作者：Bryan Angelo Borres，产品应用工程师

Christopher Macatangay，高级产品应用工程师

问题：

如何使用高性能监控电路来提高工业功能安全合规性？

回答

高性能电压监控器具有集成的安全功能，可提高系统性能，以满足IEC 61508功能安全标准关于定量可靠性、架构约束和系统安全完整性的要求，从而帮助系统符合该标准。

简介

各行各业的安全关键型应用一般都会考虑遵守功能安全标准¹，因为这些应用一旦发生故障，可能会对人员、财产和环境造成危害。产品设计师按照功能安全标准对设计的产品进行认证，让客户可以放心地使用产品，确保产品能够在具有安全法规的国家/地区进行销售，并引领功能安全市场的趋势。本文强调了高性能监控电路²进一步符合IEC 61508³等功能安全标准的重要性。此外，本文也是讨论与这些电路相关的工业功能安全合规性系列文章中的第一篇。

了解功能安全标准

IEC 61508标准³也称为电气/电子/可编程电子安全相关系统功能安全标准，旨在为所有类型的E/E/PE安全相关系统(SRS)的规范、设计和操作规定总体要求。它适用于各种行业，因为它是制定多个行业特定标准的基础，例如过程工业中的IEC 61511⁴、机械工业中的IEC 62061⁵、核电工业中的IEC 61513⁶、汽车工业中的ISO 26262⁷、铁路运输中的IEC 62279⁸、医疗设备¹⁰中的IEC 62304⁹等，如图1所示。

图1.基本标准和一些特定行业的功能安全标准。

虽然特定行业的标准始终优先于IEC 61508，但它通常要求使用SRS中的组件来证明符合功能安全标准。为此，可以按照特定行业标准（如ISO 26262⁷）开发组件，使用“经使用验证”³参数，遵循基本安全标准IEC 61508（如IEC 61511¹¹），或者使用标准组件但采取额外的架构缓解措施。

什么是安全仪表系统？

IEC 61508的E/E/PE SRS在过程工业领域被称为安全仪表系统(SIS)，在机械行业中称为安全相关电气控制系统(SRECS)，在核电行业中称为仪器仪表和控制(I&C)系统。在本文中，术语“SIS”将用于统称这些系统。¹¹

图2.SIS的典型框图。

图2为典型SIS的示意图，其中包含至少一个安全仪表功能(SIF)。SIF在IEC 61508中也指安全功能，但为了便于讨论，将使用术语SIF。SIF由输入子系统、逻辑解算器子系统和最终元件子系统组成，用途是在当需求发生时，将受控设备(EUC)置于安全状态。EUC是指受SIS保护的系统。图3显示了SIF的典型框图以及子系统的示例。输入子系统包含至少一个传感器，作为监测系统，可以检测故障并向逻辑解算器发送信号。逻辑解算器会处理接收到的信号，然后决定下一步做什么。比如，可能要求最终元件通过断路器、继电器或关闭阀等执行装置将SIS置于安全状态。¹¹

值得注意的是，监控电路²在SIS中很有用。它们可以在输入子系统中发挥作用以检测异常，在逻辑解算器子系统中监测电源或其他微控制器功能和信号故障，或者作为SIF本身，通过复位信号使系统进入安全状态。这一点可以从图3中看出。

图3.SIF的典型框图。

高性能监控电路如何实现工业功能安全合规性

可以通过安全完整性等级(SIL)来量化IEC 61508合规性。每个SIF都有SIL评级，表示SIF在管控风险方面的表现。IEC 61508规定了SIL 1到SIL 4四个SIL级别，其中SIL 4表示最可靠。通常，首先进行危险分析和风险评估，以了解所需的安全功能，然后了解风险降低系数，从而了解所需的SIL等级。《过程安全手册一》¹²中展示了一种使用风险矩阵校准的方法。

特定的SIL级别有其自身的要求，受三个因素影响^3,11,13：定量可靠性要求、架构约束和系统安全完整性。对于每个因素，下一小节将展示监控器如何通过诊断要求帮助实现IEC 61508合规性。

定量可靠性要求

表1显示了IEC 61508-1第7.6.2.9节中关于安全完整性要求的摘要，这项要求针对SIF的目标故障测量规定了相应的SIL。PFD_avg是指低需求工作模式下，在需要安全功能时发生危险故障的平均概率。PFH是指高需求模式或连续工作模式下，安全功能每小时发生危险故障的平均频率。

表1.与工作模式相关的SIS的SIL目标^3,11

影响随机硬件故障平均概率的因素有很多，其中包括诊断测试覆盖率、诊断测试间隔和未检测到的危险故障率（用λ_DU表示）^3,14,15。未检测到的危险故障是指无法通过系统诊断检测到而只能通过验证测试来识别的故障，如图4所示。这就是使用监控电路的重要性所在，因为监控电路可以作为诊断措施，帮助检测危险故障，从而降低发生此类故障的概率。这样，就可以将未检测到的危险故障转化为检测到的故障。

