我之前的大部分博客集中于功能安全的基础知识,因为我想让大家掌握基本要领。
这将是我一段时间内涉及基本话题的最后一篇导论性博客。
很显然,作为半导体制造业者,我将专注于半导体功能安全要求,但这里的所有内容都有更加广泛的适用范围。另外,鉴于博客的性质,我会采用一些“诗歌性”修辞来快速解释概念。
下图显示了半导体器件的标准流程。ADI公司内部文件ADI61508反映了这一流程。
第一个任务是了解环境。这不仅包括EMC环境、电路预期运行温度的平均值和极值,还包括适用的标准和法规。
接下来是危害分析,用以确定安全功能。通常情况下,每种危害都要一个安全功能来应对,除非可以通过重新设计来消除该危害。
第三个框是确定每个安全功能的安全完整性要求。通常,这是根据危害的严重程度和可能发生的频率来完成的。
接下来的三个垂直框显示了应对系统需求的各种方法。系统故障不是随机事件引起的故障。系统故障的例子包括:EMC稳健性不够,未满足某些要求,由于测试 不足而缺少某些东西。路线1S以符合IEC 61508中的所有要求为基础,是最常见的选择;路线2S以实际使用证据为基础,也是可行的。路线3S只是软件的一个选择,涉及回溯性地完成所有您应该首先完成的文书工作和分析。对于IC,IEC 61508-2:2010附录F中的要求显示了实现路线1S的途径。
然后,您有两个选择来满足硬件完整性要求。路线1H允许您在诊断覆盖率和硬件容错(冗余)之间进行取舍。例如,对于SIL 3,可以不使用冗余,SFF(安全失效比率——衡量诊断覆盖率的指标)为99%,或每个通道的HFT(硬件容错)为1,SFF为90%。路线2H基于现场经验和最低HFT水平。
接下来,如果片内或片外有冗余,则需要考虑CCF(常见原因故障)。CCF很容易让冗余无效,CCF是导致冗余系统失效的最常见原因。
现在需要计算PFH(每小时危险故障概率)或PFD(需要时发生故障的概率)。根据SIL级别,这些指标会有最大值。通常情况下,给一个IC只会分配该最大值的很小一部分。
“当设计图纸的重量达到飞机重量时,飞机就可以飞行了。”
接下来需要考虑数据通信。指南说,应将大约1%的PFH预算分配给接口。这可能涉及基于传输介质的误码率、每条消息传输的比特数、每小时传输的消息数以及用于检测故障的任何CRC的Hamming距离的计算。(会有一篇博客探讨这个话题。)
也许最后在这里说不恰当,但如果有片内诊断功能,您需要考虑诊断发现错误时应该怎么做。对于电机控制应用,您可能希望切断电源,但对于其他应用,您需要了解关于最终应用的很多内容。例如在核电站冷却应用中,可能需要让冷却液保持流动,但如果是携带气体的系统,可能需要让气体停止流动。
还有很多其他子任务,例如配置管理、变更管理、收集能力证据、独立评估——上面没有显示这些,记住文档是关键。如果没有记录,事情就没有发生。产品不仅要安全,您还必须能够说明其安全背后的道理。航空电子领域有一种说法,当设计图纸的重量达到飞机重量时,飞机就可以飞行了。
-
半导体
+关注
关注
334文章
27253浏览量
217923 -
电机控制
+关注
关注
3534文章
1876浏览量
268698
原文标题:IEC 61508深度解析
文章出处:【微信号:motorcontrol365,微信公众号:电机控制设计加油站】欢迎添加关注!文章转载请注明出处。
发布评论请先 登录
相关推荐
评论