功能安全是安全的一部分，它涉及基于電氣/電子的系統(tǒng)在被要求時(shí)將執(zhí)行其安全相關(guān)任務(wù)的信心。

主要的非行業(yè)特定功能安全標(biāo)準(zhǔn)是IEC 61508。IEC 61508是一項(xiàng)基本安全標(biāo)準(zhǔn)。這是一個(gè)不針對(duì)特定部門的標(biāo)準(zhǔn)，可以針對(duì)其他部門進(jìn)行調(diào)整。IEC 61508 的第一個(gè)發(fā)布版本于 1998 年發(fā)布，修訂版 2010 年發(fā)布，修訂版 2021 將于 11 年左右發(fā)布。在幾代人之間大約 <> 年的時(shí)間，我想安全會(huì)落后于技術(shù)并不奇怪，也許這就是安全應(yīng)該的方式。在這種情況下，一旦該技術(shù)在不太保守的功能中得到驗(yàn)證，就可以將其移植到安全應(yīng)用中，在那里它可以提高實(shí)現(xiàn)的安全水平或促進(jìn)新的應(yīng)用。

從IEC 61508衍生出許多行業(yè)特定標(biāo)準(zhǔn)，包括下面顯示的一些標(biāo)準(zhǔn)，但還有一些綠色顯示的標(biāo)準(zhǔn)，雖然不是從IEC 61508衍生出來的，但堅(jiān)持相同的原則。

根據(jù)IEC 61508的安全基礎(chǔ)是安全功能。安全功能是由系統(tǒng)實(shí)現(xiàn)的功能，旨在使系統(tǒng)進(jìn)入安全狀態(tài)以防止特定危險(xiǎn)事件。安全功能的示例包括

如果有人靠得太近，請(qǐng)停止機(jī)器人

如果油箱有溢出的危險(xiǎn)，請(qǐng)停止加油

在發(fā)生碰撞時(shí)展開安全氣囊

如果油箱中的壓力過高，請(qǐng)對(duì)油箱進(jìn)行排氣

安全功能具有以下特性

安全狀態(tài)

達(dá)到安全狀態(tài)的最長(zhǎng)時(shí)間

安全完整性等級(jí) （SIL）

安全標(biāo)準(zhǔn)一般有3個(gè)關(guān)鍵規(guī)范，以滿足安全完整性等級(jí)要求。在所有情況下，不僅必須實(shí)現(xiàn)安全，而且還必須能夠?yàn)橐呀?jīng)取得的成就提供安全理由。通常需要對(duì)任何索賠進(jìn)行獨(dú)立評(píng)估。這可能包括來自TUV或Exida等機(jī)構(gòu)的評(píng)估。

第一個(gè)要求是可靠。雖然可靠性不足以實(shí)現(xiàn)安全性，并且有可能用不可靠的組件構(gòu)建安全系統(tǒng)，但擁有良好的可靠性是一個(gè)很好的開始。如果組件意外、過早或過于頻繁地發(fā)生故障，則安全系統(tǒng)完成其安全相關(guān)任務(wù)的機(jī)會(huì)很小。

符合IEC 61508的功能安全有四個(gè)SIL（安全完整性等級(jí)），當(dāng)您從一個(gè)級(jí)別升級(jí)到下一個(gè)級(jí)別時(shí)，安全性將大致提高一個(gè)數(shù)量級(jí)。對(duì)于每個(gè)，每小時(shí)都有最大允許故障概率達(dá)到危險(xiǎn)狀態(tài)，如下所示。

