IEC61508對于硬件設(shè)計(jì)給出了設(shè)計(jì)與研發(fā)的安全儀表的硬件部分應(yīng)滿足硬件安全要求規(guī)范、設(shè)計(jì)應(yīng)滿足硬件安全完整性架構(gòu)約束、設(shè)計(jì)應(yīng)滿足硬件隨機(jī)失效率、設(shè)計(jì)應(yīng)滿足系統(tǒng)安全完整性和設(shè)計(jì)應(yīng)考慮在檢測到故障后的應(yīng)對措施這五個(gè)要求，昌暉儀表在本文和大家聊聊。

硬件設(shè)計(jì)需要在系統(tǒng)設(shè)計(jì)完成后進(jìn)行，針對功能安全型儀器儀表或系統(tǒng)來言，硬件設(shè)計(jì)主要是板級設(shè)計(jì)，包括元器件選型、電原理圖設(shè)計(jì)、印制電路板布線等。功能安全標(biāo)準(zhǔn)IEC61508并沒有針對這些工作細(xì)節(jié)提出特定的要求，但是在硬件設(shè)計(jì)的步驟上包括(專用集成電路設(shè)計(jì)和可編程邏輯等)給出了必須遵循的設(shè)計(jì)要求。

IEC61508對硬件設(shè)計(jì)的五個(gè)要求
1、設(shè)計(jì)與研發(fā)的安全相關(guān)產(chǎn)品的硬件部分應(yīng)滿足硬件安全要求規(guī)范。
安全要求的確立、分配、設(shè)計(jì)、實(shí)現(xiàn)、驗(yàn)證與確認(rèn)貫穿于整個(gè)安全生命周期。安全要求的分配過程安全儀表系統(tǒng)鏈路的安全要求分配和安全儀表產(chǎn)品的安全要求分配。
 
2、設(shè)計(jì)應(yīng)滿足硬件安全完整性架構(gòu)約束
所謂硬件安全完整性架構(gòu)約束在產(chǎn)品設(shè)計(jì)中必須參考標(biāo)準(zhǔn)IEC61508 P2_7.4.4條目的規(guī)定來進(jìn)行硬件安全完整性(Hardware SIL)的評估。對硬件安全完整性而言，可聲明的最高的安全完整性等級受限于硬件安全完整性約束，硬件安全完整性約束來自兩種可行的路線：
①路線1H(Route 1H)基于硬件故障裕度和安全失效分?jǐn)?shù)的概念；
②路線2H(Route2 H)基于由最終用戶反饋的元器件可靠性數(shù)據(jù)、對指定的安全完整性等級增強(qiáng)的置信度和硬件故障裕度。
簡單的說第一種方法是通過設(shè)計(jì)中的計(jì)算分析來測評硬件安全完整性；第二種方法是大范圍的采集產(chǎn)品在現(xiàn)場應(yīng)用領(lǐng)域的經(jīng)驗(yàn)數(shù)據(jù)通過數(shù)理統(tǒng)計(jì)的分析來判斷硬件的安全完整性。(關(guān)于如何采集現(xiàn)場應(yīng)用領(lǐng)域的經(jīng)驗(yàn)數(shù)據(jù)可以參考IEC61508 P2_Table_B.6)兩者最大的區(qū)別在于使用第一種方法是存在安全失效分?jǐn)?shù)也就是我們常見的SFF(Safe Failure Fraction)之說，而對于第二種方法則不設(shè)該參數(shù)作為硬件架構(gòu)的限制項(xiàng)。

3、設(shè)計(jì)應(yīng)滿足硬件隨機(jī)失效率(PFD；PFH)
該數(shù)據(jù)是量化產(chǎn)品在按要求時(shí)(低要求)或者連續(xù)運(yùn)行時(shí)(高要求/連續(xù)要求)會(huì)發(fā)生失效的概率值，該數(shù)值由于表現(xiàn)的是失效概率因此對于產(chǎn)品可靠性來說數(shù)據(jù)越低則可靠性越高。





4、設(shè)計(jì)應(yīng)滿足系統(tǒng)安全完整性
所謂系統(tǒng)安全完整性(SC)指安全相關(guān)系統(tǒng)安全完整性中，與危險(xiǎn)失效模式下的系統(tǒng)性失效有關(guān)的部分。在這里注明一下，與可量化的硬件安全完整性不同，系統(tǒng)性安全完整性通常不能量化(至少在IEC61508標(biāo)準(zhǔn)中對于系統(tǒng)安全完整性只有定性的分析)，系統(tǒng)安全完整性不僅包括硬件部分同時(shí)也包括軟件部分。對于硬件設(shè)計(jì)的系統(tǒng)性能力要求必須依據(jù)IEC61508 P2_Annex A/B給出的推薦技術(shù)措施進(jìn)行設(shè)計(jì)并執(zhí)行設(shè)計(jì)驗(yàn)證從而使產(chǎn)品的系統(tǒng)性能力符合安全標(biāo)準(zhǔn)的要求。

5、設(shè)計(jì)應(yīng)考慮在檢測到故障后的應(yīng)對措施。
對于故障檢測我們并不陌生，但是對于如何系統(tǒng)性的做到產(chǎn)品的故障的預(yù)測與基于這樣的預(yù)測使用相應(yīng)的檢測措施以及進(jìn)入系統(tǒng)級或產(chǎn)品級的安全狀態(tài)是產(chǎn)品硬件設(shè)計(jì)時(shí)的核心問題。

在此例舉FMEA作為一個(gè)系統(tǒng)的判斷方法。如下圖所示假設(shè)是一款高壓力報(bào)警器的電路模型

 
圖1 高壓力報(bào)警器的器件級電路模型

當(dāng)檢測到傳感器I1 部分的壓力超過閾值則啟動(dòng)Out1控制晶體管基極偏置從而控制I61作為報(bào)警輸出。在分析過程中，需要假設(shè)某模塊可能發(fā)生的失效并增加應(yīng)對失效的檢測措施。例如：

表1 FMEA分析舉例

如上表可知，在進(jìn)行假設(shè)性失效后，我們增加了一路R63，R64作為回采電路從而可以判斷報(bào)警信號是否按預(yù)先的要求準(zhǔn)確發(fā)出，當(dāng)然在具體設(shè)計(jì)中我們還應(yīng)該考慮產(chǎn)品下一級輸出所接設(shè)備或者端口的阻抗匹配范圍來確定回采電路是使用簡易電阻鏈接亦或是使用運(yùn)放跟隨的鏈接模式，在不斷的提出故障假設(shè)與應(yīng)對故障假設(shè)來完成功能安全型產(chǎn)品對于故障診斷的要求中往復(fù)迭代硬件設(shè)計(jì)。