此前強(qiáng)調(diào)了診斷活動對于滿足基本功能安全標(biāo)準(zhǔn)的定性和定量的意義，如圖1所示。出于定性考慮，無論安全完整性等級(SIL)如何，都必須實(shí)施電源監(jiān)視器。而對于定量要求，主要有兩個考慮因素：可靠性預(yù)測和架構(gòu)約束?？煽啃灶A(yù)測用于評估系統(tǒng)發(fā)生危險故障的平均概率，可以是低需求工作模式下需要時發(fā)生危險故障的平均概率(PFDavg)，也可以是高需求工作模式下每小時危險故障的平均頻率(PFH)。

本文針對PFH展開討論。同時，架構(gòu)約束受到安全失效比率(SFF)和冗余要求的影響。集成了診斷功能后，可通過識別隨機(jī)硬件故障來增強(qiáng)這些指標(biāo)。得益于此，設(shè)計過程中可以使用任何符合必要技術(shù)規(guī)格的監(jiān)控IC，因?yàn)镾IL等級是在系統(tǒng)級確定的。

圖1. 基于IEC 61508:2010標(biāo)準(zhǔn)的診斷。

鑒于安全生命周期的嚴(yán)格要求，與非安全項(xiàng)目相比，實(shí)施安全項(xiàng)目往往需要付出更多努力。此時可以通過一些有效的策略來縮短項(xiàng)目時間線，并提高功能安全合規(guī)性，比如使用根據(jù)IEC 61508開發(fā)的器件。雖然這不是強(qiáng)制要求，但該方法可提供超出基本功能安全標(biāo)準(zhǔn)要求的多項(xiàng)優(yōu)勢。這些優(yōu)勢體現(xiàn)在以下方面。

本身包含F(xiàn)MEDA

符合IEC 61508標(biāo)準(zhǔn)的電源監(jiān)視器包含安全手冊，其中詳細(xì)說明了其故障模式、影響和診斷分析過程(FMEDA)。該過程涉及檢查系統(tǒng)的故障模式，旨在識別潛在故障原因及其對系統(tǒng)的影響（圖2）。無論是在器件層面還是系統(tǒng)層面應(yīng)用，F(xiàn)MEDA都有助于證明器件符合IEC 61508等功能安全標(biāo)準(zhǔn)，同時滿足其定性和定量要求。

圖2. FMEDA方框圖。

IEC 61508-2:2010概述了安全手冊對合規(guī)項(xiàng)的要求。在這些信息的幫助下，IC集成商能夠更輕松地完成FMEDA。

附錄D第D.2.2節(jié)規(guī)定，對于每項(xiàng)功能，安全手冊應(yīng)：

(d)包含由于隨機(jī)硬件故障導(dǎo)致合規(guī)項(xiàng)內(nèi)部（以輸出行為為依據(jù)）的故障模式，這些故障模式會導(dǎo)致診斷系統(tǒng)無法檢測到該功能的故障。

(e)對于(c)和(d)中的每個故障模式，包含預(yù)估故障率。

第7.4.9.4節(jié)第(j)項(xiàng)規(guī)定，對于易受E/E/PE系統(tǒng)實(shí)施的隨機(jī)硬件故障要求影響的每個安全相關(guān)元件，應(yīng)提供由于硬件故障信息而導(dǎo)致的診斷故障率。

這有助于簡化安全分析流程，系統(tǒng)架構(gòu)師可直接使用安全手冊中提供的故障率來創(chuàng)建系統(tǒng)級FMEDA。如果器件FMEDA的假設(shè)與系統(tǒng)設(shè)計人員的用例不同，可調(diào)整現(xiàn)有分析文檔，以便重新計算并在系統(tǒng)級進(jìn)一步分析。

