【導讀】需要安全完整性等級(SIL) 3解決方案的製造商，在使用SIL 2器件時麵臨著多項挑戰。隨著工業功能安全標準IEC 61508第3版的發布，製造商必須采用新的方法。本文概述了一種能夠克服挑戰以成功實現SIL 3並加速產品上市的解決方案。

摘要

需要安全完整性等級(SIL) 3解決方案的製造商，在使用SIL 2器件時麵臨著多項挑戰。隨著工業功能安全標準IEC 61508第3版的發布，製造商必須采用新的方法。本文概述了一種能夠克服挑戰以成功實現SIL 3並加速產品上市的解決方案。

簡介

過去幾年，受以下多項因素的驅動，工業功能安全係統開始加速普及：

製造商希望使用新的複雜技術來降低成本（例如，使用安全扭矩關閉而不是再添加一個接觸器）

實踐證明，使用機器人（特別是協作機器人）可以提高許多工廠車間的生產率

認識到使用安全認證設備可以提高整體可靠性

確認使用診斷可以提高許多工廠和設備的產量

引入新的安全要求

另一個驅動因素是對能源、石油和天然氣行業提出了嚴格的要求和監管義務。

在展開詳細討論之前
，我們先看一些基本定義，以幫助各類讀者更好地理解本文。

什麼是安全
？

安全就是指能避免發生不可接受的風險。例如，工廠車間內未加防護的旋轉機器就是不安全的。

什麼是安全功能？

anquangongnengshizhiweishixianhuoquebaoanquanbixuzhixingdecaozuo。anquangongnengdemudeshijiangdixitongfengxian。liru，ruguoshangshuxuanzhuanjiqideqianmiananzhuangleguangmu，dangshouchuanguoguangmushi，anquangongnengjianghuijiancedaoguangshuzhongduan

，congerzaishoujiechudaoxuanzhuanjiqizhiqianshiqitingzhiyunzhuan。

安全功能通常包括三個子係統。圖1的安全係統用於檢測危險液體的液位，並在充滿時切斷液流。

輸入子係統（傳感器，如液位傳感器）用於檢測值或狀態

邏輯子係統（可編程邏輯控製器(PLC)）用於判斷該狀態是否危險

輸出子係統（執行器）可采取行動來確保安全

圖1.典型安全功能

什麼是功能安全
？

指zhi係xi統tong在zai需xu要yao時shi執zhi行xing預yu期qi安an全quan功gong能neng的de可ke靠kao性xing。它ta能neng有you效xiao地di衡heng量liang功gong能neng安an全quan工gong程cheng師shi對dui光guang束shu中zhong斷duan時shi光guang幕mu和he電dian機ji的de停ting機ji安an全quan功gong能neng會hui運yun行xing的de信xin任ren度du。

