时间的重要性

各种标准中对时间的利用比我意识到的要多，我没有涵盖所有内容，但我认为我得到了最重要的标准。希望这可以作为功能安全标准中有关时间的问题和术语的有用总结。

让我们从符合IEC 61508的典型安全相关系统开始。下图显示了顶部的EUC（受控设备）和非安全EUC控制系统。然而，底部是E/E/PE（电气电子或可编程电子）控制系统，该系统使用传感器监控EUC，如果传感器检测到问题，它能够将EUC置于安全状态。例如，如果EUC是由变速驱动器控制的大型旋转电机，则E/E/PE安全相关系统可能会监控电机的速度，如果超过安全速度限制，它将使系统进入安全状态，通常（除非它是一架飞行飞机）停止电机旋转。

图2 - 受控设备

IEC 4 第 61508 部分将过程安全时间定义为“在 EUC 或 EUC 控制系统中发生的故障（有可能引起危险事件）与必须在 EUC 中完成操作以防止危险事件发生之间的时间段。我们可能会立即通过讨论什么是危险事件而陷入困境，但我不会。

让我们继续以旋转电机为例，图中的吹气显示了电机以递增的速度旋转，直到时间 t1它超过了设定的安全速度限制。E/E/PE 安全相关系统检测到此超限事件并启动 STO（IEC 61800-5-2 中定义的安全转矩关闭），以在时间 t 之前使电机停止2.时间 t2-吨1必须小于过程安全时间，从图中可以看出（随着岁月的流逝和设备的磨损，我们甚至内置了一些制动效率较低的余量）。

图 3 - IEC 61508 的过程安全时间

在某些情况下，确定过程安全时间可能很困难，但在其他情况下，一旦做出某些保守的假设，计算起来就相当容易了。例如，假设我们有一个机器人安全应用程序，其中机器人不在笼子里，如果有人接近机器人，则必须在人到达系统并造成伤害之前停止机器人。在这种情况下，如果我们知道机器人的最大速度，操作员的最大假定行走速度（在机器安全标准中通常为1.6m / s），机器人的制动时间，安全功能响应极限需要多长时间被打破，我们可以定义一个过程安全时间。以下是基于 ISO TS 15066 的计算示例，即将纳入 ISO 10218-2。

图 4 - 使用 SLS 安全功能计算机器人的过程安全时间

在机器人安全的情况下，过程安全时间用于定义保护性分离距离，然后用激光扫描仪或将来的3D TOF相机（3D TOF相机可以减少保护性分离距离（并且遵循过程安全时间）进行监控，因为它不必允许伸手）。

时间的另一个非常相似的方面如下所示。然而，这里是E/E/PE控制系统本身发生的故障，而不是触发移动到安全状态的外部不良事件。此故障应通过 E/E/PE 安全相关控制系统内的诊断来检测。如果检测此故障的诊断程序每隔diagnostic_test_interval那么最坏的情况是，直到指定的时间才会检测到故障。从那里开始，需要一段时间才能达到安全状态，该图中称为“故障反应时间”。在图中，诊断测试间隔和故障响应时间的总和显示为安全响应时间，并且安全响应时间再次需要小于过程安全时间。对于高需求模式（需求速率超过每年一次），有另一种选择是诊断测试>需求速率的 100 倍）。

图5 - 与诊断相关的时间

我不会分心，但上述计算实际上仅适用于单通道架构，因为使用双通道架构时，第二个通道仍然可用于将您带到安全状态，因此诊断测试间隔并不那么重要。然而，对于机械，欧盟垂直建议的使用要求SIL 2 / PL d的诊断测试间隔至少每年一次，SIL 3 / PL e每月一次。对于所有阅读此博客的汽车人，请记住，在工业领域，与汽车不同，安全系统可能会打开并运行 20 或 30 年而不会关闭。没有像键控这样的好时机来测试潜在故障。

在上述术语中，只有过程安全时间被定义为IEC 61508，诊断测试间隔在IEC 61508的文本中使用。故障反应时间实际上在IEC 61800-5-2中使用，但在IEC 61508中未提及，其中它指出诸如“诊断测试间隔和执行指定操作以达到或保持安全状态的时间的总和小于处理时间”。我认为故障反应时间是一个很好的术语。

上面还显示了FTTI（容错时间间隔），它实际上是ISO 26262中的一个术语，但类似于IEC 61508的过程安全时间。ISO26262的其他术语是FDTI（故障检测时间间隔），它类似于上面显示的诊断测试间隔和FHTI（故障处理时间间隔），这是上面显示的安全响应时间。遗憾的是，标准无法根据 electropeida 或类似术语对此类术语进行标准化。

