工業(yè)4.0為未來的工廠提供了新的視野。在未來的這些工廠中，安全將至關重要。功能安全是指設備在需要時能夠執(zhí)行其安全功能的信心。與其他形式的安全相比，它是一種積極的安全形式。集成電路是實現功能安全的基礎，因此也是工業(yè)4.0的基礎。本文探討了功能安全對工業(yè)4.0的影響。其影響包括對網絡、安全性、機器人/協作機器人、軟件以及用于實現這些功能的半導體的要求。

介紹

功能安全是安全的一部分，它涉及系統在需要時執(zhí)行其安全相關任務的信心。例如，電機將足夠快地關閉，以防止對打開防護門的操作員或機器人造成傷害，當有人在附近時，機器人應該以降低的速度和力運行。

工業(yè)4.0是制造工廠的下一個發(fā)展方向，有望提高靈活性并降低成本。

本文將探討功能安全對工業(yè)4.0的一些影響。

功能安全

A. 標準

基本功能安全標準是IEC 61508。1該標準的第一次修訂版于1998年發(fā)布，修訂版2010年發(fā)布，現在開始更新到2020年的修訂版3。自 IEC 61508 第一版于 1998 年發(fā)布以來，基本的 IEC 61508 標準已適應汽車等領域，具有 ISO 26262，2采用IEC61511的過程控制，3采用IEC61131-6的可編程邏輯控制，4符合IEC 62061標準的機械，5符合IEC 61800-5-2標準的變速驅動器，6和許多其他領域。這些其他標準有助于解釋IEC 61508對這些更有限領域的廣泛范圍。

不是從IEC 61508派生的重要平行標準是ISO 13849，7它涵蓋了源自過時的歐洲EN 954標準的機械。

圖1.功能安全標準示例。

功能安全中更基本的概念是安全功能。安全功能定義為實現或維護安全而必須執(zhí)行的操作。典型的安全功能包括輸入子系統、邏輯子系統和輸出子系統。通常，這意味著檢測到潛在的不安全狀態(tài)，并且某些東西對檢測到的值做出決定，如果認為有潛在危險，則指示輸出子系統將系統帶到定義的安全狀態(tài)。

從存在的不安全狀態(tài)到實現安全狀態(tài)之間的時間至關重要。例如，安全功能可能包括一個傳感器，用于檢測機器上的防護裝置是否打開，一個用于處理數據的PLC，以及一個具有安全扭矩關閉輸入的變速驅動器，該驅動器在插入機器的手到達運動部件之前殺死電機。

B. 安全完整性等級

SIL 代表安全完整性級別，是表示將風險降低到可接受水平所需的風險降低的一種手段。根據 IEC 61508，安全級別為 1、2、3 和 4，隨著您從一個級別到下一個級別，安全要求會增加一個數量級。SIL 4 在機械和工廠自動化中不可見，通常不超過一個人暴露于危險中。它保留用于核能和鐵路等可能造成數百甚至數千人受傷的應用。還有其他功能安全標準，例如汽車，它使用 ASIL（汽車安全完整性等級）A、B、C 和 D 以及 ISO 13849。其性能級別 A、B、C、D 和 E 可以映射到 SIL 1 到 SIL 3 等級。

圖2.系統級設計的示例 V 模型。

C. 故障來源

功能安全標準通常識別兩種類型的故障，然后提出解決它們的方法。

隨機硬件故障是最容易理解的，顧名思義，它們是由設備中的隨機意外故障引起的。由于隨機故障而導致的故障概率表示為系統的PFH（危險故障的平均頻率）。允許的PFH取決于所需的SIL，范圍從10–5SIL 1 的 /h 到最小值 10–7/h 表示 SIL 3。

系統故障是設計中固有的故障，從某種意義上說，它們只能通過設計更改來修復。EMC穩(wěn)健性不足可被視為系統性錯誤，需求缺陷、驗證和確認不足以及所有軟件錯誤也是如此。系統誤差實際上是存在于每個生產項目中的弱點，而不是存在于單個單元中。如果出現正確的情況，故障將以 100% 的概率發(fā)生。

