各行各業(yè)的安全關鍵型應用一般都會考慮遵守功能安全標準，因為這些應用一旦發(fā)生故障，可能會對人員、財產和環(huán)境造成危害。產品設計師按照功能安全標準對設計的產品進行認證，讓客戶可以放心地使用產品，確保產品能夠在具有安全法規(guī)的國家/地區(qū)進行銷售，并引領功能安全市場的趨勢。本文強調了高性能監(jiān)控電路進一步符合等功能安全標準的重要性。

了解功能安全標準

IEC 61508標準也稱為電氣/電子/可編程電子安全相關系統(tǒng)功能安全標準，旨在為所有類型的E/E/PE安全相關系統(tǒng)(SRS)的規(guī)范、設計和操作規(guī)定總體要求。它適用于各種行業(yè)，因為它是制定多個行業(yè)特定標準的基礎，例如過程工業(yè)中的IEC 61511、機械工業(yè)中的IEC 62061、核電工業(yè)中的IEC 61513、汽車工業(yè)中的ISO 26262 、鐵路運輸中的IEC 62279、醫(yī)療設備9中的IEC 62304 等，如圖1所示。

圖1. 基本標準和一些特定行業(yè)的功能安全標準。

雖然特定行業(yè)的標準始終優(yōu)先于IEC 61508，但它通常要求使用SRS中的組件來證明符合功能安全標準。為此，可以按照特定行業(yè)標準（如ISO 26262）開發(fā)組件，使用“經使用驗證”參數，遵循基本安全標準IEC 61508（如IEC 61511 ），或者使用標準組件但采取額外的架構緩解措施。

什么是安全儀表系統(tǒng)？

IEC 61508的E/E/PE SRS在過程工業(yè)領域被稱為安全儀表系統(tǒng)(SIS)，在機械行業(yè)中稱為安全相關電氣控制系統(tǒng)(SRECS)，在核電行業(yè)中稱為儀器儀表和控制(I& C)系統(tǒng)。在本文中，術語“SIS”將用于統(tǒng)稱這些系統(tǒng)。

圖2為典型SIS的示意圖，其中包含至少一個安全儀表功能(SIF)。SIF在IEC 61508中也指安全功能，但為了便于討論，將使用術語SIF。SIF由輸入子系統(tǒng)、邏輯解算器子系統(tǒng)和最終元件子系統(tǒng)組成，用途是在當需求發(fā)生時，將受控設備(EUC)置于安全狀態(tài)。EUC是指受SIS保護的系統(tǒng)。圖3顯示了SIF的典型框圖以及子系統(tǒng)的示例。輸入子系統(tǒng)包含至少一個傳感器，作為監(jiān)測系統(tǒng)，可以檢測故障并向邏輯解算器發(fā)送信號。邏輯解算器會處理接收到的信號，然后決定下一步做什么。比如，可能要求最終元件通過斷路器、繼電器或關閉閥等執(zhí)行裝置將SIS置于安全狀態(tài)。

圖2. SIS的典型框圖。

圖3. SIF的典型框圖

值得注意的是，監(jiān)控電路在SIS中很有用。它們可以在輸入子系 統(tǒng)中發(fā)揮作用以檢測異常，在邏輯解算器子系統(tǒng)中監(jiān)測電源或其他微控制器功能和信號故障，或者作為SIF本身，通過復位信號使系統(tǒng)進入安全狀態(tài)。這一點可以從圖3中看出。

高性能監(jiān)控電路如何實現工業(yè)功能安全合規(guī)性

可以通過安全完整性等級(SIL)來量化IEC 61508合規(guī)性。每個SIF都有SIL評級，表示SIF在管控風險方面的表現。IEC 61508規(guī)定了SIL 1到SIL 4四個SIL級別，其中SIL 4表示最可靠。通常，首先進行危險分析和風險評估，以了解所需的安全功能，然后了解風險降低系數，從而了解所需的SIL等級。《過程安全手冊一》中展示了一種使用風險矩陣校準的方法。

特定的SIL級別有其自身的要求，受三個因素影響：定量可靠性要求、架構約束和系統(tǒng)安全完整性。對于每個因素，下一小節(jié)將展示監(jiān)控器如何通過診斷要求幫助實現IEC 61508合規(guī)性。

