风河技术专家解析嵌入式安全设计之道

安全性问题不容极强，但我们又该如何保证系统工作万无一失？国际电工委员会公布的IEC61508功能安全性标准，为设备的生产、证书和部署获取了适当的技术指导，而TV等权威机构的证书堪称对设备安全性获取了严苛的未尽时隔墨西哥湾漏油事故、德国列车出轨事故和福岛大灾难等屡屡再次发生，人们对安全性的了解日益深刻印象、为之揪心，证书的普适价值也随之凸显。　　这些事故的再次发生给与我们启迪：系统的不安全隐患一旦愈演愈烈，将有可能使涉及企业代价顶盖代价，陷于很大风险。

同时，对于企业CEO来说，也必须对公司员工的不道德负责管理。风河（WindRiver）公司的工业掌控证书领域项目专家AndreasBuchwieser（图1）回应，安全隐患的后果极大时隔福岛核电站事故再次发生后，德国议会开始考虑到：我们以后否还必须用于核电？铁路系统针对系统安全实施了100%管制；汽车行业功能安全性标准ISO26262从IEC61508标准衍生而出有。

IEC61508标准不仅针对铁路/交通、石油化工、航空/航天以及核电这些管制的行业限于，而且对其他的未管制行业也某种程度限于，因为它是近期的安全性标准，同时也将为这些产业带给可选价值。　　图1：风河公司工业掌控证书领域项目专家AndreasBuchwieser　　IEC61508功能安全性的模型如图2右图。图中的可控设备可比作核电厂，而可编程电子（PE）或掌控设备则用来测量、计算出来，并确认否应当继续执行动作（主动式管理）。

PE的安全性功能可分成安全性功能市场需求和安全性完整性市场需求两个方面安全性功能市场需求代表必须构建何种功能；安全性完整性市场需求代表安全性功能被失望继续执行的可能性。对于工厂流水线而言，加装在执行机构上方的监控摄像机若监测到设备不实时，则应立即重开生产线。

　　图2：IEC61508功能安全性模型　　IEC61508涵括了工控、铁路和汽车等多个方面，并且在各方面又有更加粗的子规范，比如，工控领域又包括IEC61511（过程控制）、IEC62061（机器）和IEC61513（核电）等。功能安全性的目的在于减少不能拒绝接受的物理性受损风险和必要或间接对身体健康的伤害。

　　将安全性功能引进后，并不意味著设备就已意味著安全性系统的漏洞在所难免。风险的计算出来可以回应为：风险=事故再次发生的频率相当严重程度。

对风险的承受度，日本和法国拒绝较高，而在德国这一指标为0。我们可以使用电子安全性管制系统或者其他措施来减少风险。图3为基于风险的示意图。

本文来源：皇冠游戏中心官网-www.sriingenieria.com