非常見問題:運用高效能電壓監控電路改提升工業功能安全合規性—第1部分
非常見問題:運用高效能電壓監控電路改提升工業功能安全合規性—第1部分
問題:
我們要如何運用高效能監控電路來提升工業功能安全的合規性?
答案
高效能電壓監控器可透過其內建的安全功能提升系統在定量可靠性、架構限制及系統性安全完整性等方面的表現,進而協助系統符合 IEC 61508 功能安全標準的要求。
介紹
各產業的安全關鍵應用通常會考量遵循功能安全規範,因為失效可能對人員、財產及環境造成危害。產品設計者透過證明其設計符合功能安全標準,不僅讓顧客安心使用產品,也能在實施安全法規的國家銷售產品,並引領功能安全市場的發展趨勢。本文突顯高效能監控電路在增強產品對於如 IEC 61508 等功能安全標準合規性方面的價值。此外,本文為系列專文的首篇,將首先探討工業功能安全合規性與這些電路的相關性。
瞭解功能安全標準
IEC 61508標準,亦稱為電機/電子/可編程電子(E/E/PE)安全相關系統的功能安全性,目的在規範各類E/E/PE安全相關系統(SRS)在規格、設計、運作方面的整體要求。該標準適用於各行各業,並作為多項特定產業標準的發展基礎,包括製程產業的IEC 61511、機械業的IEC 62061、核能發電的IEC 61513、汽車產業的ISO 26262、軌道運輸的IEC 62279、以及醫療裝置的IEC 62304等,如圖1所示。
雖然特定產業專屬的標準總是優先於IEC 61508,但通常要求在SRS中使用一些元件來證明其符合功能安全標準。這方面可透過以下方式實現:根據如ISO 26262等產業專屬標準開發元件,依循IEC 61508基本安全標準執行Proven-In-Use(經實際使用驗證)論證,或採用標準元件並建置額外的的架構性緩解措施。
什麼是安全儀控系統?
IEC 61508所定義的電機/電子/可編程電子安全相關系統,在製程產業稱為安全儀控系統(SIS),在機械產業稱為安全相關電子控制系統(SRECS),在核能產業稱為儀表與控制(I& C)系統。在本文中以SIS來統稱這些系統。
圖2顯示典型的安全儀控系統,內含至少一種安全儀控功能(SIF)。在IEC 61508中SIF亦指安全功能,但本文為方便討論故使用SIF一詞。SIF的組成包含輸入系統、邏輯解算子系統、以及最終執行元件子系統,目標全都是在需要應變時將受控設備(EUC)置於安全狀態。EUC是指受SIS保護的系統。圖3顯示SIF的典型模塊圖以及各子系統的例子。輸入子系統包含至少一個感測器,其作為監視系統負責偵測失效狀況,以及適時向邏輯解算器發送訊號。邏輯解算器在收到訊號後決定下一步要執行的動作。可能會要求透過各種最終執行元件將SIS置於安全狀態,其中包括斷路器、繼電器、或關斷閥門等制動器裝置。
值得一提的是,監控電路在安全儀控系統 (SIS) 中極具實用性。其可以用於輸入子系統中,負責偵測異常狀況;也可以在邏輯解算子系統中來監控電源供應、微控制器功能或訊號故障;或者作為安全儀控功能 (SIF) 透過重置訊號將系統置於安全狀態。如圖 3 所示。
高效能監控電路如何實現工業功能安全規範的合規性
IEC 61508的合規性可透過安全完整性等級(SIL)進行量化。每個安全儀控功能都有其相應的安全完整性等級,該等級反映了SIF在風險控管中的效能。IEC 61508將SIL分為四個等級,從SIL 1到SIL 4,其中SIL 4為最可靠。通常,首先進行危險分析與風險評估,以確定所需的安全功能,並進一步推導出風險降低因素及所需的SIL等級。《Process Safebook 1》一書中列出了執行此過程的方法,其中包含風險矩陣校準。
每個 SIL 等級都有其特定的要求,而這些要求受到三個因素的影響:定量可靠性要求、架構限制,以及系統性安全完整性。在接下來的章節中,將闡述監控電路如何透過滿足診斷要求來協助實現 IEC 61508 的合規性。
定量可靠性要求
表1列出了IEC 61508-1第7.6.2.9節中有關安全完整性要求的摘要來說明SIL與安全儀控功能目標失效量測的關係。 PFDavg指的是在低需求運行模式下,安全功能發生危險失效的平均機率。而PFH則指在高需求模式或連續運行模式下,安全功能發生危險失效的平均頻率。
| 安全完整性等級 (SIL) | 低需求運行模式 (PFDavg) | 高需求或連續運行模式 (PFH) |