如果硬件指標（隨機錯誤）、係統能力(SC)和共因失效(CCF)不會導致安全係統故障、人員傷亡
、環境受損或生產損失
，則認為該係統功能安全。

除了上述基本安全定義，還需了解設計功能安全係統時必須遵循的一些功能安全標準，及其相關優勢。

製造商進行功能安全開發時，遵循IEC 61508或ISO 26262等標準，具有以下好處：

前期需求更清晰

測試期間較少出錯

軟件編寫保持一致

集成過程中發現的缺陷更少

測試更全麵

現場缺陷更少

與競爭對手相比，差異化程度更高

安全標準有很多（見圖2）
，其中大部分源自工業IEC 61508標準。值得注意的是，所有標準的90%到95%要求都與IEC 61508的要求類似。

圖2.安全標準

本文重點介紹針對工業應用的IEC 61508標準，特別是如何使用SIL 2器件以相同冗餘設計SIL 3解決方案。

冗餘、高可用性和硬件容錯

無論係統多麼可靠，係統最終都會失效！兩種常見的故障類型是係統性故障和隨機故障。參見圖3。

圖3.係統性故障和隨機故障

冗rong餘yu實shi際ji上shang是shi備bei用yong或huo冗rong餘yu路lu徑jing
，當dang安an全quan係xi統tong中zhong發fa生sheng故gu障zhang時shi，它ta能neng執zhi行xing預yu期qi的de安an全quan功gong能neng。值zhi得de注zhu意yi的de是shi，係xi統tong具ju有you一yi定ding程cheng度du的de冗rong餘yu
，並bing不bu意yi味wei著zhe同tong時shi具ju有you高gao可ke用yong性xing。隻zhi有you冗rong餘yu路lu徑jing能neng夠gou自zi動dong開kai啟qi或huo激ji活huo時shi，它ta才cai具ju有you高gao可ke用yong性xing。IEC 61508中常用的另一個術語是硬件容錯(HFT)。HFT為N意味著至少出現N + 1個故障才可能導致安全功能喪失。需注意一點，不應考慮其他可能控製故障影響的措施，例如診斷。HFT是一種有效的手段，可確保硬件能夠抵禦故障
，同時允許用戶權衡HFT和SFF。參見表1。

表1.硬件容錯

安全完整性等級

SIL描述了安全功能的完整性及其提供的降風險能力的相對水平。IEC 61508規定了四級SIL，SIL 1的安全完整性等級最低
，SIL 4的安全完整性等級最高。表2比較了工業IEC 61508安全等級(SIL)
、汽車(ISO 26262)安全等級(ASIL)和航空電子安全等級。請注意，這些隻是近似比較。

表2.各種SIL等級

隨著SIL等級的提高（從SIL 1到SIL 4）
，允許的故障率(FIT)依次降低。1 FIT相當於每運行十億(1e9)小時發生一次故障。1e9小時約為10萬年！有一點要注意，沒有任何設備能夠持續運行10億小時，但如果100,000台設備運行一年，在此期間可能會出現一次隨機硬件故障。安全失效比率(SFF)是檢測到的安全加危險故障總數與安全功能中的故障總數之比。

表3顯示了硬件容錯為零(HFT = 0)時安全失效比率(SFF)和SIL之間的對應關係。

表3.SIL和SFF

問題/現有解決方案

對於許多采用功能安全的設計人員而言，尤其是使用IC進行設計時，問題在於獲得認證可能很困難且成本高昂，而且還存在非常現實的不合規風險。設計人員必須創建係統級FMEDA，並且必須將ASIC視為黑匣子
，因為他們不知道：

• 晶體管數量

• 內部故障機製

• 布局塊大小

• IC的可靠性

  
  

因此，為了實現總體SIL目標

，設計人員在FIT計算中必然會過於保守，在安全係統的其他部分中也會過度確保安全。這通常意味著需要使用外部診斷，例如外部ADC。這樣做的問題是：

• 更加昂貴(BOM)

• 尺寸更大

• 更加複雜

• 係統軟件存在額外開銷

• 開發時間更長

除了這些問題，新版IEC 61508標準（第3版）的推出進一步加大了困難。

IEC 61508第3版

IEC 61508第3版目前計劃的變更包括：明確警告慎用片內診斷來檢測同一芯片上的故障，除非IC是按照IEC 61508開發的。它還計劃包括類似於汽車ISO 26262潛在故障指標的要求。除了針對診斷功能的SFF之外，診斷電路也會有SC要求。

