我之前的大部分博客集中于功能安全的基礎知識,因為我想讓大家掌握基本要領。
這將是我一段時間內涉及基本話題的最后一篇導論性博客。
很顯然,作為半導體制造業者,我將專注于半導體功能安全要求,但這里的所有內容都有更加廣泛的適用范圍。另外,鑒于博客的性質,我會采用一些“詩歌性”修辭來快速解釋概念。
下圖顯示了半導體器件的標準流程。ADI公司內部文件ADI61508反映了這一流程。
第一個任務是了解環境。這不僅包括EMC環境、電路預期運行溫度的平均值和極值,還包括適用的標準和法規。
接下來是危害分析,用以確定安全功能。通常情況下,每種危害都要一個安全功能來應對,除非可以通過重新設計來消除該危害。
第三個框是確定每個安全功能的安全完整性要求。通常,這是根據危害的嚴重程度和可能發生的頻率來完成的。
接下來的三個垂直框顯示了應對系統需求的各種方法。系統故障不是隨機事件引起的故障。系統故障的例子包括:EMC穩健性不夠,未滿足某些要求,由于測試 不足而缺少某些東西。路線1S以符合IEC 61508中的所有要求為基礎,是最常見的選擇;路線2S以實際使用證據為基礎,也是可行的。路線3S只是軟件的一個選擇,涉及回溯性地完成所有您應該首先完成的文書工作和分析。對于IC,IEC 61508-2:2010附錄F中的要求顯示了實現路線1S的途徑。
然后,您有兩個選擇來滿足硬件完整性要求。路線1H允許您在診斷覆蓋率和硬件容錯(冗余)之間進行取舍。例如,對于SIL 3,可以不使用冗余,SFF(安全失效比率——衡量診斷覆蓋率的指標)為99%,或每個通道的HFT(硬件容錯)為1,SFF為90%。路線2H基于現場經驗和最低HFT水平。
接下來,如果片內或片外有冗余,則需要考慮CCF(常見原因故障)。CCF很容易讓冗余無效,CCF是導致冗余系統失效的最常見原因。
現在需要計算PFH(每小時危險故障概率)或PFD(需要時發生故障的概率)。根據SIL級別,這些指標會有最大值。通常情況下,給一個IC只會分配該最大值的很小一部分。
“當設計圖紙的重量達到飛機重量時,飛機就可以飛行了。”
接下來需要考慮數據通信。指南說,應將大約1%的PFH預算分配給接口。這可能涉及基于傳輸介質的誤碼率、每條消息傳輸的比特數、每小時傳輸的消息數以及用于檢測故障的任何CRC的Hamming距離的計算。(會有一篇博客探討這個話題。)
也許最后在這里說不恰當,但如果有片內診斷功能,您需要考慮診斷發現錯誤時應該怎么做。對于電機控制應用,您可能希望切斷電源,但對于其他應用,您需要了解關于最終應用的很多內容。例如在核電站冷卻應用中,可能需要讓冷卻液保持流動,但如果是攜帶氣體的系統,可能需要讓氣體停止流動。
還有很多其他子任務,例如配置管理、變更管理、收集能力證據、獨立評估——上面沒有顯示這些,記住文檔是關鍵。如果沒有記錄,事情就沒有發生。產品不僅要安全,您還必須能夠說明其安全背后的道理。航空電子領域有一種說法,當設計圖紙的重量達到飛機重量時,飛機就可以飛行了。
-
半導體
+關注
關注
334文章
27570瀏覽量
220421 -
電機控制
+關注
關注
3537文章
1887瀏覽量
269020
原文標題:IEC 61508深度解析
文章出處:【微信號:motorcontrol365,微信公眾號:電機控制設計加油站】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
評論