摘要

需要安全完整性等級(SIL) 3解決方案的制造商，在使用SIL 2器件時(shí)面臨著(zhù)多項挑戰。隨著(zhù)工業(yè)功能安全標準IEC 61508第3版的發(fā)布，制造商必須采用新的方法。本文概述了一種能夠克服挑戰以成功實(shí)現SIL 3并加速產(chǎn)品上市的解決方案。

簡(jiǎn)介

過(guò)去幾年，受以下多項因素的驅動(dòng)，工業(yè)功能安全系統開(kāi)始加速普及：

?    制造商希望使用新的復雜技術(shù)來(lái)降低成本（例如，使用安全扭矩關(guān)閉而不是再添加一個(gè)接觸器）

?    實(shí)踐證明，使用機器人（特別是協(xié)作機器人）可以提高許多工廠(chǎng)車(chē)間的生產(chǎn)率

?    認識到使用安全認證設備可以提高整體可靠性

?    確認使用診斷可以提高許多工廠(chǎng)和設備的產(chǎn)量

?    引入新的安全要求

另一個(gè)驅動(dòng)因素是對能源、石油和天然氣行業(yè)提出了嚴格的要求和監管義務(wù)。

在展開(kāi)詳細討論之前，我們先看一些基本定義，以幫助各類(lèi)讀者更好地理解本文。

什么是安全？

安全就是指能避免發(fā)生不可接受的風(fēng)險。例如，工廠(chǎng)車(chē)間內未加防護的旋轉機器就是不安全的。

什么是安全功能？

安全功能是指為實(shí)現或確保安全必須執行的操作。安全功能的目的是降低系統風(fēng)險。例如，如果上述旋轉機器的前面安裝了光幕，當手穿過(guò)光幕時(shí)，安全功能將會(huì )檢測到光束中斷，從而在手接觸到旋轉機器之前使其停止運轉。

安全功能通常包括三個(gè)子系統。圖1的安全系統用于檢測危險液體的液位，并在充滿(mǎn)時(shí)切斷液流。

?    輸入子系統（傳感器，如液位傳感器）用于檢測值或狀態(tài)

?    邏輯子系統（可編程邏輯控制器(PLC)）用于判斷該狀態(tài)是否危險

?    輸出子系統（執行器）可采取行動(dòng)來(lái)確保安全

圖1.典型安全功能

什么是功能安全？

指系統在需要時(shí)執行預期安全功能的可靠性。它能有效地衡量功能安全工程師對光束中斷時(shí)光幕和電機的停機安全功能會(huì )運行的信任度。

如果硬件指標（隨機錯誤）、系統能力(SC)和共因失效(CCF)不會(huì )導致安全系統故障、人員傷亡、環(huán)境受損或生產(chǎn)損失，則認為該系統功能安全。

除了上述基本安全定義，還需了解設計功能安全系統時(shí)必須遵循的一些功能安全標準，及其相關(guān)優(yōu)勢。

制造商進(jìn)行功能安全開(kāi)發(fā)時(shí)，遵循IEC 61508或ISO 26262等標準，具有以下好處：

?     前期需求更清晰

?     測試期間較少出錯

?     軟件編寫(xiě)保持一致

?     集成過(guò)程中發(fā)現的缺陷更少

?     測試更全面

?     現場(chǎng)缺陷更少

?     與競爭對手相比，差異化程度更高

安全標準有很多（見(jiàn)圖2），其中大部分源自工業(yè)IEC 61508標準。值得注意的是，所有標準的90%到95%要求都與IEC 61508的要求類(lèi)似。

圖2.安全標準

本文重點(diǎn)介紹針對工業(yè)應用的IEC 61508標準，特別是如何使用SIL 2器件以相同冗余設計SIL 3解決方案。

冗余、高可用性和硬件容錯

無(wú)論系統多么可靠，系統最終都會(huì )失效！兩種常見(jiàn)的故障類(lèi)型是系統性故障和隨機故障。參見(jiàn)圖3。

圖3.系統性故障和隨機故障

冗余實(shí)際上是備用或冗余路徑，當安全系統中發(fā)生故障時(shí)，它能執行預期的安全功能。值得注意的是，系統具有一定程度的冗余，并不意味著(zhù)同時(shí)具有高可用性。只有冗余路徑能夠自動(dòng)開(kāi)啟或激活時(shí)，它才具有高可用性。IEC 61508中常用的另一個(gè)術(shù)語(yǔ)是硬件容錯(HFT)。HFT為N意味著(zhù)至少出現N + 1個(gè)故障才可能導致安全功能喪失。需注意一點(diǎn)，不應考慮其他可能控制故障影響的措施，例如診斷。HFT是一種有效的手段，可確保硬件能夠抵御故障，同時(shí)允許用戶(hù)權衡HFT和SFF。參見(jiàn)表1。

