非标自动化设备如何做好本质安全安全设计?

非标自动化设备如何做好本质安全--安全设计?



1.   工业设备设计面临的挑战

 

当你设计制造一台工业机器、设备或者生产线的时候,工程领域涉及许多学科,机械、电气和自动化学科等,不同学科之间的沟通和协作非常重要。学科必须尽可能无缝地工作,以实现他们的共同目标。

 

传统的工程流程是串行工程,机械、电气和自动化工程之间手动同步,它风险大、耗时且容易出错。生产设备的自动化程度和变化程度越来越高,从项目开始到结束,整个过程中不同学科都在进行变更的迭代和人工信息交互。迫于制造效率和上市速度的压力,从而将现有的串行工程方法推向了极限。所以,我们需要寻找新的多学科协同的方法。

image.png

处理工程中的错误,以免造成大量返工。所以,工业设备制造商必须尽早使用虚拟调试方法识别问题,或者更好地利用协同工具来避免问题发生。


2.非标自动化设备的设计流程

(1)确定开发项目,了解客户需求,包括产品品质要求、设备生产效率要求、设备工作环境。

(2)分析产品,了解产品生产工艺,了解产品各方面尺寸要求及来料情况,与客户沟通产品生产过程中的注意事项,设备使用地点的技术参数。

(3)拟定方案。由工程人员讨论、分析作出设备方案,方案包括:设备示意图、各部分机构简介、动作说明、设备技术参数。

(4)方案审核。由工程人员组成审核组,对方案进行审核,审核内容包括:设备可行性评估、设备成本评估、设备生产效率的评估、各部分结构可行性评估。

(5)方案整改。对方案审核中讨论出的问题进行整改。

(6)客户确定设计方案。设计方案交由客户,客户根据需求,对方案进行最后确定。

(7)设计开发。由工程部安排工程师进行机构设计,作出机器装配图、零件图,选出执行元器件、电控配件,并列出加工零件清单和标准件请购单,动作说明书。


3.如何做好非标自动化设备的设计

非标自动化设备虽然没有标准设备量大,但品种繁杂,五花八门,服务于各种各样的部门。当今社会科学迅猛发展,新技术革命对机械设计提出了更高的要求。由于非标准自动化设备的品种繁杂,设计工作的难度更大。这就要求非标准设计工程师必须具有良好的专业素质,有宽广的知识面,有良好的变通性和独创性,善于举一反三,能有较多的点子,有独出心裁的见解,能将别的机构移植并融汇贯通在自己的设计意图中。

(1)非标设备的生产都是以单件进行小批量生产,对相关的设计人员,有着经验和技术上的要求。非标设备在设计方面,主要采用非标设备中国标准体系和标准体系,遵循“一次薄膜应力或最大直接应力不得超过许用应力”的原则,在安全系数上非标设备的设计主要考虑应力集中及其类型、应力评估方法的复杂程度、材料的不均匀性、几何因素、焊接接头中存在的缺陷等因素。

(2)在非标设备的设计上,首先,在标准零部件的选择上,尽量采用成品件,以便有效降低非标产品在原材物料消耗、管理费用、成品率等方面的成本。采用成品件还能使设备在投入市场后有更好的可靠性能,延长设备的设计制造周期,提高设计效率。其次,非标设备的设计,还要在满足工艺设计条件的基础上,认真研究设备的技术方案,确定先进、合理且运行稳定的非标设备。


4.从基因回路到DNA序列----真核系统升级CAD平台


为实现基因回路的程序化设计,MIT的Christopher A. Voigt团队将工程与生物相结合,把广泛应用于工程设计领域的计算机辅助设计软件(Computer-aided-design,CAD)引入基因回路设计,构建了第一代Cello平台。


Cello是一款自动化设计基因回路的软件(图2),基于输入传感器(例如化学分子诱导系统)、回路功能(例如逻辑真值表)、以及相应底盘细胞中的用户约束文件(user constraint file,UCF),自动将目标功能基因回路编译成DNA序列[2]。其中UCF文件包含对应底盘细胞的门电路传递函数、元件搭配和排布规则等内容。因此对于任意底盘细胞,实现CAD需要实现对于单个元件(包括输入传感器和门电路)的定量构建和测试。


