運用高效能電壓監控電路提升工業功能安全合規性—第2部分:使用SIL級元件

作者:ADI 資深產品應用工程師 Bryan Angelo Borres

摘要

在識別電子、電氣和可編程電子安全相關系統(SRS)中的危險故障方面,電源監視器等診斷功能發揮著非常重要的作用。儘管根據IEC 61508標準的目前修訂版本,此類元件不一定要達到功能安全等級,但在設計SRS時使用符合功能安全的元件可帶來許多優勢。因此,本系列的第二部分將討論在設計涉及工業功能安全的系統時,使用SIL級電源監視器的六大優勢。

簡介

本系列文章目的在探討透過高效能電壓監控電路實現工業功能安全合規,本文則為此系列文章的第二篇,內容將探討採用符合功能安全標準的診斷功能對於合規性的意義,並將主要涵蓋六大主題:故障模式、影響和診斷分析(FMEDA)資訊的可用性;整合安全特性;晶片內診斷;滿足即將發佈的IEC 61508修訂版本的要求;其他標準考量;以及外部評估機構的觀點。而這些內容均共同強調了使用 MAX42500等SIL級電源監視器的優勢。

超越基本功能安全標準

本系列的第一部分 強調了診斷活動對於滿足基本功能安全標準的定性和定量的意義,如圖1所示。出於定性考慮,無論安全完整性等級(SIL)如何,都必須建置電源監視器。而對於定量要求,主要有兩個考慮因素:可靠性預測和架構約束。可靠性預測用於評估系統發生危險故障的平均概率,可以是低需求工作模式下需要時發生危險故障的平均概率(PFDavg),也可以是高需求工作模式下每小時危險故障的平均頻率(PFH)。本文針對PFH展開討論。同時,架構約束受到安全失效比率(SFF)和冗餘要求的影響。整合了診斷功能後,可透過識別隨機硬體故障來增強這些指標。得益於此,設計過程中可以使用任何符合必要技術規格的監控IC,因為SIL等級是在系統級確定的。

Figure 1. Diagnostics through the lens of IEC 61508:2010.1
圖1. 基於IEC 61508:2010標準的診斷1

有鑑於安全生命週期的嚴格要求,相較於非安全專案,建置安全專案往往需要付出更多努力。此時可以透過一些有效的策略來縮短專案時間線,並提高功能安全合規性,例如使用根據IEC 61508開發的元件。雖然這不是強制要求,但該方法可提供超出基本功能安全標準要求的多項優勢。這些優勢體現在以下層面。

本身包含FMEDA

符合IEC 61508標準的電源監視器包含安全手冊,其中詳細說明了其故障模式、影響和診斷分析過程(FMEDA)。該過程涉及檢查系統的故障模式,目的在識別潛在故障原因及其對系統的影響(圖2)。無論是在元件層面還是系統層面應用,FMEDA都有助於證明元件符合IEC 61508等功能安全標準,同時滿足其定性和定量要求。

Figure 2. An FMEDA block diagram.2
圖2. FMEDA方框圖2

IEC 61508-2:2010概述了安全手冊對合規項的要求。在這些資訊的協助下,IC整合商能夠更輕鬆地完成FMEDA。

附錄D第D.2.2節規定,對於每項功能,安全手冊應:

(d)包含由於隨機硬體故障導致合規項內部(以輸出行為為依據)的故障模式,這些故障模式會導致診斷系統無法檢測到該功能的故障。

(e)對於(c)和(d)中的每個故障模式,包含預估故障率。

第7.4.9.4節第(j)項規定,對於易受E/E/PE系統進行的隨機硬體故障要求影響的每個安全相關元件,應提供由於硬體故障資訊而導致的診斷故障率。

這有助於簡化安全分析流程,系統架構師可直接使用安全手冊中提供的故障率來創建系統級FMEDA。如果元件FMEDA的假設與系統設計人員的用例不同,可調整現有分析文檔,以便重新計算並在系統級進一步分析。

