利用高性能電壓監(jiān)控器提高工業(yè)功能安全合規(guī)性——第1部分

問(wèn)題：

如何使用高性能監(jiān)控電路來(lái)提高工業(yè)功能安全合規(guī)性？

回答

高性能電壓監(jiān)控器具有集成的安全功能，可提高系統(tǒng)性能，以滿足IEC 61508功能安全標(biāo)準(zhǔn)關(guān)于定量可靠性、架構(gòu)約束和系統(tǒng)安全完整性的要求，從而幫助系統(tǒng)符合該標(biāo)準(zhǔn)。

簡(jiǎn)介

各行各業(yè)的安全關(guān)鍵型應(yīng)用一般都會(huì)考慮遵守功能安全標(biāo)準(zhǔn)¹，因?yàn)檫@些應(yīng)用一旦發(fā)生故障，可能會(huì)對(duì)人員、財(cái)產(chǎn)和環(huán)境造成危害。產(chǎn)品設(shè)計(jì)師按照功能安全標(biāo)準(zhǔn)對(duì)設(shè)計(jì)的產(chǎn)品進(jìn)行認(rèn)證，讓客戶可以放心地使用產(chǎn)品，確保產(chǎn)品能夠在具有安全法規(guī)的國(guó)家/地區(qū)進(jìn)行銷(xiāo)售，并引領(lǐng)功能安全市場(chǎng)的趨勢(shì)。本文強(qiáng)調(diào)了高性能監(jiān)控電路²進(jìn)一步符合IEC 615083等功能安全標(biāo)準(zhǔn)的重要性。此外，本文也是討論與這些電路相關(guān)的工業(yè)功能安全合規(guī)性系列文章中的第一篇。

了解功能安全標(biāo)準(zhǔn)

IEC 61508標(biāo)準(zhǔn)³也稱(chēng)為電氣/電子/可編程電子安全相關(guān)系統(tǒng)功能安全標(biāo)準(zhǔn)，旨在為所有類(lèi)型的E/E/PE安全相關(guān)系統(tǒng)(SRS)的規(guī)范、設(shè)計(jì)和操作規(guī)定總體要求。它適用于各種行業(yè)，因?yàn)樗侵贫ǘ鄠€(gè)行業(yè)特定標(biāo)準(zhǔn)的基礎(chǔ)，例如過(guò)程工業(yè)中的IEC 61511⁴、機(jī)械工業(yè)中的IEC 62061⁵、核電工業(yè)中的IEC 61513⁶、汽車(chē)工業(yè)中的ISO 26262⁷、鐵路運(yùn)輸中的IEC 62279⁸、醫(yī)療設(shè)備¹⁰中的IEC 62304⁹等，如圖1所示。

圖1 基本標(biāo)準(zhǔn)和一些特定行業(yè)的功能安全標(biāo)準(zhǔn)

雖然特定行業(yè)的標(biāo)準(zhǔn)始終優(yōu)先于IEC 61508，但它通常要求使用SRS中的組件來(lái)證明符合功能安全標(biāo)準(zhǔn)。為此，可以按照特定行業(yè)標(biāo)準(zhǔn)（如ISO 26262⁷）開(kāi)發(fā)組件，使用“經(jīng)使用驗(yàn)證”³參數(shù)，遵循基本安全標(biāo)準(zhǔn)IEC 61508（如IEC 61511¹¹），或者使用標(biāo)準(zhǔn)組件但采取額外的架構(gòu)緩解措施。

什么是安全儀表系統(tǒng)？

IEC 61508的E/E/PE SRS在過(guò)程工業(yè)領(lǐng)域被稱(chēng)為安全儀表系統(tǒng)(SIS)，在機(jī)械行業(yè)中稱(chēng)為安全相關(guān)電氣控制系統(tǒng)(SRECS)，在核電行業(yè)中稱(chēng)為儀器儀表和控制(I&C)系統(tǒng)。在本文中，術(shù)語(yǔ)“SIS”將用于統(tǒng)稱(chēng)這些系統(tǒng)。¹¹