在大肠杆菌中,Voigt组实现了一系列程序化扩展门电路种类[3]、传递函数[4]和元件排布[5, 6]的策略。这是实现计算机辅助设计基因回路的基础,并且用相似策略实现非模式原核生物——拟杆菌(一种肠道主要定殖菌)的基因回路的自动化设计[7]。然而,相同的策略却不能直接应用于真核生物,进而团队将Cello架构升级为Cello 2.0,以适应更多场景的应用。

image.png

3.多学科系统设计

 

可以将机械、电气和自动化三个学科都引入一个系统的同一个界面中,用相应的电气和自动化对象增强机械模型,通过将机械、电气和自动化设计链接在一起,实现机电一体化对象的自动生成,消除接口和数据传输。在自动化设计器界面中可以看到机械设计的三维模型,电气设计的结果等,能够通过与机械工程并行启动来节省时间。在NX自动化设计器中有多个视角的导航器,方便用户查看不同学科的过程数据,例如功能导航器中的功能设计可以包括自动化数据,例如PLC代码块等;位置导航器让电气设计人员进行电气部件的参考指派,指定其位置;产品导航器也可用于构造其数据,查看所有购买的设备及元器件清单。该工具还可以预览集成到模型中的EPLAN 电气示意图信息。这三个方面允许通过拖放基于 IEC 81346 规范构建参考指定。另外,NX自动化设计器集成了自动化硬件和软件,并为自动化工程师提供自动化导航器,以便他们可以在博图中熟悉的结构中查看数据。数据交叉高亮显示使工程师能够有效地传达项目中的数据。所有学科都可以在同一重用库中存储和管理各自的数据。允许每个学科单独管理自己的数据又保持一致性,帮助各学科进一步协同。自动化设计器可以链接到自动化软件博图全局库。有了这个集成模型,电气工程师只需做自己的工作,并配有集成的自动化数据,即可完成自动化工作。参见图5.多学科系统设计。

image.png

4. 多学科系统设计的价值.

所有学科之间协作,提高了工程效率。用户可以同时查看同一个项目,并拥有所需的所有数据。从机电模板快速创建大部分电气和自动化设计,消除重复数据输入或传输,保持机械、电气和自动化工程之间的数据一致性。

我们不能将功能性安全工作流程视为一系列单个问题的解决方案。功能安全经理们已经证明利用一些工具链的的方法有效。
三步工作流程,通过自动化安全风险分析、安全注入和安全验证三个任务来解决ISO 26262的随机故障问题(图1)。由于这种自动化流程消除了传统安全分析工作流程的典型的迭代过程,因此我们将这种新方法称为“一次成功工作流程”,本文对此工作流程进行了相关的描述。

image.png

安全风险分析

安全分析的目标是充分了解设计对随机硬件故障的敏感性,以及必须采取的步骤,以实现由更高级别的ASIL等级定义的安全指标。

我们采用了几种分析技术来确定与目标安全指标相关的设计安全性。结构检查是一种行之有效的方法,用于及时计算和验证在创建FMEDA过程中进行的FIT估计。

通过结构分析和影响分析,量化安全机制对随机硬件故障捕捉的有效性,实现了估计的诊断覆盖率(DC)。FIT和DC代替了原始的专家分析验证和FMEDA差距分析。

例如,将对包含模块备份的设计进行结构分析。然后,根据备份模块和相关检查程序覆盖的设计结构评估诊断覆盖率。计算的诊断覆盖率验证了从总体到具体的FMEDA诊断覆盖率评价(图2)。


image.png

因为在设计早期能提供及时反馈,FMEDA差距分析是一个重要检查点。该分析避免了在完成安全验证后发现故障轻减不足而造成高昂代价的问题。除了差距分析外,结构分析还细化了每个基本结构的对FIT贡献的作用。

如果结构分析显示存在安全漏洞,基本FIT数据将突出显示需要额外安全加强的设计结构。利用这些信息,安全架构师可以考虑安全加强选项,通过考虑电源和面积等,实现所需的安全目标。
例如,安全架构师可以估计将纠错代码(ECC)添加到内存中所产生的影响,审查诊断覆盖率的总体改进,并确定所推荐的一组安全机制是否能满足安全目标。
这种对选项的探索确保了一旦随机失效工作流程完成,所推荐的安全机制能实现ASIL目标,从而消除了剩余两个阶段(安全注入和安全验证)的迭代。安全探索的结果是对满足安全目标所需的设计改进的清晰理解。满足安全目标所需的推荐安全机制将直接送入安全注入阶段。