ADFS5758：率先通過認證的數據轉換器

ADFS5758 是一款單通道、16位電流輸出DAC
，集成動態功率控製(DPC)，具有內部基準電壓源和眾多片內診斷功能。 圖4顯示了其功能框圖。

ADFS5758的診斷/安全措施

主要片內診斷功能由ADC提供

；如前所述
，IEC 61508第3版計劃澄清，一般不允許使用片內診斷來檢測片內故障
，除非IC是按照IEC 61508開發的

• 檢查有無有效的讀/寫地址

• ECC校正

• 看門狗定時器

• 鎖定配置寄存器的能力

• 內部偏置電壓監視器

• 溫度監控器

旨在滿足以下要求：

• 工業工廠自動化

• 過程控製應用

• 高密度小尺寸PLC模擬I/O卡

安全功能：

接收數字輸入碼，產生精度在±2.5%滿量程範圍(FSR)內的輸出電流。

根據IEC 61508開發：

• 硬件指標達到SIL 2

• 係統要求達到SIL 3

圖5是ADFS5758的TUV Rheinland功能安全證書副本。

圖4.ADFS5758框圖

圖5.ADFS5758功能安全證書

圖6顯示使用ADFS5758的典型安全應用。

圖6.使用ADFS5758的典型應用

為使係統滿足SIL要求，硬件指標（也稱為架構約束）和SC都必須滿足SIL目標。

架構約束

從硬件指標的角度看

，並行放置兩個SIL 2元件（相同或不同）可以讓客戶實現更高的SIL 3等級。參見圖7。

圖7.使用兩個SIL 2元件實現硬件指標達到SIL 3的解決方案

係統能力

冗餘可以通過多樣化（不同）元件或相同元件來實現。

相同元件

使用具有同樣SC的相同元件並不能改善整體係統能力，因為它們容易出現相同的類似CCF的溫度峰值或壓降，並且同一故障可能會導致兩個元件同時失效。參見圖8。

圖8.使用相同元件不會提高係統能力

不同元件

在冗餘配置中使用不同的元件可以提高整體係統能力。參見圖9。

圖9.使用不同元件可以提高係統能力

由於兩個元件不相同

，所以同一故障不太可能使兩個元件同時失效。

但在安全係統中使用不同元件時，相應的設計導入和測試工作量會顯著增加
，因此這種方法可能成本較高。

理想方法是使用兩個相同元件來同時滿足功能安全要求的整體能力和隨機/硬件指標。

開發的係統能力比SIL高一級的重要性：相同冗餘

如果係統中可以采用某個元件

，並且該係統是按照比元件的SIL高一個等級的係統能力開發的，則可以在安全係統中使用兩個相同元件來提供冗餘
，並提高整體係統能力。示例參見圖10。

圖10.使用相同冗餘實現SIL 3的示例

ADFS5758是按照比硬件指標高一級的係統能力開發的
，因此，即使它在硬件指標或隨機故障方麵隻通過了SIL 2認證，也可使用它來設計SIL3模擬輸出模塊。

結語

• 在安全係統中使用經過認證的ADFS5758可帶來許多優勢：

• 風險更小：滿足TÜV要求

• 可以使用片內診斷（ADC和分布式診斷）

• 解決方案尺寸更小/給定空間中通道更多（由於使用集成ADC）

• 僅需少量外部元件（可靠性更高）

• 針對性的診斷（檢測時間更短，覆蓋率更高）

• 為係統級工程師提供關鍵數據(FMEDA)

• 係統軟件的開銷更少（軟件中的診斷更少）

• 提供針對假設環境的可靠性分析

• 縮短客戶的開發時間

• 提供相關文件（安全手冊和TÜV評估報告）

適應未來的IEC 61508第3版標準

除了上述優勢之外，ADFS5758還允許使用SIL 2器件以相同冗餘設計SIL 3解決方案。

如希望進一步探索功能安全和ADFS5758：

請訪問ADFS5758產品網頁 以了解更多信息。

訂購ADFS5758評估套件 以熟悉該器件。

瀏覽ADI公司的工業功能安全網頁。

閱讀ADI公司的安全事項博客。

(來源:ADI公司，作者：Brian Condell，工業連接和控製部門的IO-Link®產品應用工程師)

推薦閱讀：

邊緣計算：節約能耗，助力更環保、更智慧的解決方案

汽車線性穩壓器L99VR02J：車載電源設計的理想之選

使用SiC/GaN功率半導體，提高功率轉換效率，無源元件的技術進步很重要！

SiC SBD/超結MOS在工業電源上的應用

上觀未來、下謀發展丨CAEE2024家電製造業供應鏈展覽會招商全麵啟動