為了適合在需要SIL X安全功能的情況下使用，必須滿足標準中對該SIL水平的隨機和系統要求。僅滿足硬件要求是不夠的。

D. 處理隨機故障

無論設備多么可靠，在任何給定的小時內，一切都有有限的機會發(fā)生故障。解決隨機硬件故障的技術包括診斷覆蓋要求和冗余的使用。根據安全功能的 SIL 水平，將有最低的 PFH 或 PFD（按需故障概率）。此外，根據 SIL 的不同，隨著 SIL 從 SIL 1 增加到 SIL 3，所需的最低 SFF（安全失效分數）范圍為 60% 到 99%。該標準允許在診斷和系統中存在的冗余之間進行權衡。其他技術包括降額和使用質量更好的組件。

E. 處理系統故障

系統故障是與隨機硬件故障無關的故障，可能需要更改設計以避免故障。

系統性故障通過遵循嚴格的開發(fā)過程和對各種工作產品的獨立審查來解決。該過程通常以不同復雜度的 V 模型表示。審查所需的嚴謹性和審查員所需的獨立性隨著SIL水平的增加而增加。

在某些情況下，可以使用不同的冗余來處理系統錯誤。這是因為不同的系統不太可能同時以相同的方式失敗。插入用于處理隨機故障的診斷程序也可用于檢測系統故障。

大部分工作涉及系統工程和良好的工程實踐。某些文件中使用的表達方式是“最新技術”。文檔至關重要，能夠證明已實現安全幾乎與實現安全一樣重要。

工業(yè)4.0

工業(yè)4.08以其他名稱而聞名，包括工業(yè) 4.0、工業(yè)物聯網 （IIoT）、中國制造 2025、工業(yè)加、智能工廠等。名稱中的4.0代表了它代表了繼1970年左右的第三次革命之后的第四次工業(yè)革命，當時電子產品和IT的廣泛使用始于自動化。

雖然工業(yè)物聯網是文章、會議和營銷工作中的一個常見話題，但它仍然缺乏支持其采用的殺手級應用。可能的殺手級應用包括預測性故障、自適應診斷和基于狀態(tài)的維護。

工業(yè)4.0的一個關鍵思想是網絡物理系統（CPS）。CPS由“能夠自主交換信息，觸發(fā)動作和獨立相互控制的智能機器，存儲系統和生產設施”組成。9換句話說，一切都是智能的、儀表化的和互聯的。除其他問題外，此定義還對網絡和安全性有影響。

工業(yè)4.0的關鍵設計原則包括

互操作性 — 一切都是相互關聯的

虛擬化 — 提供工廠和仿真模型

權力下放——本地情報

實時功能 — 實時響應現實世界

面向服務 — 通過互聯網提供的服務

模塊化 — 可根據需要重新配置

通過傳感器融合和數據分析，將獲得新的見解，包括基于從智能儀器收集的診斷及其在云中的分析的預防性維護。比較系統之間的老化還可以允許切換冗余項目以提高生產率。機器健康將是一個關鍵問題。

A. 聯網

較舊的系統傾向于使用孤立的自動化孤島 - 通常使用專有網絡。基于4 mA至20 mA電路的模擬網絡過去和現在都很常見，并且具有許多優(yōu)點，包括EMC魯棒性，范圍可達3 km，并且本質上是安全和同步的，但對于工業(yè)4.0來說不夠靈活或不夠快。

在工業(yè)4.0中，人們的愿望是讓一切連接起來，并與其他一切對話。常用術語包括 M2M（機器對機器）和 P2M（過程到機器）。然后可以利用連接來

提高制造效率

提高制造靈活性

增加操作知識

降低生產成本

基于以太網的連接解決方案非常適合滿足上述要求，但需要解決此類網絡的安全性要求。隨著新的效率，新的服務將變得具有成本效益。

B. 安全

隨著數字網絡的使用，安全性成為一個問題。最近在電影（例如，零日）和媒體中強調的案例包括Stuxnet和黑色能量病毒。如果網絡擴展到云中，那么黑客攻擊一個云提供商可能會摧毀許多工廠，而以前他們必須一次被黑客入侵。這種規(guī)模經濟使它們對黑客更具吸引力。一些專家甚至聲稱物聯網確實代表了“威脅互聯網”。