SIL 1 < 1e-5/h

SIL 2 < 1e-6/h

SIL 3 < 1e-7/h

SIL 4 < 1e-8/h

大多數(shù)安全功能是使用三個(gè)基本子系統(tǒng)實(shí)現(xiàn)的，最大允許故障率的共同預(yù)算如下所示。

無花果。2. 典型安全系統(tǒng)的誤差預(yù)算分配，特別是在過程工業(yè)中發(fā)現(xiàn)的

組合的傳感器、邏輯和執(zhí)行器必須能夠在傷害發(fā)生之前將系統(tǒng)帶到安全狀態(tài)。

第二個(gè)要求來自這樣一個(gè)事實(shí)，即無論組件多么可靠，仍然存在一定程度的故障。希望很低，但也許還不夠低。因此，IEC 61508以冗余和最低診斷覆蓋率的形式提出了硬件容錯(cuò)要求。該標(biāo)準(zhǔn)甚至允許在兩者之間進(jìn)行權(quán)衡，以便SIL 3安全系統(tǒng)可以實(shí)施兩個(gè)通道，每個(gè)通道具有90%SFF（安全故障分?jǐn)?shù) - 診斷覆蓋率的衡量標(biāo)準(zhǔn)）或單個(gè)通道具有99%診斷覆蓋率。

第三個(gè)關(guān)鍵要求與設(shè)計(jì)錯(cuò)誤有關(guān)。設(shè)計(jì)錯(cuò)誤在功能安全標(biāo)準(zhǔn)中被稱為系統(tǒng)錯(cuò)誤。它們與隨機(jī)硬件錯(cuò)誤的不同之處在于，如果出現(xiàn)某種情況，系統(tǒng)錯(cuò)誤將導(dǎo)致 100% 概率的故障。系統(tǒng)誤差只能通過設(shè)計(jì)變更來修復(fù)。所有軟件故障都是系統(tǒng)故障。為了防止和捕獲此類錯(cuò)誤，IEC 61508提倡一系列技術(shù)，包括設(shè)計(jì)審查，編碼標(biāo)準(zhǔn)的使用，考慮環(huán)境條件，如溫度和EMC以及最低能力水平。

云計(jì)算的基礎(chǔ)是在網(wǎng)絡(luò)上提供大量可配置的計(jì)算機(jī)，這些計(jì)算機(jī)可以在短時(shí)間內(nèi)提供給用戶和應(yīng)用程序。本文假設(shè)這組計(jì)算機(jī)可以通過互聯(lián)網(wǎng)獲得，但這些計(jì)算機(jī)也可能在本地私有云中可用，有時(shí)銀行可能沒有那么大。假設(shè)云由高速網(wǎng)絡(luò)支持。基于云的系統(tǒng)允許匯總和挖掘數(shù)據(jù)以查找隱藏信息。這些以前不可用的數(shù)據(jù)可以提供與生產(chǎn)力、磨損甚至網(wǎng)絡(luò)安全相關(guān)事件相關(guān)的見解。一些處理可能仍然在邊緣（在傳感器處）完成，以減少要導(dǎo)出到云的數(shù)據(jù)量，但這不在這里討論。

圖 3 - 基于云的安全系統(tǒng)概念

基于云的處理的優(yōu)勢(shì)包括：

云中的數(shù)據(jù)融合

云中可用的處理能力

云中的可擴(kuò)展性

云中可用的更良性操作環(huán)境

電力的可用性不同于必須使用電池或能量收集

最后一個(gè)與功能安全的三個(gè)關(guān)鍵要求之一具有直接的功能安全相關(guān)性。

如前所述，大多數(shù)安全系統(tǒng)包括一個(gè)用于測(cè)量某物的傳感器、一個(gè)用于對(duì)感測(cè)值做出決定的邏輯塊和一個(gè)將系統(tǒng)置于安全狀態(tài)的執(zhí)行器。云中最有可能的安全情況是，傳感器和執(zhí)行器仍作為邊緣節(jié)點(diǎn)，邏輯塊位于云中，在那里可以獲得更多的處理能力、存儲(chǔ)和組合來自邊緣節(jié)點(diǎn)的數(shù)據(jù)的能力。這與當(dāng)今的安全系統(tǒng)形成鮮明對(duì)比，在當(dāng)今安全系統(tǒng)中，簡(jiǎn)單性為王，本地安全系統(tǒng)占主導(dǎo)地位。

