摘要

　　需要安全完整性等級(jí)（SIL） 3解決方案的制造商，在使用SIL 2器件時(shí)面臨著多項(xiàng)挑戰(zhàn)。隨著工業(yè)功能安全標(biāo)準(zhǔn)IEC 61508第3版的發(fā)布，制造商必須采用新的方法。本文概述了一種能夠克服挑戰(zhàn)以成功實(shí)現(xiàn)SIL 3并加速產(chǎn)品上市的解決方案。

　　簡(jiǎn)介

　　過(guò)去幾年，受以下多項(xiàng)因素的驅(qū)動(dòng)，工業(yè)功能安全系統(tǒng)開(kāi)始加速普及：

　　▲制造商希望使用新的復(fù)雜技術(shù)來(lái)降低成本（例如，使用安全扭矩關(guān)閉而不是再添加一個(gè)接觸器）

　　▲實(shí)踐證明，使用機(jī)器人（特別是協(xié)作機(jī)器人）可以提高許多工廠車(chē)間的生產(chǎn)率

　　▲認(rèn)識(shí)到使用安全認(rèn)證設(shè)備可以提高整體可靠性

　　▲確認(rèn)使用診斷可以提高許多工廠和設(shè)備的產(chǎn)量

　　▲引入新的安全要求

　　另一個(gè)驅(qū)動(dòng)因素是對(duì)能源、石油和天然氣行業(yè)提出了嚴(yán)格的要求和監(jiān)管義務(wù)。

　　在展開(kāi)詳細(xì)討論之前，我們先看一些基本定義，以幫助各類(lèi)讀者更好地理解本文。

　　什么是安全？

　　安全就是指能避免發(fā)生不可接受的風(fēng)險(xiǎn)。例如，工廠車(chē)間內(nèi)未加防護(hù)的旋轉(zhuǎn)機(jī)器就是不安全的。

　　什么是安全功能？

　　安全功能是指為實(shí)現(xiàn)或確保安全必須執(zhí)行的操作。安全功能的目的是降低系統(tǒng)風(fēng)險(xiǎn)。例如，如果上述旋轉(zhuǎn)機(jī)器的前面安裝了光幕，當(dāng)手穿過(guò)光幕時(shí)，安全功能將會(huì)檢測(cè)到光束中斷，從而在手接觸到旋轉(zhuǎn)機(jī)器之前使其停止運(yùn)轉(zhuǎn)。

　　安全功能通常包括三個(gè)子系統(tǒng)。圖1的安全系統(tǒng)用于檢測(cè)危險(xiǎn)液體的液位，并在充滿(mǎn)時(shí)切斷液流。

　　▲輸入子系統(tǒng)（傳感器，如液位傳感器）用于檢測(cè)值或狀態(tài)

　　▲邏輯子系統(tǒng)（可編程邏輯控制器（PLC））用于判斷該狀態(tài)是否危險(xiǎn)

　　▲輸出子系統(tǒng)（執(zhí)行器）可采取行動(dòng)來(lái)確保安全

　　圖1.典型安全功能

　　什么是功能安全？

　　指系統(tǒng)在需要時(shí)執(zhí)行預(yù)期安全功能的可靠性。它能有效地衡量功能安全工程師對(duì)光束中斷時(shí)光幕和電機(jī)的停機(jī)安全功能會(huì)運(yùn)行的信任度。

　　如果硬件指標(biāo)（隨機(jī)錯(cuò)誤）、系統(tǒng)能力（SC）和共因失效（CCF）不會(huì)導(dǎo)致安全系統(tǒng)故障、人員傷亡、環(huán)境受損或生產(chǎn)損失，則認(rèn)為該系統(tǒng)功能安全。

　　除了上述基本安全定義，還需了解設(shè)計(jì)功能安全系統(tǒng)時(shí)必須遵循的一些功能安全標(biāo)準(zhǔn)，及其相關(guān)優(yōu)勢(shì)。

　　制造商進(jìn)行功能安全開(kāi)發(fā)時(shí)，遵循IEC 61508或ISO 26262等標(biāo)準(zhǔn)，具有以下好處：

　　▲ 前期需求更清晰

　　▲ 測(cè)試期間較少出錯(cuò)

