過去幾年,受以下多項(xiàng)因素的驅(qū)動(dòng),工業(yè)功能安全系統(tǒng)開始加速普及,像是製造商希望使用新的複雜技術(shù)來降低成本,例如使用安全扭矩關(guān)閉而不是再增加一個(gè)接觸器;實(shí)際證明使用機(jī)器人可以提高許多生產(chǎn)廠房的生產(chǎn)率,尤其是協(xié)作機(jī)器人;認(rèn)識(shí)到使用安全認(rèn)證設(shè)備可以提高整體可靠性;確認(rèn)使用診斷可以提高許多工廠和設(shè)備的產(chǎn)量;以及導(dǎo)入新的安全要求。另一個(gè)驅(qū)動(dòng)因素,則是對(duì)能源、石油和天然氣產(chǎn)業(yè)提出了嚴(yán)格的要求和監(jiān)管義務(wù)。
在展開詳細(xì)討論之前,我們先看一些基本定義,以協(xié)助讀者能夠更理解本文。
什麼是安全?
「安全」就是指能避免發(fā)生不可接受的風(fēng)險(xiǎn),例如生產(chǎn)廠房?jī)?nèi)未加防護(hù)的旋轉(zhuǎn)機(jī)器就是不安全的。
什麼是安全功能?
「安全功能」是指為實(shí)現(xiàn)或確保安全必須執(zhí)行的操作。安全功能的目的是降低系統(tǒng)風(fēng)險(xiǎn),例如如果上述旋轉(zhuǎn)機(jī)器的前面安裝了光幕,當(dāng)手穿過光幕時(shí),安全功能將會(huì)檢測(cè)到光束中斷,進(jìn)而在手接觸到旋轉(zhuǎn)機(jī)器之前使其停止運(yùn)轉(zhuǎn)。
安全功能通常包括三個(gè)子系統(tǒng):
● 輸入子系統(tǒng)(感測(cè)器,如液位感測(cè)器):用於感測(cè)值或狀態(tài)
● 邏輯子系統(tǒng)(可編程邏輯控制器(PLC)):用於判斷該狀態(tài)是否危險(xiǎn)
● 輸出子系統(tǒng)(執(zhí)行器):可採(cǎi)取行動(dòng)來確保安全
圖一的安全系統(tǒng)用於檢測(cè)危險(xiǎn)液體的液位,並在充滿時(shí)切斷液流。
什麼是功能安全?
指系統(tǒng)在需要時(shí)執(zhí)行預(yù)期安全功能的可靠性。其能有效地衡量功能安全工程師對(duì)光束中斷時(shí)光幕和馬達(dá)的停機(jī)安全功能會(huì)運(yùn)行的信任度。
如果硬體指標(biāo)(隨機(jī)錯(cuò)誤)、系統(tǒng)能力(SC)和共因失效(CCF)不會(huì)導(dǎo)致安全系統(tǒng)故障、人員傷亡、環(huán)境受損或生產(chǎn)損失,則認(rèn)為該系統(tǒng)功能安全。除了上述基本安全定義,還需瞭解設(shè)計(jì)功能安全系統(tǒng)時(shí)必須遵循的一些功能安全標(biāo)準(zhǔn),及其相關(guān)優(yōu)勢(shì)。
製造商進(jìn)行功能安全開發(fā)時(shí),遵循IEC 61508或ISO 26262等標(biāo)準(zhǔn),具有前期需求更清晰、測(cè)試期間較少出錯(cuò)、軟體編寫保持一致、整合過程中發(fā)現(xiàn)的缺陷更少、測(cè)試更全面、現(xiàn)場(chǎng)缺陷更少、相較於競(jìng)爭(zhēng)對(duì)手,差異化程度更高等好處。
安全標(biāo)準(zhǔn)有很多(圖二),其中大部分源自工業(yè)IEC 61508標(biāo)準(zhǔn)。值得注意的是,所有標(biāo)準(zhǔn)的90%到95%要求都與IEC 61508的要求類似。
本文重點(diǎn)介紹針對(duì)工業(yè)應(yīng)用的IEC 61508標(biāo)準(zhǔn),特別是如何使用SIL 2元件以相同冗餘設(shè)計(jì)SIL 3解決方案。
冗餘、高可用性和硬體容錯(cuò)
無論系統(tǒng)多麼可靠,系統(tǒng)最終都會(huì)失效!兩種常見的故障類型是系統(tǒng)性故障和隨機(jī)故障。參見圖三。
| 圖三 : 系統(tǒng)性故障和隨機(jī)故障 |
|
冗餘實(shí)際上是備用或冗餘路徑,當(dāng)安全系統(tǒng)中發(fā)生故障時(shí),其能執(zhí)行預(yù)期的安全功能。值得注意的是,系統(tǒng)具有一定程度的冗餘,並不表示同時(shí)具有高可用性。只有冗餘路徑能夠自動(dòng)開啟或啟動(dòng)時(shí),其才具有高可用性。IEC 61508中常用的另一個(gè)術(shù)語是硬體容錯(cuò)(HFT)。HFT為N表示至少出現(xiàn)N + 1個(gè)故障才可能導(dǎo)致安全功能喪失。需注意一點(diǎn),不應(yīng)考慮其他可能控制故障影響的措施,例如診斷。HFT是一種有效的手段,可確保硬體能夠抵禦故障,同時(shí)允許使用者權(quán)衡HFT和SFF。參見表一。
