自動化程度的提高為人們日常生活中的方方面面都帶來了更多的舒適性和靈活性，但我們也需要注意到這些好處背后的安全風險。尤其是工業領域中讓人引以為傲的高精密生產線，它們應當是易于使用，并能提供高度舒適和安全的操作性。

　　本文深切認為技術系統不應當為人們和環境帶來超出允許風險范圍的安全風險。完全沒有風險是不現實的，所以風險可接受與否在于其嚴重程度。每個領域對可接受風險程度都有自己的定義，并使用不同的安全等級對其進行衡量。對于電氣和可編程系統來說，得益于一系列標準建立，由此形成了關于功能安全的共識。這些標準適用于不同的應用領域，但它們都基于由IEC61508標準派生出的安全理念。

　　圖1：常見的功能安全標準概覽

　　IEC61508標準覆蓋了系統的整個生命周期，并著重為系統中可能出現危險的部分制訂了相關規范。該標準旨在提供從零開始設計系統的最安全方式。實現功能安全的普遍措施是添加額外的元器件，用于監控功能的正常運行以及在發生不正常的情況時對系統進行控制。這個理念常用于工業自動化或過程工業領域中。IEC61508標準定義了功能安全的操作模式：低要求操作模式、高要求操作模式和連續模式。操作模式則由每年對于安全功能的使用頻率決定。

　　同時，針對功能安全領域中的標準控制功能的設計方法是可選的，如航空器、汽車或家用電器。IEC61508標準中定義的連續模式包含這些信息。

　　通常做法是從分析所有可能對系統產生影響的關鍵問題開始。所有被定位的問題必須使用參數進行衡量，如暴露時間、受傷的嚴重程度以及脫離傷害的可能性。這是典型的風險分析措施，必須在沒有額外電氣保護系統的情況下對受控設備施行。系統整個生命周期的所有部分均必須使用該措施。憑借風險圖，風險分析將提供要求的安全完整性等級（Safety Integrity Level， SIL）。在遵循ISO13849標準的情況下，風險圖將提供要求的性能等級（Performance Level， PL）。PL與SIL相似，均定義了安全等級。在設計安全PLC（Safety PLC）、安全變頻驅動器（Safety Drive Inverter）或安全編碼器（Safety Encoder）等安全元器件時，通常的做法是從機器制造商處獲得要求的安全等級。要求的安全等級旨在將風險降低至允許風險范圍內。SIL必須通過安全功能得以滿足，安全功能將由一系列安全元器件或安全設備實現。這就意味著單一的元器件無法滿足SIL，僅能用作安全鏈中的一部分。

　　為了滿足SIL要求，該標準涵蓋了兩種失效情況。第一類包含隨機失效以及所有類型的隨機硬件失效，而第二類包含所有系統失效。

　　隨機失效

　　隨機失效基于不同的參數進行計算得出，如元器件的失效概率（λ）、診斷覆蓋率（Diagnostic Coverage， DC）、硬件故障裕度（Hardware Fault Tolerance， HFT）、共同失效原因（β）以及測試間隔。事實上，安全與否不是與生俱來的，對于系統出現故障并進入到不安全狀態的情況，IEC61508標準僅涵蓋檢測不到、不安全的失效概率并根據合適的模式具體說明各類限制，PFD（根據要求的失效概率，Probability of Failure on Demand）適用于低要求操作模式，PFH（每小時的失效概率，Probability of Failure per Hour）適用于高要求操作模式和連續模式。舉個例子，SIL 3安全功能僅限于千年一遇的危險失效。反之，低要求操作安全功能（PFD）不應當發生平均1000次安全要求出現1次失效的情況。作為額外的驗收標準，IEC61508要求安全失效分數處于指定的SFF（安全失效分數，Safe Failure Fraction）范圍內，這取決于HFT和SIL。

　　表1：安全完整性等級的PFD和PFH值

　　表2：安全失效分數與硬件故障裕度的關系

　　危險失效的失效概率可通過實現診斷功能和冗余得以降低。冗余度需要參照硬件故障裕度（HFT）。HFT值為0的系統發生1次失效即可產生危險。也就是說，HFT值為N的系統能夠承受N-1次失效。如果診斷單元能夠檢測到故障并將系統引入安全狀態，局部診斷覆蓋即可降低重大失效帶來的影響（?du = ?d·（1-DC））。除了故障（硬錯誤，Hard-Error）導致的元器件失效概率，設計工程師還必須盡量減少軟錯誤（Soft-Error）。在測算時，軟錯誤率是非常關鍵的一點，因為相比硬錯誤導致的失效率，軟錯誤率會提升。

　　FPGA器件的領先制造商萊迪思半導體公司為客戶提供適用于所有推薦的安全元器件的失效概率和軟錯誤率數據。
本文選自電子發燒友《安防技術特刊》，更多優質內容，馬上下載閱覽