　　▲軟件編寫(xiě)保持一致

　　▲集成過(guò)程中發(fā)現(xiàn)的缺陷更少

　　▲ 測(cè)試更全面

　　▲ 現(xiàn)場(chǎng)缺陷更少

　　▲ 與競(jìng)爭(zhēng)對(duì)手相比，差異化程度更高

　　安全標(biāo)準(zhǔn)有很多（見(jiàn)圖2），其中大部分源自工業(yè)IEC 61508標(biāo)準(zhǔn)。值得注意的是，所有標(biāo)準(zhǔn)的90%到95%要求都與IEC 61508的要求類(lèi)似。

　　圖2.安全標(biāo)準(zhǔn)

　　本文重點(diǎn)介紹針對(duì)工業(yè)應(yīng)用的IEC 61508標(biāo)準(zhǔn)，特別是如何使用SIL 2器件以相同冗余設(shè)計(jì)SIL 3解決方案。

　　冗余、高可用性和硬件容錯(cuò)

　　無(wú)論系統(tǒng)多么可靠，系統(tǒng)最終都會(huì)失效！兩種常見(jiàn)的故障類(lèi)型是系統(tǒng)性故障和隨機(jī)故障。參見(jiàn)圖3。

　　圖3.系統(tǒng)性故障和隨機(jī)故障

　　冗余實(shí)際上是備用或冗余路徑，當(dāng)安全系統(tǒng)中發(fā)生故障時(shí)，它能執(zhí)行預(yù)期的安全功能。值得注意的是，系統(tǒng)具有一定程度的冗余，并不意味著同時(shí)具有高可用性。只有冗余路徑能夠自動(dòng)開(kāi)啟或激活時(shí)，它才具有高可用性。IEC 61508中常用的另一個(gè)術(shù)語(yǔ)是硬件容錯(cuò)（HFT）。HFT為N意味著至少出現(xiàn)N + 1個(gè)故障才可能導(dǎo)致安全功能喪失。需注意一點(diǎn)，不應(yīng)考慮其他可能控制故障影響的措施，例如診斷。HFT是一種有效的手段，可確保硬件能夠抵御故障，同時(shí)允許用戶(hù)權(quán)衡HFT和SFF。參見(jiàn)表1。

　　表1.硬件容錯(cuò)

　　安全完整性等級(jí)

　　SIL描述了安全功能的完整性及其提供的降風(fēng)險(xiǎn)能力的相對(duì)水平。IEC 61508規(guī)定了四級(jí)SIL，SIL 1的安全完整性等級(jí)最低，SIL 4的安全完整性等級(jí)最高。表2比較了工業(yè)IEC 61508安全等級(jí)（SIL）、汽車(chē)（ISO 26262）安全等級(jí)（ASIL）和航空電子安全等級(jí)。請(qǐng)注意，這些只是近似比較。

　　表2.各種SIL等級(jí)

　　隨著SIL等級(jí)的提高（從SIL 1到SIL 4），允許的故障率（FIT）依次降低。1 FIT相當(dāng)于每運(yùn)行十億（1e9）小時(shí)發(fā)生一次故障。1e9小時(shí)約為10萬(wàn)年！有一點(diǎn)要注意，沒(méi)有任何設(shè)備能夠持續(xù)運(yùn)行10億小時(shí)，但如果100,000臺(tái)設(shè)備運(yùn)行一年，在此期間可能會(huì)出現(xiàn)一次隨機(jī)硬件故障。安全失效比率（SFF）是檢測(cè)到的安全加危險(xiǎn)故障總數(shù)與安全功能中的故障總數(shù)之比。

　　表3顯示了硬件容錯(cuò)為零（HFT = 0）時(shí)安全失效比率（SFF）和SIL之間的對(duì)應(yīng)關(guān)系。

　　表3.SIL和SFF

　　問(wèn)題/現(xiàn)有解決方案

　　對(duì)于許多采用功能安全的設(shè)計(jì)人員而言，尤其是使用IC進(jìn)行設(shè)計(jì)時(shí)，問(wèn)題在于獲得認(rèn)證可能很困難且成本高昂，而且還存在非常現(xiàn)實(shí)的不合規(guī)風(fēng)險(xiǎn)。設(shè)計(jì)人員必須創(chuàng)建系統(tǒng)級(jí)FMEDA，并且必須將ASIC視為黑匣子，因?yàn)樗麄儾恢溃?/p>