圖2 SIS的典型框圖

圖2為典型SIS的示意圖，其中包含至少一個(gè)安全儀表功能(SIF)。SIF在IEC 61508中也指安全功能，但為了便于討論，將使用術(shù)語(yǔ)SIF。SIF由輸入子系統(tǒng)、邏輯解算器子系統(tǒng)和最終元件子系統(tǒng)組成，用途是在當(dāng)需求發(fā)生時(shí)，將受控設(shè)備(EUC)置于安全狀態(tài)。EUC是指受SIS保護(hù)的系統(tǒng)。圖3顯示了SIF的典型框圖以及子系統(tǒng)的示例。輸入子系統(tǒng)包含至少一個(gè)傳感器，作為監(jiān)測(cè)系統(tǒng)，可以檢測(cè)故障并向邏輯解算器發(fā)送信號(hào)。邏輯解算器會(huì)處理接收到的信號(hào)，然后決定下一步做什么。比如，可能要求最終元件通過(guò)斷路器、繼電器或關(guān)閉閥等執(zhí)行裝置將SIS置于安全狀態(tài)。¹¹

值得注意的是，監(jiān)控電路²在SIS中很有用。它們可以在輸入子系統(tǒng)中發(fā)揮作用以檢測(cè)異常，在邏輯解算器子系統(tǒng)中監(jiān)測(cè)電源或其他微控制器功能和信號(hào)故障，或者作為SIF本身，通過(guò)復(fù)位信號(hào)使系統(tǒng)進(jìn)入安全狀態(tài)。這一點(diǎn)可以從圖3中看出。

圖3 SIF的典型框圖

高性能監(jiān)控電路如何實(shí)現(xiàn)工業(yè)功能安全合規(guī)性

可以通過(guò)安全完整性等級(jí)(SIL)來(lái)量化IEC 61508合規(guī)性。每個(gè)SIF都有SIL評(píng)級(jí)，表示SIF在管控風(fēng)險(xiǎn)方面的表現(xiàn)。IEC 61508規(guī)定了SIL 1到SIL 4四個(gè)SIL級(jí)別，其中SIL 4表示最可靠。通常，首先進(jìn)行危險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估，以了解所需的安全功能，然后了解風(fēng)險(xiǎn)降低系數(shù)，從而了解所需的SIL等級(jí)?！哆^(guò)程安全手冊(cè)一》¹²中展示了一種使用風(fēng)險(xiǎn)矩陣校準(zhǔn)的方法。

特定的SIL級(jí)別有其自身的要求，受三個(gè)因素影響^3,11,13：定量可靠性要求、架構(gòu)約束和系統(tǒng)安全完整性。對(duì)于每個(gè)因素，下一小節(jié)將展示監(jiān)控器如何通過(guò)診斷要求幫助實(shí)現(xiàn)IEC 61508合規(guī)性。

定量可靠性要求

表1顯示了IEC 61508-1第7.6.2.9節(jié)中關(guān)于安全完整性要求的摘要，這項(xiàng)要求針對(duì)SIF的目標(biāo)故障測(cè)量規(guī)定了相應(yīng)的SIL。PFD_avg是指低需求工作模式下，在需要安全功能時(shí)發(fā)生危險(xiǎn)故障的平均概率。PFH是指高需求模式或連續(xù)工作模式下，安全功能每小時(shí)發(fā)生危險(xiǎn)故障的平均頻率。

表1 與工作模式相關(guān)的SIS的SIL目標(biāo)^3,11

影響隨機(jī)硬件故障平均概率的因素有很多，其中包括診斷測(cè)試覆蓋率、診斷測(cè)試間隔和未檢測(cè)到的危險(xiǎn)故障率（用λ_DU表示）^3,14,15。未檢測(cè)到的危險(xiǎn)故障是指無(wú)法通過(guò)系統(tǒng)診斷檢測(cè)到而只能通過(guò)驗(yàn)證測(cè)試來(lái)識(shí)別的故障，如圖4所示。這就是使用監(jiān)控電路的重要性所在，因?yàn)楸O(jiān)控電路可以作為診斷措施，幫助檢測(cè)危險(xiǎn)故障，從而降低發(fā)生此類(lèi)故障的概率。這樣，就可以將未檢測(cè)到的危險(xiǎn)故障轉(zhuǎn)化為檢測(cè)到的故障。

圖4 影響可靠性要求的故障類(lèi)型¹²

架構(gòu)約束

除了量化的可靠性要求外，IEC 61508還對(duì)SIS的穩(wěn)健性和結(jié)構(gòu)提出了要求。這些架構(gòu)約束增加了設(shè)計(jì)人員在選擇硬件架構(gòu)時(shí)需要考慮的因素。根據(jù)IEC 61508-2第7.4.4節(jié)，可用于證明符合SIL的路線之一是路線1_H。該路線基于硬件容錯(cuò)(HFT)和安全失效比率(SFF)概念。

