【導讀】各行各業(yè)的安全關(guān)鍵型應用一般都會(huì )考慮遵守功能安全標準，因為這些應用一旦發(fā)生故障，可能會(huì )對人員、財產(chǎn)和環(huán)境造成危害。產(chǎn)品設計師按照功能安全標準對設計的產(chǎn)品進(jìn)行認證，讓客戶(hù)可以放心地使用產(chǎn)品，確保產(chǎn)品能夠在具有安全法規的國家/地區進(jìn)行銷(xiāo)售，并引領(lǐng)功能安全市場(chǎng)的趨勢。本文強調了高性能監控電路進(jìn)一步符合等功能安全標準的重要性。

IEC 61508標準也稱(chēng)為電氣/電子/可編程電子安全相關(guān)系統功能安全標準，旨在為所有類(lèi)型的E/E/PE安全相關(guān)系統(SRS)的規范、設計和操作規定總體要求。它適用于各種行業(yè)，因為它是制定多個(gè)行業(yè)特定標準的基礎，例如過(guò)程工業(yè)中的IEC 61511、機械工業(yè)中的IEC 62061、核電工業(yè)中的IEC 61513、汽車(chē)工業(yè)中的ISO 26262 、鐵路運輸中的IEC 62279、醫療設備9中的IEC 62304 等，如圖1所示。

圖1. 基本標準和一些特定行業(yè)的功能安全標準。

雖然特定行業(yè)的標準始終優(yōu)先于IEC 61508，但它通常要求使用SRS中的組件來(lái)證明符合功能安全標準。為此，可以按照特定行業(yè)標準（如ISO 26262）開(kāi)發(fā)組件，使用“經(jīng)使用驗證”參數，遵循基本安全標準IEC 61508（如IEC 61511 ），或者使用標準組件但采取額外的架構緩解措施。

IEC 61508的E/E/PE SRS在過(guò)程工業(yè)領(lǐng)域被稱(chēng)為安全儀表系統(SIS)，在機械行業(yè)中稱(chēng)為安全相關(guān)電氣控制系統(SRECS)，在核電行業(yè)中稱(chēng)為儀器儀表和控制(I& C)系統。在本文中，術(shù)語(yǔ)“SIS”將用于統稱(chēng)這些系統。

圖2為典型SIS的示意圖，其中包含至少一個(gè)安全儀表功能(SIF)。SIF在IEC 61508中也指安全功能，但為了便于討論，將使用術(shù)語(yǔ)SIF。SIF由輸入子系統、邏輯解算器子系統和最終元件子系統組成，用途是在當需求發(fā)生時(shí)，將受控設備(EUC)置于安全狀態(tài)。EUC是指受SIS保護的系統。圖3顯示了SIF的典型框圖以及子系統的示例。輸入子系統包含至少一個(gè)傳感器，作為監測系統，可以檢測故障并向邏輯解算器發(fā)送信號。邏輯解算器會(huì )處理接收到的信號，然后決定下一步做什么。比如，可能要求最終元件通過(guò)斷路器、繼電器或關(guān)閉閥等執行裝置將SIS置于安全狀態(tài)。

圖2. SIS的典型框圖。

圖3. SIF的典型框圖

值得注意的是，監控電路在SIS中很有用。它們可以在輸入子系 統中發(fā)揮作用以檢測異常，在邏輯解算器子系統中監測電源或其他微控制器功能和信號故障，或者作為SIF本身，通過(guò)復位信號使系統進(jìn)入安全狀態(tài)。這一點(diǎn)可以從圖3中看出。

可以通過(guò)安全完整性等級(SIL)來(lái)量化IEC 61508合規性。每個(gè)SIF都有SIL評級，表示SIF在管控風(fēng)險方面的表現。IEC 61508規定了SIL 1到SIL 4四個(gè)SIL級別，其中SIL 4表示最可靠。通常，首先進(jìn)行危險分析和風(fēng)險評估，以了解所需的安全功能，然后了解風(fēng)險降低系數，從而了解所需的SIL等級?！哆^(guò)程安全手冊一》 中展示了一種使用風(fēng)險矩陣校準的方法。

特定的SIL級別有其自身的要求，受三個(gè)因素影響：定量可靠性要求、架構約束和系統安全完整性。對于每個(gè)因素，下一小節將展示監控器如何通過(guò)診斷要求幫助實(shí)現IEC 61508合規性。

表1顯示了IEC 61508-1第7.6.2.9節中關(guān)于安全完整性要求的摘要，這項要求針對SIF的目標故障測量規定了相應的SIL。PFDavg是指低需求工作模式下，在需要安全功能時(shí)發(fā)生危險故障的平均概率。PFH是指高需求模式或連續工作模式下，安全功能每小時(shí)發(fā)生危險故障的平均頻率。

