功能安全和工业4.0

工业4.0为未来的工厂提供了新的视野。在未来的这些工厂中，安全将至关重要。功能安全是指设备在需要时能够执行其安全功能的信心。与其他形式的安全相比，它是一种积极的安全形式。集成电路是实现功能安全的基础，因此也是工业4.0的基础。本文探讨了功能安全对工业4.0的影响。其影响包括对网络、安全性、机器人/协作机器人、软件以及用于实现这些功能的半导体的要求。

介绍

功能安全是安全的一部分，它涉及系统在需要时执行其安全相关任务的信心。例如，电机将足够快地关闭，以防止对打开防护门的操作员或机器人造成伤害，当有人在附近时，机器人应该以降低的速度和力运行。

工业4.0是制造工厂的下一个发展方向，有望提高灵活性并降低成本。

本文将探讨功能安全对工业4.0的一些影响。

功能安全

A. 标准

基本功能安全标准是IEC 61508。1该标准的第一次修订版于1998年发布，修订版2010年发布，现在开始更新到2020年的修订版3。自 IEC 61508 第一版于 1998 年发布以来，基本的 IEC 61508 标准已适应汽车等领域，具有 ISO 26262，2采用IEC61511的过程控制，3采用IEC61131-6的可编程逻辑控制，4符合IEC 62061标准的机械，5符合IEC 61800-5-2标准的变速驱动器，6和许多其他领域。这些其他标准有助于解释IEC 61508对这些更有限领域的广泛范围。

不是从IEC 61508派生的重要平行标准是ISO 13849，7它涵盖了源自过时的欧洲EN 954标准的机械。

图1.功能安全标准示例。

功能安全中更基本的概念是安全功能。安全功能定义为实现或维护安全而必须执行的操作。典型的安全功能包括输入子系统、逻辑子系统和输出子系统。通常，这意味着检测到潜在的不安全状态，并且某些东西对检测到的值做出决定，如果认为有潜在危险，则指示输出子系统将系统带到定义的安全状态。

从存在的不安全状态到实现安全状态之间的时间至关重要。例如，安全功能可能包括一个传感器，用于检测机器上的防护装置是否打开，一个用于处理数据的PLC，以及一个具有安全扭矩关闭输入的变速驱动器，该驱动器在插入机器的手到达运动部件之前杀死电机。

B. 安全完整性等级

SIL 代表安全完整性级别，是表示将风险降低到可接受水平所需的风险降低的一种手段。根据 IEC 61508，安全级别为 1、2、3 和 4，随着您从一个级别到下一个级别，安全要求会增加一个数量级。SIL 4 在机械和工厂自动化中不可见，通常不超过一个人暴露于危险中。它保留用于核能和铁路等可能造成数百甚至数千人受伤的应用。还有其他功能安全标准，例如汽车，它使用 ASIL（汽车安全完整性等级）A、B、C 和 D 以及 ISO 13849。其性能级别 A、B、C、D 和 E 可以映射到 SIL 1 到 SIL 3 等级。

图2.系统级设计的示例 V 模型。

C. 故障来源

功能安全标准通常识别两种类型的故障，然后提出解决它们的方法。

随机硬件故障是最容易理解的，顾名思义，它们是由设备中的随机意外故障引起的。由于随机故障而导致的故障概率表示为系统的PFH（危险故障的平均频率）。允许的PFH取决于所需的SIL，范围从10–5SIL 1 的 /h 到最小值 10–7/h 表示 SIL 3。

系统故障是设计中固有的故障，从某种意义上说，它们只能通过设计更改来修复。EMC稳健性不足可被视为系统性错误，需求缺陷、验证和确认不足以及所有软件错误也是如此。系统误差实际上是存在于每个生产项目中的弱点，而不是存在于单个单元中。如果出现正确的情况，故障将以 100% 的概率发生。

