思想领导力

Tom Meany,

功能安全技术专家

作者详情
Tom Meany
Tom Meany是八项美国专利的持有者,并且是ISA和IEEE的高级成员。Tom是一位应用领域机器的FS工程师(莱茵公司),获得了Technis的可靠性和功能安全方面的认证。他也是IEC SC22G/MT12的成员,负责IEC 61800-5-2的二稿(变速驱动器的功能安全要求)。Tom于1987年加入ADI公司,目前担工业产品的功能安全技术专家职位。
关闭详情

功能安全和工业4.0


工业4.0为未来工厂提供了新的愿景。在未来工厂中,安全必将影响重大。功能安全是指当要求一台设备执行安全功能时,该设备必定能完成任务。与其他形式的安全相比,这是一种主动式安全。集成电路在功能安全的实现中起着根本性的作用,因此对工业4.0也至关重要。本文探讨了功能安全对工业4.0的影响,这些影响包括对网络、安防、机器人/协作机器人、软件以及实现这些特性所用的半导体等等各方面的要求。

引言

功能安全是安全性的一部分,用以应对安全相关系统的可靠性需求。例如,当操作员打开防护门时,这能确保电机以足够快的速度关闭,防止对操作员造成伤害,或者机器人在有人靠近时会降低运行的速度和力度。

工业4.0是制造工厂的下一发展阶段,有望提高灵活性并降低成本。

本文将探讨功能安全对工业4.0的一些影响。

功能安全

A. 标准

基本功能安全标准是 IEC 61508.1。该标准的第一版于1998年出版,第二版于2010年出版,现已开始更新至第三版的工作,预计于2020年完成。自从1998年公布IEC 61508第一版以来,基本IEC 61508标准针对不同领域进行了多次适应性修改,发表了适用于汽车 ISO 26262,2、过程控制 IEC61511,3 、可编程逻辑控制器 IEC61131-6,4、机械 IEC 62061,5、变速驱动器 IEC 61800-5-2,6 以及其他许多领域的版本。此类标准有助于对非常宽泛的IEC 61508进行解释以便用于这些受到更大限制的领域。

另一个重要的平行标准是 ISO 13849,7,这不是源自IEC 61508,而是源自过时的欧洲EN 954标准,适用于机械。

A sample of functional safety standards
图1.功能安全标准示例。

安全功能是更基本的功能安全概念。安全功能定义了实现或保持安全所必须执行的操作。典型的安全功能包含输入子系统、逻辑子系统和输出子系统。通常,这意味着对潜在的不安全状态进行检测,并且基于检测到的值做出决定,如果认为有潜在危害,则指示输出子系统将系统置于已定义的安全状态。

从不安全状态出现到进入安全状态所用的时间至关重要。例如,安全功能可能包括如下器件:用来检测机器上的防护装置是否打开的传感器、用来处理数据的PLC,以及具有安全扭矩关闭输入的变速驱动器。各个器件共同作用,在插入机器的手可能接近运动部件之前关闭电机。

B. 安全完整性等级

SIL代表安全完整性等级,是表示需要将风险降至何种程度才能达到可接受水平的手段。根据IEC 61508标准,安全等级有1、2、3、4四级,从一个级别到下一个级别,安全要求会提高一个数量级。机器和工厂自动化场景中无需采用SIL 4,因为一般情况下,这种场合中遭受危险的人员通常不会超过一个。SIL 4针对的核能和铁路等应用,其中可能会让数百甚至数千人受到伤害。还有其他功能安全标准,例如汽车使用ASIL(汽车安全完整性等级)A、B、C和D,以及ISO 13849标准。其性能等级A、B、C、D和E可以对应到SIL 1至SIL 3等级。

Example V model for a system-level design
图2.系统级设计的示例V模型

C. 故障原因

功能安全标准通常将故障分为两类,并针对每类故障制定应对措施。

随机硬件故障较容易理解,顾名思义,这是由设备中的随机意外故障引起的。随机故障导致系统发生故障的概率表示为PFH(危险故障平均频率)。可接受的PFH取决于SIL,从SIL 1到SIL 3为 10–5/h 到 10–7/h (最低值)。

系统性故障是设计中固有的故障,只能通过调整设计来解决。EMC稳健性不足、需求缺陷、验证和确认不足以及所有软件错误都属于系统性错误。系统性错误实际上是每个产品中的弱点,而不是仅存在于个别单元中。如果出现特定的条件组合,则故障发生的概率为100%。

