很難想象沒有某種通信網絡的功能安全系統。因此，您會期望標準中的可用指南是明確無誤的。有人會說這很清楚，但當你與人辯論時，結果證明它是可以解釋的。

部分問題可能是有各種各樣的網絡，它們的屬性差異很大。

網絡類型包括

可能包含云的連接

沿著鐵路軌道運行超過 10 秒或 100 多公里的連接

煉油廠中的無線網絡

在工廠車間運行的全現場總線

工廠車間的點對點網絡

元件或子系統內兩個PCB之間的連接

單個PCB上的IC之間的連接

IC內的內部通信網絡

黑通道網絡范式通過IEC 61784-3（現場總線）和IEC 62280/EN 50159（鐵路）等標準進行了很好的描述和控制。然而，即便如此，將現場總線標準應用于上述列表下半部分的網絡也是合適的。IEC 61508確實確定了另一種類型的網絡，稱為白通道網絡，但關于白通道要求的內容并不多。大多數其他標準遵循IEC 61508-2 7.4.11，以滿足其網絡要求。

首先，白色和黑色通道的名稱從何而來？

它被稱為黑色通道，因為你看不到它。那里都是黑暗的，所以你不知道路由器的可靠性，使用什么類型的開關，它們的EMI魯棒性和可靠性等。黑色通道甚至可能包含互聯網上的鏈接。

白色通道正好相反。它是按照IEC 61508設計的網絡，因此您可以完全了解并了解所有組件的可靠性，EMC魯棒性，故障模式等。當然，最好將其稱為“清晰”渠道。

標準中未提及灰色通道，但介于黑色和白色通道之間。它大部分是黑色的，但您確實知道它的一些屬性，并且可能會排除某些故障模式。

黑支票通道方法的問題包括

需要使用 0.01 的懲罰性 BER（誤碼率）/BEP（誤碼概率）以允許較差的 EMI 和未知組件的不可靠性（記住它的黑色，所以你看不到它們）

您需要計算及時性、損壞、偽裝舞會等的殘余錯誤率，并將它們添加到您的 PFH（每小時危險故障概率）中。這可能非常耗時，并與評估員達成一致。您可能還會驚訝于由于殘余錯誤率而導致的故障率有多大。

除非你能以某種方式證明它的合理性，否則你需要對可能不是真實的威脅實施大量防御。

您可以選擇標準網絡協議（如PROFIsafe），然后您的許多問題就會消失，因為有人已經為您完成了所有計算，并使用最壞情況假設確定了檢測錯誤所需的防御措施。

那是覆蓋的黑色通道。

那么，標準對白色通道有什么看法，讓我們查閱IEC 61508-2：2010子條款7.4.11。

圖1 - IEC 61508-2：2010 7.4.11.2摘錄

這伴隨著下圖所示。兩者都有些令人困惑，因為它將白色通道描述為完全按照IEC 61508設計，但隨后提到它也應該符合兩個黑色通道標準之一。許多白通道網絡將超出這兩個標準的范圍，例如兩個PCB之間的連接或任何點對點連接，例如4/20mA。該圖在網元的兩端都有粗大的黑色垂直線，似乎也表明防御是內置在網絡的端點中，而不是內置于構建網絡的每個組件中。

圖2 - 白色信道網絡示意圖

忽略對黑信道網絡標準的引用，我認為這是錯誤的，我對白信道網絡要求的解釋是

您需要根據特定的SC（系統功能）設計網絡，并進行所有正確的設計審查，EMI測試，驗證和確認。選擇合適的組件等使用的任何軟件都需要開發到同一個SC。

您需要對使用的所有組件進行可靠性預測。

您需要使用 FMEDA 或類似來計算 λ的（危險的未檢測到故障率）和診斷以使其足夠低（取決于所需的 SIL）。

并非網絡中使用的所有IC都需要按照IEC 61508進行開發。大多數工業安全系統都是使用標準組件構建的。

應將 EMI 視為始終存在，而不是間歇性事件。

您的 EMI 測試應有裕量（參見 IEC 61508-2：2010 表 A.16），這樣您就不會在實際應用中遇到預期的 EMI 水平的 EMI 故障。如果設計中的組件（例如濾波電容器）出現故障，則可能會因 EMI 而發生故障，但這已經包含在 FMEDA 和 λ的.

沒有必要采用刑事BER/BEP。網絡中所有組件的故障率可通過FMEDA或其他可靠性預測（作為IEC 61508設計的一部分）獲得，并且由于EMI構成系統故障模式，因此應消除由EMI引起的故障。數據包丟失或延遲的唯一方法是組件故障。數據包損壞的唯一方法是EMI性能差或旨在提供良好EMI的組件故障。

也許，上面最具爭議的是我的斷言，即在為IEC 61508設計的網絡中，您不應該因EMI而出現故障。讓我們看看一些證據。

首先，讓我們斷言EMI是一種系統故障模式，而不是隨機硬件故障模式，然后考慮IEC 6第61508部分中的以下內容。

圖 3 - IEC 61508-6：2010 A.1 摘錄

因此，如果EMI是一種系統性故障模式（證據可遵循），則應通過設計審查、仔細設計和測試來降低其影響，以便EMI和其他此類故障模式引起的系統故障率與目標SIL的目標PFH上的隨機硬件故障率相稱。

我查了一個相稱的定義，我發現“在大小或程度上，在比例上是對應的”。好的，因此使用的措施必須將故障降低到與隨機硬件故障相同的級別。但是EMI是一種系統性故障模式嗎，讓我們尋找它的證據。

下面是一張拼貼畫，顯示了表明EMI是一種系統性故障模式的證據。

圖 4 - IEC 61508-2：2010 中與 EMI（電磁抗擾度）相關的各種指導

其他一些標準甚至更清楚地說明了這一點。讓我們從IEC 61000-1-2（電磁兼容性（EMC）-第1-2部分：一般-實現電氣和電子系統（包括電磁現象設備）功能安全的方法）開始。

圖5 - IEC 61000-1-2摘錄

而且很難比IEC 61326-3-1（測量，控制和實驗室使用的電氣設備-EMC要求-第3-1部分：安全相關系統和旨在執行安全相關功能（功能安全）的設備的抗擾度要求-一般工業應用）更清晰。

圖6 - IEC 61326-3-1

“在量化硬件安全完整性時，沒有必要考慮電磁現象的影響”這句話肯定是該論點的關鍵。

它是行業特定功能安全標準的最新標準，由一個龐大而多樣化的團隊開發，其 11 個部分有很多細節。此外，汽車領域的幾乎所有東西都與安全有關，所以這些人非常專注。汽車對 EMI 提出了嚴格的 EMI 要求和詳細的測試。ISO 26262沒有參考黑色通道標準IEC 61784-3或IEC 62280，也沒有要求計算殘余錯誤率。但是，您需要添加針對腐敗、延誤、偽裝舞會等的防御措施。但影響不是量化的，本質上是定性的。這符合我對如何實施白通道網絡的理解，并符合IEC 61508-61508：2 2010.7.4和表A.7至A.15中關于控制系統故障控制的要求。

審核編輯：郭婷