IEC61508对于硬件设计给出了设计与研发的安全仪表的硬件部分应满足硬件安全要求规范、设计应满足硬件安全完整性架构约束、设计应满足硬件随机失效率、设计应满足系统安全完整性和设计应考虑在检测到故障后的应对措施这五个要求,昌晖仪表在本文和大家聊聊。
硬件设计需要在系统设计完成后进行,针对功能安全型仪器仪表或系统来言,硬件设计主要是板级设计,包括元器件选型、电原理图设计、印制电路板布线等。功能安全标准IEC61508并没有针对这些工作细节提出特定的要求,但是在硬件设计的步骤上包括(专用集成电路设计和可编程逻辑等)给出了必须遵循的设计要求。
IEC61508对硬件设计的五个要求
1、设计与研发的安全相关产品的硬件部分应满足硬件安全要求规范。
安全要求的确立、分配、设计、实现、验证与确认贯穿于整个安全生命周期。安全要求的分配过程安全仪表系统链路的安全要求分配和安全仪表产品的安全要求分配。
2、设计应满足硬件安全完整性架构约束
所谓硬件安全完整性架构约束在产品设计中必须参考标准IEC61508 P2_7.4.4条目的规定来进行硬件安全完整性(Hardware SIL)的评估。对硬件安全完整性而言,可声明的最高的安全完整性等级受限于硬件安全完整性约束,硬件安全完整性约束来自两种可行的路线:
①路线1H(Route 1H)基于硬件故障裕度和安全失效分数的概念;
②路线2H(Route2 H)基于由最终用户反馈的元器件可靠性数据、对指定的安全完整性等级增强的置信度和硬件故障裕度。
简单的说第一种方法是通过设计中的计算分析来测评硬件安全完整性;第二种方法是大范围的采集产品在现场应用领域的经验数据通过数理统计的分析来判断硬件的安全完整性。(关于如何采集现场应用领域的经验数据可以参考IEC61508 P2_Table_B.6)两者最大的区别在于使用第一种方法是存在安全失效分数也就是我们常见的SFF(Safe Failure Fraction)之说,而对于第二种方法则不设该参数作为硬件架构的限制项。
3、设计应满足硬件随机失效率(PFD;PFH)
该数据是量化产品在按要求时(低要求)或者连续运行时(高要求/连续要求)会发生失效的概率值,该数值由于表现的是失效概率因此对于产品可靠性来说数据越低则可靠性越高。
4、设计应满足系统安全完整性
所谓系统安全完整性(SC)指安全相关系统安全完整性中,与危险失效模式下的系统性失效有关的部分。在这里注明一下,与可量化的硬件安全完整性不同,系统性安全完整性通常不能量化(至少在IEC61508标准中对于系统安全完整性只有定性的分析),系统安全完整性不仅包括硬件部分同时也包括软件部分。对于硬件设计的系统性能力要求必须依据IEC61508 P2_Annex A/B给出的推荐技术措施进行设计并执行设计验证从而使产品的系统性能力符合安全标准的要求。
5、设计应考虑在检测到故障后的应对措施。
对于故障检测我们并不陌生,但是对于如何系统性的做到产品的故障的预测与基于这样的预测使用相应的检测措施以及进入系统级或产品级的安全状态是产品硬件设计时的核心问题。
在此例举FMEA作为一个系统的判断方法。如下图所示假设是一款高压力报警器的电路模型
图1 高压力报警器的器件级电路模型
当检测到传感器I1 部分的压力超过阈值则启动Out1控制晶体管基极偏置从而控制I61作为报警输出。在分析过程中,需要假设某模块可能发生的失效并增加应对失效的检测措施。例如:
表1 FMEA分析举例
如上表可知,在进行假设性失效后,我们增加了一路R63,R64作为回采电路从而可以判断报警信号是否按预先的要求准确发出,当然在具体设计中我们还应该考虑产品下一级输出所接设备或者端口的阻抗匹配范围来确定回采电路是使用简易电阻链接亦或是使用运放跟随的链接模式,在不断的提出故障假设与应对故障假设来完成功能安全型产品对于故障诊断的要求中往复迭代硬件设计。