IT安全要求通常不適合應用于工業(yè)網絡。IT安全有多種行為，包括不適合制造的頻繁軟件更新，其中由于意外后果停止生產的風險，軟件更改不受歡迎。當涉及安全時，由于認證功能安全系統和所需的變更管理流程的成本很高，這種對變革的厭惡甚至更加強烈。

涵蓋工業(yè)控制安全要求的擬議國際共識標準是IEC 62443。IEC 6244310涵蓋IACS（工業(yè)自動化和控制系統）的設計、實施和管理。

C. 機器人和協作機器人

機器人曾經是生活在籠子里的可怕機器。協作機器人或協作機器人不那么可怕，并且注意不要傷害人。它們是傳感器和軟件的融合，無需與人類工人分開。工業(yè)環(huán)境中的協作機器人可以由一個手臂或一對手臂組成，例如優(yōu)傲機器人的UR5系列或ABB的YuMi。在未來的工廠中，協作機器人將協助人類操作員，甚至知道與他們一起工作的人是右撇子還是左撇子。?

圖3.典型安全系統的誤差預算。

AGV（自動導引車）是移動機器人，可以考慮 一種特殊的協作機器人。它們?yōu)楣I(yè)4.0提供了基本要素 通過在制造車間周圍移動產品和材料。

隨著動態(tài)環(huán)境導致新的危害到來，必須加以解決。對于協作機器人和AGV，選項是1）開發(fā)一個本質上安全的系統，因為力足夠低，不會發(fā)生嚴重傷害，或者2）根據相關的功能安全標準設計解決方案。對于AGV，防撞可以基于視覺，雷達，激光或嵌入地板的軌道。

功能安全和聯網

功能安全系統通常由傳感器、邏輯和輸出子系統組成。這三個要素結合在一起以實現安全功能，SIL 級別、PFH、SFF 和 HFT 要求適用于整個安全功能。因此，這些子系統之間的通信與安全有關。IEC 61508 是指現場總線標準 IEC 61784-3 的功能安全要求。這些措施將包括處理隨機和系統誤差源的措施。

表 1 顯示了用于分配每小時最大允許故障概率的普遍接受的誤差預算。此模型的改進通常顯示分配給每個接口的預算的 1% 以紅色顯示。如果安全功能為 SIL 3，則允許的最大 PFH 為 10–7/h，因此分配給接口的 1% 為 10–9/h.

總的來說，必須考慮的與通信相關的危害顯示在表 1 中，該表包含在包括 IEC 61784、EN 50159 和 IEC 62280 在內的標準中。11

表 1 中的每一行必須由至少一個防御措施解決。IEC 61784-3 中對防御措施進行了進一步詳細說明9和 IEC 62280-1/EN 50159。12例如，可以通過使用具有漢明距離的CRC來處理損壞，具體取決于預期的BER（誤碼率），SIL要求和每小時傳輸的位數。

在工業(yè)環(huán)境中，如果安全和非安全數據可以在同一網絡上通信，則要求變得更加復雜。

IEC 61508-2：2010 提供兩種選擇。選項1）是白通道方法，其中整個通信通道按照IEC 61508開發(fā)。選項2）是黑通道方法，即不對通信通道的性能做出任何假設，并且每個安全裝置中的特殊層處理安全性。此安全層通過一組防御措施解決了圖 2 中的威脅。這些防御措施是對底層現場總線標準內的任何防御措施的補充，例如，除了底層通信協議中的CRC之外，還可能包括另一個CRC來檢測位損壞。到目前為止，黑色通道方法是更常見的。一個例子是PROFIsafe，它是位于PROFIBUS或PROFINET之上的安全層。??