表1. 與工作模式相關(guān)的SIS的SIL目標

影響隨機硬件故障平均概率的因素有很多，其中包括診斷測試覆蓋率、診斷測試間隔和未檢測到的危險故障率（用 λDU表示）。未檢測到的危險故障是指無(wú)法通過(guò)系統診斷檢測到而只能通過(guò)驗證測試來(lái)識別的故障，如圖4所示。這就是使用監控電路的重要性所在，因為監控電路可以作為診斷措施，幫助檢測危險故障，從而降低發(fā)生此類(lèi)故障的概率。這樣，就可以將未檢測到的危險故障轉化為檢測到的故障。

圖4. 影響可靠性要求的故障類(lèi)型。

除了量化的可靠性要求外，IEC 61508還對SIS的穩健性和結構提出了要求。這些架構約束增加了設計人員在選擇硬件架構時(shí)需要考慮的因素。根據IEC 61508-2第7.4.4節，可用于證明符合SIL的路線(xiàn)之一是路線(xiàn) 1H。該路線(xiàn)基于硬件容錯(HFT)和安全失效比率(SFF)概念。

面對架構約束，需要考慮元件的復雜性和類(lèi)型。A類(lèi)元件或簡(jiǎn)單組件具有明確定義的故障模式、故障條件下可預測的行為以及可靠故障數據（滿(mǎn)足所要求的未檢測到的危險故障率）。否則視為B類(lèi)元件或復合組件。

表2以集成電路等電子系統為例，顯示了B類(lèi)元件的要求。SFF是衡量元件傾向于變成安全狀態(tài)失敗的指標，而HFT為N意味著(zhù)N+1是可能導致安全功能喪失的最小故障數，因此需要一定量的冗余。這意味著(zhù)，如果系統的HFT為0，則一次故障就可能導致安全功能喪失，而HFT為1則意味著(zhù)需要兩次故障才會(huì )造成安全功能喪失。

表2. B類(lèi)安全相關(guān)元件或子系統執行的安全功能的最大允許安全完整性等級

SFF的數學(xué)公式可以表示為：

另一個(gè)術(shù)語(yǔ)稱(chēng)為診斷覆蓋率，可以表示為：

其中λ是故障率，SD表示安全檢測到，SU表示安全未檢測到，DD表示危險檢測到，DU表示危險未檢測到，如圖4所示。

診斷覆蓋率用于評估SIS的診斷措施在揭示危險故障方面的表現。這會(huì )影響系統的量化可靠性，如前所述，并且與SFF相關(guān)，如公式1和2所示。IEC 61508-2在其附件A中還提供了一種方法，用于確定在使用不同技術(shù)和措施檢測隨機硬件故障時(shí)，所能達到的最大允許診斷覆蓋率。

表3顯示了各個(gè)等級的診斷覆蓋率分類(lèi)。

表3. IEC 61508診斷覆蓋率分類(lèi)

表4摘自IEC 61508-2附件A表A.1，其中指定了在量化隨機硬件故障的影響時(shí)要假設的故障或失效，或在推導SFF時(shí)要考慮的故障或失效。值得注意的是，診斷覆蓋率故障模型需要達到較高的診斷覆蓋率。診斷覆蓋率故障模型包括固定電平故障、開(kāi)路故障、開(kāi)路或高阻抗輸出以及信號線(xiàn)之間的短路等故障模式，所有這些故障模式都可以通過(guò)過(guò)壓(OV)和欠壓(UV)監視器等監控電路檢測到。

表4. 診斷覆蓋率要素的要求

總之，IEC 61508根據SIF的HFT和SFF規定了SIL要求。由于SFF和診斷覆蓋率參數受到系統檢測故障能力的顯著(zhù)影響，改進(jìn)診斷措施（例如添加監控電路）也將提高SIF的SIL等級。

系統安全完整性的要求本質(zhì)上是定性的，用于評估系統開(kāi)發(fā)過(guò)程在消除故障方面的能力。為此，需要徹底檢查硬件和軟件的設計、生產(chǎn)和測試程序。SIL越高，檢查就必須越嚴格，并且需要組件制造商提供更多文件來(lái)證明符合要求。

IEC 61508規定了設計人員應在適用情況下課實(shí)施的幾種技術(shù)和措施，以消除SIS安全生命周期各個(gè)階段的系統故障。對此，表5列出了IEC 61508-2表A.16中的一些項目。該表顯示了控制由環(huán)境壓力和影響引起的系統故障所需的技術(shù)和措施，其中M表示強制，HR表示強烈推薦，R表示推薦。這些標記下面是實(shí)現此類(lèi)診斷措施需要付出的工作量。例如，SIL 3等級必須采用電壓監視器等措施來(lái)應對電壓變化，同時(shí)強烈建議采用程序序列監控（如看門(mén)狗定時(shí)器），其中診斷覆蓋率必須至少達到90%。