 表1.硬件容錯

安全完整性等級

SIL描述了安全功能的完整性及其提供的降風(fēng)險能力的相對水平。IEC 61508規定了四級SIL，SIL 1的安全完整性等級最低，SIL 4的安全完整性等級最高。表2比較了工業(yè)IEC 61508安全等級(SIL)、汽車(chē)(ISO 26262)安全等級(ASIL)和航空電子安全等級。請注意，這些只是近似比較。

表2.各種SIL等級

隨著(zhù)SIL等級的提高（從SIL 1到SIL 4），允許的故障率(FIT)依次降低。1 FIT相當于每運行十億(1e9)小時(shí)發(fā)生一次故障。1e9小時(shí)約為10萬(wàn)年！有一點(diǎn)要注意，沒(méi)有任何設備能夠持續運行10億小時(shí)，但如果100,000臺設備運行一年，在此期間可能會(huì )出現一次隨機硬件故障。安全失效比率(SFF)是檢測到的安全加危險故障總數與安全功能中的故障總數之比。

表3顯示了硬件容錯為零(HFT = 0)時(shí)安全失效比率(SFF)和SIL之間的對應關(guān)系。

表3.SIL和SFF

問(wèn)題/現有解決方案

對于許多采用功能安全的設計人員而言，尤其是使用IC進(jìn)行設計時(shí)，問(wèn)題在于獲得認證可能很困難且成本高昂，而且還存在非?，F實(shí)的不合規風(fēng)險。設計人員必須創(chuàng )建系統級FMEDA，并且必須將ASIC視為黑匣子，因為他們不知道：

?    晶體管數量

?    內部故障機制

?    布局塊大小

?    IC的可靠性

因此，為了實(shí)現總體SIL目標，設計人員在FIT計算中必然會(huì )過(guò)于保守，在安全系統的其他部分中也會(huì )過(guò)度確保安全。這通常意味著(zhù)需要使用外部診斷，例如外部ADC。這樣做的問(wèn)題是：

?    更加昂貴(BOM)

?    尺寸更大

?    更加復雜

?    系統軟件存在額外開(kāi)銷(xiāo)

?    開(kāi)發(fā)時(shí)間更長(cháng)

除了這些問(wèn)題，新版IEC 61508標準（第3版）的推出進(jìn)一步加大了困難。

IEC 61508第3版

IEC 61508第3版目前計劃的變更包括：明確警告慎用片內診斷來(lái)檢測同一芯片上的故障，除非IC是按照IEC 61508開(kāi)發(fā)的。它還計劃包括類(lèi)似于汽車(chē)ISO 26262潛在故障指標的要求。除了針對診斷功能的SFF之外，診斷電路也會(huì )有SC要求。

ADFS5758：率先通過(guò)認證的數據轉換器

ADFS5758 是一款單通道、16位電流輸出DAC，集成動(dòng)態(tài)功率控制(DPC)，具有內部基準電壓源和眾多片內診斷功能。 圖4顯示了其功能框圖。

ADFS5758的診斷/安全措施

?    主要片內診斷功能由ADC提供；如前所述，IEC 61508第3版計劃澄清，一般不允許使用片內診斷來(lái)檢測片內故障，除非IC是按照IEC 61508開(kāi)發(fā)的

?    檢查有無(wú)有效的讀/寫(xiě)地址

?    ECC校正

?    看門(mén)狗定時(shí)器

?    鎖定配置寄存器的能力

?    內部偏置電壓監視器

?    溫度監控器

旨在滿(mǎn)足以下要求：

?    工業(yè)工廠(chǎng)自動(dòng)化

?    過(guò)程控制應用

?    高密度小尺寸PLC模擬I/O卡

安全功能：

接收數字輸入碼，產(chǎn)生精度在±2.5%滿(mǎn)量程范圍(FSR)內的輸出電流。

根據IEC 61508開(kāi)發(fā)：

?    硬件指標達到SIL 2

?    系統要求達到SIL 3

圖5是ADFS5758的TUV Rheinland功能安全證書(shū)副本。

圖4.ADFS5758框圖

圖5.ADFS5758功能安全證書(shū)

 圖6顯示使用ADFS5758的典型安全應用。

圖6.使用ADFS5758的典型應用

為使系統滿(mǎn)足SIL要求，硬件指標（也稱(chēng)為架構約束）和SC都必須滿(mǎn)足SIL目標。

架構約束

從硬件指標的角度看，并行放置兩個(gè)SIL 2元件（相同或不同）可以讓客戶(hù)實(shí)現更高的SIL 3等級。參見(jiàn)圖7。

圖7.使用兩個(gè)SIL 2元件實(shí)現硬件指標達到SIL 3的解決方案

系統能力

冗余可以通過(guò)多樣化（不同）元件或相同元件來(lái)實(shí)現。

相同元件

使用具有同樣SC的相同元件并不能改善整體系統能力，因為它們容易出現相同的類(lèi)似CCF的溫度峰值或壓降，并且同一故障可能會(huì )導致兩個(gè)元件同時(shí)失效。參見(jiàn)圖8。