对于网络，术语安全功能响应时间如下所示，类似于上图所示的响应时间。它提醒我们，需要考虑从网络一端到另一端的最大可能传输时间。请注意，总和始终使用最大保证响应时间而不是 RMS 总和完成。这样做的理由可能会成为另一个未来的博客。IEC 61784-3中一个很好的句子是“经验测量只能作为最坏情况计算的合理性检查”，这清楚地表明它必须通过分析而不是测量来完成。

图 6 - IEC 61784-3 中的图形，用于说明安全功能响应时间

IEC 61508中另一个重要的时间概念是需求速率。速率是时间的倒数。因此，例如，如果您每小时发生一次，则需求率为1 / h。对于每 15 分钟发生一次的事情，需求率为 4/h。如果某件事每年发生一次，需求率为 1e-4/h。如果估计需求率小于 1/年，则根据 IEC 61508，我们使用 PFD（按需故障概率）作为关键可靠性指标，但如果需求率大于一次/年，则关键指标是 PFH（每小时平均故障概率）。允许的 PFH 和 PFD 因所需的 SIL（安全完整性等级）而异。我在下面显示了PFH的SIL相关要求，因为单位是1 / h，因此与时间有关。

图 7 - IEC 61508 第 1 部分每个 SIL 允许的最大 PFH

为什么我们以每年一次的需求率从PFD切换到PFH是一个有趣的话题，并且会成为一个很好的未来博客，但是我今天不会讨论它。

IEC 61508中的另一个概念是任务时间。这是安全系统的预期寿命。对于工业应用，任务时间通常为20年。用于构建安全系统的组件的使用寿命需要大于任务时间，否则您将进入组件的磨损期，组件的可靠性将迅速下降（您可以通过在此之前更换组件来应对这种情况）。对于汽车来说，任务时间可能是 15 年（对于汽车来说，寿命还不错），但这可能只有 6 个月的运行时间（6 个月大约是 5000 小时，每小时 30 英里/50 公里意味着您将有 150000 英里或 2500000 公里），这听起来至少适合爱尔兰的汽车。

图8 - ADI可靠性手册中的可靠性浴盆曲线

说到电子元件的可靠性，可靠性通常表示为FIT（时间故障），这是1亿小时运行中预期的故障次数。IC的典型FIT可能是20 FIT，但简单组件可以声称FIT为1。FIT 为 1 并不意味着组件将持续十亿年，而是在上述曲线的绿色区域内，每小时运行的故障概率为 1e-9/h。使用 FIT 的一个原因是，人们觉得使用 10 而不是 1e-8 这样的数字更好。

组件的可靠性通常用符号 λ 表示。可靠性的另一种表达方式是MTTF（平均故障时间），MTTF在机器安全标准中非常常见。如果您在浴缸曲线的平坦部分操作，则 MTTF 通常取为 1/λ。

一个有趣的方程给出了在恒定故障率 λ 的一段时间 t 后仍能正常运行的单元的比例是 R（t）=1-exp（-λt）。一段时间后，MTTF 63% 的单位已经出现故障（R（MTTF）=1-exp （-1））。对于可修复的系统，通常使用 MTBF – 故障前的平均时间 – 而不是 MTTF。对于机械部件，β10天代替 MTTF。这表示预计 10% 的组件发生危险故障的循环次数。

IEC 61508中提到的另一个时间是验证测试间隔。验证测试类似于诊断，但正常诊断是自动运行的，而验证测试是一种非自动测试，通常涉及将安全系统从其电路中取出并运行旨在查找正常自动诊断无法检测到的项目的所有故障模式的测试。如果不允许验证测试，那么通常会说内部证明测试等于任务时间。如果证明测试不完美，那么如果发生故障，它们将平均存在 T1/2 其中 T1是证明测试间隔或任务时间，以较短者为准。最近一篇关于 1oo2 架构的博客对此进行了分析，请参见此处。

与任务时间相关的是任务配置文件。这通常表示为产品整个生命周期内给定温度下的时间量。例如，如果寿命为20年，那么任务概况可能在-1'c时为20年，在4'c时为0年，在10'c时为45年，在4'c下为65年，在1'c时为85年。此任务配置文件可用于根据IEC 62380等标准进行可靠性预测。

审核编辑：郭婷