定量可靠性要求

表1顯示了IEC 61508-1第7.6.2.9節(jié)中關于安全完整性要求的摘要，這項要求針對SIF的目標故障測量規(guī)定了相應的SIL。PFDavg是指低需求工作模式下，在需要安全功能時發(fā)生危險故障的平均概率。PFH是指高需求模式或連續(xù)工作模式下，安全功能每小時發(fā)生危險故障的平均頻率。

表1. 與工作模式相關的SIS的SIL目標

影響隨機硬件故障平均概率的因素有很多，其中包括診斷測試覆蓋率、診斷測試間隔和未檢測到的危險故障率（用 λDU表示）。未檢測到的危險故障是指無法通過系統(tǒng)診斷檢測到而只能通過驗證測試來識別的故障，如圖4所示。這就是使用監(jiān)控電路的重要性所在，因為監(jiān)控電路可以作為診斷措施，幫助檢測危險故障，從而降低發(fā)生此類故障的概率。這樣，就可以將未檢測到的危險故障轉化為檢測到的故障。

圖4. 影響可靠性要求的故障類型。

架構約束

除了量化的可靠性要求外，IEC 61508還對SIS的穩(wěn)健性和結構提出了要求。這些架構約束增加了設計人員在選擇硬件架構時需要考慮的因素。根據IEC 61508-2第7.4.4節(jié)，可用于證明符合SIL的路線之一是路線 1H。該路線基于硬件容錯(HFT)和安全失效比率(SFF)概念。

面對架構約束，需要考慮元件的復雜性和類型。A類元件或簡單組件具有明確定義的故障模式、故障條件下可預測的行為以及可靠故障數據（滿足所要求的未檢測到的危險故障率）。否則視為B類元件或復合組件。

表2以集成電路等電子系統(tǒng)為例，顯示了B類元件的要求。SFF是衡量元件傾向于變成安全狀態(tài)失敗的指標，而HFT為N意味著N+1是可能導致安全功能喪失的最小故障數，因此需要一定量的冗余。這意味著，如果系統(tǒng)的HFT為0，則一次故障就可能導致安全功能喪失，而HFT為1則意味著需要兩次故障才會造成安全功能喪失。

表2. B類安全相關元件或子系統(tǒng)執(zhí)行的安全功能的最大允許安全完整性等級

SFF的數學公式可以表示為：

另一個術語稱為診斷覆蓋率，可以表示為：

其中λ是故障率，SD表示安全檢測到，SU表示安全未檢測到，DD表示危險檢測到，DU表示危險未檢測到，如圖4所示。

診斷覆蓋率用于評估SIS的診斷措施在揭示危險故障方面的表現。這會影響系統(tǒng)的量化可靠性，如前所述，并且與SFF相關，如公式1和2所示。IEC 61508-2在其附件A中還提供了一種方法，用于確定在使用不同技術和措施檢測隨機硬件故障時，所能達到的最大允許診斷覆蓋率。

表3顯示了各個等級的診斷覆蓋率分類。

表3. IEC 61508診斷覆蓋率分類

表4摘自IEC 61508-2附件A表A.1，其中指定了在量化隨機硬件故障的影響時要假設的故障或失效，或在推導SFF時要考慮的故障或失效。值得注意的是，診斷覆蓋率故障模型需要達到較高的診斷覆蓋率。診斷覆蓋率故障模型包括固定電平故障、開路故障、開路或高阻抗輸出以及信號線之間的短路等故障模式，所有這些故障模式都可以通過過壓(OV)和欠壓(UV)監(jiān)視器等監(jiān)控電路檢測到。

表4. 診斷覆蓋率要素的要求

總之，IEC 61508根據SIF的HFT和SFF規(guī)定了SIL要求。由于SFF和診斷覆蓋率參數受到系統(tǒng)檢測故障能力的顯著影響，改進診斷措施（例如添加監(jiān)控電路）也將提高SIF的SIL等級。

系統(tǒng)安全完整性

系統(tǒng)安全完整性的要求本質上是定性的，用于評估系統(tǒng)開發(fā)過程在消除故障方面的能力。為此，需要徹底檢查硬件和軟件的設計、生產和測試程序。SIL越高，檢查就必須越嚴格，并且需要組件制造商提供更多文件來證明符合要求。