为使产品适用于要求SIL X安全功能的情况,标准中针对该SIL等级规定的随机和系统性要求都必须满足,仅仅符合硬件要求是不够的。

D. 应对随机故障

任何设备无论多么可靠,在每一个小时内都有一定的故障概率。应对随机硬件故障的技术包括诊断覆盖率要求和使用冗余。根据安全功能的SIL等级,设备需满足对应的最低PFH或PFD(需求故障概率)要求。另外,根据SIL,随着SIL从SIL 1提高到SIL 3,设备需满足介于60%到99%之间的最低SFF(安全失效比率)要求。标准支持根据系统的具体情况,在诊断功能和冗余程度之间自行权衡。其他技术包括降额和使用质量更好的器件。

E. 应对系统性故障

系统性故障是与随机硬件故障无关的故障,可能需要更改设计才能避免故障。

遵循严格的开发流程并对各种工作成果进行独立审查有助于解决系统性故障。该过程通常以不同复杂度的V模型来表示。审查所需的严格程度和审查员所需的独立性随着SIL等级的提高而增加。

在某些情况下,系统性错误可以利用多样性冗余来克服。这是因为不同的系统不太可能在同一时间以相同的方式失效。为应对随机故障而插入的诊断也有助于检测系统性故障。

大部分工作与系统工程和良好的工程实践息息相关,有些文档中使用的表述是“先进”。文档至关重要,证明已实现安全性几乎与实现安全性本身一样重要。

工业4.0

工业 4.08还有其他名称,包括工业物联网(IIoT)、中国制造2025、工业+、智能工厂等。“工业4.0”中的“4.0”表示这是继1970年左右第三次工业革命(电子和IT开始在自动化领域广泛应用)之后的第四次工业革命。

工业物联网虽然早已成为各种文章、会议和营销活动中的常见话题,但仍然缺乏杀手级应用来促进扩大其普及范围。可能的杀手级应用包括预测性故障、自适应诊断和基于状态的维护。

信息物理系统(CPS)的工业4.0的一个关键理念。CPS包括“能够自主交换信息、触发动作和相互独立控制的智能机器、存储系统和生产设施”9。换句话说,一切都是智能的、仪器化的和互联的。该定义对于网络、安防和其他相关领域具有重要影响。

工业4.0的主要设计原则包括:

  • 互操作性 — 一切都有关联
  • 虚拟化 — 提供工厂和仿真模型
  • 去中心化 — 本地智能
  • 实时能力 — 实时响应现实世界
  • 服务导向 — 通过互联网提供服务
  • 模块化 — 可根据需要重新配置

通过传感器融合和数据分析,我们将获得新的洞察,包括基于智能仪器收集的诊断信息及其在云端的分析实施预防性维护。通过比较不同系统之间的老化程度,我们可以识别出性能下降的系统,并及时将其替换为冗余系统,从而提高生产效率。机器健康状况将是一个重要关注点。

A. 网络

旧系统倾向于使用孤立的“自动化岛”,即通常使用专有网络。基于4 mA至20 mA电路的模拟网络曾经广泛使用,并且现在仍然很常见。它有许多优点,包括EMC稳健性强、覆盖范围长达3 km等,并且它是本质安全和同步网络,但对于工业4.0来说,它不够灵活,速度也不够快。

在工业4.0时代,人们期望一切事物互联互通、相互交流。常见术语包括M2M(机器对机器)和P2M(流程对机器)。这种连接可用于

  • 提高制造效率
  • 提高制造灵活性
  • 增加操作性知识
  • 降低生产成本

基于以太网的连接解决方案可以很好地满足上述需求,但此类网络的安全和安防要求必须得到妥善解决。随着效率的提升,新服务将变得更具成本效益。

B. 安防

数字网络使用率越来越高,安防成为一个问题。最近电影(例如 《零日》) )和媒体报道也强调了Stuxnet蠕虫病毒和黑暗力量病毒等问题。如果网络延伸到云端,那么黑客无需逐一攻击工厂,而只需攻击一家云服务提供商,就可能导致许多工厂瘫痪。这种规模经济性使得云服务成为对黑客更具吸引力的目标。一些评论家甚至声称,物联网(IoT)实际上代表的是“威胁互联网”(Internet of Threats)。

IT安防要求一般不适合应用于工业网络。IT安防涉及多个方面,其中之一是频繁地更新软件,但对于制造行业,软件变更可能会导致意外后果,进而影响生产,因此这通常令人难以接受。功能安全系统认证成本高昂且需要变更管理流程,因此在涉及安全的情况下,人们就更加厌于进行变更。

