芯耀
321
此前强调了诊断活动对于满足基本功能安全标准的定性和定量的意义,如图1所示。出于定性考虑,无论安全完整性等级(SIL)如何,都必须实施电源监视器。而对于定量要求,主要有两个考虑因素:可靠性预测和架构约束。可靠性预测用于评估系统发生危险故障的平均概率,可以是低需求工作模式下需要时发生危险故障的平均概率(PFDavg),也可以是高需求工作模式下每小时危险故障的平均频率(PFH)。
本文针对PFH展开讨论。同时,架构约束受到安全失效比率(SFF)和冗余要求的影响。集成了诊断功能后,可通过识别随机硬件故障来增强这些指标。得益于此,设计过程中可以使用任何符合必要技术规格的监控IC,因为SIL等级是在系统级确定的。
图1. 基于IEC 61508:2010标准的诊断。
鉴于安全生命周期的严格要求,与非安全项目相比,实施安全项目往往需要付出更多努力。此时可以通过一些有效的策略来缩短项目时间线,并提高功能安全合规性,比如使用根据IEC 61508开发的器件。虽然这不是强制要求,但该方法可提供超出基本功能安全标准要求的多项优势。这些优势体现在以下方面。
本身包含FMEDA
符合IEC 61508标准的电源监视器包含安全手册,其中详细说明了其故障模式、影响和诊断分析过程(FMEDA)。该过程涉及检查系统的故障模式,旨在识别潜在故障原因及其对系统的影响(图2)。无论是在器件层面还是系统层面应用,FMEDA都有助于证明器件符合IEC 61508等功能安全标准,同时满足其定性和定量要求。
图2. FMEDA方框图。
IEC 61508-2:2010概述了安全手册对合规项的要求。在这些信息的帮助下,IC集成商能够更轻松地完成FMEDA。
附录D第D.2.2节规定,对于每项功能,安全手册应:
(d)包含由于随机硬件故障导致合规项内部(以输出行为为依据)的故障模式,这些故障模式会导致诊断系统无法检测到该功能的故障。
(e)对于(c)和(d)中的每个故障模式,包含预估故障率。
第7.4.9.4节第(j)项规定,对于易受E/E/PE系统实施的随机硬件故障要求影响的每个安全相关元件,应提供由于硬件故障信息而导致的诊断故障率。
这有助于简化安全分析流程,系统架构师可直接使用安全手册中提供的故障率来创建系统级FMEDA。如果器件FMEDA的假设与系统设计人员的用例不同,可调整现有分析文档,以便重新计算并在系统级进一步分析。
集成了安全特性,涵盖多项诊断功能
为应用选择合适的部件通常需要考虑器件成本、电路板尺寸、系统操作和特性等因素。功能安全合规性还涉及到另一个因素——复杂的安全分析,例如FMEDA中涉及的安全分析。图3显示了高度集成的部件如何缩小电路板尺寸和器件数量,以及如何简化系统的FMEDA。分立解决方案包含更多器件,分析时需更广泛地考虑故障模式和故障率。另一方面,FMEDA文档往往较少提及符合功能安全标准的集成解决方案。例如,图3右侧所示的MAX42500整合了左侧三个独立部分的功能。作为SIL 3级器件,其FMEDA中已提供lambda值,从而简化了系统FMEDA所需的分析和计算。
图3. 分立解决方案与集成解决方案。
自身包含诊断程序,可自行检测随机硬件故障
根据IEC 61508开发的器件包含特定SFF、 λDU(未检测到的危险故障率)和系统能力,得益于片内诊断功能,与不合规器件相比,其可靠性显著提高,特别是在PFDavg和/或PFH方面。这些诊断功能旨在尽可能减少部件开发时已纳入考虑,但却未被检测到的危险故障,以符合SIL为目标。而对于不具备此类诊断功能的部件,由于缺乏检测和减少内部故障的机制,其所表现出的可靠性预测通常明显更差。
我们来看图4所示的MAX42500。该高度集成的器件具有多个模块和引脚,并配备诊断功能,能够识别可能影响这些器件的随机硬件故障。在本系列的第一部分,我们讨论了电源监视器等高性能电压监控器如何通过改善故障检测来帮助提高功能安全合规性,进而增强系统完整性、PFH和SFF。同样,合规的器件性能更优,未检测到危险故障的概率也更低。
图4. MAX42500的(a)功能框图和(b)诊断功能。
