在过去的几年里，工业功能安全系统有了显著的发展，这是由以下几个因素推动的:

• 制造商希望使用新的复杂技术来降低成本(例如，使用安全转矩关闭而不是增加第二个接触器)。

• 机器人的使用，特别是协作机器人的使用，已经被证明可以提高许多工厂车间的生产率

• 认识到使用经过安全认证的设备可以提高整体可靠性

• 承认诊断的使用提高了许多工厂的生产能力

• 引入新的安全要求

另一个推动因素是对能源、石油和天然气行业提出了严格的要求，并结合了监管义务。

在讨论太多细节之前，让我们先看一下一些基本定义，以帮助各个层次的读者更好地理解本文。

什么是安全?

安全被认为是免于不可接受的风险。例如，工厂地板上未受保护的旋转机器将被认为是不安全的。

什么是安全功能?

这定义了为达到或保持安全而必须进行的操作。安全功能的目的是减少系统中的风险。例如，如果同一台旋转机器前面安装了光幕，则安全功能将是在手经过时检测到光束断裂，并在手有时间接触到它之前停止旋转机器。

通常，一个安全功能有三个子系统。图1显示了一个安全系统，用于检测危险液体的液位，并在满溢时关闭流量。

• 用于检测值或状态的输入子系统(传感器，如液位传感器)

• 决定状态是否危险的逻辑子系统(可编程逻辑控制器)

• 一个输出子系统，它可以采取一个动作来维持安全(执行器)。

什么是功能安全?

这涉及到系统在需要时执行其预期安全功能的信心。它有效地衡量了功能安全工程师在光束损坏时，对电机的光幕和停止安全功能是否能正常工作有多大的信心。

如果硬件指标(随机错误)、系统能力(SC)和共同原因故障(CCF)不会导致安全系统故障、人员伤亡、环境破坏或生产损失，则系统被认为是功能安全的。

现在，在解释了一些基本的安全定义之后，让我们考虑一下在设计功能安全系统时必须遵守的一些功能安全标准，以及它们带来的好处。

当遵循像IEC 61508或ISO 26262这样的功能安全开发过程时，制造商有许多好处，例如:

• 提高了前期需求的清晰度

• 测试期间的bug更少

• 编写的软件具有更高的一致性

• 在集成期间发现的缺陷更少

• 更彻底的测试

• 该领域的缺陷更少

• 与竞争对手相比，差异化有所提高

有许多安全标准(见图2)，其中大部分源自工业IEC 61508标准。值得注意的是，90%到95%的IEC 61508要求在所有标准中都是相似的。

本文将重点介绍用于工业应用的IEC 61508，特别是如何使用相同的冗余设计带有SIL 2组件的SIL 3解决方案。

冗余、高可用性和硬件容错

无论系统有多可靠，系统最终都会失败!两种常见的故障类型是系统故障和随机故障。参见图3。

冗余是指在安全系统发生故障时，有效地拥有一条能够执行预期安全功能的备用或冗余路径。值得注意的是，如果系统具有一定程度的冗余，并不意味着它具有高可用性。只有当冗余路径可以自动打开或激活时，它才具有高可用性。IEC 61508中常用的另一个术语称为硬件容错(HFT)。HFT = N表示N + 1是可能导致安全功能丧失的最小故障数。值得指出的是，不应考虑可能控制故障影响的其他措施，如诊断。高频交易是一种有效的手段，可以确保硬件对故障的鲁棒性，同时允许您在高频交易与SFF之间进行权衡。见表1。

安全完整性等级

SIL描述了安全功能的完整性和所提供的风险降低的相对水平。IEC 61508规定了四个SIL, SIL 1具有最低的安全完整性水平，SIL 4具有最高的安全完整性水平。表2比较了工业IEC 61508安全级别(SIL)与自动(ISO 26262)安全级别(ASIL)和航空电子安全级别。注意，这些只是近似的比较。

随着SIL级别数量的增加(从SIL 1到SIL 4)，允许的故障时间(FIT)减少。一个FIT相当于每十亿(1e9)小时运行一次故障。109小时~ 10万年!值得指出的是，没有设备可以持续运行10亿小时，但如果你一年运行10万台设备，你可能会在这段时间内随机出现一次硬件故障。安全故障分数(SFF)是一个安全函数中检测到的安全故障加危险故障的总故障数与总故障数的比值。