为了适合在需要SIL X安全功能的情况下使用，必须满足标准中对该SIL水平的随机和系统要求。仅满足硬件要求是不够的。

D. 处理随机故障

无论设备多么可靠，在任何给定的小时内，一切都有有限的机会发生故障。解决随机硬件故障的技术包括诊断覆盖要求和冗余的使用。根据安全功能的 SIL 水平，将有最低的 PFH 或 PFD（按需故障概率）。此外，根据 SIL 的不同，随着 SIL 从 SIL 1 增加到 SIL 3，所需的最低 SFF（安全失效分数）范围为 60% 到 99%。该标准允许在诊断和系统中存在的冗余之间进行权衡。其他技术包括降额和使用质量更好的组件。

E. 处理系统故障

系统故障是与随机硬件故障无关的故障，可能需要更改设计以避免故障。

系统性故障通过遵循严格的开发过程和对各种工作产品的独立审查来解决。该过程通常以不同复杂度的 V 模型表示。审查所需的严谨性和审查员所需的独立性随着SIL水平的增加而增加。

在某些情况下，可以使用不同的冗余来处理系统错误。这是因为不同的系统不太可能同时以相同的方式失败。插入用于处理随机故障的诊断程序也可用于检测系统故障。

大部分工作涉及系统工程和良好的工程实践。某些文件中使用的表达方式是“最新技术”。文档至关重要，能够证明已实现安全几乎与实现安全一样重要。

工业4.0

工业4.08以其他名称而闻名，包括工业 4.0、工业物联网 （IIoT）、中国制造 2025、工业加、智能工厂等。名称中的4.0代表了它代表了继1970年左右的第三次革命之后的第四次工业革命，当时电子产品和IT的广泛使用始于自动化。

虽然工业物联网是文章、会议和营销工作中的一个常见话题，但它仍然缺乏支持其采用的杀手级应用。可能的杀手级应用包括预测性故障、自适应诊断和基于状态的维护。

工业4.0的一个关键思想是网络物理系统（CPS）。CPS由“能够自主交换信息，触发动作和独立相互控制的智能机器，存储系统和生产设施”组成。9换句话说，一切都是智能的、仪表化的和互联的。除其他问题外，此定义还对网络和安全性有影响。

工业4.0的关键设计原则包括

互操作性 — 一切都是相互关联的

虚拟化 — 提供工厂和仿真模型

权力下放——本地情报

实时功能 — 实时响应现实世界

面向服务 — 通过互联网提供的服务

模块化 — 可根据需要重新配置

通过传感器融合和数据分析，将获得新的见解，包括基于从智能仪器收集的诊断及其在云中的分析的预防性维护。比较系统之间的老化还可以允许切换冗余项目以提高生产率。机器健康将是一个关键问题。

A. 联网

较旧的系统倾向于使用孤立的自动化孤岛 - 通常使用专有网络。基于4 mA至20 mA电路的模拟网络过去和现在都很常见，并且具有许多优点，包括EMC鲁棒性，范围可达3 km，并且本质上是安全和同步的，但对于工业4.0来说不够灵活或不够快。

在工业4.0中，人们的愿望是让一切连接起来，并与其他一切对话。常用术语包括 M2M（机器对机器）和 P2M（过程到机器）。然后可以利用连接来

提高制造效率

提高制造灵活性

增加操作知识

降低生产成本

基于以太网的连接解决方案非常适合满足上述要求，但需要解决此类网络的安全性要求。随着新的效率，新的服务将变得具有成本效益。

B. 安全

随着数字网络的使用，安全性成为一个问题。最近在电影（例如，零日）和媒体中强调的案例包括Stuxnet和黑色能量病毒。如果网络扩展到云中，那么黑客攻击一个云提供商可能会摧毁许多工厂，而以前他们必须一次被黑客入侵。这种规模经济使它们对黑客更具吸引力。一些专家甚至声称物联网确实代表了“威胁互联网”。