安全注入

安全机制具有多种优点,在检测随机硬件故障方面,每一种安全机制都具有其独特的的有效性。通常,人们会认为安全机制就是失效安全或失效运行。失效安全机制能够进行随机故障检测。失效运行机制能够纠正随机的硬件故障;因此,失效安全机制通常需要更高的资源利用率(电源、性能、面积),而且要满足最严格的安全目标(指定为ASIL D)。

从传统意义上讲,手动设计过程中团队以及项目之间具有不连贯和不一致性。通过自动注入安全机制,在设计中可实现以下优点:
· 逐渐实施一致的安全机制,消除人为错误;
· 将工程师从一般设计中解放出来,重点放在差异性特征的设计方面;
· 允许对设计架构未知的第三方IP安全增强;

· 允许对机器生成的代码进行安全增强,比如高阶的图形化设计。

在安全分析的指导下,用户注入能满足功率、性能、面积和安全目标的安全机制(图3)。工程师可从以下硬件安全机制中选择:
· 触发器翻转、二重和三重备份;
· 有限状态机保护;
· ECC和三重模块冗余;
· 模块级的锁步和三重备份;

· 端到端奇偶校验和循环冗余校验

image.png

3).工程师可从上述一套硬件安全机制中选择

安全机制注入后,必须使原始设计和增强设计逻辑等效,以确保没有引入功能偏差。

安全验证

一旦故障缓解逻辑增强了设计,就必须通过故障注入证明该设计可以安全地避免硬件故障。故障注入的目标是对故障列表中的每个故障进行全面分类,并验证安全分析期间估计的诊断覆盖率指标。

通过向设计中注入故障,并通过验证自动注入的安全机制是否捕捉到功能偏差来进行故障分类。故障列表的大小直接影响到故障的长度,因此必须采取一切可能的措施将其减少到最小集。基于此,我们将故障活动细分为两个子部分。

在第一部分中,采用在安全分析中使用的相同分析技术自动生成故障列表。故障列表一旦生成,一系列的故障优化工作可将故障列表减少到最小的问题集。第一个优化确定了安全关键影响锥中包含的逻辑,消除了不影响安全目标的逻辑(图4)。

image.png

4).故障清单优化流程中包含三个步骤

通过使用分布在安全分析中的相同结构分析算法和安全机制感知分析,可以进一步优化故障列表,调整列表使它只包含直接有助于诊断覆盖的故障。最后,进行故障压缩以消除逻辑上等效的故障。例如,与门输出卡在0位的故障等效于任何的一个输入卡在0位的故障,通过在这种方式,可减少门的故障节点数。故障优化是减少故障注入范围的关键一步。
一旦优化,就可以使用故障列表将随机的硬件故障注入到设计中。故障的第二部分通常是最耗时的阶段,因为当前的设计比较复杂,这种复杂性可能会导致优化的故障列表出现数十万个设计节点。
故障注入的主要问题在于找到一种能够在可接受的时间内结束故障活动的方法。目的是注入故障,模拟对设计行为的影响,并最终验证安全分析期间计算的估计诊断覆盖率。
故障仿真利用功能刺激来实现故障注入。模拟器识别故障注入点,并在可能出现功能偏差时注入故障。一旦注入,故障就会传播,直到故障被分类为安全/可检测、单点、残余、多点潜在或多点检测/感知(图5)。

image.png

5.这些影响锥体用于对单点和双点故障系统进行分类为了实现最佳性能,系统中布置了三个并发级别。首先,利用并发故障注入算法注入故障,提供跨单个线程的并行性。与单线程并发一致,将故障从入一个CPU内核簇中注入,然后故障将进一步分布到更大的网格中。故障管理监视故障分布情况,然后合并结果数据。因为现在的汽车半导体设计,系统中会出成千上万个故障节点,因此,并发故障注入对于是否能满足项目进度至关重要。

总结
对于减少整个工作流程中的迭代次数来说,自下而上的安全性分析非常重要。除了验证专家的判断之外,它还在设计增强和故障验证期间提供了关键指导。自动化随机故障工作流程的三大支柱(安全分析,安全注入和安全验证)为随机故障缓解和验证提供了一种无缝且高效的方法。