关于工业控制的安防要求,拟议的国际共识标准是 IEC 62443. IEC 6244310,此标准涵盖IACS(工业自动化和控制系统)的设计、实施和管理等方面。

C. 机器人和协作机器人

机器人曾经是在笼子里工作的可怕庞然大物。协作机器人不那么可怕,而且会小心谨慎,不会伤害到人。协作机器人是融合传感器和软件的智能系统,无需与人类员工分开工作。工业环境中的协作机器人可能由一只手臂或一对手臂组成,例如Universal Robots的UR5系列或ABB的 YuMi® 。在未来工厂中,协作机器人将为人类操作员提供协助,机器人甚至能知道该名操作员是右撇子还是左撇子。

Error budget for a typical safety system
图3.典型安全系统的误差预算

AGV(自动导引车)是移动机器人,也是特殊种类的协作机器人。AGV负责在生产车间内移动产品和材料,是工业4.0的一个基本要素。

我们必须解决动态环境带来的新危险。对于协作机器人和AGV来说,方案有二:1)开发固有安全系统,因为其力量很弱,不会造成严重伤害;2)根据相关功能安全标准设计解决方案。AGV的防撞功能可以基于视觉、雷达、激光或嵌入地板的轨道来实现。

功能安全与网络

功能安全系统通常由传感器、逻辑和输出子系统组成。这三个要素结合在一起实现安全功能,此外,安全功能作为一个整体还要满足SIL等级、PFH、SFF和HFT要求。因此,这些子系统之间的通信与安全相关。IEC 61508在功能安全要求方面参考了现场总线标准IEC 61784-3,相关要求包括处理随机和系统性差错根源的措施。

表1为对每小时允许的最大故障概率进行分配的通用差错预算。根据对该模型的改进,通常会将1%的预算分配给红色所示的每个接口。如果安全功能为SIL 3,则允许的最大PFH为 10–7/h, 因此分配给接口的1%为 10–9/h。

总的来说,必须考虑表1中与通信相关的危险,IEC 61784、EN 50159和IEC 62280等标准都包含了该表11

表1中每一行的问题都必须有至少一种应对防御措施。IEC 61784-39和 IEC 62280-1/EN 5015912对防御措施做了进一步阐述。例如,损坏问题可以通过CRC来处理,其中Hamming距离取决于预期BER(误码率)、SIL要求和每小时传输的比特数。

在工业环境中,如果能够在同一网络上传送安全和非安全数据,会带来很多便利,但这使得需求变得更加复杂。

IEC 61508-2:2010提供了两种方案。方案1)是白通道方法,整个通信通道按照IEC 61508进行开发。方案2)是黑通道方法,它不对通信通道的性能做出任何假设,安全性由每个安全设备中的特殊层来保障。该安全层通过一组防御措施来应对图2中的威胁。这些防御措施是对底层现场总线标准中每一种防御措施的补充。例如,除了底层通信协议中的CRC之外,可能还会采用另一个CRC来检测位损坏。目前为止,黑通道方法更为常见。就比如PROFIsafe,它是一个安全层,位于 PROFIBUS® 或 PROFINET®之上。

功能安全与安防

有趣的是,在许多语言中,“safety”(这里译作“安全”)和“security”(这里译作“安防”)这两个概念是用同一个词来表达。然而,在工业语境中,二者代表着截然不同的两个侧重点,有时甚至会有冲突。安全(safety)的定义是预防因无意的动作造成的危害;而安防(security)对应的是防止因有意的动作造成的危害。二者都需要在架构层面就开始考虑,否则很难在之后再增加相关措施。但二者在某些情况下会冲突,对于意外事件,安全功能的典型反应是关闭系统,而黑客可以利用这一特性发动拒绝服务攻击,因此安防功能需要防止系统关闭。安防功能通常需使用密码进行身份验证,但等待输入密码会减慢安全反应速度,密码输入错误三次后安全人员还可能会被锁在系统之外。

2010年发布的IEC 61508第二版几乎不包含任何安防要求。该标准确实指出必须考虑安防,并引用了尚未发布的IEC 62443系列作为指导。此外,目前正在制定专门的标准来解决机械和核领域中功能安全与安防之间的关系。

