【導讀】各行各業的安全關鍵型應用一般都會考慮遵守功能安全標準1，因為這些應用一旦發生故障，可能會對人員、財(cai)產(chan)和(he)環(huan)境(jing)造(zao)成(cheng)危(wei)害(hai)。產(chan)品(pin)設(she)計(ji)師(shi)按(an)照(zhao)功(gong)能(neng)安(an)全(quan)標(biao)準(zhun)對(dui)設(she)計(ji)的(de)產(chan)品(pin)進(jin)行(xing)認(ren)證(zheng)，讓(rang)客(ke)戶(hu)可(ke)以(yi)放(fang)心(xin)地(di)使(shi)用(yong)產(chan)品(pin)，確(que)保(bao)產(chan)品(pin)能(neng)夠(gou)在(zai)具(ju)有(you)安(an)全(quan)法(fa)規(gui)的(de)國(guo)家(jia)/地區進行銷售，並引領功能安全市場的趨勢。本文強調了高性能監控電路2進一步符合IEC 615083等功能安全標準的重要性。此外，本文也是討論與這些電路相關的工業功能安全合規性係列文章中的第一篇。

問題：

如何使用高性能監控電路來提高工業功能安全合規性
？

回答

高性能電壓監控器具有集成的安全功能


，可提高係統性能
，以滿足IEC 61508功能安全標準關於定量可靠性、架構約束和係統安全完整性的要求
，從而幫助係統符合該標準。

簡介

各行各業的安全關鍵型應用一般都會考慮遵守功能安全標準1，因為這些應用一旦發生故障，可能會對人員、財(cai)產(chan)和(he)環(huan)境(jing)造(zao)成(cheng)危(wei)害(hai)。產(chan)品(pin)設(she)計(ji)師(shi)按(an)照(zhao)功(gong)能(neng)安(an)全(quan)標(biao)準(zhun)對(dui)設(she)計(ji)的(de)產(chan)品(pin)進(jin)行(xing)認(ren)證(zheng)，讓(rang)客(ke)戶(hu)可(ke)以(yi)放(fang)心(xin)地(di)使(shi)用(yong)產(chan)品(pin)，確(que)保(bao)產(chan)品(pin)能(neng)夠(gou)在(zai)具(ju)有(you)安(an)全(quan)法(fa)規(gui)的(de)國(guo)家(jia)/地區進行銷售，並引領功能安全市場的趨勢。本文強調了高性能監控電路2進一步符合IEC 615083等功能安全標準的重要性。此外，本文也是討論與這些電路相關的工業功能安全合規性係列文章中的第一篇。

了解功能安全標準

IEC 61508標準3也稱為電氣/電子/可編程電子安全相關係統功能安全標準，旨在為所有類型的E/E/PE安全相關係統(SRS)的規範
、設計和操作規定總體要求。它適用於各種行業
，因為它是製定多個行業特定標準的基礎，例如過程工業中的IEC 615114、機械工業中的IEC 620615、核電工業中的IEC 615136

、汽車工業中的ISO 262627、鐵路運輸中的IEC 622798、醫療設備10中的IEC 623049等，如圖1所示。

圖1.基本標準和一些特定行業的功能安全標準。

雖然特定行業的標準始終優先於IEC 61508，但它通常要求使用SRS中的組件來證明符合功能安全標準。為此，可以按照特定行業標準（如ISO 262627）開發組件，使用“經使用驗證”3參數，遵循基本安全標準IEC 61508（如IEC 6151111），或者使用標準組件但采取額外的架構緩解措施。

什麼是安全儀表係統？

IEC 61508的E/E/PE SRS在過程工業領域被稱為安全儀表係統(SIS)，在機械行業中稱為安全相關電氣控製係統(SRECS)，在核電行業中稱為儀器儀表和控製(I&C)係統。在本文中
，術語“SIS”將用於統稱這些係統。11

