各行各業的安全關鍵型應用一般都會考慮遵守功能安全標準，因為這些應用一旦發生故障，可能會對人員、財產和環境造成危害。產品設計師按照功能安全標準對設計的產品進行認證，讓客戶可以放心地使用產品，確保產品能夠在具有安全法規的國家/地區進行銷售，并引領功能安全市場的趨勢。本文強調了高性能監控電路進一步符合等功能安全標準的重要性。了解功能安全標準

IEC 61508標準也稱為電氣/電子/可編程電子安全相關系統功能安全標準，旨在為所有類型的E/E/PE安全相關系統(SRS)的規范、設計和操作規定總體要求。它適用于各種行業，因為它是制定多個行業特定標準的基礎，例如過程工業中的IEC 61511、機械工業中的IEC 62061、核電工業中的IEC 61513、汽車工業中的ISO 26262 、鐵路運輸中的IEC 62279、醫療設備9中的IEC 62304 等，如圖1所示。

圖1. 基本標準和一些特定行業的功能安全標準。

雖然特定行業的標準始終優先于IEC 61508，但它通常要求使用SRS中的組件來證明符合功能安全標準。為此，可以按照特定行業標準（如ISO 26262）開發組件，使用“經使用驗證”參數，遵循基本安全標準IEC 61508（如IEC 61511 ），或者使用標準組件但采取額外的架構緩解措施。

什么是安全儀表系統？

IEC 61508的E/E/PE SRS在過程工業領域被稱為安全儀表系統(SIS)，在機械行業中稱為安全相關電氣控制系統(SRECS)，在核電行業中稱為儀器儀表和控制(I& C)系統。在本文中，術語“SIS”將用于統稱這些系統。

圖2為典型SIS的示意圖，其中包含至少一個安全儀表功能(SIF)。SIF在IEC 61508中也指安全功能，但為了便于討論，將使用術語SIF。SIF由輸入子系統、邏輯解算器子系統和最終元件子系統組成，用途是在當需求發生時，將受控設備(EUC)置于安全狀態。EUC是指受SIS保護的系統。圖3顯示了SIF的典型框圖以及子系統的示例。輸入子系統包含至少一個傳感器，作為監測系統，可以檢測故障并向邏輯解算器發送信號。邏輯解算器會處理接收到的信號，然后決定下一步做什么。比如，可能要求最終元件通過斷路器、繼電器或關閉閥等執行裝置將SIS置于安全狀態。

圖2. SIS的典型框圖。

圖3. SIF的典型框圖

值得注意的是，監控電路在SIS中很有用。它們可以在輸入子系 統中發揮作用以檢測異常，在邏輯解算器子系統中監測電源或其他微控制器功能和信號故障，或者作為SIF本身，通過復位信號使系統進入安全狀態。這一點可以從圖3中看出。

高性能監控電路如何實現工業功能安全合規性

可以通過安全完整性等級(SIL)來量化IEC 61508合規性。每個SIF都有SIL評級，表示SIF在管控風險方面的表現。IEC 61508規定了SIL 1到SIL 4四個SIL級別，其中SIL 4表示最可靠。通常，首先進行危險分析和風險評估，以了解所需的安全功能，然后了解風險降低系數，從而了解所需的SIL等級。《過程安全手冊一》 中展示了一種使用風險矩陣校準的方法。

特定的SIL級別有其自身的要求，受三個因素影響：定量可靠性要求、架構約束和系統安全完整性。對于每個因素，下一小節將展示監控器如何通過診斷要求幫助實現IEC 61508合規性。

定量可靠性要求

表1顯示了IEC 61508-1第7.6.2.9節中關于安全完整性要求的摘要，這項要求針對SIF的目標故障測量規定了相應的SIL。PFD avg 是指低需求工作模式下，在需要安全功能時發生危險故障的平均概率。PFH是指高需求模式或連續工作模式下，安全功能每小時發生危險故障的平均頻率。

表1. 與工作模式相關的SIS的SIL目標

影響隨機硬件故障平均概率的因素有很多，其中包括診斷測試覆蓋率、診斷測試間隔和未檢測到的危險故障率（用 λ DU 表示）。未檢測到的危險故障是指無法通過系統診斷檢測到而只能通過驗證測試來識別的故障，如圖4所示。這就是使用監控電路的重要性所在，因為監控電路可以作為診斷措施，幫助檢測危險故障，從而降低發生此類故障的概率。這樣，就可以將未檢測到的危險故障轉化為檢測到的故障。

圖4. 影響可靠性要求的故障類型。架構約束

除了量化的可靠性要求外，IEC 61508還對SIS的穩健性和結構提出了要求。這些架構約束增加了設計人員在選擇硬件架構時需要考慮的因素。根據IEC 61508-2第7.4.4節，可用于證明符合SIL的路線之一是路線 1 H 。該路線基于硬件容錯(HFT)和安全失效比率(SFF)概念。

面對架構約束，需要考慮元件的復雜性和類型。A類元件或簡單組件具有明確定義的故障模式、故障條件下可預測的行為以及可靠故障數據（滿足所要求的未檢測到的危險故障率）。否則視為B類元件或復合組件。

表2以集成電路等電子系統為例，顯示了B類元件的要求。SFF是衡量元件傾向于變成安全狀態失敗的指標，而HFT為N意味著N+1是可能導致安全功能喪失的最小故障數，因此需要一定量的冗余。這意味著，如果系統的HFT為0，則一次故障就可能導致安全功能喪失，而HFT為1則意味著需要兩次故障才會造成安全功能喪失。