功能安全和安保

有趣的是，在許多語言中，只有一個詞來表示安保和安全。然而，在工業(yè)背景下，它們都涵蓋了一組不同的問題，這些問題有時會發(fā)生沖突。安全的一個定義是防止由于無意行為造成的傷害，而相應的安全定義是防止由于故意行為造成的傷害。兩者之間的共同點包括需要在體系結構級別考慮安全性和安全性。否則，它們很難在事后添加。但兩者相互沖突，因為對意外事件的典型安全反應是關閉系統——黑客可以通過拒絕服務攻擊利用這一功能，而安全性旨在防止該功能。安全功能通常包括用于身份驗證的密碼，但是您真的想在有人輸入密碼時減慢安全反應，或者在密碼輸入錯誤三次時將安全人員鎖定在外面嗎？

2010 年 IEC 61508 的修訂版二版幾乎沒有安全要求。它確實指出必須考慮安全性，并參考尚未發(fā)布的IEC 62443系列作為指導。此外，目前正在制定具體標準，以解決機械和核領域的功能安全與安保之間的關系。

威脅	防御
	序列號	時間戳	超時	源和目標 標識符	反饋 消息	鑒定 程序	安全守則	加密 技術
重復
刪除
插入
重新排序
腐敗
延遲
化裝

與IEC 61508中的SIL級別類似，IEC 62443定義了SL（安全級別），其中級別也是1到4。符合SL 1的系統可能對普通旁觀者是安全的，而符合SL 4的系統可能對國家贊助機構的黑客攻擊是安全的。但是，沒有從 SIL 到 SL 的直接映射。

IEC 62443 與 IEC 62443-4-2 一起確定了七個基本要求 （FR），以指導每個 FR 實現給定 SL 所需的內容。七個FR是：

識別和認證控制 （IAC）

使用控制 （UC）

系統完整性 （SI）

數據保密性

受限數據流 （RDF）

及時響應事件 （TRE）

資源可用性 （RA）

然后，SL 1 可以表示為安全向量 （1， 1， 1， 1， 1， 1， 1），其中向量中的每個項目對應于七個 FR 中的一個。鑒于SL 1代表偶然攻擊，這似乎是必須考慮可預見的濫用的安全應用的最低要求。13可以說，SIL > 1 的安全應用的合適載體是 （N1， N2， N3， 1， 1， N6, 1),13認識到數據機密性、受限數據流和可用性在工業(yè)功能安全應用中是有限關注的問題。但是，N 的值之間沒有明顯的相關性1， N2， N3和 N6取決于 SIL 級別是 2、3 還是 4。

要記住的一個關鍵點是，雖然并非所有安全系統都有功能安全要求，但需要考慮所有安全相關系統的安全性。

功能安全和機器人

ISO 10218 認證14是涵蓋包括協作機器人在內的工業(yè)機器人安全要求的標準。它包括安全停止、示教、速度和分離監(jiān)控，以及功率和力限制。ISO 10218-1：2011 條款 5.4.2 要求控制系統的安全相關部件的設計符合 ISO 13849-1：2006 中所述的 PL = D 類別 3 或 IEC 62061：2005 中所述的 SIL 2，HFT（硬件容錯）為 1。實際上，這意味著至少有一個 2 通道安全系統，每個通道的診斷覆蓋率至少為 60%。這兩個標準（ISO 13849 和 IEC 62061）都遵循 IEC 61508-3 的軟件要求。

AGV在ISO 10218中沒有得到很好的解決，雖然無人駕駛汽車在汽車標準ISO 26262中得到了解決，但由于其范圍要有限得多，工業(yè)用途是汽車的一個特例。機械指令范圍包括AGV，鑒于缺乏特定標準，通用IEC 61508標準的要求將適用。

圖4.軟件的主要優(yōu)勢。

雖然固定機器人的網絡可能是基于以太網的，但對于AVG來說，它將是無線的，這將需要額外的安全和安保要求。

功能安全和軟件

無論您處理的是安全還是安保，實現高質量軟件的詳細要求大多相同。例如，程序員的軟件錯誤可能會導致系統故障，如果出現正確的情況來暴露錯誤。很難判斷這種可能性，一些功能安全標準規(guī)定概率應被視為100%。15然而，雖然 99.99% 無錯誤的程序通常不會引起安全問題似乎是合理的，但黑客會嘗試確保始終遇到 0.01% 的實例。因此，消除系統誤差對于安全和功能安全同樣重要。但是，確實，100%完美的安全相關軟件可能存在嚴重的安全問題。