表1.网络中的威胁与防御
威胁 防御
序列号 时间戳 超时 来源和目的地标识符 反馈消息 身份识别程序 安全代码 加密技术
重复
删除
插入
重新排序
损坏
延迟/td>
伪装

与IEC 61508中的SIL等级类似,IEC 62443也定义了SL 1至SL 4安防等级。达到SL 1的系统可以抵御普通旁观者的窥探,而达到SL 4的系统可以抵御来自国家支持的黑客组织攻击。但是,SIL和SL没有直接对应关系。

IEC 62443明确七项基本需求(FR),IEC 62443-4-2说明了为达到指定SL,每项FR需满足的要求。这七项FR是:

  • 身份和身份验证控制(IAC)
  • 使用控制(UC)
  • 系统完整性(SI)
  • 数据机密性(DC)
  • 受限数据流(RDF)
  • 及时响应事件(TRE)
  • 资源可用性(RA)

这样一来,SL 1可以表示为安防向量(1, 1, 1, 1, 1, 1, 1),其中每一项均与七个FR相对应。SL 1代表偶然攻击,因此似乎是必须考虑的安全应用最低要求13,未来可能会被滥用。可以认为,对于SIL > 1的安全应用,合适的向量是 (N1, N2, N3, 1, 1, N6, 1)13,其中数据机密性、受限数据流和可用性在工业功能安全应用中不太受关注。然而,无论SIL级别是2、3还是4,N1, N2, N3和 N6的值之间的关系并不明确。

要记住的关键一点是,虽然并非所有安防系统都有功能安全要求,但所有与安全相关的系统都需要考虑安防。

功能安全和机器人

ISO 1021814 是规定工业机器人(包括协作机器人)安全要求的标准,涵盖了安全停止、教学、速度、分离监控以及功率和力限制等方面。ISO 10218-1:2011第5.4.2条要求控制系统的安全相关部件的设计符合ISO 13849-1:2006所述的PL = D类别3,或符合IEC 62061:2005所述的SIL 2且HFT(硬件容错)为1。实际上,这意味着至少需要一个双通道安全系统,每个通道的诊断覆盖率至少为60%。对于软件要求,ISO 13849和IEC 62061这两个标准都参考了IEC 61508-3。

ISO 10218未能完全覆盖AGV的要求,而虽然汽车标准ISO 26262对无人驾驶汽车做出了具体规定,但工业用途是汽车的一个特例,其范围还应受到更严格的限制。机器指令范围包括AGV,由于缺乏具体标准,所以将适用通用IEC 61508标准的要求。

Key benefit of software
图4.软件的主要优势

固定机器人的网络可能以以太网为基础,但AVG是无线连接,因此需满足额外的安全和安防要求。

功能安全和软件

无论针对的是安全还是安防,实现高质量软件的详细要求大致相同。例如,程序员犯的一个软件错误可能在特定的一组条件下导致系统故障。这种情况的概率很难判断,有些功能安全标准规定该概率应为100%15 。然而,虽然可以合理地认为99.99%无错误的程序通常不会导致安全问题,但黑客会刻意钻研那0.01%的漏洞,并设法将其触发。因此,消除系统性错误对于安防和功能安全同样重要。然而,即使100%完美无误的安全相关软件也可能存在严重的安防问题。

过去,软件会呈现出许多不同状态,导致许多人认为其本质上不可测试,因此安全系统不允许使用软件。新的标准提供了一个生命周期模型,遵循该模型可以表明实现安全,因为这些标准中倡导的技术在过去已证明能产生安全的系统。软件可以将通用机器转变为具有特定功能的专用机器,因此具有天然的优势。然而,这种灵活性也是软件的弱点。

ESDA-31216等文件表明,IEC 61508中的许多技术可用来满足工业安防要求。遵循这样的流程会留下工作成果的纸质记录,从而证明已经实现了安全。

此类技术包括:进行设计审查、制定代码编写标准、规划工具的使用、单元级验证、需求可追溯性、独立验证和评估。虽然软件不会磨损,但运行软件的硬件可能会发生故障,软件需要处理这个问题。对于机器和机器人来说,使用ISO 13849中的Cat 3或Cat 4等冗余架构可以减少实施IC级诊断的需求,但会提高对多样化软件的要求。

功能安全和集成电路

集成电路(IC)对智能系统至关重要。IC可以用于来跟踪集装箱内的物品(而非集装箱本身)、跟踪机械臂的位置(而不只是整个机器人),甚至跟踪低价值机器的运行状况,并且处理数据,进而使传输到云端的是信息而非数据。新型电机控制IC可以提高电机效率并延长电池寿命。