图5展示了一个旨在符合IEC 61508标准的安全相关系统内,安全功能的PFH要求典型预算分配情况。该图表明,如果诊断器件未检测到危险故障的概率较低,不仅能提高系统的可靠性,还可以允许在其他系统器件之间更灵活地分配PFH预算。
图5. PFH预算分配示例。
满足即将发布的IEC 61508修订版本的要求
目前,基本功能安全标准IEC 61508:2010并未强制要求基于非冗余系统的诊断进行诊断,也不强制要求系统能力(SC)比诊断安全功能要求低一级。但是,即将发布的标准修订版本预计将引入多项重大变更:
- 明确警告慎用片内诊断来检测同一芯片上的故障,除非IC是按照IEC 61508开发的。
- 潜在故障指标要求与汽车ISO 26262标准保持一致。
- 针对诊断功能的特定SFF。
- 诊断电路的SC要求。
因此,使用按照IEC 61508开发的IC(例如MAX42500)更能够适应未来发展,为这些潜在更新做好准备。
涵盖其他国家/地区的安全标准和指令
系统设计人员如果希望其产品可以在特定国家/地区使用,则必须确保遵守相应的法律和法规。各个国家/地区的安全法规不尽相同,许多国家/地区所采用的IEC 61508标准均进行了本地化调整,例如澳大利亚的AS 615084、英国的BS EN 615085和加拿大的CSA 615086。随着基本功能安全标准的修订,相关行业特定标准和国家/地区法律法规预计也会相应更新。
值得注意的是,一些国家/地区,尤其是在欧盟地区,强制要求使用SIL级监视器。这源自《欧盟机械指令2006/42/EC》“使用建议”,该建议要求单通道系统配备SIL级监视器。该指令规定,诊断功能故障可能会直接导致安全功能或元件故障,因此应被视为安全功能或元件本身的故障。此外,如果场景涉及两个或多个故障,且这些故障会引起与安全功能或元件相关的临界状态,则应采用以下方法之一:
1. 将诊断功能视为单独的功能,并且必须满足表1所示的标准。
表1. 应用诊断功能的系统能力要求
2. 如果某诊断功能故障导致安全功能无法在需要时正常工作的概率增加,根据IEC 61508-4:2010第3.6.7条,应将其归类为危险故障。如果某诊断功能故障导致直接进入安全状态,根据IEC 61508-4:2010第3.6.8条,应归类为安全故障。
简化了功能安全评估
如果应用的SIL等级要求更高,那么也需要包含更强的独立性。如IEC 61508-1:2010表4和表5所示,功能安全评估所需的独立程度基于后果或SIL/SC要求而变化,范围涵盖独立人员到独立组织。因此,最高独立程度要求由独立组织(例如外部评估机构)来验证功能安全合规性。这反过来强调了了解外部评估机构对功能安全的看法的重要性。
我们以T?V S?D和Exida为例,这是功能安全领域公认的专业独立评估机构。前者表示,整体安全功能的SIL要求也应适用于诊断。同样,后者也强调了按照符合IEC 61508的流程开发安全关键器件的重要性。正如本系列第一部分所讨论的,诊断是功能安全合规性的核心,因此选择SIL级监视器不仅可以提高FS合规性,还能缩短外部评估时间,从而加速认证过程。
结论
本文的主要目的是探讨在遵守功能安全标准时,使用符合功能安全等级要求的监视器的重要性。首先,文章深入研究了IEC 61508标准的基本要求,强调了在合规部件的安全手册中提供器件FMEDA信息的重要性。第二,文章介绍了集成SIL级电源监视器的优势,与分立解决方案相比,这不仅能够减小电路板尺寸,还可以简化安全分析。第三,文章讨论了SIL级诊断IC中的广泛片内诊断特性,相关功能可以大幅降低未检测到危险故障的概率,及其对整个系统PFH预算的影响。第四,文章阐述了此类部件如何能够使安全相关系统适应未来发展,为即将发布的IEC 61508标准修订版本做好准备。第五,文章将对SIL级监视器的需求与各国家/地区普遍采用的基本功能安全标准联系起来,其中还涉及到行业特定标准(如《机械指令》)。最后,文章谈到了知名功能安全评估机构对IEC 61508标准相关诊断的看法。