過去，不允許在安全系統中使用軟件，因為它由于呈現的不同狀態(tài)的數量而被認為本質上是不可測試的。新標準提供了一個生命周期模型，如果遵循該模型，則可以提出安全性聲明，因為這些標準中倡導的技術在過去已被證明可以生產安全系統。軟件本質上是有吸引力的，因為它允許將通用機器轉換為非常特定的機器。然而，這種靈活性也是它的弱點之一。

ESDA-312 等文件16表明IEC 61508中的許多技術可用于滿足工業(yè)安全要求。遵循這樣的過程會留下工作產品的書面記錄，可用于證明已實現安全性。

這些技術包括進行設計評審、制定編碼標準、規(guī)劃工具的使用、單元級別的驗證、需求可追溯性、獨立驗證和評估。雖然軟件不會磨損，但它運行的硬件可能會出現故障，軟件需要處理這個問題。對于機器和機器人，使用冗余架構（如ISO 13849中的Cat 3或Cat 4）減少了在IC級別實施診斷的需求，但確實提高了對各種軟件的要求。

功能安全和集成電路

集成電路（IC）對智能系統至關重要。IC可以提供跟蹤容器中的物品而不是容器本身的方法，跟蹤機器人手臂的位置而不僅僅是整個機器人，跟蹤低價值機器的健康狀況，并處理數據，以便傳輸到云中的是信息而不是數據。新型電機控制IC可以提高電機效率并延長電池壽命。

IC提供大腦，特別是在邊緣，智能需要緊湊和低功耗。它們還提供傳感器技術;例如，使用雷達、激光、磁、相機或超聲波技術。它們可以測量速度和位置，并且借助AMR（各向異性磁阻）等新技術，傳感器無需外部機械組件即可確定速度和位置。IC在網絡中實現物理接口和MAC（媒體訪問控制）層。通過無線通信，這種實現都可以在IC上完成。

同樣，集成電路可以通過PUF（物理上不可克隆的功能）、加密加速器和篡改檢測機制來支持安全性。鑒于現在可以實現的集成水平，過去在許多情況下的系統級要求已成為IC級要求。

然而，在目前的工業(yè)功能安全標準中，集成電路的內容很少，在安全標準中甚至更少。對于汽車而言，計劃于2018年發(fā)布的ISO 26262-11草案是一個很好的資源，其中大部分也可用于工業(yè)應用的集成電路。在IEC 61508的修訂版2中，提出了與軟件幾乎相同的ASIC生命周期模型。事實上，關于像Verilog這樣的HDL代碼是軟件還是僅僅是硬件的表示的爭論是一個有趣的爭論。IEC 61508-2：2010的附錄E涉及使用單片硅時要求片上冗余的要求，但僅限于數字電路和重復的情況，除非它不包括各種冗余或模擬和混合信號電路。IEC 61508-2：2010的信息性附錄F非常有用，因為它列出了IC開發(fā)過程中應采取的措施，以避免引入系統錯誤。每個SIL都給出了要求，但同樣僅限于數字電路，沒有關于模擬或混合信號IC的具體指導。

IC的高集成度既是福也是禍。與單個組件相比，IC上的單個晶體管非常可靠，IC最不可靠的方面通常是引腳。例如，如果使用西門子SN 29500標準進行可靠性預測，則具有500k晶體管的IC的FIT將為70，但如果晶體管數量增加10到500萬倍，則FIT將增加到僅80。如果使用兩個IC，每個IC具有500k個晶體管，則每個FIT將為70，總共140個。從 140 到 80 的節(jié)省是在您還考慮 PCB 面積、PCB 走線和外部無源器件的節(jié)省之前，或者 IC 上的片上天線比 PCB 上的天線小得多，可以減少 EMI 問題。等式的詛咒部分是，對于復雜的IC，確定故障模式可能很困難。簡單性是安全之友，兩個單獨封裝的微控制器更有可能被認為比包含兩個微控制器的IC更簡單。IEC 61508-2：2010的附錄E提供了一些指導。然而，在聲稱足夠的獨立性和大多數安全標準中，低于10%的β（兩個通道因相同原因同時失敗的測量）被認為是非常好的。

IC供應商可以通過為已發(fā)布的器件、片上硬件加速器、片上和片外診斷以及分離關鍵和非關鍵軟件（安全和安保關鍵）的方法提供認證組件、安全手冊或安全數據表，從而幫助他們的安全和安保供應商。這些安全和安保功能需要從一開始就進行設計。試圖在IC設計后增加安全性將導致額外的系統復雜性和額外的組件。

