如何使用高性能监控电路来提高工业功能安全合规性？

IEC 61508标准也称为电气/电子/可编程电子安全相关系统功能安全标准，旨在为所有类型的E/E/PE安全相关系统(SRS)的规范、设计和操作规定总体要求。它适用于各种行业，因为它是制定多个行业特定标准的基础，例如过程工业中的IEC 61511、机械工业中的IEC 62061、核电工业中的IEC 61513、汽车工业中的ISO 26262 、铁路运输中的IEC 62279、医疗设备9中的IEC 62304 等，如图1所示。

虽然特定行业的标准始终优先于IEC 61508，但它通常要求使用SRS中的组件来证明符合功能安全标准。为此，可以按照特定行业标准（如ISO 26262）开发组件，使用“经使用验证”参数，遵循基本安全标准IEC 61508（如IEC 61511 ），或者使用标准组件但采取额外的架构缓解措施。

IEC 61508的E/E/PE SRS在过程工业领域被称为安全仪表系统(SIS)，在机械行业中称为安全相关电气控制系统(SRECS)，在核电行业中称为仪器仪表和控制(I& C)系统。在本文中，术语“SIS”将用于统称这些系统。

图2为典型SIS的示意图，其中包含至少一个安全仪表功能(SIF)。SIF在IEC 61508中也指安全功能，但为了便于讨论，将使用术语SIF。SIF由输入子系统、逻辑解算器子系统和最终元件子系统组成，用途是在当需求发生时，将受控设备(EUC)置于安全状态。EUC是指受SIS保护的系统。图3显示了SIF的典型框图以及子系统的示例。输入子系统包含至少一个传感器，作为监测系统，可以检测故障并向逻辑解算器发送信号。逻辑解算器会处理接收到的信号，然后决定下一步做什么。比如，可能要求最终元件通过断路器、继电器或关闭阀等执行装置将SIS置于安全状态。

值得注意的是，监控电路在SIS中很有用。它们可以在输入子系 统中发挥作用以检测异常，在逻辑解算器子系统中监测电源或其他微控制器功能和信号故障，或者作为SIF本身，通过复位信号使系统进入安全状态。这一点可以从图3中看出。

可以通过安全完整性等级(SIL)来量化IEC 61508合规性。每个SIF都有SIL评级，表示SIF在管控风险方面的表现。IEC 61508规定了SIL 1到SIL 4四个SIL级别，其中SIL 4表示最可靠。通常，首先进行危险分析和风险评估，以了解所需的安全功能，然后了解风险降低系数，从而了解所需的SIL等级。《过程安全手册一》 中展示了一种使用风险矩阵校准的方法。

特定的SIL级别有其自身的要求，受三个因素影响：定量可靠性要求、架构约束和系统安全完整性。对于每个因素，下一小节将展示监控器如何通过诊断要求帮助实现IEC 61508合规性。

表1显示了IEC 61508-1第7.6.2.9节中关于安全完整性要求的摘要，这项要求针对SIF的目标故障测量规定了相应的SIL。PFD_avg是指低需求工作模式下，在需要安全功能时发生危险故障的平均概率。PFH是指高需求模式或连续工作模式下，安全功能每小时发生危险故障的平均频率。

表1. 与工作模式相关的SIS的SIL目标

影响随机硬件故障平均概率的因素有很多，其中包括诊断测试覆盖率、诊断测试间隔和未检测到的危险故障率（用 λ_DU表示）。未检测到的危险故障是指无法通过系统诊断检测到而只能通过验证测试来识别的故障，如图4所示。这就是使用监控电路的重要性所在，因为监控电路可以作为诊断措施，帮助检测危险故障，从而降低发生此类故障的概率。这样，就可以将未检测到的危险故障转化为检测到的故障。

除了量化的可靠性要求外，IEC 61508还对SIS的稳健性和结构提出了要求。这些架构约束增加了设计人员在选择硬件架构时需要考虑的因素。根据IEC 61508-2第7.4.4节，可用于证明符合SIL的路线之一是路线 1_H。该路线基于硬件容错(HFT)和安全失效比率(SFF)概念。

面对架构约束，需要考虑元件的复杂性和类型。A类元件或简单组件具有明确定义的故障模式、故障条件下可预测的行为以及可靠故障数据（满足所要求的未检测到的危险故障率）。否则视为B类元件或复合组件。

表2以集成电路等电子系统为例，显示了B类元件的要求。SFF是衡量元件倾向于变成安全状态失败的指标，而HFT为N意味着N+1是可能导致安全功能丧失的最小故障数，因此需要一定量的冗余。这意味着，如果系统的HFT为0，则一次故障就可能导致安全功能丧失，而HFT为1则意味着需要两次故障才会造成安全功能丧失。