表2. B類安全相關元件或子系統執行的安全功能的最大允許安全完整性等級

SFF的數學公式可以表示為：

另一個術語稱為診斷覆蓋率，可以表示為：

其中λ是故障率，SD表示安全檢測到，SU表示安全未檢測到，DD表示危險檢測到，DU表示危險未檢測到，如圖4所示。

診斷覆蓋率用于評估SIS的診斷措施在揭示危險故障方面的表現。這會影響系統的量化可靠性，如前所述，并且與SFF相關，如公式1和2所示。IEC 61508-2在其附件A中還提供了一種方法，用于確定在使用不同技術和措施檢測隨機硬件故障時，所能達到的最大允許診斷覆蓋率。

表3顯示了各個等級的診斷覆蓋率分類。

表3. IEC 61508診斷覆蓋率分類

表4摘自IEC 61508-2附件A表A.1，其中指定了在量化隨機硬件故障的影響時要假設的故障或失效，或在推導SFF時要考慮的故障或失效。值得注意的是，診斷覆蓋率故障模型需要達到較高的診斷覆蓋率。診斷覆蓋率故障模型包括固定電平故障、開路故障、開路或高阻抗輸出以及信號線之間的短路等故障模式，所有這些故障模式都可以通過過壓(OV)和欠壓(UV)監視器等監控電路檢測到。

表4. 診斷覆蓋率要素的要求

總之，IEC 61508根據SIF的HFT和SFF規定了SIL要求。由于SFF和診斷覆蓋率參數受到系統檢測故障能力的顯著影響，改進診斷措施（例如添加監控電路）也將提高SIF的SIL等級。

系統安全完整性

系統安全完整性的要求本質上是定性的，用于評估系統開發過程在消除故障方面的能力。為此，需要徹底檢查硬件和軟件的設計、生產和測試程序。SIL越高，檢查就必須越嚴格，并且需要組件制造商提供更多文件來證明符合要求。

IEC 61508規定了設計人員應在適用情況下課實施的幾種技術和措施，以消除SIS安全生命周期各個階段的系統故障。對此，表5列出了IEC 61508-2表A.16中的一些項目。該表顯示了控制由環境壓力和影響引起的系統故障所需的技術和措施，其中M表示強制，HR表示強烈推薦，R表示推薦。這些標記下面是實現此類診斷措施需要付出的工作量。例如，SIL 3等級必須采用電壓監視器等措施來應對電壓變化，同時強烈建議采用程序序列監控（如看門狗定時器），其中診斷覆蓋率必須至少達到90%。

表5. IEC 61508-2附件A表A.16中的部分項目

系統安全完整性要求的另一個關鍵是具有良好的質量管理體系(QMS)。組織可以通過獲得ISO 9001:2015質量管理體系認證來證明 。值得注意的是，IEC 61508關于整體安全生命周期和功能安全評估的大部分要求與ISO 9001對整體安全生命周期的要求相一致。因此，擁有QMS證書可以加快認證過程。這與企業的功能安全戰略相輔相成，例如，在功能安全標準（如IEC 61508）的基礎上根據自身需求進行調整。

使用集成解決方案改進功能安全設計

為了設計出符合功能安全要求的系統，需要仔細考慮前面討論的要求。其中涉及實施足夠的安全措施，以確保在發生故障時仍能可靠、安全地運行，但可能會因為增加電路元件而增加成本。因此，使用具有集成安全功能的元件可以簡化系統級實 施，通過減少元件數量提高系統可靠性，并通過縮短診斷測試間隔來提高診斷覆蓋率。具體可以參見圖5，ADI的 MAX42500可以通過將多種安全功能組合在一個封裝中（而不是使用單獨的 監控電路），為安全關鍵電路提供足夠的診斷覆蓋率。該電源系統監視器可滿足多種措施要求，例如針對電壓擊穿、電壓變化、過壓、低電壓、可能導致危險故障的交流電源頻率變化等其他現象以及程序序列監視的措施，從而幫助實現功能安全合規性。第一個要求強調了對所有安全關鍵電壓軌進行UV和OV檢測的必要性。第二個要求強調了單通道系統中標準微控制器單元需要單獨的看門狗定時器。MAX42500可滿足這兩種需求，它具有七個電源監視器和一個通過 I 2 C 通信的看門狗定時器。

圖5. 在安全設計中引入充分的監測和保護措施。

另一個考量因素是有沒有安全文件來證明符合功能安全要求，尤其是在認證功能安全標準時。符合或獲得IEC 61508認證的元件（例如MAX42500）已通過提供必要的安全文檔（安全手冊、故障模式影響和診斷分析(FMEDA)、良好的QMS等）來提供這方面的支持。盡管如此，考慮到IEC 61508的當前修訂版本，按照圖5所示，仍可以使用非合規的產品（如LTC2965 和 LTC4365）來提高系統的診斷覆蓋率和穩健性。然而，系統設計人員需要獲取必要的安全文件以滿足功能安全合規性要求。

結論

本文闡明了高性能電壓監控器在促進工業功能安全合規方面發揮的關鍵作用。通過研究基礎功能安全標準IEC 61508及其對特定行業標準的影響，為加深理解奠定了基礎。而且，還定義了關鍵術語以便于清晰理解，例如安全儀表系統、安全儀表功能和安全完整性等級。此外，我們深入研究了IEC 61508的基本要求，包括量化可靠性、架構約束和系統安全完整性，特別強調了采用高性能監控電路（如電源監視器和看門狗定時器）的影響。本文以MAX42500為例討論了集成安全功能的應用，有助于在系統設計中考慮除了功能安全合規以外的更多方面。通過這次研究，強調了高性能電壓監控器對于保證工業系統安全性和可靠性的重要意義。