图4.影响可靠性要求的故障类型。¹²

架构约束

除了量化的可靠性要求外，IEC 61508还对SIS的稳健性和结构提出了要求。这些架构约束增加了设计人员在选择硬件架构时需要考虑的因素。根据IEC 61508-2第7.4.4节，可用于证明符合SIL的路线之一是路线1_H。该路线基于硬件容错(HFT)和安全失效比率(SFF)概念。

面对架构约束，需要考虑元件的复杂性和类型。A类元件或简单组件具有明确定义的故障模式、故障条件下可预测的行为以及可靠故障数据（满足所要求的未检测到的危险故障率）。否则视为B类元件或复合组件。

表2以集成电路等电子系统为例，显示了B类元件的要求。SFF是衡量元件倾向于变成安全状态失败的指标，而HFT为N意味着N+1是可能导致安全功能丧失的最小故障数，因此需要一定量的冗余。这意味着，如果系统的HFT为0，则一次故障就可能导致安全功能丧失，而HFT为1则意味着需要两次故障才会造成安全功能丧失。

表2.B类安全相关元件或子系统执行的安全功能的最大允许安全完整性等级³

SFF的数学公式可以表示为：

另一个术语称为诊断覆盖率，可以表示为：

其中λ是故障率，SD表示安全检测到，SU表示安全未检测到，DD表示危险检测到，DU表示危险未检测到，如图4所示。

诊断覆盖率用于评估SIS的诊断措施在揭示危险故障方面的表现。这会影响系统的量化可靠性，如前所述，并且与SFF相关，如公式1和2所示。IEC 61508-2在其附件A中还提供了一种方法，用于确定在使用不同技术和措施检测随机硬件故障时，所能达到的最大允许诊断覆盖率。

表3显示了各个等级的诊断覆盖率分类。

表3.IEC 61508诊断覆盖率分类^3,11

表4摘自IEC 61508-2附件A表A.1，其中指定了在量化随机硬件故障的影响时要假设的故障或失效，或在推导SFF时要考虑的故障或失效。值得注意的是，诊断覆盖率故障模型需要达到较高的诊断覆盖率。诊断覆盖率故障模型包括固定电平故障、开路故障、开路或高阻抗输出以及信号线之间的短路等故障模式，所有这些故障模式都可以通过过压(OV)和欠压(UV)监视器等监控电路检测到。

表4.诊断覆盖率要素的要求

总之，IEC 61508根据SIF的HFT和SFF规定了SIL要求。由于SFF和诊断覆盖率参数受到系统检测故障能力的显著影响，改进诊断措施（例如添加监控电路）也将提高SIF的SIL等级。

系统安全完整性

系统安全完整性的要求本质上是定性的，用于评估系统开发过程在消除故障方面的能力。为此，需要彻底检查硬件和软件的设计、生产和测试程序。SIL越高，检查就必须越严格，并且需要组件制造商提供更多文件来证明符合要求。

IEC 61508规定了设计人员应在适用情况下课实施的几种技术和措施，以消除SIS安全生命周期各个阶段的系统故障。对此，表5列出了IEC 61508-2表A.16中的一些项目。该表显示了控制由环境压力和影响引起的系统故障所需的技术和措施，其中M表示强制，HR表示强烈推荐，R表示推荐。这些标记下面是实现此类诊断措施需要付出的工作量。例如，SIL 3等级必须采用电压监视器等措施来应对电压变化，同时强烈建议采用程序序列监控（如看门狗定时器），其中诊断覆盖率必须至少达到90%。

表5.IEC 61508-2附件A表A.16中的部分项目³

系统安全完整性要求的另一个关键是具有良好的质量管理体系(QMS)。组织可以通过获得ISO 9001:2015质量管理体系认证来证明¹⁶。值得注意的是，IEC 61508关于整体安全生命周期和功能安全评估的大部分要求与ISO 9001对整体安全生命周期的要求相一致。因此，拥有QMS证书可以加快认证过程¹⁷。这与企业的功能安全战略相辅相成，例如，在功能安全标准（如IEC 61508）的基础上根据自身需求进行调整。

使用集成解决方案改进功能安全设计

为了设计出符合功能安全要求的系统，需要仔细考虑前面讨论的要求。其中涉及实施足够的安全措施，以确保在发生故障时仍能可靠、安全地运行，但可能会因为增加电路元件而增加成本。因此，使用具有集成安全功能的元件可以简化系统级实施，通过减少元件数量提高系统可靠性，并通过缩短诊断测试间隔来提高诊断覆盖率¹³。具体可以参见图5，ADI的MAX42500可以通过将多种安全功能组合在一个封装中（而不是使用单独的监控电路），为安全关键电路提供足够的诊断覆盖率。该电源系统监视器可满足多种措施要求，例如针对电压击穿、电压变化、过压、低电压、可能导致危险故障的交流电源频率变化等其他现象以及程序序列监视的措施，从而帮助实现功能安全合规性。第一个要求强调了对所有安全关键电压轨进行UV和OV检测的必要性。第二个要求强调了单通道系统中标准微控制器单元需要单独的看门狗定时器。MAX42500可满足这两种需求，它具有七个电源监视器和一个通过I2C通信的看门狗定时器。