表5. IEC 61508-2附件A表A.16中的部分項目

系統安全完整性要求的另一個(gè)關(guān)鍵是具有良好的質(zhì)量管理體系(QMS)。組織可以通過(guò)獲得ISO 9001:2015質(zhì)量管理體系認證來(lái)證明 。值得注意的是，IEC 61508關(guān)于整體安全生命周期和功能安全評估的大部分要求與ISO 9001對整體安全生命周期的要求相一致。因此，擁有QMS證書(shū)可以加快認證過(guò)程。這與企業(yè)的功能安全戰略相輔相成，例如，在功能安全標準（如IEC 61508）的基礎上根據自身需求進(jìn)行調整。

為了設計出符合功能安全要求的系統，需要仔細考慮前面討論的要求。其中涉及實(shí)施足夠的安全措施，以確保在發(fā)生故障時(shí)仍能可靠、安全地運行，但可能會(huì )因為增加電路元件而增加成本。因此，使用具有集成安全功能的元件可以簡(jiǎn)化系統級實(shí) 施，通過(guò)減少元件數量提高系統可靠性，并通過(guò)縮短診斷測試間隔來(lái)提高診斷覆蓋率。具體可以參見(jiàn)圖5，ADI的 MAX42500可以通過(guò)將多種安全功能組合在一個(gè)封裝中（而不是使用單獨的 監控電路），為安全關(guān)鍵電路提供足夠的診斷覆蓋率。該電源系統監視器可滿(mǎn)足多種措施要求，例如針對電壓擊穿、電壓變化、過(guò)壓、低電壓、可能導致危險故障的交流電源頻率變化等其他現象以及程序序列監視的措施，從而幫助實(shí)現功能安全合規性。第一個(gè)要求強調了對所有安全關(guān)鍵電壓軌進(jìn)行UV和OV檢測的必要性。第二個(gè)要求強調了單通道系統中標準微控制器單元需要單獨的看門(mén)狗定時(shí)器。MAX42500可滿(mǎn)足這兩種需求，它具有七個(gè)電源監視器和一個(gè)通過(guò) I2C 通信的看門(mén)狗定時(shí)器。

圖5. 在安全設計中引入充分的監測和保護措施。

另一個(gè)考量因素是有沒(méi)有安全文件來(lái)證明符合功能安全要求，尤其是在認證功能安全標準時(shí)。符合或獲得IEC 61508認證的元件（例如MAX42500）已通過(guò)提供必要的安全文檔（安全手冊、故障模式影響和診斷分析(FMEDA)、良好的QMS等）來(lái)提供這方面的支持。盡管如此，考慮到IEC 61508的當前修訂版本，按照圖5所示，仍可以使用非合規的產(chǎn)品（如LTC2965 和 LTC4365）來(lái)提高系統的診斷覆蓋率和穩健性。然而，系統設計人員需要獲取必要的安全文件以滿(mǎn)足功能安全合規性要求。

本文闡明了高性能電壓監控器在促進(jìn)工業(yè)功能安全合規方面發(fā)揮的關(guān)鍵作用。通過(guò)研究基礎功能安全標準IEC 61508及其對特定行業(yè)標準的影響，為加深理解奠定了基礎。而且，還定義了關(guān)鍵術(shù)語(yǔ)以便于清晰理解，例如安全儀表系統、安全儀表功能和安全完整性等級。此外，我們深入研究了IEC 61508的基本要求，包括量化可靠性、架構約束和系統安全完整性，特別強調了采用高性能監控電路（如電源監視器和看門(mén)狗定時(shí)器）的影響。本文以MAX42500為例討論了集成安全功能的應用，有助于在系統設計中考慮除了功能安全合規以外的更多方面。通過(guò)這次研究，強調了高性能電壓監控器對于保證工業(yè)系統安全性和可靠性的重要意義。

免責聲明：本文為轉載文章，轉載此文目的在于傳遞更多信息，版權歸原作者所有。本文所用視頻、圖片、文字如涉及作品版權問(wèn)題，請聯(lián)系小編進(jìn)行處理。

推薦閱讀：

學(xué)子專(zhuān)區 － ADALM2000實(shí)驗：多相濾波電路

IGBT的并聯(lián)知識點(diǎn)梳理：靜態(tài)變化、動(dòng)態(tài)變化、熱系數

2025第六屆深圳國際芯片、模組與應用方案展覽會(huì )

接線(xiàn)端子的類(lèi)型與設計選擇考慮事項

想提高高壓LED照明中的效率和功率密度？上GaN技術(shù)！