為了舉一個(gè)具體的例子，讓我們想象一個(gè)符合ISO 10218系列的機(jī)器人應(yīng)用。假設(shè) 3D TOF 傳感器安裝在機(jī)器人上或附近。它不是對(duì)數(shù)據(jù)做出本地決策，而是傳輸?shù)皆贫耍瑥?qiáng)大的處理器分析圖像以確定受保護(hù)空間中是否有任何物體。然后，處理器對(duì)這些物體進(jìn)行分類，以查看它們是人類還是支撐柱，以及它們是否朝哪個(gè)方向行進(jìn)，然后在必要時(shí)向機(jī)器人發(fā)送停止命令。也許使用云，來自工廠周圍其他機(jī)器人上的多個(gè)傳感器的數(shù)據(jù)可以以某種方式聚合，以實(shí)現(xiàn)更高級(jí)的安全決策;包括知道地板上只有三個(gè)操作員，他們都在其他地方被計(jì)算在內(nèi)。它甚至可以知道哪些操作員接受過機(jī)器人安全方面的專門培訓(xùn)，因此比其他操作員的風(fēng)險(xiǎn)要小一些，但根據(jù)數(shù)據(jù)隱私法，這可能會(huì)很麻煩。從理論上講，它甚至可以了解各個(gè)操作員的特征，從而進(jìn)一步縮短安全距離，而不是使用ISO 13855的距離。

云端基于機(jī)器人的安全性有點(diǎn)牽強(qiáng)，但其他領(lǐng)域，如過程控制、輸配電、鐵路行業(yè)和交通信號(hào)燈，這些領(lǐng)域已經(jīng)在很大程度上是分布式系統(tǒng)。然而，許多看起來不分散的在未來會(huì)成為分布式的，例如汽車和醫(yī)療。隨著技術(shù)發(fā)展的步伐，包括5G的出現(xiàn)，很難想象其中任何一個(gè)何時(shí)可能需要云中的安全。但如今，技術(shù)的步伐似乎比預(yù)期的要快。

其中一些系統(tǒng)可能包括最大 100 MS 的最大處理時(shí)間，更短的時(shí)間更有利，因?yàn)槟梢栽试S人類靠近并且仍然有信心在接觸之前停止機(jī)器人。機(jī)器人應(yīng)用程序的過程安全時(shí)間比用于檢查過程工業(yè)中油箱過度填充的東西要短得多，但更艱難的情況在這里可用于暴露問題。

最后，我們來看看標(biāo)準(zhǔn)中目前有哪些指導(dǎo)。雖然在當(dāng)前的安全標(biāo)準(zhǔn)中沒有特定于新技術(shù)（如云）的內(nèi)容，但一些可用信息可以解釋為適合手頭的問題。本節(jié)介紹一些相關(guān)的指南。

從網(wǎng)絡(luò)指導(dǎo)開始。IEC 61508提倡采用黑通道方法保護(hù)網(wǎng)絡(luò)，并參考IEC 61784-3和IEC 62280系列。在黑色通道方法中，網(wǎng)絡(luò)中使用標(biāo)準(zhǔn)組件，包括所有網(wǎng)橋和網(wǎng)關(guān)，并且使用兩端的SCL（安全通信層）確保安全。

圖 4 - 來自 IEC 62425 的威脅和防御

SCL 需要針對(duì)每個(gè)威脅實(shí)施至少一種指示的防御措施。IEC 62425繼續(xù)指出各種類別的傳輸系統(tǒng)，并根據(jù)類別在防御方面付出的努力。任何涉及云的事情都意味著一個(gè)3類傳輸系統(tǒng)，因?yàn)樗窃诠矆?chǎng)合發(fā)布的，因此所有措施都需要積極實(shí)施。

黑色通道和云之間的區(qū)別在于，在正常的黑色通道中，您試圖證明離開傳輸節(jié)點(diǎn)的數(shù)據(jù)以正確的順序及時(shí)到達(dá)接收節(jié)點(diǎn)。使用云模型，您擁有網(wǎng)絡(luò)，您擁有標(biāo)準(zhǔn)的安全組件，但云的全部意義在于它應(yīng)該以某種方式修改數(shù)據(jù)。這就是黑色通道類比被打破的地方。但是，如果您將上行鏈路和下行鏈路視為單獨(dú)的管道，您仍然可以應(yīng)用黑色通道方法。