IT安全要求通常不适合应用于工业网络。IT安全有多种行为，包括不适合制造的频繁软件更新，其中由于意外后果停止生产的风险，软件更改不受欢迎。当涉及安全时，由于认证功能安全系统和所需的变更管理流程的成本很高，这种对变革的厌恶甚至更加强烈。

涵盖工业控制安全要求的拟议国际共识标准是IEC 62443。IEC 6244310涵盖IACS（工业自动化和控制系统）的设计、实施和管理。

C. 机器人和协作机器人

机器人曾经是生活在笼子里的可怕机器。协作机器人或协作机器人不那么可怕，并且注意不要伤害人。它们是传感器和软件的融合，无需与人类工人分开。工业环境中的协作机器人可以由一个手臂或一对手臂组成，例如优傲机器人的UR5系列或ABB的YuMi。在未来的工厂中，协作机器人将协助人类操作员，甚至知道与他们一起工作的人是右撇子还是左撇子。®

图3.典型安全系统的误差预算。

AGV（自动导引车）是移动机器人，可以考虑 一种特殊的协作机器人。它们为工业4.0提供了基本要素 通过在制造车间周围移动产品和材料。

随着动态环境导致新的危害到来，必须加以解决。对于协作机器人和AGV，选项是1）开发一个本质上安全的系统，因为力足够低，不会发生严重伤害，或者2）根据相关的功能安全标准设计解决方案。对于AGV，防撞可以基于视觉，雷达，激光或嵌入地板的轨道。

功能安全和联网

功能安全系统通常由传感器、逻辑和输出子系统组成。这三个要素结合在一起以实现安全功能，SIL 级别、PFH、SFF 和 HFT 要求适用于整个安全功能。因此，这些子系统之间的通信与安全有关。IEC 61508 是指现场总线标准 IEC 61784-3 的功能安全要求。这些措施将包括处理随机和系统误差源的措施。

表 1 显示了用于分配每小时最大允许故障概率的普遍接受的误差预算。此模型的改进通常显示分配给每个接口的预算的 1% 以红色显示。如果安全功能为 SIL 3，则允许的最大 PFH 为 10–7/h，因此分配给接口的 1% 为 10–9/h.

总的来说，必须考虑的与通信相关的危害显示在表 1 中，该表包含在包括 IEC 61784、EN 50159 和 IEC 62280 在内的标准中。11

表 1 中的每一行必须由至少一个防御措施解决。IEC 61784-3 中对防御措施进行了进一步详细说明9和 IEC 62280-1/EN 50159。12例如，可以通过使用具有汉明距离的CRC来处理损坏，具体取决于预期的BER（误码率），SIL要求和每小时传输的位数。

在工业环境中，如果安全和非安全数据可以在同一网络上通信，则要求变得更加复杂。

IEC 61508-2：2010 提供两种选择。选项1）是白通道方法，其中整个通信通道按照IEC 61508开发。选项2）是黑通道方法，即不对通信通道的性能做出任何假设，并且每个安全装置中的特殊层处理安全性。此安全层通过一组防御措施解决了图 2 中的威胁。这些防御措施是对底层现场总线标准内的任何防御措施的补充，例如，除了底层通信协议中的CRC之外，还可能包括另一个CRC来检测位损坏。到目前为止，黑色通道方法是更常见的。一个例子是PROFIsafe，它是位于PROFIBUS或PROFINET之上的安全层。®®

功能安全和安保

有趣的是，在许多语言中，只有一个词来表示安保和安全。然而，在工业背景下，它们都涵盖了一组不同的问题，这些问题有时会发生冲突。安全的一个定义是防止由于无意行为造成的伤害，而相应的安全定义是防止由于故意行为造成的伤害。两者之间的共同点包括需要在体系结构级别考虑安全性和安全性。否则，它们很难在事后添加。但两者相互冲突，因为对意外事件的典型安全反应是关闭系统——黑客可以通过拒绝服务攻击利用这一功能，而安全性旨在防止该功能。安全功能通常包括用于身份验证的密码，但是您真的想在有人输入密码时减慢安全反应，或者在密码输入错误三次时将安全人员锁定在外面吗？