圖8.使用相同元件不會(huì )提高系統能力

不同元件

在冗余配置中使用不同的元件可以提高整體系統能力。參見(jiàn)圖9。

圖9.使用不同元件可以提高系統能力

由于兩個(gè)元件不相同，所以同一故障不太可能使兩個(gè)元件同時(shí)失效。

但在安全系統中使用不同元件時(shí)，相應的設計導入和測試工作量會(huì )顯著(zhù)增加，因此這種方法可能成本較高。

理想方法是使用兩個(gè)相同元件來(lái)同時(shí)滿(mǎn)足功能安全要求的整體能力和隨機/硬件指標。

開(kāi)發(fā)的系統能力比SIL高一級的重要性：相同冗余

如果系統中可以采用某個(gè)元件，并且該系統是按照比元件的SIL高一個(gè)等級的系統能力開(kāi)發(fā)的，則可以在安全系統中使用兩個(gè)相同元件來(lái)提供冗余，并提高整體系統能力。示例參見(jiàn)圖10。

圖10.使用相同冗余實(shí)現SIL 3的示例

ADFS5758是按照比硬件指標高一級的系統能力開(kāi)發(fā)的，因此，即使它在硬件指標或隨機故障方面只通過(guò)了SIL 2認證，也可使用它來(lái)設計SIL3模擬輸出模塊。

結語(yǔ)

在安全系統中使用經(jīng)過(guò)認證的ADFS5758可帶來(lái)許多優(yōu)勢：

?    風(fēng)險更?。簼M(mǎn)足TüV要求

?    可以使用片內診斷（ADC和分布式診斷）

?    解決方案尺寸更小/給定空間中通道更多（由于使用集成ADC）

?    僅需少量外部元件（可靠性更高）

?    針對性的診斷（檢測時(shí)間更短，覆蓋率更高）

?    為系統級工程師提供關(guān)鍵數據(FMEDA)

?    系統軟件的開(kāi)銷(xiāo)更少（軟件中的診斷更少）

?    提供針對假設環(huán)境的可靠性分析

?    縮短客戶(hù)的開(kāi)發(fā)時(shí)間

?    提供相關(guān)文件（安全手冊和TüV評估報告）

?    適應未來(lái)的IEC 61508第3版標準

除了上述優(yōu)勢之外，ADFS5758還允許使用SIL 2器件以相同冗余設計SIL 3解決方案。

如希望進(jìn)一步探索功能安全和ADFS5758：

?    請訪(fǎng)問(wèn)ADFS5758產(chǎn)品網(wǎng)頁(yè) 以了解更多信息。

?    訂購ADFS5758評估套件 以熟悉該器件。

?    瀏覽ADI公司的工業(yè)功能安全網(wǎng)頁(yè)。

?    閱讀ADI公司的安全事項博客。 

# # #

關(guān)于ADI公司

Analog Devices, Inc. (NASDAQ: ADI)是全球領(lǐng)先的半導體公司，致力于在現實(shí)世界與數字世界之間架起橋梁，以實(shí)現智能邊緣領(lǐng)域的突破性創(chuàng )新。ADI提供結合模擬、數字和軟件技術(shù)的解決方案，推動(dòng)數字化工廠(chǎng)、汽車(chē)和數字醫療等領(lǐng)域的持續發(fā)展，應對氣候變化挑戰，并建立人與世界萬(wàn)物的可靠互聯(lián)。ADI公司2023財年收入超過(guò)120億美元，全球員工約2.6萬(wàn)人。攜手全球12.5萬(wàn)家客戶(hù)，ADI助力創(chuàng )新者不斷超越一切可能。

關(guān)于作者

Brian Condell是ADI公司位于愛(ài)爾蘭利默里克的工業(yè)連接和控制部門(mén)的IO-Link^?產(chǎn)品應用工程師。Brian 1997年開(kāi)始在ADI工作。他于2003年畢業(yè)于利默里克大學(xué)，獲得電氣工程榮譽(yù)學(xué)位。他擁有超過(guò)25年的半導體行業(yè)從業(yè)經(jīng)驗，先后擔任過(guò)多種職位，包括FAB維修技術(shù)人員、IC布局工程師、模擬設計工程師、功能安全工程師，以及最近的應用工程師。他是經(jīng)過(guò)TUV Rheinland認證的IEC 61508硬件/軟件設計功能安全工程師。