| SIL 4 | ≥10-5 至 <10-4 | ≥10-9 至 <10-8 |
| SIL 3 | ≥10-4 至 <10-3 | ≥10-8至 <10-7 |
| SIL 2 | ≥10-3 至<10-2 | ≥10-7 至 <10-6 |
| SIL 1 | ≥10-2至 <10-1 | ≥10-6至 <10-5 |
影響硬體隨機失效平均機率的因素包括診斷測試覆蓋率、診斷測試間隔、以及未偵測的危險失效率(以 λDU. 表示)。未偵測的危險失效指的是無法透過系統診斷機制偵測到的失效,這類失效僅能透過驗證測試發現,如圖 4 所示。在此方面,監控電路的重要性更為突顯,因為其能作為診斷措施,協助偵測危險失效並降低其發生的機率。藉此,監控電路能將未偵測的危險失效轉化為已偵測的失效。
架構限制
除了定量可靠性要求外,IEC 61508還針對SIS的強固性及結構提出了相關要求。這些架構限制增加了設計者在選擇硬體架構時需要考量的因素。在IEC 61508-2 7.4.4章節中,其中一種證明符合SIL的方法是Route 1H,該方法基於硬體失效容限(HFT)以及安全失效比率(SFF)的概念。
架構限制需要考量元件的複雜性及類型。Type A元件,或稱簡單元件,具有明確定義的失效模式、在失效條件下可預測的行為、以及可靠的失效資料,且符合所要求的未偵測危險失效率。否則即視其為Type B元件或複雜元件。
表2顯示了 Type B元件的要求,這裡以積體電路等電子系統為例。SFF是衡量元件朝向安全狀態失效的傾向,HFT 為 N 表示至少需要N+1次的失效才會導致安全功能喪失,這也要求系統具備一定的冗餘性。這表示如果系統的HFT為0,單次失效就會導致安全功能喪失,而HFT 為1則表示需要兩次失效才會發生這類損失。
| 安全失效率 | 硬體失效容限 | ||
| 0 | 1 | 2 | |
| < 60% | 不允許 | SIL 1 | SIL 2 |
| 60% 至 90% | SIL 1 | SIL 2 | SIL 3 |
| 90% 至 99% | SIL 2 | SIL 3 | SIL 4 |
| ≥ 99% | SIL 3 | SIL 4 | SIL 4 |
SFF的數學表達式為:
另一個術語「診斷覆蓋率」的表達公式則為:
其中,λ 表示失效率,SD 表示偵測為安全,SU 表示未偵測為安全,DD 表示偵測為危險,DU 表示未偵測為危險,如圖 4 所示。
診斷覆蓋率評估的是SIS的診斷措施在揭示危險失效的成效。該覆蓋率會影響如前所述的系統量化可靠性,並與公式1與公式2的SFF相關聯。IEC 61508-2的附錄A也提供一種方法,用於判斷最大允許診斷覆蓋率,並可利用不同的技術與措施來偵測隨機硬體失效。
表 3 顯示診斷覆蓋率的分類及其與指定目標的關係。
| 診斷覆蓋率 | 指定目標 |
| < 60% | 無 |
| 60% 至 90% | 低 |
| 90% 至 99% | 中 |
| ≥ 99% | 高 |
表4顯示了IEC 61508-2附錄A 表A.1的一部分,說明在量化隨機硬體失效影響時應考慮的故障或失效,或在推導SFF時需要考慮的因素。需要注意的是, 要達成高診斷覆蓋率,需要使用診斷率故障模型。該模型包含多種失效模式,例如像固定型故障(stuck-at faults)、固定開路故障(stuck-open)、開路或高阻抗輸出、以及訊號線路之間的短路 – 這些失效模式皆可透過過壓(OV)或欠壓(UV)監控電路進行偵測。
| 分立型硬體 | 診斷覆蓋率元件的要求 | ||
| 低 (60%) | 中 (90%) | 高 (99%) | |
| 數位輸入/輸出 | 固定型故障 | 診斷覆蓋率 故障模型 |
診斷覆蓋率故障模型中的漂移與振盪 |
| 類比輸入/輸出 | 固定型故障 | 診斷覆蓋率故障模型中的漂移與振盪 | 診斷覆蓋率故障模型中的漂移與振盪 |
| 電源供應 | 固定型故障 | 診斷覆蓋率故障模型中的漂移與振盪 | 診斷覆蓋率故障模型中的漂移與振盪 |
總結而言,IEC 61508根據SIF的HFT和SFF來規範SIL要求。由於SFF與診斷覆蓋率參數明顯受到系統偵測故障能力的影響,因此諸如增加監控電路等等改善診斷措施亦能提升SIF的SIL等級。
系統性安全完整性