2010 年 IEC 61508 的修订版二版几乎没有安全要求。它确实指出必须考虑安全性，并参考尚未发布的IEC 62443系列作为指导。此外，目前正在制定具体标准，以解决机械和核领域的功能安全与安保之间的关系。

 

威胁	防御
	序列号	时间戳	超时	源和目标 标识符	反馈 消息	鉴定 程序	安全守则	加密 技术
重复
删除
插入
重新排序
腐败
延迟
化装

 

与IEC 61508中的SIL级别类似，IEC 62443定义了SL（安全级别），其中级别也是1到4。符合SL 1的系统可能对普通旁观者是安全的，而符合SL 4的系统可能对国家赞助机构的黑客攻击是安全的。但是，没有从 SIL 到 SL 的直接映射。

IEC 62443 与 IEC 62443-4-2 一起确定了七个基本要求 （FR），以指导每个 FR 实现给定 SL 所需的内容。七个FR是：

识别和认证控制 （IAC）

使用控制 （UC）

系统完整性 （SI）

数据保密性

受限数据流 （RDF）

及时响应事件 （TRE）

资源可用性 （RA）

然后，SL 1 可以表示为安全向量 （1， 1， 1， 1， 1， 1， 1），其中向量中的每个项目对应于七个 FR 中的一个。鉴于SL 1代表偶然攻击，这似乎是必须考虑可预见的滥用的安全应用的最低要求。13可以说，SIL > 1 的安全应用的合适载体是 （N1， N2， N3， 1， 1， N6, 1),13认识到数据机密性、受限数据流和可用性在工业功能安全应用中是有限关注的问题。但是，N 的值之间没有明显的相关性1， N2， N3和 N6取决于 SIL 级别是 2、3 还是 4。

要记住的一个关键点是，虽然并非所有安全系统都有功能安全要求，但需要考虑所有安全相关系统的安全性。

功能安全和机器人

ISO 10218 认证14是涵盖包括协作机器人在内的工业机器人安全要求的标准。它包括安全停止、示教、速度和分离监控，以及功率和力限制。ISO 10218-1：2011 条款 5.4.2 要求控制系统的安全相关部件的设计符合 ISO 13849-1：2006 中所述的 PL = D 类别 3 或 IEC 62061：2005 中所述的 SIL 2，HFT（硬件容错）为 1。实际上，这意味着至少有一个 2 通道安全系统，每个通道的诊断覆盖率至少为 60%。这两个标准（ISO 13849 和 IEC 62061）都遵循 IEC 61508-3 的软件要求。

AGV在ISO 10218中没有得到很好的解决，虽然无人驾驶汽车在汽车标准ISO 26262中得到了解决，但由于其范围要有限得多，工业用途是汽车的一个特例。机械指令范围包括AGV，鉴于缺乏特定标准，通用IEC 61508标准的要求将适用。

图4.软件的主要优势。

虽然固定机器人的网络可能是基于以太网的，但对于AVG来说，它将是无线的，这将需要额外的安全和安保要求。

功能安全和软件

无论您处理的是安全还是安保，实现高质量软件的详细要求大多相同。例如，程序员的软件错误可能会导致系统故障，如果出现正确的情况来暴露错误。很难判断这种可能性，一些功能安全标准规定概率应被视为100%。15然而，虽然 99.99% 无错误的程序通常不会引起安全问题似乎是合理的，但黑客会尝试确保始终遇到 0.01% 的实例。因此，消除系统误差对于安全和功能安全同样重要。但是，确实，100%完美的安全相关软件可能存在严重的安全问题。

