過去幾年,受以下多項因素的驅動,工業功能安全系統開始加速普及,像是製造商希望使用新的複雜技術來降低成本,例如使用安全扭矩關閉而不是再增加一個接觸器;實際證明使用機器人可以提高許多生產廠房的生產率,尤其是協作機器人;認識到使用安全認證設備可以提高整體可靠性;確認使用診斷可以提高許多工廠和設備的產量;以及導入新的安全要求。另一個驅動因素,則是對能源、石油和天然氣產業提出了嚴格的要求和監管義務。
在展開詳細討論之前,我們先看一些基本定義,以協助讀者能夠更理解本文。
什麼是安全?
「安全」就是指能避免發生不可接受的風險,例如生產廠房內未加防護的旋轉機器就是不安全的。
什麼是安全功能?
「安全功能」是指為實現或確保安全必須執行的操作。安全功能的目的是降低系統風險,例如如果上述旋轉機器的前面安裝了光幕,當手穿過光幕時,安全功能將會檢測到光束中斷,進而在手接觸到旋轉機器之前使其停止運轉。
安全功能通常包括三個子系統:
● 輸入子系統(感測器,如液位感測器):用於感測值或狀態
● 邏輯子系統(可編程邏輯控制器(PLC)):用於判斷該狀態是否危險
● 輸出子系統(執行器):可採取行動來確保安全
圖一的安全系統用於檢測危險液體的液位,並在充滿時切斷液流。
什麼是功能安全?
指系統在需要時執行預期安全功能的可靠性。其能有效地衡量功能安全工程師對光束中斷時光幕和馬達的停機安全功能會運行的信任度。
如果硬體指標(隨機錯誤)、系統能力(SC)和共因失效(CCF)不會導致安全系統故障、人員傷亡、環境受損或生產損失,則認為該系統功能安全。除了上述基本安全定義,還需瞭解設計功能安全系統時必須遵循的一些功能安全標準,及其相關優勢。
製造商進行功能安全開發時,遵循IEC 61508或ISO 26262等標準,具有前期需求更清晰、測試期間較少出錯、軟體編寫保持一致、整合過程中發現的缺陷更少、測試更全面、現場缺陷更少、相較於競爭對手,差異化程度更高等好處。
安全標準有很多(圖二),其中大部分源自工業IEC 61508標準。值得注意的是,所有標準的90%到95%要求都與IEC 61508的要求類似。
本文重點介紹針對工業應用的IEC 61508標準,特別是如何使用SIL 2元件以相同冗餘設計SIL 3解決方案。
冗餘、高可用性和硬體容錯
無論系統多麼可靠,系統最終都會失效!兩種常見的故障類型是系統性故障和隨機故障。參見圖三。
冗餘實際上是備用或冗餘路徑,當安全系統中發生故障時,其能執行預期的安全功能。值得注意的是,系統具有一定程度的冗餘,並不表示同時具有高可用性。只有冗餘路徑能夠自動開啟或啟動時,其才具有高可用性。IEC 61508中常用的另一個術語是硬體容錯(HFT)。HFT為N表示至少出現N + 1個故障才可能導致安全功能喪失。需注意一點,不應考慮其他可能控制故障影響的措施,例如診斷。HFT是一種有效的手段,可確保硬體能夠抵禦故障,同時允許使用者權衡HFT和SFF。參見表一。
表一:硬體容錯
|
元件的安全失效比率
|
硬體容錯
|
|
0
|
1
|
2
|
|
<60%
|
不允許
|
SIL 1
|
SIL 2
|
|
60% 至 <90%
|
SIL 1
|
SIL 2
|
SIL 3
|
|
90% 至 <99%
|
SIL 2
|
SIL 3
|
SIL 4
|
|
?99%
|
SIL 3
|
SIL 4
|
SIL 4
|
安全完整性等級
SIL描述了安全功能的完整性及其提供的降風險能力的相對水準。IEC 61508規定了四級SIL,SIL 1的安全完整性等級最低,SIL 4的安全完整性等級最高。表二比較了工業IEC 61508安全等級(SIL)、汽車(ISO 26262)安全等級(ASIL)和航空電子安全等級。請注意,這些只是近似比較。
表二:各種SIL等級
|
IEC 61508
|
ISO 26262
|
航空電子
|
|
SIL 1
|
ASIL A
|
D
|
|
SIL 2
|
ASIL B
|
C
|
|
SIL 3
|
ASIL C/D
|
B
|
|
SIL 4
|
?