表2. B类安全相关元件或子系统执行的安全功能的最大允许安全完整性等级

SFF的数学公式可以表示为：

另一个术语称为诊断覆盖率，可以表示为：

其中λ是故障率，SD表示安全检测到，SU表示安全未检测到，DD表示危险检测到，DU表示危险未检测到，如图4所示。

诊断覆盖率用于评估SIS的诊断措施在揭示危险故障方面的表现。这会影响系统的量化可靠性，如前所述，并且与SFF相关，如公式1和2所示。IEC 61508-2在其附件A中还提供了一种方法，用于确定在使用不同技术和措施检测随机硬件故障时，所能达到的最大允许诊断覆盖率。

表3显示了各个等级的诊断覆盖率分类。

表3. IEC 61508诊断覆盖率分类

表4摘自IEC 61508-2附件A表A.1，其中指定了在量化随机硬件故障的影响时要假设的故障或失效，或在推导SFF时要考虑的故障或失效。值得注意的是，诊断覆盖率故障模型需要达到较高的诊断覆盖率。诊断覆盖率故障模型包括固定电平故障、开路故障、开路或高阻抗输出以及信号线之间的短路等故障模式，所有这些故障模式都可以通过过压(OV)和欠压(UV)监视器等监控电路检测到。

表4. 诊断覆盖率要素的要求

总之，IEC 61508根据SIF的HFT和SFF规定了SIL要求。由于SFF和诊断覆盖率参数受到系统检测故障能力的显著影响，改进诊断措施（例如添加监控电路）也将提高SIF的SIL等级。

系统安全完整性的要求本质上是定性的，用于评估系统开发过程在消除故障方面的能力。为此，需要彻底检查硬件和软件的设计、生产和测试程序。SIL越高，检查就必须越严格，并且需要组件制造商提供更多文件来证明符合要求。

IEC 61508规定了设计人员应在适用情况下课实施的几种技术和措施，以消除SIS安全生命周期各个阶段的系统故障。对此，表5列出了IEC 61508-2表A.16中的一些项目。该表显示了控制由环境压力和影响引起的系统故障所需的技术和措施，其中M表示强制，HR表示强烈推荐，R表示推荐。这些标记下面是实现此类诊断措施需要付出的工作量。例如，SIL 3等级必须采用电压监视器等措施来应对电压变化，同时强烈建议采用程序序列监控（如看门狗定时器），其中诊断覆盖率必须至少达到90%。

表5. IEC 61508-2附件A表A.16中的部分项目

系统安全完整性要求的另一个关键是具有良好的质量管理体系(QMS)。组织可以通过获得ISO 9001:2015质量管理体系认证来证明 。值得注意的是，IEC 61508关于整体安全生命周期和功能安全评估的大部分要求与ISO 9001对整体安全生命周期的要求相一致。因此，拥有QMS证书可以加快认证过程。这与企业的功能安全战略相辅相成，例如，在功能安全标准（如IEC 61508）的基础上根据自身需求进行调整。

为了设计出符合功能安全要求的系统，需要仔细考虑前面讨论的要求。其中涉及实施足够的安全措施，以确保在发生故障时仍能可靠、安全地运行，但可能会因为增加电路元件而增加成本。因此，使用具有集成安全功能的元件可以简化系统级实 施，通过减少元件数量提高系统可靠性，并通过缩短诊断测试间隔来提高诊断覆盖率。具体可以参见图5，ADI的 MAX42500可以通过将多种安全功能组合在一个封装中（而不是使用单独的 监控电路），为安全关键电路提供足够的诊断覆盖率。该电源系统监视器可满足多种措施要求，例如针对电压击穿、电压变化、过压、低电压、可能导致危险故障的交流电源频率变化等其他现象以及程序序列监视的措施，从而帮助实现功能安全合规性。第一个要求强调了对所有安全关键电压轨进行UV和OV检测的必要性。第二个要求强调了单通道系统中标准微控制器单元需要单独的看门狗定时器。MAX42500可满足这两种需求，它具有七个电源监视器和一个通过 I²C 通信的看门狗定时器。

另一个考量因素是有没有安全文件来证明符合功能安全要求，尤其是在认证功能安全标准时。符合或获得IEC 61508认证的元件（例如MAX42500）已通过提供必要的安全文档（安全手册、故障模式影响和诊断分析(FMEDA)、良好的QMS等）来提供这方面的支持。尽管如此，考虑到IEC 61508的当前修订版本，按照图5所示，仍可以使用非合规的产品（如LTC2965 和 LTC4365）来提高系统的诊断覆盖率和稳健性。然而，系统设计人员需要获取必要的安全文件以满足功能安全合规性要求。

本文阐明了高性能电压监控器在促进工业功能安全合规方面发挥的关键作用。通过研究基础功能安全标准IEC 61508及其对特定行业标准的影响，为加深理解奠定了基础。而且，还定义了关键术语以便于清晰理解，例如安全仪表系统、安全仪表功能和安全完整性等级。此外，我们深入研究了IEC 61508的基本要求，包括量化可靠性、架构约束和系统安全完整性，特别强调了采用高性能监控电路（如电源监视器和看门狗定时器）的影响。本文以MAX42500为例讨论了集成安全功能的应用，有助于在系统设计中考虑除了功能安全合规以外的更多方面。通过这次研究，强调了高性能电压监控器对于保证工业系统安全性和可靠性的重要意义。