过去，不允许在安全系统中使用软件，因为它由于呈现的不同状态的数量而被认为本质上是不可测试的。新标准提供了一个生命周期模型，如果遵循该模型，则可以提出安全性声明，因为这些标准中倡导的技术在过去已被证明可以生产安全系统。软件本质上是有吸引力的，因为它允许将通用机器转换为非常特定的机器。然而，这种灵活性也是它的弱点之一。

ESDA-312 等文件16表明IEC 61508中的许多技术可用于满足工业安全要求。遵循这样的过程会留下工作产品的书面记录，可用于证明已实现安全性。

这些技术包括进行设计评审、制定编码标准、规划工具的使用、单元级别的验证、需求可追溯性、独立验证和评估。虽然软件不会磨损，但它运行的硬件可能会出现故障，软件需要处理这个问题。对于机器和机器人，使用冗余架构（如ISO 13849中的Cat 3或Cat 4）减少了在IC级别实施诊断的需求，但确实提高了对各种软件的要求。

功能安全和集成电路

集成电路（IC）对智能系统至关重要。IC可以提供跟踪容器中的物品而不是容器本身的方法，跟踪机器人手臂的位置而不仅仅是整个机器人，跟踪低价值机器的健康状况，并处理数据，以便传输到云中的是信息而不是数据。新型电机控制IC可以提高电机效率并延长电池寿命。

IC提供大脑，特别是在边缘，智能需要紧凑和低功耗。它们还提供传感器技术;例如，使用雷达、激光、磁、相机或超声波技术。它们可以测量速度和位置，并且借助AMR（各向异性磁阻）等新技术，传感器无需外部机械组件即可确定速度和位置。IC在网络中实现物理接口和MAC（媒体访问控制）层。通过无线通信，这种实现都可以在IC上完成。

同样，集成电路可以通过PUF（物理上不可克隆的功能）、加密加速器和篡改检测机制来支持安全性。鉴于现在可以实现的集成水平，过去在许多情况下的系统级要求已成为IC级要求。

然而，在目前的工业功能安全标准中，集成电路的内容很少，在安全标准中甚至更少。对于汽车而言，计划于2018年发布的ISO 26262-11草案是一个很好的资源，其中大部分也可用于工业应用的集成电路。在IEC 61508的修订版2中，提出了与软件几乎相同的ASIC生命周期模型。事实上，关于像Verilog这样的HDL代码是软件还是仅仅是硬件的表示的争论是一个有趣的争论。IEC 61508-2：2010的附录E涉及使用单片硅时要求片上冗余的要求，但仅限于数字电路和重复的情况，除非它不包括各种冗余或模拟和混合信号电路。IEC 61508-2：2010的信息性附录F非常有用，因为它列出了IC开发过程中应采取的措施，以避免引入系统错误。每个SIL都给出了要求，但同样仅限于数字电路，没有关于模拟或混合信号IC的具体指导。

IC的高集成度既是福也是祸。与单个组件相比，IC上的单个晶体管非常可靠，IC最不可靠的方面通常是引脚。例如，如果使用西门子SN 29500标准进行可靠性预测，则具有500k晶体管的IC的FIT将为70，但如果晶体管数量增加10到500万倍，则FIT将增加到仅80。如果使用两个IC，每个IC具有500k个晶体管，则每个FIT将为70，总共140个。从 140 到 80 的节省是在您还考虑 PCB 面积、PCB 走线和外部无源器件的节省之前，或者 IC 上的片上天线比 PCB 上的天线小得多，可以减少 EMI 问题。等式的诅咒部分是，对于复杂的IC，确定故障模式可能很困难。简单性是安全之友，两个单独封装的微控制器更有可能被认为比包含两个微控制器的IC更简单。IEC 61508-2：2010的附录E提供了一些指导。然而，在声称足够的独立性和大多数安全标准中，低于10%的β（两个通道因相同原因同时失败的测量）被认为是非常好的。