系統性安全完整性要求本質上為質性分析,其目的在評估系統在消除失效方面的開發成效,因此需要對硬體與軟體的設計、生產、以及測試流程進行全面檢查。SIL等級越高,檢查就越嚴格,且元件製造商需要提供更多文件來證明合規性。
IEC 61508規範了設計者在適用情況下應進行的技術與措施,以消除SIS安全生命週期各階段的系統性失效。表5顯示了IEC 61508-2 表A.16中的一些項目。該表列出了用於控制自環境壓力和影響引起的系統性失效的技術與措施,其中M表示強制性,HR表示強烈建議,R表示建議。在這些標誌的下方顯示了覆蓋這些診斷措施所需的工作量。舉例來說,SIL 3等級強制要求採用如電壓監控等措施來防範電壓變化,並強烈建議使用如看門狗計時器等程式監控手段,且診斷覆蓋率須至少達到90%。
| 技術/措施 | SIL 1 | SIL 2 | SIL 3 | SIL 4 |
| 量測包括電壓崩潰、電壓變化、過壓保護、低壓,以及像是交流電源頻率變化等其他可能導致危險失效的現象 | M 低 |
M 中 |
M 中 |
M 高 |
| 程式程序監控 | HR 低 |
HR 低 |
HR 中 |
HR 高 |
| 因應溫度上升的措施 | HR 低 |
HR 低 |
HR 中 |
HR 高 |
| 偵測訊號線路中斷路與短路的措施 | R | R | R | R |
| 程式碼保護 | R 低 |
R 低 |
R 中 |
R 高 |
系統性安全完整性要求的另一個關鍵是擁有良好的品質管理系統(QMS)。這可以透過組織獲得ISO 9001:2015品質管理系統認證來證明。需要注意的是,IEC 61508在整體生命週期與功能安全評估方面的大部分要求與ISO 9001對整體安全生命週期的要求相符。因此,擁有QMS認證有助於加快認證流程。此外,這也有助於組織推動功能安全策略,例如採用像IEC 61508等功能安全標準。
運用整合式解決方案提升功能安全性設計
根據功能安全合規性設計系統需要仔細考慮先前討論的各項要求。這包括建置足夠的安全措施,確保在失效情況下能夠可靠且安全地運行,這可能會導致電路元件數量增加,進而提高成本。因此,採用內建安全功能的元件可以簡化系統層級的實作,透過減少元件數量來提升系統可靠性,並且以較短的診斷測試間隔來提高診斷覆蓋率。如圖5所示,Analog Devices的 MAX42500透過將多項安全功能整合於一個套件中,提供足夠的診斷覆蓋率,進而取代了使用多個監控電路的做法。此款電源系統監控器有助於實現功能安全合規性,並解決有關電壓崩潰、電壓變動、過壓、欠壓以及其他可能導致危險失效的現象(例如交流電源頻率變化)和程式序列監控的需求。第一項要求強調所有安全關鍵電壓線路必須具備過壓和欠壓偵測功能。第二項要求則強調在單通道系統中,標準微控制器單元需要獨立的看門狗計時器。這兩項需求都可以透過MAX42500來實現,該元件透過I2C介面提供七個電源監控器和一個看門狗計時器的功能。
另一項考量因素為是否有安全文件來證明功能安全的合規性,尤其是在進行功能安全標準認證時,這些文件更是必須的。像MAX42500這類已獲得IEC 61508認證的元件,提供了所需的安全文件 – 包括安全手冊、失效模式影響與診斷分析(FMEDA)、良好的品質管理系統等,供使用者隨時參閱。儘管如此,諸如 LTC2965 與 LTC4365等未通過合規認證的產品,如圖5所示,仍然可以在考慮到 IEC 61508當前修訂版本的情況下,用來提高診斷覆蓋率和系統的強固性。然而,系統設計者仍需取得相關的安全文件,以滿足其功能安全性合規要求。
總結
本文闡述了高效能電壓監控電路在促進工業功能安全合規性方面所扮演的關鍵角色。文中探討了IEC 61508此基礎功能安全標準,以及其對特定產業標準的影響,為理解提供了基礎。此外,我們也對關鍵名詞進行了定義,像是安全儀控系統、安全儀控功能、以及安全完整性等級。接著,我們深入分析了IEC 61508的關鍵要求,包括量化的可靠性、架構限制、以及系統安全完整性,並特別強調運用高效能監控電路的影響,如電源監控器與看門狗計時器等元件。此外,我們也探討了運用整合式安全功能的價值,以 MAX42500為例,其考量了功能安全合規性以外的系統設計層面。透過這些討論,本文更具體的說明高效能電壓監控電路在保障工業系統安全性與可靠性中的重要性。
參考資訊
1Tom Meany. “Functional Safety and Industry 4.0.” Analog Devices, Inc., March 2018.