　　▲晶體管數(shù)量

　　▲內(nèi)部故障機(jī)制

　　▲布局塊大小

　   ▲IC的可靠性

　　因此，為了實(shí)現(xiàn)總體SIL目標(biāo)，設(shè)計(jì)人員在FIT計(jì)算中必然會(huì)過(guò)于保守，在安全系統(tǒng)的其他部分中也會(huì)過(guò)度確保安全。這通常意味著需要使用外部診斷，例如外部ADC。這樣做的問(wèn)題是：

　　▲更加昂貴（BOM）

　　▲尺寸更大

　　▲更加復(fù)雜

　　▲系統(tǒng)軟件存在額外開(kāi)銷(xiāo)

　　▲開(kāi)發(fā)時(shí)間更長(zhǎng)

　　除了這些問(wèn)題，新版IEC 61508標(biāo)準(zhǔn)（第3版）的推出進(jìn)一步加大了困難。

　　IEC 61508第3版

　　IEC 61508第3版目前計(jì)劃的變更包括：明確警告慎用片內(nèi)診斷來(lái)檢測(cè)同一芯片上的故障，除非IC是按照IEC 61508開(kāi)發(fā)的。它還計(jì)劃包括類(lèi)似于汽車(chē)ISO 26262潛在故障指標(biāo)的要求。除了針對(duì)診斷功能的SFF之外，診斷電路也會(huì)有SC要求。

　　ADFS5758：率先通過(guò)認(rèn)證的數(shù)據(jù)轉(zhuǎn)換器

　　ADFS5758 是一款單通道、16位電流輸出DAC，集成動(dòng)態(tài)功率控制（DPC），具有內(nèi)部基準(zhǔn)電壓源和眾多片內(nèi)診斷功能。 圖4顯示了其功能框圖。

　　ADFS5758的診斷/安全措施

　　▲主要片內(nèi)診斷功能由ADC提供；如前所述，IEC 61508第3版計(jì)劃澄清，一般不允許使用片內(nèi)診斷來(lái)檢測(cè)片內(nèi)故障，除非IC是按照IEC 61508開(kāi)發(fā)的

　　▲檢查有無(wú)有效的讀/寫(xiě)地址

　　▲ECC校正

　　▲看門(mén)狗定時(shí)器

　　▲鎖定配置寄存器的能力

　　▲內(nèi)部偏置電壓監(jiān)視器

　　▲溫度監(jiān)控器

　　旨在滿(mǎn)足以下要求：

　　▲工業(yè)工廠自動(dòng)化

　　▲過(guò)程控制應(yīng)用

　　▲高密度小尺寸PLC模擬I/O卡

　　安全功能：

　　接收數(shù)字輸入碼，產(chǎn)生精度在±2.5%滿(mǎn)量程范圍（FSR）內(nèi)的輸出電流。

　　根據(jù)IEC 61508開(kāi)發(fā)：

　　▲硬件指標(biāo)達(dá)到SIL 2

　　▲系統(tǒng)要求達(dá)到SIL 3

　　圖5是ADFS5758的TUV Rheinland功能安全證書(shū)副本。

　　圖4.ADFS5758框圖

　　圖5.ADFS5758功能安全證書(shū)

　　圖6顯示使用ADFS5758的典型安全應(yīng)用。

　　圖6.使用ADFS5758的典型應(yīng)用

　　為使系統(tǒng)滿(mǎn)足SIL要求，硬件指標(biāo)（也稱(chēng)為架構(gòu)約束）和SC都必須滿(mǎn)足SIL目標(biāo)。

　　架構(gòu)約束

　　從硬件指標(biāo)的角度看，并行放置兩個(gè)SIL 2元件（相同或不同）可以讓客戶(hù)實(shí)現(xiàn)更高的SIL 3等級(jí)。參見(jiàn)圖7。