圖2.SIS的典型框圖。

圖2為典型SIS的示意圖，其中包含至少一個安全儀表功能(SIF)。SIF在IEC 61508中也指安全功能
，但為了便於討論
，將使用術語SIF。SIF由輸入子係統、邏輯解算器子係統和最終元件子係統組成，用途是在當需求發生時
，將受控設備(EUC)置於安全狀態。EUC是指受SIS保護的係統。圖3顯示了SIF的(de)典(dian)型(xing)框(kuang)圖(tu)以(yi)及(ji)子(zi)係(xi)統(tong)的(de)示(shi)例(li)。輸(shu)入(ru)子(zi)係(xi)統(tong)包(bao)含(han)至(zhi)少(shao)一(yi)個(ge)傳(chuan)感(gan)器(qi)
，作(zuo)為(wei)監(jian)測(ce)係(xi)統(tong)，可(ke)以(yi)檢(jian)測(ce)故(gu)障(zhang)並(bing)向(xiang)邏(luo)輯(ji)解(jie)算(suan)器(qi)發(fa)送(song)信(xin)號(hao)。邏(luo)輯(ji)解(jie)算(suan)器(qi)會(hui)處(chu)理(li)接(jie)收(shou)到(dao)的(de)信(xin)號(hao)，然(ran)後(hou)決(jue)定(ding)下(xia)一(yi)步(bu)做(zuo)什(shen)麼(me)。比(bi)如(ru)，可(ke)能(neng)要(yao)求(qiu)最(zui)終(zhong)元(yuan)件(jian)通(tong)過(guo)斷(duan)路(lu)器(qi)、繼電器或關閉閥等執行裝置將SIS置於安全狀態。11

值得注意的是
，監控電路2在SIS中很有用。它們可以在輸入子係統中發揮作用以檢測異常，在邏輯解算器子係統中監測電源或其他微控製器功能和信號故障
，或者作為SIF本身，通過複位信號使係統進入安全狀態。這一點可以從圖3中看出。

圖3.SIF的典型框圖。

高性能監控電路如何實現工業功能安全合規性

可以通過安全完整性等級(SIL)來量化IEC 61508合規性。每個SIF都有SIL評級，表示SIF在管控風險方麵的表現。IEC 61508規定了SIL 1到SIL 4四個SIL級別，其中SIL 4表示最可靠。通常
，首先進行危險分析和風險評估
，以了解所需的安全功能，然後了解風險降低係數，從而了解所需的SIL等級。《過程安全手冊一》12中展示了一種使用風險矩陣校準的方法。

特定的SIL級別有其自身的要求，受三個因素影響3,11,13：定量可靠性要求、架構約束和係統安全完整性。對於每個因素


，下一小節將展示監控器如何通過診斷要求幫助實現IEC 61508合規性。

定量可靠性要求

表1顯示了IEC 61508-1第7.6.2.9節中關於安全完整性要求的摘要，這項要求針對SIF的目標故障測量規定了相應的SIL。PFDavg是指低需求工作模式下
，在需要安全功能時發生危險故障的平均概率。PFH是指高需求模式或連續工作模式下，安全功能每小時發生危險故障的平均頻率。

表1.與工作模式相關的SIS的SIL目標3,11

影響隨機硬件故障平均概率的因素有很多
，其中包括診斷測試覆蓋率

、診斷測試間隔和未檢測到的危險故障率（用λDU表示）3,14,15。未檢測到的危險故障是指無法通過係統診斷檢測到而隻能通過驗證測試來識別的故障，如圖4所suo示shi。這zhe就jiu是shi使shi用yong監jian控kong電dian路lu的de重zhong要yao性xing所suo在zai，因yin為wei監jian控kong電dian路lu可ke以yi作zuo為wei診zhen斷duan措cuo施shi，幫bang助zhu檢jian測ce危wei險xian故gu障zhang，從cong而er降jiang低di發fa生sheng此ci類lei故gu障zhang的de概gai率lv。這zhe樣yang，就jiu可ke以yi將jiang未wei檢jian測ce到dao的de危wei險xian故gu障zhang轉zhuan化hua為wei檢jian測ce到dao的de故gu障zhang。

圖4.影響可靠性要求的故障類型。12

架構約束

除了量化的可靠性要求外
，IEC 61508還對SIS的穩健性和結構提出了要求。這些架構約束增加了設計人員在選擇硬件架構時需要考慮的因素。根據IEC 61508-2第7.4.4節，可用於證明符合SIL的路線之一是路線1H。該路線基於硬件容錯(HFT)和安全失效比率(SFF)概念。

麵對架構約束
，需要考慮元件的複雜性和類型。A類元件或簡單組件具有明確定義的故障模式、故障條件下可預測的行為以及可靠故障數據（滿足所要求的未檢測到的危險故障率）。否則視為B類元件或複合組件。

表2以集成電路等電子係統為例，顯示了B類元件的要求。SFF是衡量元件傾向於變成安全狀態失敗的指標
，而HFT為N意味著N+1是可能導致安全功能喪失的最小故障數，因此需要一定量的冗餘。這意味著，如果係統的HFT為0，則一次故障就可能導致安全功能喪失
，而HFT為1則意味著需要兩次故障才會造成安全功能喪失。