2 Noel Tenorio and Anthony Serquiña. “High Performance Voltage Supervisors Explained–Part 1.” Analog Dialogue, Vol. 58, No. 2, April 2024.
3 IEC 61508 All Parts, Functional Safety of Electrical/Electronic/Programmable Electronic Safety-Related Systems. International Electrotechnical Commission, 2010.
4 IEC 61511 All Parts, Functional Safety–Safety Instrumented Systems for the Process Industry Sector. International Electrotechnical Commission, 2016.
5 IEC 62061–Safety of Machinery– Functional Safety of Safety-Related Electrical, Electronic, and Programmable Electronic Control Systems. International Electrotechnical Commission, 2005.
6 IEC 61513–Nuclear power plants-Instrumentation and control important to safety-General requirements for systems. International Electrotechnical Commission, 2011.
7 ISO 26262 All Parts, Road Vehicles Functional Safety. International Organization for Standardization, 2011.
8 “IEC 62279. Railway Applications-Communication, Signaling and Processing Systems: Software for Railway Control and Protection Systems.” International Electrotechnical Commission, 2015.
9 IEC 62304–Medical Device Software–Software life cycle processes. International Electrotechnical Commission, 2006.
10 FAQs: Functional Safety for Medical Devices. TÜV SÜD, 2024.
11 Marvin Rausand. Reliability of Safety Critical Systems: Theory and Applications. Wiley, January 2014.
12 Process Safebook 1: Functional Safety in the Process Industry. Rockwell Automation, March 2013.
13 Tom Meany. “Functional Safety for Integrated Circuits.” Analog Devices, Inc., February 2018.
14 Loren Stewart. “Back to Basics 16 PFDavg.” Exida, October 2019.
15 Loren Stewart. “Back to Basics 17 PFH.” Exida, November 2019.
16 ISO 9001:2015 Quality Management Systems—Requirements. 2015.
17 “Functional Safety: A Total Quality Approach.” RTP Corp., 2021.