開發(fā)用于功能安全系統的集成電路有多種選擇。標準中沒有要求只使用兼容的集成電路，而是要求模塊或系統設計人員確信所選集成電路適合在其系統中使用。擁有獨立評估的安全手冊是一種令人滿意的方式，但不是唯一的選擇。

可用選項包括：

通過外部評估和安全手冊完全按照IEC 61508開發(fā)IC

開發(fā)符合IEC 61508標準的IC，無需外部評估，但使用安全手冊

根據半導體公司的標準開發(fā)流程開發(fā)IC但發(fā)布安全數據表

開發(fā)IC到半導體公司標準流程

注意—對于未按照 IEC 61508 開發(fā)的部件，安全手冊可能稱為安全數據表或類似內容，以避免混淆。兩種情況下的內容和格式將相似。

對于半導體制造商來說，選項1是最昂貴的選擇，但它也為模塊或系統設計人員提供了最大的好處。擁有這樣的組件，其中集成電路安全概念中顯示的應用與系統的應用相匹配，可以降低模塊或系統外部評估遇到問題的風險。SIL 2安全功能的額外設計工作量可能達到20%或更多。額外的努力可能會更高，除了半導體制造商通常已經暗示了嚴格的開發(fā)過程，即使沒有功能安全。

備選方案2節(jié)省了外部評估的費用，但除此之外，影響是相同的。此選項適用于客戶無論如何都要獲得外部認證的模塊/系統，并且集成電路是該系統的重要組成部分。

選項 3 最適合已發(fā)布的集成電路，其中提供安全數據表可以讓模塊或系統設計人員訪問他們在更高級別的安全設計所需的額外信息。這包括所使用的實際開發(fā)過程的詳細信息、集成電路的FIT數據、任何診斷的詳細信息以及制造現場的ISO 9001認證證據等信息。

圖5.ADI公司的ADSP-CM41x系列具有許多安全和安保特性。

然而，備選方案4仍將是開發(fā)集成電路的最常見方式。使用此類組件開發(fā)安全模塊或系統將需要額外的組件和模塊/系統設計費用，因為這些組件沒有足夠的診斷，需要雙通道架構與單通道架構進行比較。此外，使用此類組件的診斷測試間隔通常不是最佳的，并且可用性較低，因為無法確定哪些故障項目失敗，這可能會對可用性產生影響。如果沒有安全數據手冊，模塊/系統設計人員還需要做出保守的假設，將集成電路視為黑匣子。這可能會降低可以聲明的可靠性數字。

為了簡化功能安全的實現，IC制造商可能希望制定自己的IEC 61508解釋。ADI公司有一個內部公司規(guī)范ADI61508，它是IEC 61508對集成電路開發(fā)的解釋。然后，IEC 61508的所有七個部分都在一個文檔中進行解釋，省略IEC 61508中與集成電路無關的位，其余部分解釋為集成電路。

無論采用哪種系統級標準，IC都是按照IEC 61508開發(fā)的，唯一的例外是汽車，其中ISO 26262可用于開發(fā)用于汽車應用的IC和軟件。

總結

基于IEC 61508的各種功能安全標準為一般工業(yè)和工業(yè)4.0提供了良好的服務。其中包括軟件、硬件、網絡、安全和機器人技術的標準。然而，這些信息目前分布在多個標準中，工業(yè)4.0具有幾個與工業(yè)4.0所需的不斷變化相關的獨特功能。工業(yè)4.0的單一重點標準可能需要通過對新世界基本安全標準的解釋來簡化合規(guī)性。也許這可以稱為“安全4.0”或“智能安全”！同樣，IEC 61508標準中需要更多與IC相關的信息，以便證明和實現足夠的安全性。展望未來，工業(yè)4.0成為現實和成功之前的機遇和挑戰(zhàn)將很有趣。

功能安全可以為工業(yè)4.0提供很多東西，不僅因為安全是未來工廠的基本要素，還因為功能安全具有實現更高可靠性，診斷，彈性和冗余的技術。

審核編輯：郭婷