表2.B類安全相關元件或子係統執行的安全功能的最大允許安全完整性等級3

SFF的數學公式可以表示為：

另一個術語稱為診斷覆蓋率
，可以表示為：

其中λ是故障率，SD表示安全檢測到，SU表示安全未檢測到，DD表示危險檢測到，DU表示危險未檢測到
，如圖4所示。

診斷覆蓋率用於評估SIS的診斷措施在揭示危險故障方麵的表現。這會影響係統的量化可靠性，如前所述
，並且與SFF相關，如公式1和2所示。IEC 61508-2在其附件A中還提供了一種方法

，用於確定在使用不同技術和措施檢測隨機硬件故障時
，所能達到的最大允許診斷覆蓋率。

表3顯示了各個等級的診斷覆蓋率分類。

表3.IEC 61508診斷覆蓋率分類3,11

表4摘自IEC 61508-2附件A表A.1，其中指定了在量化隨機硬件故障的影響時要假設的故障或失效，或在推導SFF時要考慮的故障或失效。值得注意的是，診斷覆蓋率故障模型需要達到較高的診斷覆蓋率。診斷覆蓋率故障模型包括固定電平故障、開路故障、開路或高阻抗輸出以及信號線之間的短路等故障模式，所有這些故障模式都可以通過過壓(OV)和欠壓(UV)監視器等監控電路檢測到。

表4.診斷覆蓋率要素的要求

總之，IEC 61508根據SIF的HFT和SFF規定了SIL要求。由於SFF和診斷覆蓋率參數受到係統檢測故障能力的顯著影響，改進診斷措施（例如添加監控電路）也將提高SIF的SIL等級。

係統安全完整性

係統安全完整性的要求本質上是定性的，用於評估係統開發過程在消除故障方麵的能力。為此，需要徹底檢查硬件和軟件的設計、生產和測試程序。SIL越高，檢查就必須越嚴格
，並且需要組件製造商提供更多文件來證明符合要求。

IEC 61508規定了設計人員應在適用情況下課實施的幾種技術和措施

，以消除SIS安全生命周期各個階段的係統故障。對此
，表5列出了IEC 61508-2表A.16中的一些項目。該表顯示了控製由環境壓力和影響引起的係統故障所需的技術和措施
，其中M表示強製，HR表示強烈推薦，R表示推薦。這些標記下麵是實現此類診斷措施需要付出的工作量。例如，SIL 3等級必須采用電壓監視器等措施來應對電壓變化，同時強烈建議采用程序序列監控（如看門狗定時器）
，其中診斷覆蓋率必須至少達到90%。

表5.IEC 61508-2附件A表A.16中的部分項目3

係統安全完整性要求的另一個關鍵是具有良好的質量管理體係(QMS)。組織可以通過獲得ISO 9001:2015質量管理體係認證來證明16。值得注意的是，IEC 61508關於整體安全生命周期和功能安全評估的大部分要求與ISO 9001對整體安全生命周期的要求相一致。因此，擁有QMS證書可以加快認證過程17。這與企業的功能安全戰略相輔相成，例如，在功能安全標準（如IEC 61508）的基礎上根據自身需求進行調整。

使用集成解決方案改進功能安全設計

為了設計出符合功能安全要求的係統，需要仔細考慮前麵討論的要求。其中涉及實施足夠的安全措施
，以確保在發生故障時仍能可靠、anquandiyunxing，dankenenghuiyinweizengjiadianluyuanjianerzengjiachengben。yinci，shiyongjuyoujichenganquangongnengdeyuanjiankeyijianhuaxitongjishishi，tongguojianshaoyuanjianshuliangtigaoxitongkekaoxing，bingtongguosuoduanzhenduanceshijiangelaitigaozhenduanfugailv13。具體可以參見圖5，ADI的MAX42500可以通過將多種安全功能組合在一個封裝中（而不是使用單獨的監控電路）

，為安全關鍵電路提供足夠的診斷覆蓋率。該電源係統監視器可滿足多種措施要求，例如針對電壓擊穿
、電壓變化、過壓、低電壓、可ke能neng導dao致zhi危wei險xian故gu障zhang的de交jiao流liu電dian源yuan頻pin率lv變bian化hua等deng其qi他ta現xian象xiang以yi及ji程cheng序xu序xu列lie監jian視shi的de措cuo施shi，從cong而er幫bang助zhu實shi現xian功gong能neng安an全quan合he規gui性xing。第di一yi個ge要yao求qiu強qiang調tiao了le對dui所suo有you安an全quan關guan鍵jian電dian壓ya軌gui進jin行xingUV和OV檢測的必要性。第二個要求強調了單通道係統中標準微控製器單元需要單獨的看門狗定時器。MAX42500可滿足這兩種需求，它具有七個電源監視器和一個通過I2C通信的看門狗定時器。

