类别及其与Dcavg、CCF和每个通道MTTFD的关系一般要求检测

功能安全检测中的类别划分及其与Dcavg、CCF和MTTFD的关联性分析

在功能安全领域，特别是依据IEC 61508与ISO 13849等核心标准进行安全相关控制系统设计时，对检测功能的性能评估至关重要。检测的效能直接关联到系统诊断覆盖率（DC）、共因失效（CCF）抵御能力以及每个通道的平均危险失效前时间（MTTFD）。检测活动的系统化分类与量化分析，是达成高安全完整性等级（SIL）或性能等级（PL）的技术基石。

一、检测项目的详细分类与技术原理

检测项目可依据其执行方式和原理进行严格分类，这些分类直接决定了诊断覆盖率（DC）的计算，进而影响平均诊断覆盖率（Dcavg）和MTTFD。

1. 按执行方式与时机分类：

   • 在线检测：在系统运行过程中周期性或连续执行的检测。例如，通过看门狗定时器检测处理器运行异常，或通过校验和检测存储器数据完整性。此类检测直接贡献于高诊断覆盖率，缩短了危险失效的检测时间，对提升MTTFD有显著影响。

   • 离线检测：在系统启动或维护期间执行的检测。如启动自检（POST）。其诊断覆盖率虽高，但无法覆盖运行期间的失效，对MTTFD的贡献有限，通常需与在线检测结合。

   • 连续检测：对信号或输出进行实时监控。如通过比较冗余通道的输出（如1oo2架构中的比较器），或在模拟量输出回路中读取反馈值进行比较。此类检测通常能实现极高的诊断覆盖率，并近乎瞬时检测到失效。

2. 按技术原理分类：

   • 逻辑/时间检测：包括程序流监控、循环时间检查、通讯超时检测等。其原理是验证控制逻辑和执行序列的时序符合性。

   • 数据完整性检测：涵盖循环冗余校验（CRC）、奇偶校验、安全校验码等，用于保护存储和传输中的数据。

   • 物理量合理性检测：对传感器输入或执行器输出的值进行范围检查、梯度（变化率）检查或与其它关联信号进行交叉验证。

   • 硬件自检测：针对特定硬件组件的测试，如RAM测试（March算法）、ADC/DAC功能测试、CPLD/FPGA配置存储区校验等。

这些检测技术的有效组合，旨在系统性地覆盖随机硬件失效的各类模式，其综合效果通过Dcavg（平均诊断覆盖率）量化。Dcavg是各部件诊断覆盖率的加权平均，是计算MTTFD（在危险失效模式下）和终安全失效分数（SFF）的关键输入参数。高Dcavg直接导致更长的MTTFD和更高的SIL/PL达成潜力。

二、检测能力与共因失效（CCF）的抵御关系

共因失效（CCF）可能使冗余通道中的检测机制同时失效，从而令系统性的诊断措施完全无效。因此，检测项目的设计与分类必须融入抵御CCF的策略。相关标准（如IEC 61508-6附录F）提供了CCF失效分数的评估模型，其中检测能力是核心评分项之一：

• 物理隔离的检测：对不同通道采用不同物理原理的检测方法（例如，一个通道采用软件CRC校验，另一通道采用硬件存储器保护单元MPU），能显著降低因共同原因（如电磁干扰、软件共模缺陷）导致检测功能双失的风险，从而在CCF评估中获得高分。

• 功能多样性检测：对同一安全功能，采用不同算法或信号路径进行交叉验证，可以有效检测因设计缺陷引起的共因失效。

• 检测的独立性与分离度：检测电路的电源、时钟、传感器应尽可能与主功能通道分离，避免共用同一来源的故障导致功能失效和检测失效同时发生。

强大的、具有多样性的检测设计能大幅降低CCF失效分数，确保冗余或容错架构的实际有效性，这是实现高SIL/PL不可或缺的一环。

三、国内外检测标准的要求对比分析

在检测要求方面，标准与国内标准在核心原则上一致，但在具体实施和行业衍生标准上各有侧重。

• 标准（IEC/ISO体系）：

  • IEC 61508（基础安全标准）：对检测提出了框架性要求，强调需通过FMEA/FMEDA识别失效模式，并针对性地选择检测措施。它对DC、MTTFD、CCF的计算提供了详细方法论。

  • ISO 13849（机械安全）：通过评估每个通道的MTTFD、DCavg、CCF等指标，终确定性能等级（PL）。它对检测的周期、测试覆盖率有明确图表和参数指导。

  • IEC 62061（机械安全，基于IEC 61508）：更侧重于子系统级别的安全完整性，对检测的架构约束和系统化验证要求严格。

• 国内标准（GB体系）：

  • GB/T 20438 (等同采用IEC 61508)、GB/T 16855 (等同采用ISO 13849)：在技术内容上与标准完全一致，确保了技术层面的同步。其差异主要体现在标准的行政管理、认证实施规则以及针对中国本土特定应用领域（如高铁、核电）的行业补充标准上。国内认证（如CCC安全部件认证）会强制引用这些国标，并可能增加符合性评估的具体指南。

对比而言，标准是技术源头，而国内标准确保了其在中国的合规性落地。工程师在设计和评估检测功能时，应以具体产品所属的行业标准（无论是还是国内）为终依据，但其背后的技术逻辑——即通过优化检测来提升Dcavg、抵御CCF、延长MTTFD——是普适的。

四、主要检测仪器的技术参数与用途

验证和确认检测功能的有效性，需要借助的检测仪器。以下为几类核心仪器的关键参数与用途：

1. 安全控制器综合测试仪：

   • 关键参数：支持多种安全协议（如PROFIsafe, CIP Safety）、可编程故障注入能力（模拟短路、断路、信号超限、位翻转）、高精度时间戳（分辨率<1μs）用于测量响应时间、多通道同步采集与输出。

   • 用途：用于系统集成测试，验证检测功能在注入故障下的响应是否符合安全要求，测量安全回路响应时间，评估诊断覆盖率。

2. 故障注入与电路仿真系统：

   • 关键参数：多路高密度继电器矩阵、模拟/数字信号仿真精度、可集成到自动化测试序列中、支持对电源、传感器、通信线路的动态故障模拟。

   • 用途：专门用于硬件集成测试和单元测试，系统地注入IEC 61508中定义的各类硬件失效模式，验证检测机制是否能有效识别并触发安全状态。

3. 静态/动态信号源与高精度数据记录仪：

   • 关键参数：信号输出精度（如24位ADC，0.01% FSO）、高速采样率（>1MS/s）、大存储深度、隔离通道。

   • 用途：生成高精度模拟量或数字量信号，用于测试物理量合理性检测功能的阈值和精度。同时记录系统在测试中的全部输入输出，用于事后详细分析检测行为的正确性。

4. 时序与逻辑分析仪：

   • 关键参数：超高带宽（>1GHz）、多通道数（>64）、复杂的触发与解码功能（支持各类总线协议）。

   • 用途：深度分析检测逻辑的时序关系，特别是针对看门狗、程序流监控、通信超时等与时间紧密相关的检测功能，验证其时间参数设置的合理性和鲁棒性。

这些仪器的应用，使得对检测功能的验证从定性判断转为定量评估，为计算Dcavg、MTTFD和评估CCF抵御能力提供了可信的数据支撑，是构建高可信度安全系统的实证保障。