整合了安全特性,涵蓋多項診斷功能

為應用選擇合適的零件通常需要考慮元件成本、電路板尺寸、系統操作和特性等因素。功能安全合規性還涉及到另一個因素——複雜的安全分析,例如FMEDA中涉及的安全分析。圖3顯示了高度整合的零組件如何縮小電路板尺寸和元件數量,以及如何簡化系統的FMEDA。分立解決方案包含更多元件,分析時需更廣泛地考慮故障模式和故障率。另一方面,FMEDA文檔往往較少提及符合功能安全標準的整合解決方案。例如,圖3右側所示的MAX42500整合了左側三個獨立部分的功能。作為SIL 3級元件,其FMEDA中已提供lambda值,進而簡化了系統FMEDA所需的分析和運算。

Figure 3. Discrete solution vs. integrated solution.
圖3. 分立解決方案與整合解決方案。

自身包含診斷程式,可自行檢測隨機硬體故障

根據IEC 61508開發的元件包含特定SFF、λDU(未檢測到的危險故障率)和系統能力,得益於晶片內診斷功能,相較於不合規的元件,其可靠性明顯提升,特別是在PFDavg和/或PFH方面。這些診斷功能目的在盡可能減少零件開發時已納入考慮,但卻未被檢測到的危險故障,以符合SIL為目標。而對於不具備此類診斷功能的零組件,由於缺乏檢測和減少內部故障的機制,其所表現出的可靠性預測通常明顯更差。

我們來看圖4所示的MAX42500。該高度整合的元件具有多個模組和接腳,並配備診斷功能,能夠識別可能影響這些元件的隨機硬體故障。在本系列的第一部分,我們討論了電源監視器等高性能電壓監控器如何透過改善故障檢測來協助提升功能安全合規性,進而增強系統完整性、PFH和SFF。同樣,合規的元件性能更卓越,未檢測到危險故障的概率也更低。

Figure 4. The MAX42500’s (a) functional block diagram and (b) diagnostics
圖4. MAX42500的(a)功能框圖和(b)診斷功能。

圖5展示了一個目的在符合IEC 61508標準的安全相關系統內,安全功能的PFH要求典型預算分配情況。該圖顯示,如果診斷元件未檢測到危險故障的概率較低,不僅能提高系統的可靠性,還可以允許在其他系統元件之間更彈性分配PFH預算。

Figure 5. A PFH budget allocation example.2
圖5.PFH預算分配示例2

滿足即將發佈的IEC 61508修訂版本的要求

目前,基本功能安全標準IEC 61508:2010並未強制要求基於非安全備用系統的診斷進行診斷,也不強制要求系統能力(SC)比診斷安全功能要求低一級3。但是,即將發佈的標準修訂版本預計將引入多項重大變更:

  • 明確警告慎用晶片內診斷來檢測同一晶片內的故障,除非IC是按照IEC 61508開發的。
  • 潛在故障指標要求與汽車ISO 26262標準保持一致。
  • 針對診斷功能的特定SFF。
  • 診斷電路的SC要求。

因此,使用按照IEC 61508開發的IC(例如MAX42500)更能夠因應未來發展,為這些潛在更新做好準備。

涵蓋其他國家/地區的安全標準和指令

系統設計人員如果希望其產品可以在特定國家/地區使用,則必須確保遵守相應的法律和法規。各個國家/地區的安全法規不盡相同,許多國家/地區所採用的IEC 61508標準均進行了當地語系化調整,例如澳大利亞的AS 615084、英國的BS EN 615085和加拿大的CSA 615086。隨著基本功能安全標準的修訂,相關產業特定標準和國家/地區法律法規預計也會相應更新。

值得注意的是,一些國家/地區,尤其是在歐盟地區,強制要求使用SIL級監視器。這源自《歐盟機械指令2006/42/EC》「使用建議7」,該建議要求單通道系統配備SIL級監視器。該指令規定,診斷功能故障可能會直接導致安全功能或元件故障,因此應被視為安全功能或元件本身的故障。此外,如果場景涉及兩個或多個故障,且這些故障會引起與安全功能或元件相關的臨界狀態,則應採用以下方法之一:

