工业功能安全电源设计—第1部分:IEC 61508标准解读
摘要
电源单元是电子系统中最为关键的组件之一,电源的运行状况会影响整个系统的功能。在IEC 61508所定义的工业功能安全范畴内,电源是电气/电子/可编程电子(E/E/PE)安全相关系统(SRS)及其他子系统的组成要素和辅助服务单元。鉴于IEC 61508对功能安全(FS)合规性的三项关键要求和所推荐的诊断措施,开发符合工业功能安全要求的电源可能会颇具挑战性。因此,本系列文章的第一部分将探讨基本功能安全标准中关于电源的 相关规定。
引言
本系列文章以工业功能安全背景下的电源设计为主题,第一部分将重点阐述电气/电子/可编程电子(E/E/PE)安全相关系统(SRS)对电源的安全要求,具体将通过展示基本功能安全标准对电源的要求来加以说明。
E/E/PE安全相关系统中的电源
IEC 61508-4将E/E/PE系统定义为基于一个或多个E/E/PE设备并起到控制、保护或监测作用的系统。E/E/PE设备的范围包括系统中的所有组成要素,如电源、传感器(及其他输入设备)、数据高速传输路径(及其他通信路径)、执行器(及其他输出设备)。同时,根据定义,安全相关系统是指一种指定系统,它既要实现使受控设备(EUC)达到或维持安全状态所需的安全功能,又要通过自身或与其他E/E/PE SRS及风险降低措施配合,实现必要的安全完整性来达成所需的安全功能。如图1所示,除了执行特定安全功能所需的硬件和软件外,电源也是E/E/PE SRS的辅助服务单元之一。
电源和共因失效
基本功能安全标准将共因失效(CCF)定义为一个或多个事件引起的失效引发多通道系统中两个或更多独立通道同时失效,进而导致系统失效。一个典型例子是电源失效,它可能会导致SRS发生多种危险失效。如图2所示,假设24V输入对12VCC和5VCC输出短路,24V电源的失效将导致后续电路出现危险失效。
在满足功能安全要求时,考虑CCF至关重要,因为它会影响对IEC 61508三项关键要求的合规性,即系统安全完整性、硬件安全完整性和架构约束。IEC 61508标准中对于某些情况下的CCF和电源要求如下:
- IEC 61508-1第7.6.2.7节要求,在分配整体安全要求时,要考虑发生CCF的可能性。该节还要求,在分配安全要求时被视为独立的EUC控制系统、E/E/PE SRS及其他风险降低措施,不应共用可能因失效而导致所有系统出现危险失效模式的公共电源。
- 同样,在合成相关元件以实现所需系统能力(SC)时,IEC 61508-2第7.4.3.4节注释1指出,为了实现足够的独立性,一种可行方法是确保不存在会导致所有系统出现危险失效模式的公共电源失效。
- 对于具有片内冗余的集成电路,IEC 61508-2附录E也提出了多项规范性要求,比如对输入和输出(如电源等)进行隔离、采取措施避免由电源故障引起的危险失效等。
虽然以上条款禁止共用可能因失效而导致所有系统出现危险失效模式的公共电源,但在设计系统时遵循这一规定会增大占用空间,导致路板尺寸变大且成本上升。要想继续使用公共电源,一种方法是实施充足的电源监控措施。通过这种方式,根据安全要求,电源给E/E/PE SRS带来的危险失效即使不能完全消除,也能降低到可接受的水平。关于有效的电源监控如何解决共因失效问题的更多讨论,请参阅博客文章“电源的功能安全”。
电源失效和诊断
由于需要检测电源中的失效情况,基本功能安全标准规定了针对系统性和随机性硬件失效的检测要求和建议。
在控制系统性故障的要求方面,IEC 61508-2第7.4.7.1节要求E/E/PE SRS的设计应能耐受包括电磁干扰在内的环境应力。IEC 61508-2表A.16中引用了该条款,将针对电源缺陷(如电压击穿、电压变化、过压(OV)、低电压及其他现象)的一些措施描述为强制性措施,任何SIL等级都要遵守此项要求。具体参见表1。
| 技术/措施 | SIL 1 | SIL 2 | SIL 3 | SIL 4 |
| 针对可能导致危险失效的现象(如电压击穿、电压变化、过压、低电压、交流电源频率变化等)所采取的措施 | M 低 |
M 中 |
M 中 |
M 高 |
在IEC 61508-2表A.1的分立硬件组件项下,展示了在量化随机性硬件失效的影响时,可假定电源可能出现的故障和失效情况。具体参见表2。同时,IEC 61508-2 表A.9展示了针对电源推荐的诊断措施及相应的最大可声明诊断覆盖率。表3显示了更多来自IEC 61508-7第A.8节的细节。