接下來，讓我們看看有哪些網(wǎng)絡(luò)安全指南可用。如果你不安全，那么你就不可能安全。IEC 61508功能安全標(biāo)準(zhǔn)參考IEC 62443，用于所有網(wǎng)絡(luò)安全問題。該標(biāo)準(zhǔn)依賴于基于區(qū)域和管道模型的網(wǎng)絡(luò)分段，并且在之前的博客中已經(jīng)介紹過，所以我不會(huì)在這里詳述它，只是說與遠(yuǎn)程云服務(wù)器通信的系統(tǒng)可能需要達(dá)到SL（安全級(jí)別）3。

關(guān)于硬件可靠性要求，每個(gè) SIL 都帶有最大 PFH（或 PFD）。對(duì)于SIL 3，允許的最大PFH為1e-7 / h。典型的誤差預(yù)算是傳感器的35%，邏輯的15%，執(zhí)行器的50%。在這種情況下，云是邏輯。從這15%的預(yù)算到邏輯，1%分配給傳感器與云以及云和執(zhí)行器之間的網(wǎng)絡(luò)。這 1% 表示 SIL 1 的故障率為 9e-3/h。通常，每小時(shí)的實(shí)際網(wǎng)絡(luò)危險(xiǎn)故障率是 BER（誤碼率）、每個(gè)數(shù)據(jù)包的位數(shù)、每小時(shí)的數(shù)據(jù)包數(shù)和用于檢測(cè)消息中的錯(cuò)誤的 CRC 的漢明距離的函數(shù)。我相信以前的博客已經(jīng)涵蓋了這個(gè)主題。

邏輯的 15% 相當(dāng)于 SIL 15 安全功能每小時(shí) 15 FIT （9e-3/h） 的最大危險(xiǎn)故障率。假設(shè)云公司使用非常可靠的服務(wù)器，并且可以訪問良好的故障率信息。因此，應(yīng)該可以計(jì)算服務(wù)器的故障率λ，并使用普遍接受的保守假設(shè)，即故障將是50%安全的50%危險(xiǎn)來推斷λS和 λD分別。此后，可以使用在線診斷，甚至傳感器或執(zhí)行器塊中的看門狗定時(shí)器來得出較低的危險(xiǎn)未檢測(cè)到故障率λ的從 LD基于診斷覆蓋范圍 DC。如果每小時(shí)危險(xiǎn)故障率的計(jì)算概率仍然太高，則使用 1oo2 或 2oo3 架構(gòu)可能會(huì)暗示某種冗余。我注意到特斯拉的獵鷹系列火箭使用冗余配置的標(biāo)準(zhǔn)服務(wù)器來實(shí)現(xiàn)高水平的可靠性，如果單個(gè)服務(wù)器的可靠性不足，可以使用類似的方法。