1. 將診斷功能視為單獨的功能,並且必須滿足表1所示的標準。

表1. 應用診斷功能的系統能力要求7
安全功能 診斷功能
SIL 1 基本安全原則
SIL 2 SIL 1
SIL 3 SIL 2

2. 如果某診斷功能故障導致安全功能無法在需要時正常工作的概率增加,根據IEC 61508-4:2010第3.6.7條,應將其歸類為危險故障。如果某診斷功能故障導致直接進入安全狀態,根據IEC 61508-4:2010第3.6.8條,應歸類為安全故障7

請參閱Tom Meany的部落格文章「基於您的診斷進行診斷」,瞭解各個產業特定標準如何看待SIL級診斷。

簡化了功能安全評估

如果應用的SIL等級要求更高,那麼也需要包含更強的獨立性。如IEC 61508-1:2010表4和表5所示,功能安全評估所需的獨立程度基於後果或SIL/SC要求而變化,範圍涵蓋獨立人員到獨立組織。因此,最高獨立程度要求由獨立組織(例如外部評估機構)來驗證功能安全合規性。這反過來強調了瞭解外部評估機構對功能安全的看法的重要性。

我們以TÜV SÜD和Exida為例,這是功能安全領域公認的專業獨立評估機構。前者表示,整體安全功能的SIL要求也應適用於診斷8。同樣,後者也強調了按照符合IEC 61508的流程開發安全關鍵元件的重要性9。正如本系列第一部分所討論的,診斷是功能安全合規性的核心,因此選擇SIL級監視器不僅可以提高FS合規性,還能縮短外部評估時間,進而加速認證過程。

結論

本文的主要目的是探討在遵守功能安全標準時,使用符合功能安全等級要求的監視器的重要性。首先,文章深入研究了IEC 61508標準的基本要求,強調了在合規零組件的安全手冊中提供元件FMEDA資訊的重要性。第二,文章介紹了整合SIL級電源監視器的優勢,相較於分立解決方案,這不僅能夠縮減電路板尺寸,還可以簡化安全分析。第三,文章討論了SIL級診斷IC中的廣泛晶片內診斷特性,相關功能可以大幅降低未檢測到危險故障的概率,及其對整個系統PFH預算的影響。第四,文章闡述了此類零組件如何能夠使安全相關系統適應未來發展,為即將發佈的IEC 61508標準修訂版本做好準備。第五,文章將對SIL級監視器的需求與各國家/地區普遍採用的基本功能安全標準加以聯繫,其中還涉及產業特定標準(如《機械指令》)。最後,文章也談到知名功能安全評估機構對IEC 61508標準相關診斷的看法。

本系列的下一篇文章將討論對SRS設計非常重要的診斷功能特性,敬請關注。

參考資料

1 IEC 61508 All Parts,“Functional Safety of Electrical/Electronic/Programmable Electronic Safety-Related Systems”。國際電子電機委員會,2010年。

2 Marvin Rausand。“ Reliability of Safety Critical Systems: Theory and Applications”。John Wiley & Sons,2014年1月。

3 Brian Condell。「 使用SIL 2元件設計功能安全的SIL 3類比輸出模組」。ADI,2023年9月。

4 AS 61508 All Parts,“Functional Safety of Electrical/Electronic/Programmable Electronic Safety-Related Systems”。澳大利亞標準,2011年。

5BS EN 61508 All Parts,“Functional Safety of Electrical/Electronic/Programmable Electronic Safety-Related Systems”。英國標準文檔,2010年。

6 CSA C22.2 No. 61508 All Parts,“Functional Safety of Electrical/Electronic/Programmable Electronic Safety-Related Systems”。加拿大標準委員會,2017年。

7 Coordination of Notified Bodies—Machinery Directive 2006/42/ EC—Recommendation for Use。2015年。

8Top Misunderstandings About Functional Safety.”。TÜV SÜD,2024年。

9 John Yozallinas。“So What Does Interference-Free Mean? And Why Do We Care?”。Exida,2017年2月。