面對(duì)架構(gòu)約束，需要考慮元件的復(fù)雜性和類(lèi)型。A類(lèi)元件或簡(jiǎn)單組件具有明確定義的故障模式、故障條件下可預(yù)測(cè)的行為以及可靠故障數(shù)據(jù)（滿足所要求的未檢測(cè)到的危險(xiǎn)故障率）。否則視為B類(lèi)元件或復(fù)合組件。

表2以集成電路等電子系統(tǒng)為例，顯示了B類(lèi)元件的要求。SFF是衡量元件傾向于變成安全狀態(tài)失敗的指標(biāo)，而HFT為N意味著N+1是可能導(dǎo)致安全功能喪失的最小故障數(shù)，因此需要一定量的冗余。這意味著，如果系統(tǒng)的HFT為0，則一次故障就可能導(dǎo)致安全功能喪失，而HFT為1則意味著需要兩次故障才會(huì)造成安全功能喪失。

表2 B類(lèi)安全相關(guān)元件或子系統(tǒng)執(zhí)行的安全功能的最大允許安全完整性等級(jí)³

SFF的數(shù)學(xué)公式可以表示為：

另一個(gè)術(shù)語(yǔ)稱(chēng)為診斷覆蓋率，可以表示為：

其中λ是故障率，SD表示安全檢測(cè)到，SU表示安全未檢測(cè)到，DD表示危險(xiǎn)檢測(cè)到，DU表示危險(xiǎn)未檢測(cè)到，如圖4所示。

診斷覆蓋率用于評(píng)估SIS的診斷措施在揭示危險(xiǎn)故障方面的表現(xiàn)。這會(huì)影響系統(tǒng)的量化可靠性，如前所述，并且與SFF相關(guān)，如公式1和2所示。IEC 61508-2在其附件A中還提供了一種方法，用于確定在使用不同技術(shù)和措施檢測(cè)隨機(jī)硬件故障時(shí)，所能達(dá)到的最大允許診斷覆蓋率。

表3顯示了各個(gè)等級(jí)的診斷覆蓋率分類(lèi)。

表3 IEC 61508診斷覆蓋率分類(lèi)^3,11

表4摘自IEC 61508-2附件A表A.1，其中指定了在量化隨機(jī)硬件故障的影響時(shí)要假設(shè)的故障或失效，或在推導(dǎo)SFF時(shí)要考慮的故障或失效。值得注意的是，診斷覆蓋率故障模型需要達(dá)到較高的診斷覆蓋率。診斷覆蓋率故障模型包括固定電平故障、開(kāi)路故障、開(kāi)路或高阻抗輸出以及信號(hào)線之間的短路等故障模式，所有這些故障模式都可以通過(guò)過(guò)壓(OV)和欠壓(UV)監(jiān)視器等監(jiān)控電路檢測(cè)到。

表4 診斷覆蓋率要素的要求

總之，IEC 61508根據(jù)SIF的HFT和SFF規(guī)定了SIL要求。由于SFF和診斷覆蓋率參數(shù)受到系統(tǒng)檢測(cè)故障能力的顯著影響，改進(jìn)診斷措施（例如添加監(jiān)控電路）也將提高SIF的SIL等級(jí)。

系統(tǒng)安全完整性

系統(tǒng)安全完整性的要求本質(zhì)上是定性的，用于評(píng)估系統(tǒng)開(kāi)發(fā)過(guò)程在消除故障方面的能力。為此，需要徹底檢查硬件和軟件的設(shè)計(jì)、生產(chǎn)和測(cè)試程序。SIL越高，檢查就必須越嚴(yán)格，并且需要組件制造商提供更多文件來(lái)證明符合要求。

IEC 61508規(guī)定了設(shè)計(jì)人員應(yīng)在適用情況下課實(shí)施的幾種技術(shù)和措施，以消除SIS安全生命周期各個(gè)階段的系統(tǒng)故障。對(duì)此，表5列出了IEC 61508-2表A.16中的一些項(xiàng)目。該表顯示了控制由環(huán)境壓力和影響引起的系統(tǒng)故障所需的技術(shù)和措施，其中M表示強(qiáng)制，HR表示強(qiáng)烈推薦，R表示推薦。這些標(biāo)記下面是實(shí)現(xiàn)此類(lèi)診斷措施需要付出的工作量。例如，SIL 3等級(jí)必須采用電壓監(jiān)視器等措施來(lái)應(yīng)對(duì)電壓變化，同時(shí)強(qiáng)烈建議采用程序序列監(jiān)控（如看門(mén)狗定時(shí)器），其中診斷覆蓋率必須至少達(dá)到90%。