表一:硬體容錯(cuò)
|
元件的安全失效比率
|
硬體容錯(cuò)
|
|
0
|
1
|
2
|
|
<60%
|
不允許
|
SIL 1
|
SIL 2
|
|
60% 至 <90%
|
SIL 1
|
SIL 2
|
SIL 3
|
|
90% 至 <99%
|
SIL 2
|
SIL 3
|
SIL 4
|
|
?99%
|
SIL 3
|
SIL 4
|
SIL 4
|
安全完整性等級(jí)
SIL描述了安全功能的完整性及其提供的降風(fēng)險(xiǎn)能力的相對(duì)水準(zhǔn)。IEC 61508規(guī)定了四級(jí)SIL,SIL 1的安全完整性等級(jí)最低,SIL 4的安全完整性等級(jí)最高。表二比較了工業(yè)IEC 61508安全等級(jí)(SIL)、汽車(ISO 26262)安全等級(jí)(ASIL)和航空電子安全等級(jí)。請(qǐng)注意,這些只是近似比較。
表二:各種SIL等級(jí)
|
IEC 61508
|
ISO 26262
|
航空電子
|
|
SIL 1
|
ASIL A
|
D
|
|
SIL 2
|
ASIL B
|
C
|
|
SIL 3
|
ASIL C/D
|
B
|
|
SIL 4
|
?
|
A
|
隨著SIL等級(jí)的提高(從SIL 1到SIL 4),允許的故障率(FIT)依次降低。1 FIT相當(dāng)於每運(yùn)行十億(1e9)小時(shí)發(fā)生一次故障。1e9小時(shí)約為10萬年!有一點(diǎn)要注意,沒有任何設(shè)備能夠持續(xù)運(yùn)行10億小時(shí),但如果100,000臺(tái)設(shè)備運(yùn)行一年,在此期間可能會(huì)出現(xiàn)一次隨機(jī)硬體故障。安全失效比率(SFF)是檢測(cè)到的安全加危險(xiǎn)故障總數(shù)與安全功能中的故障總數(shù)之比。
表三顯示了硬體容錯(cuò)為零(HFT = 0)時(shí)安全失效比率(SFF)和SIL之間的對(duì)應(yīng)關(guān)係。
表三:SIL和SFF
|
SIL
|
SFF
|
每小時(shí)高需求率危險(xiǎn)故障
|
理論上允許的危險(xiǎn)故障
|
|
1
|
60%
|
1e–5?(10,000 FIT)
|
每10年發(fā)生1次危險(xiǎn)故障
|
|
2
|
90%
|
1e–6?(1,000 FIT)
|
每100年發(fā)生1次危險(xiǎn)故障
|
|
3
|
99%
|
1e–7?(100 FIT)
|
每1,000年發(fā)生1次危險(xiǎn)故障
|
問題/現(xiàn)有解決方案
對(duì)於許多採(cǎi)用功能安全的設(shè)計(jì)人員而言,尤其是使用IC進(jìn)行設(shè)計(jì)時(shí),問題在於獲得認(rèn)證可能很困難且成本高昂,並存在非常現(xiàn)實(shí)的不合規(guī)風(fēng)險(xiǎn)。設(shè)計(jì)人員必須創(chuàng)建系統(tǒng)級(jí)FMEDA,並且必須將ASIC視為黑匣子,因?yàn)樗麄儾恢溃?/span>
o 電晶體數(shù)量
o 內(nèi)部故障機(jī)制
o 佈局塊大小
o IC的可靠性
因此,為了實(shí)現(xiàn)總體SIL目標(biāo),設(shè)計(jì)人員在FIT計(jì)算中必然會(huì)過於保守,在安全系統(tǒng)的其他部分中也會(huì)過度確保安全。這通常表示需要使用外部診斷,例如外部ADC。如此做法的問題是更加昂貴(BOM) ,尺寸更大,更加複雜,系統(tǒng)軟體存在額外開銷,以及開發(fā)時(shí)間更長(zhǎng),除了上述問題,新版IEC 61508標(biāo)準(zhǔn)(第3版)的推出更進(jìn)一步加重了困難。
IEC 61508第3版
IEC 61508第3版目前計(jì)畫的變更包括:明確警告慎用晶片內(nèi)診斷來檢測(cè)同一晶片上的故障,除非IC是按照IEC 61508開發(fā)的。其並計(jì)畫包括類似於汽車ISO 26262潛在故障指標(biāo)的要求。除了針對(duì)診斷功能的SFF之外,診斷電路也會(huì)有SC要求。
ADFS5758:率先通過認(rèn)證的資料轉(zhuǎn)換器