另一个考量因素是有没有安全文件来证明符合功能安全要求，尤其是在认证功能安全标准时。符合或获得IEC 61508认证的元件（例如MAX42500）已通过提供必要的安全文档（安全手册、故障模式影响和诊断分析(FMEDA)、良好的QMS等）来提供这方面的支持。尽管如此，考虑到IEC 61508的当前修订版本，按照图5所示，仍可以使用非合规的产品（如LTC2965和LTC4365）来提高系统的诊断覆盖率和稳健性。然而，系统设计人员需要获取必要的安全文件以满足功能安全合规性要求。

图5.在安全设计中引入充分的监测和保护措施。

结论

本文阐明了高性能电压监控器在促进工业功能安全合规方面发挥的关键作用。通过研究基础功能安全标准IEC 61508及其对特定行业标准的影响，为加深理解奠定了基础。而且，还定义了关键术语以便于清晰理解，例如安全仪表系统、安全仪表功能和安全完整性等级。此外，我们深入研究了IEC 61508的基本要求，包括量化可靠性、架构约束和系统安全完整性，特别强调了采用高性能监控电路（如电源监视器和看门狗定时器）的影响。本文以MAX42500为例讨论了集成安全功能的应用，有助于在系统设计中考虑除了功能安全合规以外的更多方面。通过这次研究，强调了高性能电压监控器对于保证工业系统安全性和可靠性的重要意义。

请继续关注本系列的下一篇文章，我们将讨论在为安全关键型应用设计功能安全电源系统时使用SIL级电压监控器的优势。

参考文献

1 Tom Meany。“功能安全和工业4.0”。ADI公司，2018年3月。

2 Noel Tenorio和Anthony Serquiña。“高性能电压监控器详解——第1部分”。《模拟对话》，第58卷第2期，2024年4月。

3 IEC 61508《电气/电子/可编程电子安全相关系统的功能安全》的所有部分。国际电工委员会，2010年。

4 IEC 61511《功能安全–过程工业领域的安全仪表系统》的所有部分。国际电工委员会，2016年。

5 IEC 62061《机械安全–安全相关电气、电子和可编程电子控制系统的功能安全》。国际电工委员会，2005年。

6 IEC 61513《核电站–安全重要仪器和控制–系统的一般要求》。国际电工委员会，2011年。

7 ISO 26262《道路车辆功能安全》的所有部分。国际标准化组织，2011年。

8 IEC 62279《铁路应用–通信、信号和处理系统：铁路控制和保护系统软件》。国际电工委员会，2015年。

9 IEC 62304《医疗设备软件–软件生命周期流程》。国际电工委员会，2006年。

10 “常见问题解答：医疗设备的功能安全”。TÜV SÜD，2024年。

11 Marvin Rausand。“安全关键系统的可靠性：理论与应用”。Wiley，2014年1月。

12 《过程安全手册一：过程工业中的功能安全》。Rockwell Automation，2013年3月。

13 Tom Meany。“集成电路的功能安全”。ADI公司，2018年2月。

14 Loren Stewart。“回归基础16 PFDavg”。Exida，2019年10月。

15 Loren Stewart。“回归基础17 PFH”。Exida，2019年11月。

16 《ISO 9001:2015质量管理体系–要求》。2015年。

17 “功能安全：全面质量方法”。RTP Corp.，2021年。

关于ADI公司

Analog Devices, Inc. (NASDAQ: ADI)是全球领先的半导体公司，致力于在现实世界与数字世界之间架起桥梁，以实现智能边缘领域的突破性创新。ADI提供结合模拟、数字和软件技术的解决方案，推动数字化工厂、汽车和数字医疗等领域的持续发展，应对气候变化挑战，并建立人与世界万物的可靠互联。ADI公司2024财年收入超过90亿美元，全球员工约2.4万人。ADI助力创新者不断超越一切可能。更多信息，请访问www.analog.com/cn。

作者简介

Bryan Angelo Borres是其团队中负责功能安全的电源应用工程师。他与Tom Meany合作，帮助客户设计符合IEC 61508等工业功能安全标准的系统。他拥有玛布亚大学电力电子专业的研究生学位，目前正在攻读电子工程硕士学位。Bryan在设计高效、稳健的电力电子系统方面拥有五年多的丰富经验。

Christopher Macatangay是多市场Power-East事业部的高级产品应用工程师。他于2015年加入ADI公司，担任产品应用工程师。在加入ADI公司之前，Christopher曾在一家电源公司担任测试开发工程师，积累了六年的工作经验。他拥有亚当森大学电子与通信工程学士学位。