关于使用白通道原理实现通信网络的思考

很难想象没有某种通信网络的功能安全系统。因此，您会期望标准中的可用指南是明确无误的。有人会说这很清楚，但当你与人辩论时，结果证明它是可以解释的。

部分问题可能是有各种各样的网络，它们的属性差异很大。

网络类型包括

可能包含云的连接

沿着铁路轨道运行超过 10 秒或 100 多公里的连接

炼油厂中的无线网络

在工厂车间运行的全现场总线

工厂车间的点对点网络

元件或子系统内两个PCB之间的连接

单个PCB上的IC之间的连接

IC内的内部通信网络

黑通道网络范式通过IEC 61784-3（现场总线）和IEC 62280/EN 50159（铁路）等标准进行了很好的描述和控制。然而，即便如此，将现场总线标准应用于上述列表下半部分的网络也是合适的。IEC 61508确实确定了另一种类型的网络，称为白通道网络，但关于白通道要求的内容并不多。大多数其他标准遵循IEC 61508-2 7.4.11，以满足其网络要求。

首先，白色和黑色通道的名称从何而来？

它被称为黑色通道，因为你看不到它。那里都是黑暗的，所以你不知道路由器的可靠性，使用什么类型的开关，它们的EMI鲁棒性和可靠性等。黑色通道甚至可能包含互联网上的链接。

白色通道正好相反。它是按照IEC 61508设计的网络，因此您可以完全了解并了解所有组件的可靠性，EMC鲁棒性，故障模式等。当然，最好将其称为“清晰”渠道。

标准中未提及灰色通道，但介于黑色和白色通道之间。它大部分是黑色的，但您确实知道它的一些属性，并且可能会排除某些故障模式。

黑支票通道方法的问题包括

需要使用 0.01 的惩罚性 BER（误码率）/BEP（误码概率）以允许较差的 EMI 和未知组件的不可靠性（记住它的黑色，所以你看不到它们）

您需要计算及时性、损坏、伪装舞会等的残余错误率，并将它们添加到您的 PFH（每小时危险故障概率）中。这可能非常耗时，并与评估员达成一致。您可能还会惊讶于由于残余错误率而导致的故障率有多大。

除非你能以某种方式证明它的合理性，否则你需要对可能不是真实的威胁实施大量防御。

您可以选择标准网络协议（如PROFIsafe），然后您的许多问题就会消失，因为有人已经为您完成了所有计算，并使用最坏情况假设确定了检测错误所需的防御措施。

那是覆盖的黑色通道。

那么，标准对白色通道有什么看法，让我们查阅IEC 61508-2：2010子条款7.4.11。

图1 - IEC 61508-2：2010 7.4.11.2摘录

这伴随着下图所示。两者都有些令人困惑，因为它将白色通道描述为完全按照IEC 61508设计，但随后提到它也应该符合两个黑色通道标准之一。许多白通道网络将超出这两个标准的范围，例如两个PCB之间的连接或任何点对点连接，例如4/20mA。该图在网元的两端都有粗大的黑色垂直线，似乎也表明防御是内置在网络的端点中，而不是内置于构建网络的每个组件中。

图2 - 白色信道网络示意图

忽略对黑信道网络标准的引用，我认为这是错误的，我对白信道网络要求的解释是

您需要根据特定的SC（系统功能）设计网络，并进行所有正确的设计审查，EMI测试，验证和确认。选择合适的组件等使用的任何软件都需要开发到同一个SC。

您需要对使用的所有组件进行可靠性预测。

您需要使用 FMEDA 或类似来计算 λ的（危险的未检测到故障率）和诊断以使其足够低（取决于所需的 SIL）。

并非网络中使用的所有IC都需要按照IEC 61508进行开发。大多数工业安全系统都是使用标准组件构建的。

应将 EMI 视为始终存在，而不是间歇性事件。

您的 EMI 测试应有裕量（参见 IEC 61508-2：2010 表 A.16），这样您就不会在实际应用中遇到预期的 EMI 水平的 EMI 故障。如果设计中的组件（例如滤波电容器）出现故障，则可能会因 EMI 而发生故障，但这已经包含在 FMEDA 和 λ的.

没有必要采用刑事BER/BEP。网络中所有组件的故障率可通过FMEDA或其他可靠性预测（作为IEC 61508设计的一部分）获得，并且由于EMI构成系统故障模式，因此应消除由EMI引起的故障。数据包丢失或延迟的唯一方法是组件故障。数据包损坏的唯一方法是EMI性能差或旨在提供良好EMI的组件故障。

也许，上面最具争议的是我的断言，即在为IEC 61508设计的网络中，您不应该因EMI而出现故障。让我们看看一些证据。

首先，让我们断言EMI是一种系统故障模式，而不是随机硬件故障模式，然后考虑IEC 6第61508部分中的以下内容。

图 3 - IEC 61508-6：2010 A.1 摘录

因此，如果EMI是一种系统性故障模式（证据可遵循），则应通过设计审查、仔细设计和测试来降低其影响，以便EMI和其他此类故障模式引起的系统故障率与目标SIL的目标PFH上的随机硬件故障率相称。

我查了一个相称的定义，我发现“在大小或程度上，在比例上是对应的”。好的，因此使用的措施必须将故障降低到与随机硬件故障相同的级别。但是EMI是一种系统性故障模式吗，让我们寻找它的证据。

下面是一张拼贴画，显示了表明EMI是一种系统性故障模式的证据。

图 4 - IEC 61508-2：2010 中与 EMI（电磁抗扰度）相关的各种指导

其他一些标准甚至更清楚地说明了这一点。让我们从IEC 61000-1-2（电磁兼容性（EMC）-第1-2部分：一般-实现电气和电子系统（包括电磁现象设备）功能安全的方法）开始。

图5 - IEC 61000-1-2摘录

而且很难比IEC 61326-3-1（测量，控制和实验室使用的电气设备-EMC要求-第3-1部分：安全相关系统和旨在执行安全相关功能（功能安全）的设备的抗扰度要求-一般工业应用）更清晰。

图6 - IEC 61326-3-1

“在量化硬件安全完整性时，没有必要考虑电磁现象的影响”这句话肯定是该论点的关键。

它是行业特定功能安全标准的最新标准，由一个庞大而多样化的团队开发，其 11 个部分有很多细节。此外，汽车领域的几乎所有东西都与安全有关，所以这些人非常专注。汽车对 EMI 提出了严格的 EMI 要求和详细的测试。ISO 26262没有参考黑色通道标准IEC 61784-3或IEC 62280，也没有要求计算残余错误率。但是，您需要添加针对腐败、延误、伪装舞会等的防御措施。但影响不是量化的，本质上是定性的。这符合我对如何实施白通道网络的理解，并符合IEC 61508-61508：2 2010.7.4和表A.7至A.15中关于控制系统故障控制的要求。

审核编辑：郭婷