IC供应商可以通过为已发布的器件、片上硬件加速器、片上和片外诊断以及分离关键和非关键软件（安全和安保关键）的方法提供认证组件、安全手册或安全数据表，从而帮助他们的安全和安保供应商。这些安全和安保功能需要从一开始就进行设计。试图在IC设计后增加安全性将导致额外的系统复杂性和额外的组件。

开发用于功能安全系统的集成电路有多种选择。标准中没有要求只使用兼容的集成电路，而是要求模块或系统设计人员确信所选集成电路适合在其系统中使用。拥有独立评估的安全手册是一种令人满意的方式，但不是唯一的选择。

可用选项包括：

通过外部评估和安全手册完全按照IEC 61508开发IC

开发符合IEC 61508标准的IC，无需外部评估，但使用安全手册

根据半导体公司的标准开发流程开发IC但发布安全数据表

开发IC到半导体公司标准流程

注意—对于未按照 IEC 61508 开发的部件，安全手册可能称为安全数据表或类似内容，以避免混淆。两种情况下的内容和格式将相似。

对于半导体制造商来说，选项1是最昂贵的选择，但它也为模块或系统设计人员提供了最大的好处。拥有这样的组件，其中集成电路安全概念中显示的应用与系统的应用相匹配，可以降低模块或系统外部评估遇到问题的风险。SIL 2安全功能的额外设计工作量可能达到20%或更多。额外的努力可能会更高，除了半导体制造商通常已经暗示了严格的开发过程，即使没有功能安全。

备选方案2节省了外部评估的费用，但除此之外，影响是相同的。此选项适用于客户无论如何都要获得外部认证的模块/系统，并且集成电路是该系统的重要组成部分。

选项 3 最适合已发布的集成电路，其中提供安全数据表可以让模块或系统设计人员访问他们在更高级别的安全设计所需的额外信息。这包括所使用的实际开发过程的详细信息、集成电路的FIT数据、任何诊断的详细信息以及制造现场的ISO 9001认证证据等信息。

图5.ADI公司的ADSP-CM41x系列具有许多安全和安保特性。

然而，备选方案4仍将是开发集成电路的最常见方式。使用此类组件开发安全模块或系统将需要额外的组件和模块/系统设计费用，因为这些组件没有足够的诊断，需要双通道架构与单通道架构进行比较。此外，使用此类组件的诊断测试间隔通常不是最佳的，并且可用性较低，因为无法确定哪些故障项目失败，这可能会对可用性产生影响。如果没有安全数据手册，模块/系统设计人员还需要做出保守的假设，将集成电路视为黑匣子。这可能会降低可以声明的可靠性数字。

为了简化功能安全的实现，IC制造商可能希望制定自己的IEC 61508解释。ADI公司有一个内部公司规范ADI61508，它是IEC 61508对集成电路开发的解释。然后，IEC 61508的所有七个部分都在一个文档中进行解释，省略IEC 61508中与集成电路无关的位，其余部分解释为集成电路。

无论采用哪种系统级标准，IC都是按照IEC 61508开发的，唯一的例外是汽车，其中ISO 26262可用于开发用于汽车应用的IC和软件。

总结

基于IEC 61508的各种功能安全标准为一般工业和工业4.0提供了良好的服务。其中包括软件、硬件、网络、安全和机器人技术的标准。然而，这些信息目前分布在多个标准中，工业4.0具有几个与工业4.0所需的不断变化相关的独特功能。工业4.0的单一重点标准可能需要通过对新世界基本安全标准的解释来简化合规性。也许这可以称为“安全4.0”或“智能安全”！同样，IEC 61508标准中需要更多与IC相关的信息，以便证明和实现足够的安全性。展望未来，工业4.0成为现实和成功之前的机遇和挑战将很有趣。

功能安全可以为工业4.0提供很多东西，不仅因为安全是未来工厂的基本要素，还因为功能安全具有实现更高可靠性，诊断，弹性和冗余的技术。

审核编辑：郭婷