另一個考量因素是有沒有安全文件來證明符合功能安全要求，尤其是在認證功能安全標準時。符合或獲得IEC 61508認證的元件（例如MAX42500）已通過提供必要的安全文檔（安全手冊、故障模式影響和診斷分析(FMEDA)、良好的QMS等）來提供這方麵的支持。盡管如此，考慮到IEC 61508的當前修訂版本，按照圖5所示，仍可以使用非合規的產品（如LTC2965和LTC4365）來提高係統的診斷覆蓋率和穩健性。然而，係統設計人員需要獲取必要的安全文件以滿足功能安全合規性要求。

圖5.在安全設計中引入充分的監測和保護措施。

結論

本文闡明了高性能電壓監控器在促進工業功能安全合規方麵發揮的關鍵作用。通過研究基礎功能安全標準IEC 61508及其對特定行業標準的影響
，為加深理解奠定了基礎。而且，還定義了關鍵術語以便於清晰理解
，例如安全儀表係統、安全儀表功能和安全完整性等級。此外，我們深入研究了IEC 61508的基本要求，包括量化可靠性
、架構約束和係統安全完整性，特別強調了采用高性能監控電路（如電源監視器和看門狗定時器）的影響。本文以MAX42500weilitaolunlejichenganquangongnengdeyingyong，youzhuyuzaixitongshejizhongkaolvchulegongnenganquanheguiyiwaidegengduofangmian。tongguozheciyanjiu

，qiangtiaolegaoxingnengdianyajiankongqiduiyubaozhenggongyexitonganquanxinghekekaoxingdezhongyaoyiyi。

請繼續關注本係列的下一篇文章，我們將討論在為安全關鍵型應用設計功能安全電源係統時使用SIL級電壓監控器的優勢。

參考文獻

1 Tom Meany。“功能安全和工業4.0”。ADI公司
，2018年3月。

2 Noel Tenorio和Anthony Serquiña。“高性能電壓監控器詳解——第1部分”。《模擬對話》，第58卷第2期，2024年4月。

3 IEC 61508《電氣/電子/可編程電子安全相關係統的功能安全》的所有部分。國際電工委員會，2010年。

4 IEC 61511《功能安全–過程工業領域的安全儀表係統》的所有部分。國際電工委員會，2016年。

5 IEC 62061《機械安全–安全相關電氣
、電子和可編程電子控製係統的功能安全》。國際電工委員會，2005年。

6 IEC 61513《核電站–安全重要儀器和控製–係統的一般要求》。國際電工委員會，2011年。

7 ISO 26262《道路車輛功能安全》的所有部分。國際標準化組織，2011年。

8 IEC 62279《鐵路應用–通信


、信號和處理係統：鐵路控製和保護係統軟件》。國際電工委員會，2015年。

9 IEC 62304《醫療設備軟件–軟件生命周期流程》。國際電工委員會

，2006年。

10 “常見問題解答：醫療設備的功能安全”。TÜV SÜD，2024年。

11 Marvin Rausand。“安全關鍵係統的可靠性：理論與應用”。Wiley，2014年1月。

12 《過程安全手冊一：過程工業中的功能安全》。Rockwell Automation，2013年3月。

13 Tom Meany。“集成電路的功能安全”。ADI公司，2018年2月。

14 Loren Stewart。“回歸基礎16 PFDavg”。Exida，2019年10月。

15 Loren Stewart。“回歸基礎17 PFH”。Exida，2019年11月。

16 《ISO 9001:2015質量管理體係–要求》。2015年。

17 “功能安全：全麵質量方法”。RTP Corp.
，2021年。

（來源：ADI公司，作者：Bryan Angelo Borres
，產品應用工程師
，Christopher Macatangay，高級產品應用工程師）

免責聲明：本文為轉載文章，轉載此文目的在於傳遞更多信息，版權歸原作者所有。本文所用視頻、圖片
、文字如涉及作品版權問題，請聯係小編進行處理。

推薦閱讀：

芯耀輝：從傳統IP到IP2.0
，AI時代國產IP機遇與挑戰齊飛

解決模擬輸入IEC係統保護問題

當過壓持續較長時間時，使用開關浪湧抑製器

用於狀態監測的振動傳感器

解鎖多行業解決方案——AHTE 2025觀眾預登記開啟！