　　圖7.使用兩個(gè)SIL 2元件實(shí)現(xiàn)硬件指標(biāo)達(dá)到SIL 3的解決方案

　　系統(tǒng)能力

　　冗余可以通過(guò)多樣化（不同）元件或相同元件來(lái)實(shí)現(xiàn)。

　　相同元件

　　使用具有同樣SC的相同元件并不能改善整體系統(tǒng)能力，因?yàn)樗鼈內(nèi)菀壮霈F(xiàn)相同的類(lèi)似CCF的溫度峰值或壓降，并且同一故障可能會(huì)導(dǎo)致兩個(gè)元件同時(shí)失效。參見(jiàn)圖8。

　　圖8.使用相同元件不會(huì)提高系統(tǒng)能力

　　不同元件

　　在冗余配置中使用不同的元件可以提高整體系統(tǒng)能力。參見(jiàn)圖9。

　　圖9.使用不同元件可以提高系統(tǒng)能力

　　由于兩個(gè)元件不相同，所以同一故障不太可能使兩個(gè)元件同時(shí)失效。

　　但在安全系統(tǒng)中使用不同元件時(shí)，相應(yīng)的設(shè)計(jì)導(dǎo)入和測(cè)試工作量會(huì)顯著增加，因此這種方法可能成本較高。

　　理想方法是使用兩個(gè)相同元件來(lái)同時(shí)滿(mǎn)足功能安全要求的整體能力和隨機(jī)/硬件指標(biāo)。

　　開(kāi)發(fā)的系統(tǒng)能力比SIL高一級(jí)的重要性：相同冗余

　　如果系統(tǒng)中可以采用某個(gè)元件，并且該系統(tǒng)是按照比元件的SIL高一個(gè)等級(jí)的系統(tǒng)能力開(kāi)發(fā)的，則可以在安全系統(tǒng)中使用兩個(gè)相同元件來(lái)提供冗余，并提高整體系統(tǒng)能力。示例參見(jiàn)圖10。

　　圖10.使用相同冗余實(shí)現(xiàn)SIL 3的示例

　　ADFS5758是按照比硬件指標(biāo)高一級(jí)的系統(tǒng)能力開(kāi)發(fā)的，因此，即使它在硬件指標(biāo)或隨機(jī)故障方面只通過(guò)了SIL 2認(rèn)證，也可使用它來(lái)設(shè)計(jì)SIL3模擬輸出模塊。

　　結(jié)語(yǔ)

　　在安全系統(tǒng)中使用經(jīng)過(guò)認(rèn)證的ADFS5758可帶來(lái)許多優(yōu)勢(shì)：

　　▲風(fēng)險(xiǎn)更小：滿(mǎn)足TüV要求

　　▲可以使用片內(nèi)診斷（ADC和分布式診斷）

　　▲解決方案尺寸更小/給定空間中通道更多（由于使用集成ADC）

　　▲僅需少量外部元件（可靠性更高）

　　▲針對(duì)性的診斷（檢測(cè)時(shí)間更短，覆蓋率更高）

　　▲為系統(tǒng)級(jí)工程師提供關(guān)鍵數(shù)據(jù)（FMEDA）

　　▲系統(tǒng)軟件的開(kāi)銷(xiāo)更少（軟件中的診斷更少）

　　▲提供針對(duì)假設(shè)環(huán)境的可靠性分析

　　▲縮短客戶(hù)的開(kāi)發(fā)時(shí)間

　　▲提供相關(guān)文件（安全手冊(cè)和T?V評(píng)估報(bào)告）

　　▲適應(yīng)未來(lái)的IEC 61508第3版標(biāo)準(zhǔn)

　　除了上述優(yōu)勢(shì)之外，ADFS5758還允許使用SIL 2器件以相同冗余設(shè)計(jì)SIL 3解決方案。

　　如希望進(jìn)一步探索功能安全和ADFS5758：

　　▲請(qǐng)?jiān)L問(wèn)ADFS5758產(chǎn)品網(wǎng)頁(yè) 以了解更多信息。

　　▲訂購(gòu)ADFS5758評(píng)估套件 以熟悉該器件。

　　▲瀏覽ADI公司的工業(yè)功能安全網(wǎng)頁(yè)。

　　▲閱讀ADI公司的安全事項(xiàng)博客。

更多精彩內(nèi)容歡迎點(diǎn)擊==>>電子技術(shù)應(yīng)用-AET<<