IC就像大脑,特别是在边缘设备上,智能系统需要紧凑的设计和低功耗特性。IC还能集成各种传感器技术,例如雷达、激光、磁、摄像头或超声波技术。传感器可以测量速度和位置,若辅以AMR(各向异性磁阻)等新技术,则无需外部机械元件即可确定速度和位置。物理接口和网络中的MAC(媒体访问控制)层都由IC实现。通过无线通信,这种实现全都可以在IC上完成。

类似地,集成电路可以通过PUF(物理不可克隆功能)、加密加速器和篡改检测机制来确保安全。鉴于现在可以达到的集成水平,过去的许多系统级要求现已变成IC级要求。

然而,现行工业功能安全标准中的集成电路相关规定还不多,在安防标准中就更少了。对于汽车行业,计划于2018年发布的ISO 26262-11草案是一项不错的资源,其中许多内容对于工业应用的集成电路也很有用。IEC 61508第二版中提出了一个与软件生命周期模型几乎相同的ASIC生命周期模型。事实上,人们一直在争论HDL代码(如Verilog)究竟属于软件范畴还是仅仅表示硬件,这是一个有趣的话题。IEC 61508-2:2010的附录E涉及使用单片硅片时实现片上冗余的要求,但仅限于数字电路和复制冗余的情况,而不涵盖多样化冗余或模拟/混合信号电路。IEC 61508-2:2010的参考附件F非常有用,其中列出了在IC开发过程中为避免引入系统性错误而应采取的措施。每个SIL都有相应的要求,但同样仅限于数字电路,没有针对模拟或混合信号IC的具体要求。

IC的高集成度既是优点也是缺点。与独立元件相比,IC上的单个晶体管非常可靠,相比之下其引脚较不可靠。例如,若采用西门子SN 29500标准进行可靠性预测,则包含50万晶体管的IC的FIT为70,但如果晶体管数量增加10倍,达到500万个,FIT仅增加到80。如果使用两个IC,每个IC有50万个晶体管,则每个IC的FIT为70,总计为140。除了FIT从140减少到80之外,PCB面积、PCB走线和外部无源器件也会少很多。再者,IC上的片内天线比PCB上的天线要小得多,因此EMI问题有效减少。缺点在于,对于复杂的IC,确定故障模式可能很困难。电路越简单越安全,两个分别封装的微控制器很大可能比集成两个微控制器的IC更简单。IEC 61508-2:2010的附件E提供了一些指导。然而,判断独立性是否足够时,大多数安全标准认为两个通道因同一原因同时失效的概率β小于10%即为较优水平。

IC供应商可以通过提供认证器件、安全手册(或已发布器件的安全数据手册)、片内硬件加速器、片内和片外诊断功能以及用于分隔关键和非关键软件(包括对安全和安防至关重要的软件)的手段,来为安全和安防供应商提供帮助。这些安全和安防特性需要从一开始就纳入设计中。若在IC设计完成后再想添加安全和安防特性,则有可能会增加系统复杂性并需要额外的元器件。

开发用于功能安全系统的集成电路有几种方案。标准中没有要求只能使用符合标准的集成电路,而是要求模块或系统设计人员确保所选的集成电路适用于目标系统。经过独立评估的安全手册可以满足要求,但这不是唯一的选择。

可用方案包括:

  • 完全依照IEC 61508标准开发IC,使用外部评估且有安全手册
  • 依照IEC 61508标准开发IC,无外部评估,但有安全手册
  • 依照半导体公司的标准开发流程开发IC,但会发布安全数据手册
  • 依照半导体公司的标准流程开发IC

注意:未依照IEC 61508开发的器件,其安全手册可能叫做“安全数据手册”或类似名称,以避免混淆。二者的内容和格式类似。

对于半导体制造商来说,方案1成本较高,但对模块或系统设计商来说可能也较有利。如果器件的集成电路安全概念中的应用与系统的应用相匹配,则有助于降低模块或系统进行外部评估时遇到问题的风险。SIL 2安全功能的额外设计工作量可能在20%或更多。即使没有功能安全,半导体制造商通常也已经实施了严格的开发流程,而且额外工作量可能会更多。