表5 IEC 61508-2附件A表A.16中的部分項(xiàng)目³

系統(tǒng)安全完整性要求的另一個(gè)關(guān)鍵是具有良好的質(zhì)量管理體系(QMS)。組織可以通過(guò)獲得ISO 9001:2015質(zhì)量管理體系認(rèn)證來(lái)證明¹⁶。值得注意的是，IEC 61508關(guān)于整體安全生命周期和功能安全評(píng)估的大部分要求與ISO 9001對(duì)整體安全生命周期的要求相一致。因此，擁有QMS證書(shū)可以加快認(rèn)證過(guò)程¹⁷。這與企業(yè)的功能安全戰(zhàn)略相輔相成，例如，在功能安全標(biāo)準(zhǔn)（如IEC 61508）的基礎(chǔ)上根據(jù)自身需求進(jìn)行調(diào)整。

使用集成解決方案改進(jìn)功能安全設(shè)計(jì)

為了設(shè)計(jì)出符合功能安全要求的系統(tǒng)，需要仔細(xì)考慮前面討論的要求。其中涉及實(shí)施足夠的安全措施，以確保在發(fā)生故障時(shí)仍能可靠、安全地運(yùn)行，但可能會(huì)因?yàn)樵黾与娐吩黾映杀尽Ｒ虼?，使用具有集成安全功能的元件可以?jiǎn)化系統(tǒng)級(jí)實(shí)施，通過(guò)減少元件數(shù)量提高系統(tǒng)可靠性，并通過(guò)縮短診斷測(cè)試間隔來(lái)提高診斷覆蓋率¹³。具體可以參見(jiàn)圖5，ADI的MAX42500可以通過(guò)將多種安全功能組合在一個(gè)封裝中（而不是使用單獨(dú)的監(jiān)控電路），為安全關(guān)鍵電路提供足夠的診斷覆蓋率。該電源系統(tǒng)監(jiān)視器可滿足多種措施要求，例如針對(duì)電壓擊穿、電壓變化、過(guò)壓、低電壓、可能導(dǎo)致危險(xiǎn)故障的交流電源頻率變化等其他現(xiàn)象以及程序序列監(jiān)視的措施，從而幫助實(shí)現(xiàn)功能安全合規(guī)性。第一個(gè)要求強(qiáng)調(diào)了對(duì)所有安全關(guān)鍵電壓軌進(jìn)行UV和OV檢測(cè)的必要性。第二個(gè)要求強(qiáng)調(diào)了單通道系統(tǒng)中標(biāo)準(zhǔn)微控制器單元需要單獨(dú)的看門(mén)狗定時(shí)器。MAX42500可滿足這兩種需求，它具有七個(gè)電源監(jiān)視器和一個(gè)通過(guò)I2C通信的看門(mén)狗定時(shí)器。

另一個(gè)考量因素是有沒(méi)有安全文件來(lái)證明符合功能安全要求，尤其是在認(rèn)證功能安全標(biāo)準(zhǔn)時(shí)。符合或獲得IEC 61508認(rèn)證的元件（例如MAX42500）已通過(guò)提供必要的安全文檔（安全手冊(cè)、故障模式影響和診斷分析(FMEDA)、良好的QMS等）來(lái)提供這方面的支持。盡管如此，考慮到IEC 61508的當(dāng)前修訂版本，按照?qǐng)D5所示，仍可以使用非合規(guī)的產(chǎn)品（如LTC2965和LTC4365）來(lái)提高系統(tǒng)的診斷覆蓋率和穩(wěn)健性。然而，系統(tǒng)設(shè)計(jì)人員需要獲取必要的安全文件以滿足功能安全合規(guī)性要求。

圖5 在安全設(shè)計(jì)中引入充分的監(jiān)測(cè)和保護(hù)措施

結(jié)論

本文闡明了高性能電壓監(jiān)控器在促進(jìn)工業(yè)功能安全合規(guī)方面發(fā)揮的關(guān)鍵作用。通過(guò)研究基礎(chǔ)功能安全標(biāo)準(zhǔn)IEC 61508及其對(duì)特定行業(yè)標(biāo)準(zhǔn)的影響，為加深理解奠定了基礎(chǔ)。而且，還定義了關(guān)鍵術(shù)語(yǔ)以便于清晰理解，例如安全儀表系統(tǒng)、安全儀表功能和安全完整性等級(jí)。此外，我們深入研究了IEC 61508的基本要求，包括量化可靠性、架構(gòu)約束和系統(tǒng)安全完整性，特別強(qiáng)調(diào)了采用高性能監(jiān)控電路（如電源監(jiān)視器和看門(mén)狗定時(shí)器）的影響。本文以MAX42500為例討論了集成安全功能的應(yīng)用，有助于在系統(tǒng)設(shè)計(jì)中考慮除了功能安全合規(guī)以外的更多方面。通過(guò)這次研究，強(qiáng)調(diào)了高性能電壓監(jiān)控器對(duì)于保證工業(yè)系統(tǒng)安全性和可靠性的重要意義。