在进行安全分析时,表2和表3都非常有用,因为每个组件的失效模式以所采用诊断技术的诊断覆盖率都是计算λ值(即SIL指标:危险失效概率和安全失效比率(SFF))的输入参数。
| 组件 | 低 (60%) |
中 (90%) |
高 (99%) |
| 电源 | 固定故障 | 直流故障模型 漂移和振荡 |
直流故障模型 漂移和振荡 |
| 诊断措施 | 目标 | 说明 | 经考量认为能 够实现的最大 诊断覆盖率 |
| 带安全关断功能的过压保护 | 保护SRS免受过压影响。 | 尽早检测到过压,以便通过断电程序将所有输出切换到安全状态,或者切换到辅助电源单元。 | 低(60%) |
| 电压控制(次级) | 监测次级电压,若电压不在规定范围内则启动安全状态。 | 监测次级电压,若不在规定范围内则启动断电程序,或者切换到辅助电源单元。 | 高(99%) |
| 带安全关 断功能的断电机制 | 切断电源并存储所有安全关键信息。 | 尽早检测到过压或欠压(UV),以便在必要时将内部状态保存到非易失性存储器中,并通过断电程序将所有输出设置为安全状态,或者切换到辅助电源单元。 | 高( (99%) |
图3a展示了一个电压控制诊断措施的示例。在此示例中,逻辑控制器子系统的电源(通常为后置稳压器或LDO形式)由MAX16126 进行监测。如果电源监控器检测到任何超出范围的电压(无论是过压还是欠压),将导致由微控制器和其他逻辑设备组成的逻辑控制器子系统与电源断开连接,同时MAX16126的FLAG引脚会被置位。通过这种方式,逻辑控制器子系统可以切换到安全状态。同样,如果不进行欠压检测,这种电路也可用作带安全关断功能的过压保护诊断措施。
另一方面,图3b展示了一个带安全关断功能的断电诊断措施的 示例。在此示例中, LTC3351的热插拔控制器将电源连接到逻辑控制器子系统,而其同步开关控制器以降压模式运行,为一组超级电容器充电。如果电源电压超出过压或欠压阈值,LTC3551将使逻辑控制器子系统与电源断开连接,同步控制器将以升压转换器的模式反向运行,从超级电容器组向逻辑控制器子系统供电。这将为逻辑控制器子系统提供足够的时间,将内部状态 保存到非易失性存储器中,并通过断电程序将所有输出设置为安全状态。
电源的运行
除了CCF、电源失效以及推荐的诊断措施外,IEC 61508还强调了电源在E/E/PE SRS中正常运行的重要性。这一点在标准的第六部分附录B.3中有所体现,其中讨论了在假设失效率恒定的情况下,如何使用可靠性方框图方法评估硬件失效概率。除了传感器、逻辑子系统和最终元件子系统的范围外,电源的运行也被纳入其中,如以下示例所示。
- 当电源失效导致断电断路型E/E/PE SRS断电并使系统断路进入安全状态时,电源不会影响SRS的PFDavg。
- 如果系统是通电断路型,或者电源存在可能导致E/E/PE SRS不安全运行的失效模式,则应在评估中考虑电源因素。
此类假设使得电源在E/E/PE SRS中的正常运行至关重要,因为这关系到电源是否会影响危险失效概率的计算,而这正是IEC 61508的关键要求之一。
结论
本文深入探讨了基本功能安全标准对E/E/PE安全相关系统电源的规范性要求和指导性要求。首先阐述了电源在E/E/PE SRS中的作用。接着讨论了禁止使用公共电源的共因失效问题,并展示了如何通过电源监控来消除CCF。此外,还介绍了与电源相关的系统性和随机性硬件失效的要求,并提到了针对电源推荐的诊断措施。最后,根据电源的运行模式(断电断路型或通电断路型),探讨了电源对于计算SRS危险失效概率的影响。
参考文献
Foord Tony和Colin Howard,“Energise or De-Energise to Trip?" Measurement and Control, 第41卷,第9期,2008年11月。
IEC 61508 All Parts,“Functional Safety of Electrical/Electronic/Programmable Electronic Safety-Related Systems”,国际电工委员会,2010年。
Meany, Tom. “电源功能安全”。ADI公司,2019年3月。
关于作者
关联至此文章
最新视频 21