集成了安全特性，涵蓋多項(xiàng)診斷功能

為應(yīng)用選擇合適的部件通常需要考慮器件成本、電路板尺寸、系統(tǒng)操作和特性等因素。功能安全合規(guī)性還涉及到另一個因素——復(fù)雜的安全分析，例如FMEDA中涉及的安全分析。圖3顯示了高度集成的部件如何縮小電路板尺寸和器件數(shù)量，以及如何簡化系統(tǒng)的FMEDA。分立解決方案包含更多器件，分析時需更廣泛地考慮故障模式和故障率。另一方面，F(xiàn)MEDA文檔往往較少提及符合功能安全標(biāo)準(zhǔn)的集成解決方案。例如，圖3右側(cè)所示的MAX42500整合了左側(cè)三個獨(dú)立部分的功能。作為SIL 3級器件，其FMEDA中已提供lambda值，從而簡化了系統(tǒng)FMEDA所需的分析和計算。

圖3. 分立解決方案與集成解決方案。

自身包含診斷程序，可自行檢測隨機(jī)硬件故障

根據(jù)IEC 61508開發(fā)的器件包含特定SFF、 λDU（未檢測到的危險故障率）和系統(tǒng)能力，得益于片內(nèi)診斷功能，與不合規(guī)器件相比，其可靠性顯著提高，特別是在PFDavg和/或PFH方面。這些診斷功能旨在盡可能減少部件開發(fā)時已納入考慮，但卻未被檢測到的危險故障，以符合SIL為目標(biāo)。而對于不具備此類診斷功能的部件，由于缺乏檢測和減少內(nèi)部故障的機(jī)制，其所表現(xiàn)出的可靠性預(yù)測通常明顯更差。

我們來看圖4所示的MAX42500。該高度集成的器件具有多個模塊和引腳，并配備診斷功能，能夠識別可能影響這些器件的隨機(jī)硬件故障。在本系列的第一部分，我們討論了電源監(jiān)視器等高性能電壓監(jiān)控器如何通過改善故障檢測來幫助提高功能安全合規(guī)性，進(jìn)而增強(qiáng)系統(tǒng)完整性、PFH和SFF。同樣，合規(guī)的器件性能更優(yōu)，未檢測到危險故障的概率也更低。

圖4. MAX42500的(a)功能框圖和(b)診斷功能。

圖5展示了一個旨在符合IEC 61508標(biāo)準(zhǔn)的安全相關(guān)系統(tǒng)內(nèi)，安全功能的PFH要求典型預(yù)算分配情況。該圖表明，如果診斷器件未檢測到危險故障的概率較低，不僅能提高系統(tǒng)的可靠性，還可以允許在其他系統(tǒng)器件之間更靈活地分配PFH預(yù)算。

圖5. PFH預(yù)算分配示例。

滿足即將發(fā)布的IEC 61508修訂版本的要求

目前，基本功能安全標(biāo)準(zhǔn)IEC 61508:2010并未強(qiáng)制要求基于非冗余系統(tǒng)的診斷進(jìn)行診斷，也不強(qiáng)制要求系統(tǒng)能力(SC)比診斷安全功能要求低一級。但是，即將發(fā)布的標(biāo)準(zhǔn)修訂版本預(yù)計將引入多項(xiàng)重大變更：

明確警告慎用片內(nèi)診斷來檢測同一芯片上的故障，除非IC是按照IEC 61508開發(fā)的。

潛在故障指標(biāo)要求與汽車ISO 26262標(biāo)準(zhǔn)保持一致。

針對診斷功能的特定SFF。

診斷電路的SC要求。

因此，使用按照IEC 61508開發(fā)的IC（例如MAX42500）更能夠適應(yīng)未來發(fā)展，為這些潛在更新做好準(zhǔn)備。

涵蓋其他國家/地區(qū)的安全標(biāo)準(zhǔn)和指令

系統(tǒng)設(shè)計人員如果希望其產(chǎn)品可以在特定國家/地區(qū)使用，則必須確保遵守相應(yīng)的法律和法規(guī)。各個國家/地區(qū)的安全法規(guī)不盡相同，許多國家/地區(qū)所采用的IEC 61508標(biāo)準(zhǔn)均進(jìn)行了本地化調(diào)整，例如澳大利亞的AS 615084、英國的BS EN 615085和加拿大的CSA 615086。隨著基本功能安全標(biāo)準(zhǔn)的修訂，相關(guān)行業(yè)特定標(biāo)準(zhǔn)和國家/地區(qū)法律法規(guī)預(yù)計也會相應(yīng)更新。