請(qǐng)繼續(xù)關(guān)注本系列的下一篇文章，我們將討論在為安全關(guān)鍵型應(yīng)用設(shè)計(jì)功能安全電源系統(tǒng)時(shí)使用SIL級(jí)電壓監(jiān)控器的優(yōu)勢(shì)。

參考文獻(xiàn)

1 Tom Meany?！肮δ馨踩凸I(yè)4.0”。ADI公司，2018年3月。

2 Noel Tenorio和Anthony Serqui?a?！案咝阅茈妷罕O(jiān)控器詳解——第1部分”?！赌M對(duì)話》，第58卷第2期，2024年4月。

3 IEC 61508《電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全》的所有部分。國(guó)際電工委員會(huì)，2010年。

4 IEC 61511《功能安全–過(guò)程工業(yè)領(lǐng)域的安全儀表系統(tǒng)》的所有部分。國(guó)際電工委員會(huì)，2016年。

5 IEC 62061《機(jī)械安全–安全相關(guān)電氣、電子和可編程電子控制系統(tǒng)的功能安全》。國(guó)際電工委員會(huì)，2005年。

6 IEC 61513《核電站–安全重要儀器和控制–系統(tǒng)的一般要求》。國(guó)際電工委員會(huì)，2011年。

7 ISO 26262《道路車(chē)輛功能安全》的所有部分。國(guó)際標(biāo)準(zhǔn)化組織，2011年。

8 IEC 62279《鐵路應(yīng)用–通信、信號(hào)和處理系統(tǒng)：鐵路控制和保護(hù)系統(tǒng)軟件》。國(guó)際電工委員會(huì)，2015年。

9 IEC 62304《醫(yī)療設(shè)備軟件–軟件生命周期流程》。國(guó)際電工委員會(huì)，2006年。

10 “常見(jiàn)問(wèn)題解答：醫(yī)療設(shè)備的功能安全”。TüV SüD，2024年。

11 Marvin Rausand。“安全關(guān)鍵系統(tǒng)的可靠性：理論與應(yīng)用”。Wiley，2014年1月。

12 《過(guò)程安全手冊(cè)一：過(guò)程工業(yè)中的功能安全》。Rockwell Automation，2013年3月。

13 Tom Meany?！凹呻娐返墓δ馨踩?。ADI公司，2018年2月。

14 Loren Stewart。“回歸基礎(chǔ)16 PFDavg”。Exida，2019年10月。

15 Loren Stewart?！盎貧w基礎(chǔ)17 PFH”。Exida，2019年11月。

16 《ISO 9001:2015質(zhì)量管理體系–要求》。2015年。

17 “功能安全：全面質(zhì)量方法”。RTP Corp.，2021年。

作者簡(jiǎn)介

Bryan Angelo Borres是其團(tuán)隊(duì)中負(fù)責(zé)功能安全的電源應(yīng)用工程師。他與Tom Meany合作，幫助客戶設(shè)計(jì)符合IEC 61508等工業(yè)功能安全標(biāo)準(zhǔn)的系統(tǒng)。他擁有瑪布亞大學(xué)電力電子專(zhuān)業(yè)的研究生學(xué)位，目前正在攻讀電子工程碩士學(xué)位。Bryan在設(shè)計(jì)高效、穩(wěn)健的電力電子系統(tǒng)方面擁有五年多的豐富經(jīng)驗(yàn)。

Christopher Macatangay是多市場(chǎng)Power-East事業(yè)部的高級(jí)產(chǎn)品應(yīng)用工程師。他于2015年加入ADI公司，擔(dān)任產(chǎn)品應(yīng)用工程師。在加入ADI公司之前，Christopher曾在一家電源公司擔(dān)任測(cè)試開(kāi)發(fā)工程師，積累了六年的工作經(jīng)驗(yàn)。他擁有亞當(dāng)森大學(xué)電子與通信工程學(xué)士學(xué)位。