作者:Tom.meany,ADI功能安全工程师
功能安全标准,例如IEC 61508,分为7个部分,长达700多页。但是,这些要求可以归结到3项关键要求之下。
要求1:具有良好的可靠性
要求2:容错(即使有良好的可靠性,故障仍会发生)
要求3:防止设计错误(并非所有系统故障都是由硬件故障引起的)
要求1:大多数人认同,良好的可靠性虽然不能保证安全,但至少是坚实的第一步。可靠性用FIT(每运行十亿小时的故障率)来衡量。可靠性预测可以基于现场经验,或使用诸如IEC 62380、SN29500、FIDES指南等系统进行预测。容许的危险故障率将取决于SIL,SIL 1为10000 FIT,SIL 2为1000,SIL 3为100,SIL 4为10。
ADI公司在 www.analog.com/ReliabilityData 上公布了所有已发布产品的裸片FIT。该数据是利用一个工具提供的,它允许输入平均工作温度,然后就会给出60%和90%置信度的可靠性预测。下面列出的数值是基于加速寿命测试。
大多数设备供应商对可靠性感兴趣,但功能安全要求可靠性具有针对容许危险故障概率的特定限值,这取决于所需的安全等级。它还提供了增强可靠性的手段,即利用降额等技术和MooN等架构,这些内容是未来博客的主题。
要求2:如果您认同,无论可靠性有多好,系统仍会出现故障,那么应对此类故障的方法应包括诊断和冗余。诊断检测系统是否发生故障,并将系统置于安全状态。冗余意味着不止一个系统能执行安全操作,即使某个系统发生故障,仍会有另一台冗余设备维护安全。在IEC 61508中,诊断覆盖率的品质因数为SFF(安全失效比率)。SFF提供信用安全故障率和检测到的危险故障率。对于SIL 1,要求最低60%的SFF,SIL 2为90%,SIL 3为99%。允许用冗余(HFT)来换取SFF,SIL 2安全功能可以用两个各有60% SFF的通道来实现。IC级器件,例如AD7124具有大量诊断功能,可用于检测内部和系统级别的故障。片内诊断包括基准电压输入,如0V、+/-满量程和+/-20mV,以及用于检测内部位翻转的状态机。系统级诊断包括传感器开路测试电流源。
要求3:在IEC 61508中,功能安全是指为防止引入设计错误而采取措施,以满足该项目的系统安全完整性要求。这些措施是必要的,因为无论可靠性有多好,并且尽管内置硬件具有容错功能,您仍必须认识到,系统可能无法不出任何故障地执行与安全相关的任务。故障的原因可能包括未达到或遗忘了某些要求、不正确的验证等。软件编码错误被认为是系统性错误,因为它们并不是由故障引起的,因为通常系统是按照设计运行。更难让人接受的是,EMI(电磁抗扰度)故障也被认为是系统故障,原因相同,系统并非因此而发生故障,而是没有足够的鲁棒性。为防止引入系统性错误,IEC 61508倡导的措施包括编码标准、设计评审、验证计划、安全计划、检查清单、需求管理等等。
每日视频—— https://www.youtube.com/watch?v=QxG41aFl5Ns(采纳此视频的理由是它粗略涉及到如何确定客户需求)