|
A
|
隨著SIL等級的提高(從SIL 1到SIL 4),允許的故障率(FIT)依次降低。1 FIT相當於每運行十億(1e9)小時發生一次故障。1e9小時約為10萬年!有一點要注意,沒有任何設備能夠持續運行10億小時,但如果100,000台設備運行一年,在此期間可能會出現一次隨機硬體故障。安全失效比率(SFF)是檢測到的安全加危險故障總數與安全功能中的故障總數之比。
表三顯示了硬體容錯為零(HFT = 0)時安全失效比率(SFF)和SIL之間的對應關係。
表三:SIL和SFF
|
SIL
|
SFF
|
每小時高需求率危險故障
|
理論上允許的危險故障
|
|
1
|
60%
|
1e–5?(10,000 FIT)
|
每10年發生1次危險故障
|
|
2
|
90%
|
1e–6?(1,000 FIT)
|
每100年發生1次危險故障
|
|
3
|
99%
|
1e–7?(100 FIT)
|
每1,000年發生1次危險故障
|
問題/現有解決方案
對於許多採用功能安全的設計人員而言,尤其是使用IC進行設計時,問題在於獲得認證可能很困難且成本高昂,並存在非常現實的不合規風險。設計人員必須創建系統級FMEDA,並且必須將ASIC視為黑匣子,因為他們不知道:
o 電晶體數量
o 內部故障機制
o 佈局塊大小
o IC的可靠性
因此,為了實現總體SIL目標,設計人員在FIT計算中必然會過於保守,在安全系統的其他部分中也會過度確保安全。這通常表示需要使用外部診斷,例如外部ADC。如此做法的問題是更加昂貴(BOM) ,尺寸更大,更加複雜,系統軟體存在額外開銷,以及開發時間更長,除了上述問題,新版IEC 61508標準(第3版)的推出更進一步加重了困難。
IEC 61508第3版
IEC 61508第3版目前計畫的變更包括:明確警告慎用晶片內診斷來檢測同一晶片上的故障,除非IC是按照IEC 61508開發的。其並計畫包括類似於汽車ISO 26262潛在故障指標的要求。除了針對診斷功能的SFF之外,診斷電路也會有SC要求。
ADFS5758:率先通過認證的資料轉換器
ADFS5758 為一款單通道、16位元電流輸出DAC,整合動態功率控制(DPC),具有內部基準電壓源和眾多晶片內診斷功能。圖四顯示其功能架構。
ADFS5758的診斷/安全措施
● 主要晶片內診斷功能由ADC提供;如前所述,IEC 61508第3版計畫澄清,一般不允許使用晶片內診斷來檢測晶片內故障,除非IC是按照IEC 61508開發的
● 檢查有無有效的讀/寫位址
● ECC校正
● 看門狗計時器
● 鎖定配置暫存器的能力
● 內部偏置電壓監視器
● 溫度監控器
除了滿足工業工廠自動化程序控制應用及高密度精巧小尺寸PLC類比I/O卡等要求,並且具有接收數位輸入碼,產生精度在±2.5%滿量程範圍(FSR)內的輸出電流的安全功能。此外,根據IEC 61508開發,硬體指標達到SIL 2,系統要求達到SIL 3。圖五顯示使用ADFS5758的典型安全應用。
為使系統滿足SIL要求,硬體指標(也稱為架構約束)和SC都必須滿足SIL目標。
架構約束
從硬體指標的角度看,並行放置兩個SIL 2元件(相同或不同)可使客戶實現更高的SIL 3等級。參見圖六。
| 圖六 : 使用兩個SIL 2元件實現硬體指標達到SIL 3的解決方案 |
|
在系統能力方面,冗餘可以透過多樣化(不同)元件或相同元件來實現。
相同元件
使用具有同樣SC的相同元件並不能改善整體系統能力,因為其容易出現相同的類似CCF的溫度峰值或壓降,並且同一故障可能會導致兩個元件同時失效。參見圖七。
不同元件
在冗餘配置中使用不同的元件可以提高整體系統能力。由於兩個元件不相同,所以同一故障不太可能使兩個元件同時失效。但在安全系統中使用不同元件時,相應的設計導入和測試工作量會明顯增加,因此這種方法可能成本較高。理想的方法,是使用兩個相同元件來同時滿足功能安全要求的整體能力和隨機/硬體指標。
開發系統能力比SIL高一級的重要性:相同冗餘
如果系統中可以採用某個元件,並且該系統是按照比元件的SIL高一個等級的系統能力開發的,則可以在安全系統中使用兩個相同元件來提供冗餘,並提高整體系統能力。示例參見圖八。
ADFS5758是按照比硬體指標高一級的系統能力開發的,因此,即使它在硬體指標或隨機故障方面只通過了SIL 2認證,也可被用於設計SIL3類比輸出模組。
結語
在安全系統中使用經過認證的ADFS5758可帶來許多優勢,包括:風險更小:滿足TUV要求;可使用晶片內診斷(ADC和分散式診斷);解決方案尺寸更精巧/給定空間中通道更多(由於使用整合ADC);僅需少量外部元件(可靠性更高);針對性的診斷(檢測時間更短,覆蓋率更高);為系統級工程師提供關鍵資料(FMEDA) ;系統軟體的開銷更少(軟體中的診斷更少);提供針對假設環境的可靠性分析;縮短客戶的開發時間;提供相關檔(安全手冊和TUV評估報告);因應未來的IEC 61508第3版標準。
除了上述優勢之外,ADFS5758並允許使用SIL 2元件以相同冗餘設計SIL 3解決方案。
(本文作者Brian Condell為ADI產品應用工程師)
相關作者
相關产业类别
相關关键字
相關组织
相關网站单元