下,消息的发送方和接收方交换双方实体的标识符,从而可以提供额外的保证,即通信确实是在预期的双方之间进行的。
动态识别过程:发送方和接收方之间动态交换信息,包括接收方在收到发送方的信息后,进行修改和再次反馈给发送方。这样可以保证通信双方不仅声称拥有正确的身份,还能按照预期的方式行事。动态识别过程可用于安全相关通信过程中的信息传输。
6.安全代码
在安全相关消息中增加冗余数据,并且可以通过安全相关的传输功能和校验功能检查出由于传输错误导致的数据损坏或人为篡改导致的数据破坏。
7.密码技术
密码技术包括加密技术和解密技术。加密和解密的过程大致如下:首先,信息的发送方准备好要发送信息的原始形式,叫作明文;然后,对明文经过一系列变换后形成信息的另一种不能直接体现明文含义的形式,叫作密文。由明文转换为密文的过程叫作加密。加密时采用的一组规则或方法称为加密算法。接收方在收到密文后,把密文还原成明文,以获得信息的具体内容,这个过程叫作解密。解密时也要运用一系列与加密算法相对应的方法或规则,这种方法或规则叫作解密算法。在加密、解密过程中,由通信双方掌握的参数信息控制具体的加密和解密过程,这个参数叫作密钥。密钥分为加密密钥和解密密钥,分别用于加密过程和解密过程。在只知道输出数据而不知道密钥的情况下,不可能在合理(有限)时间内计算出输入数据。即使在知道输入数据的情况下,也不可能在有限(合理)时间内从输出数据中得到密钥。
8.超时
超时是指消息传送时,后一条消息未于前一条消息到达后的预定时间内到达,系统将会认为消息传送出现错误,并自动取消或停止消息的传送。
9.公用网络
公用网络是一种网络,任何人(公众)都可以访问,并可以通过它连接到其他网络或万维网。这与专用网络不同,在专用网络中,建立了限制和访问规则,以便将访问权限释放给选定的人员。由于公用网络几乎没有限制,因此,用户需要警惕访问时可能发生的安全风险。公用网络的示例包括但不限于互联网、Wi-Fi网络、传输距离大于10m的蓝牙网络。