值得注意的是，一些國家/地區(qū)，尤其是在歐盟地區(qū)，強(qiáng)制要求使用SIL級監(jiān)視器。這源自《歐盟機(jī)械指令2006/42/EC》“使用建議”，該建議要求單通道系統(tǒng)配備SIL級監(jiān)視器。該指令規(guī)定，診斷功能故障可能會直接導(dǎo)致安全功能或元件故障，因此應(yīng)被視為安全功能或元件本身的故障。此外，如果場景涉及兩個或多個故障，且這些故障會引起與安全功能或元件相關(guān)的臨界狀態(tài)，則應(yīng)采用以下方法之一：

1. 將診斷功能視為單獨(dú)的功能，并且必須滿足表1所示的標(biāo)準(zhǔn)。

表1. 應(yīng)用診斷功能的系統(tǒng)能力要求

2. 如果某診斷功能故障導(dǎo)致安全功能無法在需要時正常工作的概率增加，根據(jù)IEC 61508-4:2010第3.6.7條，應(yīng)將其歸類為危險故障。如果某診斷功能故障導(dǎo)致直接進(jìn)入安全狀態(tài)，根據(jù)IEC 61508-4:2010第3.6.8條，應(yīng)歸類為安全故障。

簡化了功能安全評估

如果應(yīng)用的SIL等級要求更高，那么也需要包含更強(qiáng)的獨(dú)立性。如IEC 61508-1:2010表4和表5所示，功能安全評估所需的獨(dú)立程度基于后果或SIL/SC要求而變化，范圍涵蓋獨(dú)立人員到獨(dú)立組織。因此，最高獨(dú)立程度要求由獨(dú)立組織（例如外部評估機(jī)構(gòu)）來驗(yàn)證功能安全合規(guī)性。這反過來強(qiáng)調(diào)了了解外部評估機(jī)構(gòu)對功能安全的看法的重要性。

我們以TüV SüD和Exida為例，這是功能安全領(lǐng)域公認(rèn)的專業(yè)獨(dú)立評估機(jī)構(gòu)。前者表示，整體安全功能的SIL要求也應(yīng)適用于診斷。同樣，后者也強(qiáng)調(diào)了按照符合IEC 61508的流程開發(fā)安全關(guān)鍵器件的重要性。正如本系列第一部分所討論的，診斷是功能安全合規(guī)性的核心，因此選擇SIL級監(jiān)視器不僅可以提高FS合規(guī)性，還能縮短外部評估時間，從而加速認(rèn)證過程。

結(jié)論

本文的主要目的是探討在遵守功能安全標(biāo)準(zhǔn)時，使用符合功能安全等級要求的監(jiān)視器的重要性。首先，文章深入研究了IEC 61508標(biāo)準(zhǔn)的基本要求，強(qiáng)調(diào)了在合規(guī)部件的安全手冊中提供器件FMEDA信息的重要性。第二，文章介紹了集成SIL級電源監(jiān)視器的優(yōu)勢，與分立解決方案相比，這不僅能夠減小電路板尺寸，還可以簡化安全分析。第三，文章討論了SIL級診斷IC中的廣泛片內(nèi)診斷特性，相關(guān)功能可以大幅降低未檢測到危險故障的概率，及其對整個系統(tǒng)PFH預(yù)算的影響。第四，文章闡述了此類部件如何能夠使安全相關(guān)系統(tǒng)適應(yīng)未來發(fā)展，為即將發(fā)布的IEC 61508標(biāo)準(zhǔn)修訂版本做好準(zhǔn)備。第五，文章將對SIL級監(jiān)視器的需求與各國家/地區(qū)普遍采用的基本功能安全標(biāo)準(zhǔn)聯(lián)系起來，其中還涉及到行業(yè)特定標(biāo)準(zhǔn)（如《機(jī)械指令》）。最后，文章談到了知名功能安全評估機(jī)構(gòu)對IEC 61508標(biāo)準(zhǔn)相關(guān)診斷的看法。