方案2节省了外部评估的成本,但其他方面的影响相同。如果客户无论如何都要让模块/系统进行外部认证,并且集成电路是该系统的重要组成部分,那么此方案是合适的。

方案3适合用于已经发布的集成电路,提供安全数据手册可以让模块或系统设计人员获得其在更高级别上进行安全设计所需的额外信息。这包括如下信息:所用实际开发流程的详细信息,集成电路的FIT数据,任何诊断的详细信息,以及制造现场的ISO 9001认证证据等。

The ADSP-CM41x series from ADI with many safety and security features
图5.ADI公司的ADSP-CM41x系列具有许多安全和安防特性。

然而,方案4仍然是开发集成电路较常用的方法。使用此类器件开发安全模块或系统,将需要额外的器件和开支用于模块/系统设计,因为这些器件没有充分的诊断能力,需要双通道架构以资比较,而不是单通道架构。另外,此类器件的诊断测试间隔一般不太理想,可用性较低,因为无法确定哪个故障项目发生了故障,这可能会对可用性产生影响。若没有安全数据手册,模块/系统设计人员还需要做出保守的假设,将集成电路视为黑盒子。这可能会降低最终所能达到的可靠性水平。

为了简化功能安全的实施,IC制造商可能希望开发适用于自己的IEC 61508。ADI公司根据对IEC 61508的理解,制定了公司内部规范ADI61508,适用于集成电路开发。将IEC 61508的所有七个部分集中到一个文档中,省略与集成电路不相关的部分,并针对集成电路来诠释保留的内容。

无论适用哪种系统级别标准,IC都是按照IEC 61508进行开发,但汽车领域除外,汽车应用的IC和软件可以使用ISO 26262来开发。

结语

基于IEC 61508的各种功能安全标准可以很好地服务于一般工业和工业4.0。这些标准包括软件、硬件、网络、安全和机器人方面的标准。然而,目前的信息分散在多个标准中,由于工业 4.0 所需的灵活性,其中包括了与不断变化相关的几个出色功能。可能需要专门针对工业4.0制定统一标准,通过解读基本安全标准来简化合规流程,以适应新的工业环境。这或许可以称为“安全4.0”或“智能安全”!同样,IEC 61508标准需要包含更多的IC相关信息,以确保不仅能够展示出充分的安全性,而且能够切实满足相关要求展望未来,工业4.0在成为现实并取得成功之前,面临的机遇和挑战将会非常引人注目。

功能安全对工业4.0有诸多贡献,不仅因为安全是未来工厂的重要组成部分,还因为功能安全技术能够提升系统的可靠性、诊断能力、弹性和冗余性。

参考文献

1 IEC 61508的所有部分,电气/电子/可编程电子安全相关系统的功能安全。国际电工委员会,2010年。

2 ISO 26262的所有部分,道路车辆功能安全。国际标准化组织,2011年。

3 IEC 61511的所有部分,过程工业领域安全仪表系统的功能安全。国际电工委员会,2016年。

4IEC 61131-6可编程控制器—第6部分:功能安全。国际电工委员会,2012年。

5 IEC 62061—机器安全—安全相关电气、电子和可编程电子控制系统的功能安全。国际电工委员会,2005年。

6 IEC 61800-5-2变速电力驱动系统—第5-2部分:安全要求—功能安全。国际电工委员会,2016年。

7 ISO 13849的所有部分,机器安全—控制系统的安全相关部件。国际标准化组织,2015年。

8关于实施战略倡议工业4.0的建议:工业4.0工作组最终报告”。Forchungsunion和acatech,2013年4月。

9 IEC 61784-3工业通信网络—配置文件—第3部分:功能安全现场总线—一般规则和配置文件定义。国际电工委员会,2016年。

10ISO/IEC 62443的所有部分,工业自动化和控制系统的安全性。

11IEC 62880,铁路应用—通信、信号和处理系统—第1部分:封闭传输系统中的安全相关通信。国际电工委员会,2017年。

12 EN 50159,铁路应用—通信、信号和处理系统—第1部分:封闭传输系统中的安全相关通信。欧洲电工标准化委员会,2010年9月。

13 Jens Braband。“安全等级与安全完整性等级有何关系?”第八届欧洲嵌入式实时软件与系统大会(ERTS 2016),2016年1月。

14 ISO 10218-1,机器人与机器人装置—工业机器人的安全要求—第1部分:机器人。国际标准化组织,2011年。

15 Chris Hobbs。 适用于安全关键型系统的嵌入式软件系统。Auerback Publications,2015年10月。

16 ISA安全合规研究所EDSA-312—嵌入式设备安全保证—软件开发安全评估。国际电工委员会,2016年7月。