實(shí)現(xiàn) SIL 需要一定程度的可靠性和容錯(cuò)能力，但還需要采取措施防止系統(tǒng)（設(shè)計(jì)）錯(cuò)誤。系統(tǒng)錯(cuò)誤會(huì)影響硬件和軟件。防止系統(tǒng)錯(cuò)誤的一個(gè)很好的保護(hù)措施是通過使用分集，可以使用兩個(gè)不同的SIL 2系統(tǒng)來聲稱SIL 3級(jí)別的系統(tǒng)能力。對(duì)于云中的邏輯，主要關(guān)注點(diǎn)是軟件，文獻(xiàn)和標(biāo)準(zhǔn)中描述了許多技術(shù)來實(shí)現(xiàn)高完整性軟件以及高完整性軟件獨(dú)立于在同一CPU上運(yùn)行的低完整性軟件。雖然有論文表明Linux和Windows操作系統(tǒng)是安全認(rèn)證的，但最好運(yùn)行軟件裸機(jī)并實(shí)施安全認(rèn)證的虛擬機(jī)管理程序或RTOS以獲得所需的獨(dú)立性。從理論上講，甚至可以在云中使用FPGA，現(xiàn)在一些云提供商提供了這種功能。在這種情況下，IEC 61508-2：2010 附錄 F 表 F.1 和表 F.2 將分別與 FPGA 供應(yīng)商和為 FPGA 編寫應(yīng)用程序 HDL 的人員相關(guān)。其他解決方案可能包括在云中運(yùn)行高性能軟件，并在邊緣運(yùn)行更簡(jiǎn)單的健全性檢查器，以檢查云軟件的結(jié)論是否達(dá)到安全極限。嚴(yán)格來說，這不是云中的安全，因?yàn)榘踩闹饕ＷC是本地更簡(jiǎn)單的安全系統(tǒng)。

在云中運(yùn)行軟件的一個(gè)很好的理由可能是訪問AI/機(jī)器學(xué)習(xí)。經(jīng)常讓人們感到驚訝的是，IEC 61508 中對(duì)在安全功能中使用人工智能有限制。此外，改變這種狀況的意愿似乎微乎其微。該限制可在IEC 61508-3：2010表A.2中找到。限制的理由不僅是缺乏對(duì)該主題的知識(shí)，而且是人工智能的非確定性。很難解釋為什么基于人工智能的系統(tǒng)采取了特定的行動(dòng)方案，并且?guī)缀鯖]有信心相信它會(huì)在相同的輸入下再次做出相同的反應(yīng)。兩者都是安全工程師的詛咒。在汽車領(lǐng)域，許多公司將人工智能視為實(shí)現(xiàn)自動(dòng)駕駛的手段，但隨著人工智能的使用和代碼庫(kù)的龐大規(guī)模，證明它是安全的似乎依賴于測(cè)試，而不是使用基于功能安全標(biāo)準(zhǔn)的嚴(yán)格開發(fā)過程。人們經(jīng)常承認(rèn)，使用測(cè)試來證明軟件是正確的是不可能的，現(xiàn)在的論文似乎顯示了以90%的置信度證明基于人工智能的安全系統(tǒng)至少與人類駕駛員一樣安全所需的測(cè)試量。我相信這個(gè)數(shù)字是800億英里的真實(shí)駕駛。

正如我在引言中所說，很少有關(guān)于使用云等新技術(shù)來實(shí)施安全系統(tǒng)的內(nèi)容。然而，考慮到可能的好處，這一立場(chǎng)最終必須改變。也許IIoT，物聯(lián)網(wǎng)，智能工廠，智能城市，智能電力網(wǎng)絡(luò)領(lǐng)域發(fā)展如此之快，并且是目標(biāo)豐富的環(huán)境，以至于沒有時(shí)間考慮安全性，而是將其留給傳統(tǒng)手段來實(shí)現(xiàn)。鑒于安全標(biāo)準(zhǔn)平均每10年才會(huì)發(fā)生變化，因此標(biāo)準(zhǔn)中的指導(dǎo)總是落后于曲線。例如，在自動(dòng)駕駛中就是這種情況，大多數(shù)大公司似乎都試圖在沒有ISO 26262的情況下進(jìn)行。他們能否成功地說服公眾和監(jiān)管機(jī)構(gòu)相信他們的安全還有待觀察。對(duì)于工業(yè)應(yīng)用，仍然可以通過解釋新領(lǐng)域的標(biāo)準(zhǔn)來應(yīng)用IEC 61508。由于IEC 61508是一項(xiàng)基本安全標(biāo)準(zhǔn)，因此它旨在以這種方式工作，并聲明合規(guī)性，您只需遵守適用的要求。與規(guī)定性標(biāo)準(zhǔn)相比，基于目標(biāo)的目標(biāo)在如何實(shí)現(xiàn)安全方面提供了更大的靈活性。

審核編輯：郭婷