ADFS5758 為一款單通道、16位元電流輸出DAC,整合動(dòng)態(tài)功率控制(DPC),具有內(nèi)部基準(zhǔn)電壓源和眾多晶片內(nèi)診斷功能。圖四顯示其功能架構(gòu)。
ADFS5758的診斷/安全措施
● 主要晶片內(nèi)診斷功能由ADC提供;如前所述,IEC 61508第3版計(jì)畫澄清,一般不允許使用晶片內(nèi)診斷來檢測(cè)晶片內(nèi)故障,除非IC是按照IEC 61508開發(fā)的
● 檢查有無有效的讀/寫位址
● ECC校正
● 看門狗計(jì)時(shí)器
● 鎖定配置暫存器的能力
● 內(nèi)部偏置電壓監(jiān)視器
● 溫度監(jiān)控器
除了滿足工業(yè)工廠自動(dòng)化程序控制應(yīng)用及高密度精巧小尺寸PLC類比I/O卡等要求,並且具有接收數(shù)位輸入碼,產(chǎn)生精度在±2.5%滿量程範(fàn)圍(FSR)內(nèi)的輸出電流的安全功能。此外,根據(jù)IEC 61508開發(fā),硬體指標(biāo)達(dá)到SIL 2,系統(tǒng)要求達(dá)到SIL 3。圖五顯示使用ADFS5758的典型安全應(yīng)用。
| 圖五 : 使用ADFS5758的典型應(yīng)用 |
|
為使系統(tǒng)滿足SIL要求,硬體指標(biāo)(也稱為架構(gòu)約束)和SC都必須滿足SIL目標(biāo)。
架構(gòu)約束
從硬體指標(biāo)的角度看,並行放置兩個(gè)SIL 2元件(相同或不同)可使客戶實(shí)現(xiàn)更高的SIL 3等級(jí)。參見圖六。
| 圖六 : 使用兩個(gè)SIL 2元件實(shí)現(xiàn)硬體指標(biāo)達(dá)到SIL 3的解決方案 |
|
在系統(tǒng)能力方面,冗餘可以透過多樣化(不同)元件或相同元件來實(shí)現(xiàn)。
相同元件
使用具有同樣SC的相同元件並不能改善整體系統(tǒng)能力,因?yàn)槠淙菀壮霈F(xiàn)相同的類似CCF的溫度峰值或壓降,並且同一故障可能會(huì)導(dǎo)致兩個(gè)元件同時(shí)失效。參見圖七。
| 圖七 : 使用相同元件不會(huì)提高系統(tǒng)能力 |
|
不同元件
在冗餘配置中使用不同的元件可以提高整體系統(tǒng)能力。由於兩個(gè)元件不相同,所以同一故障不太可能使兩個(gè)元件同時(shí)失效。但在安全系統(tǒng)中使用不同元件時(shí),相應(yīng)的設(shè)計(jì)導(dǎo)入和測(cè)試工作量會(huì)明顯增加,因此這種方法可能成本較高。理想的方法,是使用兩個(gè)相同元件來同時(shí)滿足功能安全要求的整體能力和隨機(jī)/硬體指標(biāo)。
開發(fā)系統(tǒng)能力比SIL高一級(jí)的重要性:相同冗餘
如果系統(tǒng)中可以採(cǎi)用某個(gè)元件,並且該系統(tǒng)是按照比元件的SIL高一個(gè)等級(jí)的系統(tǒng)能力開發(fā)的,則可以在安全系統(tǒng)中使用兩個(gè)相同元件來提供冗餘,並提高整體系統(tǒng)能力。示例參見圖八。
| 圖八 : 使用相同冗餘實(shí)現(xiàn)SIL 3的示例 |
|
ADFS5758是按照比硬體指標(biāo)高一級(jí)的系統(tǒng)能力開發(fā)的,因此,即使它在硬體指標(biāo)或隨機(jī)故障方面只通過了SIL 2認(rèn)證,也可被用於設(shè)計(jì)SIL3類比輸出模組。
結(jié)語
在安全系統(tǒng)中使用經(jīng)過認(rèn)證的ADFS5758可帶來許多優(yōu)勢(shì),包括:風(fēng)險(xiǎn)更小:滿足TUV要求;可使用晶片內(nèi)診斷(ADC和分散式診斷);解決方案尺寸更精巧/給定空間中通道更多(由於使用整合ADC);僅需少量外部元件(可靠性更高);針對(duì)性的診斷(檢測(cè)時(shí)間更短,覆蓋率更高);為系統(tǒng)級(jí)工程師提供關(guān)鍵資料(FMEDA) ;系統(tǒng)軟體的開銷更少(軟體中的診斷更少);提供針對(duì)假設(shè)環(huán)境的可靠性分析;縮短客戶的開發(fā)時(shí)間;提供相關(guān)檔(安全手冊(cè)和TUV評(píng)估報(bào)告);因應(yīng)未來的IEC 61508第3版標(biāo)準(zhǔn)。
除了上述優(yōu)勢(shì)之外,ADFS5758並允許使用SIL 2元件以相同冗餘設(shè)計(jì)SIL 3解決方案。
(本文作者Brian Condell為ADI產(chǎn)品應(yīng)用工程師)