表3显示了硬件容错为零(HFT = 0)时安全故障分数(SFF)和SIL之间的联系。

现有问题/解决方案

对于许多采用功能安全的设计人员，特别是那些使用ic进行设计的设计人员来说，问题在于，要获得认证既困难又昂贵，而且还存在不合规的真正风险。必须创建一个系统级的FMEDA，他们必须将asic视为黑盒，因为他们不知道:

• 晶体管计数

• 内部失效机制

• 布局块大小

• IC的可靠性

因此，为了实现总体SIL目标，设计师必须在FIT计算中过于保守，在安全系统的其他部分过于安全。这通常意味着使用外部诊断，如外部ADC。这样做的问题是:

• 更贵(BOM)

• 更大的足迹

• 更多的复杂性

• 系统软件的额外开销

• 更长的开发时间

为了解决这些问题，IEC 61508标准的新版本(Revision 3)即将问世。

IEC 61508修订3

目前计划在IEC 61508修订3中进行的更改包括明确警告使用片上诊断来检测同一芯片上的故障，除非IC是按照IEC 61508开发的。它还计划包括类似于汽车ISO 26262潜在故障度量的要求。除了一种用于诊断功能的SFF外，诊断电路还将具有SC要求。

ADFS5758:世界上第一个认证的数据转换器

ADFS5758是一款单通道16位电流输出DAC，具有集成动态功率控制(DPC)、内部参考以及众多片上诊断功能。图4显示了框图。

ADFS5758的诊断/安全措施

• 主片上诊断是一个ADC;如前所述，IEC 61508修订3计划澄清，除非IC是按照IEC 61508开发的，否则通常不允许使用片上诊断来检测片上故障

• 检查有效的读/写地址

• ECC校正

• 看门狗定时器

• 锁定配置寄存器的能力

• 内部偏置电压监测器

• 温度监控

为满足以下要求而设计:

• 工业工厂自动化

• 过程控制应用

• 高密度小尺寸PLC I/O卡

安全功能:

采用数字输入代码并产生±2.5%满量程(FSR)内的输出电流。

按照IEC 61508标准开发:

• SIL 2在硬件指标方面

• 系统需求方面的SIL 3

ADFS5758的TUV莱茵功能安全证书副本见图5。

图6显示了ADFS5758在典型安全应用中的使用情况。

对于满足SIL需求的系统，那么硬件度量(也称为架构约束)和SC都必须满足SIL目标。

体系结构约束

将两个SIL 2元素(相同的或不同的)并行放置，允许客户从硬件度量的角度实现更高的SIL 3级别。参见图7。

系统的功能

冗余可以通过使用不同的(不同的)元素或相同的元素来实现。

相同的元素

使用具有相同SC的相同元件并不能改善整体SC，因为它们都容易出现相同的CCF-like温度峰值或电压降，并且相同的故障可能使两个元件都瘫痪。参见图8。

不同的元素

在冗余配置中使用不同的元素可以提高系统的整体能力。参见图9。

这样做的原因是，由于这两个元素是多样的或不同的，同一故障不太可能同时使两个元素停机。

这种方法的问题在于，随着设计和测试工作量的显著增加，在安全系统中使用各种元件的成本可能会很高。

理想情况下，这里需要的是使用两个相同的元素来满足SC和随机或硬件指标的功能安全要求。

开发比SIL高一级的SC的重要性:相同的冗余

如果一个元件可以在系统中使用，并且被开发到比该元件的SIL高一级的系统能力，那么两个相同的元件可以在安全系统中使用，以提供冗余并增加整体系统能力。图10给出了一个示例。

结论

当在安全系统中使用经过认证的ADFS5758时，有许多优点:

• 降低风险:TÜV会说什么

• 可以使用片上诊断(ADC和分布式诊断)

• 更小的解决方案尺寸/在给定空间内的更多通道(由于使用集成ADC)

• 最小化外部组件数量(更高的可靠性)

• 有针对性的诊断(更短的检测时间和更高的覆盖率)

• 系统级工程师可用的关键号码(FMEDA)

• 更少的系统软件开销(更少的软件诊断)

• 可以对假设的环境进行可靠性分析

• 为客户缩短开发时间

• 相关文件(安全手册和TÜV评估报告)

• IEC 61508修订版3防未来

除了上述优点外，ADFS5758还允许使用SIL 2组件来设计使用相同冗余的SIL 3解决方案。

如果您希望进一步了解功能安全和ADFS5758:

• 请访问ADFS5758产品网页了解更多信息。

• 订购ADFS5758评估套件以熟悉该部件。

• 浏览“设备工业功能安全”网页。

• 阅读设备安全事项博客。