IEC 61508規(guī)定了設計人員應在適用情況下課實施的幾種技術和措施，以消除SIS安全生命周期各個階段的系統(tǒng)故障。對此，表5列出了IEC 61508-2表A.16中的一些項目。該表顯示了控制由環(huán)境壓力和影響引起的系統(tǒng)故障所需的技術和措施，其中M表示強制，HR表示強烈推薦，R表示推薦。這些標記下面是實現此類診斷措施需要付出的工作量。例如，SIL 3等級必須采用電壓監(jiān)視器等措施來應對電壓變化，同時強烈建議采用程序序列監(jiān)控（如看門狗定時器），其中診斷覆蓋率必須至少達到90%。

表5. IEC 61508-2附件A表A.16中的部分項目

系統(tǒng)安全完整性要求的另一個關鍵是具有良好的質量管理體系(QMS)。組織可以通過獲得ISO 9001:2015質量管理體系認證來證明。值得注意的是，IEC 61508關于整體安全生命周期和功能安全評估的大部分要求與ISO 9001對整體安全生命周期的要求相一致。因此，擁有QMS證書可以加快認證過程。這與企業(yè)的功能安全戰(zhàn)略相輔相成，例如，在功能安全標準（如IEC 61508）的基礎上根據自身需求進行調整。

使用集成解決方案改進功能安全設計

為了設計出符合功能安全要求的系統(tǒng)，需要仔細考慮前面討論的要求。其中涉及實施足夠的安全措施，以確保在發(fā)生故障時仍能可靠、安全地運行，但可能會因為增加電路元件而增加成本。因此，使用具有集成安全功能的元件可以簡化系統(tǒng)級實 施，通過減少元件數量提高系統(tǒng)可靠性，并通過縮短診斷測試間隔來提高診斷覆蓋率。具體可以參見圖5，ADI的 MAX42500可以通過將多種安全功能組合在一個封裝中（而不是使用單獨的 監(jiān)控電路），為安全關鍵電路提供足夠的診斷覆蓋率。該電源系統(tǒng)監(jiān)視器可滿足多種措施要求，例如針對電壓擊穿、電壓變化、過壓、低電壓、可能導致危險故障的交流電源頻率變化等其他現象以及程序序列監(jiān)視的措施，從而幫助實現功能安全合規(guī)性。第一個要求強調了對所有安全關鍵電壓軌進行UV和OV檢測的必要性。第二個要求強調了單通道系統(tǒng)中標準微控制器單元需要單獨的看門狗定時器。MAX42500可滿足這兩種需求，它具有七個電源監(jiān)視器和一個通過 I2C 通信的看門狗定時器。

圖5. 在安全設計中引入充分的監(jiān)測和保護措施。

另一個考量因素是有沒有安全文件來證明符合功能安全要求，尤其是在認證功能安全標準時。符合或獲得IEC 61508認證的元件（例如MAX42500）已通過提供必要的安全文檔（安全手冊、故障模式影響和診斷分析(FMEDA)、良好的QMS等）來提供這方面的支持。盡管如此，考慮到IEC 61508的當前修訂版本，按照圖5所示，仍可以使用非合規(guī)的產品（如LTC2965 和 LTC4365）來提高系統(tǒng)的診斷覆蓋率和穩(wěn)健性。然而，系統(tǒng)設計人員需要獲取必要的安全文件以滿足功能安全合規(guī)性要求。

結論

本文闡明了高性能電壓監(jiān)控器在促進工業(yè)功能安全合規(guī)方面發(fā)揮的關鍵作用。通過研究基礎功能安全標準IEC 61508及其對特定行業(yè)標準的影響，為加深理解奠定了基礎。而且，還定義了關鍵術語以便于清晰理解，例如安全儀表系統(tǒng)、安全儀表功能和安全完整性等級。此外，我們深入研究了IEC 61508的基本要求，包括量化可靠性、架構約束和系統(tǒng)安全完整性，特別強調了采用高性能監(jiān)控電路（如電源監(jiān)視器和看門狗定時器）的影響。本文以MAX42500為例討論了集成安全功能的應用，有助于在系統(tǒng)設計中考慮除了功能安全合規(guī)以外的更多方面。通過這次研究，強調了高性能電壓監(jiān)控器對于保證工業(yè)系統(tǒng)安全性和可靠性的重要意義。