此前強調了診斷活動對于滿足基本功能安全標準的定性和定量的意義，如圖1所示。出于定性考慮，無論安全完整性等級(SIL)如何，都必須實施電源監(jiān)視器。而對于定量要求，主要有兩個考慮因素：可靠性預測和架構約束?？煽啃灶A測用于評估系統(tǒng)發(fā)生危險故障的平均概率，可以是低需求工作模式下需要時發(fā)生危險故障的平均概率(PFDavg)，也可以是高需求工作模式下每小時危險故障的平均頻率(PFH)。

本文針對PFH展開討論。同時，架構約束受到安全失效比率(SFF)和冗余要求的影響。集成了診斷功能后，可通過識別隨機硬件故障來增強這些指標。得益于此，設計過程中可以使用任何符合必要技術規(guī)格的監(jiān)控IC，因為SIL等級是在系統(tǒng)級確定的。

圖1. 基于IEC 61508:2010標準的診斷。

鑒于安全生命周期的嚴格要求，與非安全項目相比，實施安全項目往往需要付出更多努力。此時可以通過一些有效的策略來縮短項目時間線，并提高功能安全合規(guī)性，比如使用根據IEC 61508開發(fā)的器件。雖然這不是強制要求，但該方法可提供超出基本功能安全標準要求的多項優(yōu)勢。這些優(yōu)勢體現在以下方面。

本身包含FMEDA

符合IEC 61508標準的電源監(jiān)視器包含安全手冊，其中詳細說明了其故障模式、影響和診斷分析過程(FMEDA)。該過程涉及檢查系統(tǒng)的故障模式，旨在識別潛在故障原因及其對系統(tǒng)的影響（圖2）。無論是在器件層面還是系統(tǒng)層面應用，FMEDA都有助于證明器件符合IEC 61508等功能安全標準，同時滿足其定性和定量要求。

圖2. FMEDA方框圖。

IEC 61508-2:2010概述了安全手冊對合規(guī)項的要求。在這些信息的幫助下，IC集成商能夠更輕松地完成FMEDA。

附錄D第D.2.2節(jié)規(guī)定，對于每項功能，安全手冊應：

(d)包含由于隨機硬件故障導致合規(guī)項內部（以輸出行為為依據）的故障模式，這些故障模式會導致診斷系統(tǒng)無法檢測到該功能的故障。

(e)對于(c)和(d)中的每個故障模式，包含預估故障率。

第7.4.9.4節(jié)第(j)項規(guī)定，對于易受E/E/PE系統(tǒng)實施的隨機硬件故障要求影響的每個安全相關元件，應提供由于硬件故障信息而導致的診斷故障率。

這有助于簡化安全分析流程，系統(tǒng)架構師可直接使用安全手冊中提供的故障率來創(chuàng)建系統(tǒng)級FMEDA。如果器件FMEDA的假設與系統(tǒng)設計人員的用例不同，可調整現有分析文檔，以便重新計算并在系統(tǒng)級進一步分析。

集成了安全特性，涵蓋多項診斷功能

為應用選擇合適的部件通常需要考慮器件成本、電路板尺寸、系統(tǒng)操作和特性等因素。功能安全合規(guī)性還涉及到另一個因素——復雜的安全分析，例如FMEDA中涉及的安全分析。圖3顯示了高度集成的部件如何縮小電路板尺寸和器件數量，以及如何簡化系統(tǒng)的FMEDA。分立解決方案包含更多器件，分析時需更廣泛地考慮故障模式和故障率。另一方面，FMEDA文檔往往較少提及符合功能安全標準的集成解決方案。例如，圖3右側所示的MAX42500整合了左側三個獨立部分的功能。作為SIL 3級器件，其FMEDA中已提供lambda值，從而簡化了系統(tǒng)FMEDA所需的分析和計算。

圖3. 分立解決方案與集成解決方案。

自身包含診斷程序，可自行檢測隨機硬件故障

根據IEC 61508開發(fā)的器件包含特定SFF、 λDU（未檢測到的危險故障率）和系統(tǒng)能力，得益于片內診斷功能，與不合規(guī)器件相比，其可靠性顯著提高，特別是在PFDavg和/或PFH方面。這些診斷功能旨在盡可能減少部件開發(fā)時已納入考慮，但卻未被檢測到的危險故障，以符合SIL為目標。而對于不具備此類診斷功能的部件，由于缺乏檢測和減少內部故障的機制，其所表現出的可靠性預測通常明顯更差。

我們來看圖4所示的MAX42500。該高度集成的器件具有多個模塊和引腳，并配備診斷功能，能夠識別可能影響這些器件的隨機硬件故障。在本系列的第一部分，我們討論了電源監(jiān)視器等高性能電壓監(jiān)控器如何通過改善故障檢測來幫助提高功能安全合規(guī)性，進而增強系統(tǒng)完整性、PFH和SFF。同樣，合規(guī)的器件性能更優(yōu)，未檢測到危險故障的概率也更低。

圖4. MAX42500的(a)功能框圖和(b)診斷功能。

圖5展示了一個旨在符合IEC 61508標準的安全相關系統(tǒng)內，安全功能的PFH要求典型預算分配情況。該圖表明，如果診斷器件未檢測到危險故障的概率較低，不僅能提高系統(tǒng)的可靠性，還可以允許在其他系統(tǒng)器件之間更靈活地分配PFH預算。

圖5. PFH預算分配示例。

滿足即將發(fā)布的IEC 61508修訂版本的要求

目前，基本功能安全標準IEC 61508:2010并未強制要求基于非冗余系統(tǒng)的診斷進行診斷，也不強制要求系統(tǒng)能力(SC)比診斷安全功能要求低一級。但是，即將發(fā)布的標準修訂版本預計將引入多項重大變更：

明確警告慎用片內診斷來檢測同一芯片上的故障，除非IC是按照IEC 61508開發(fā)的。

潛在故障指標要求與汽車ISO 26262標準保持一致。

針對診斷功能的特定SFF。

診斷電路的SC要求。

因此，使用按照IEC 61508開發(fā)的IC（例如MAX42500）更能夠適應未來發(fā)展，為這些潛在更新做好準備。

涵蓋其他國家/地區(qū)的安全標準和指令

系統(tǒng)設計人員如果希望其產品可以在特定國家/地區(qū)使用，則必須確保遵守相應的法律和法規(guī)。各個國家/地區(qū)的安全法規(guī)不盡相同，許多國家/地區(qū)所采用的IEC 61508標準均進行了本地化調整，例如澳大利亞的AS 615084、英國的BS EN 615085和加拿大的CSA 615086。隨著基本功能安全標準的修訂，相關行業(yè)特定標準和國家/地區(qū)法律法規(guī)預計也會相應更新。

值得注意的是，一些國家/地區(qū)，尤其是在歐盟地區(qū)，強制要求使用SIL級監(jiān)視器。這源自《歐盟機械指令2006/42/EC》“使用建議”，該建議要求單通道系統(tǒng)配備SIL級監(jiān)視器。該指令規(guī)定，診斷功能故障可能會直接導致安全功能或元件故障，因此應被視為安全功能或元件本身的故障。此外，如果場景涉及兩個或多個故障，且這些故障會引起與安全功能或元件相關的臨界狀態(tài)，則應采用以下方法之一：

1. 將診斷功能視為單獨的功能，并且必須滿足表1所示的標準。

表1. 應用診斷功能的系統(tǒng)能力要求

2. 如果某診斷功能故障導致安全功能無法在需要時正常工作的概率增加，根據IEC 61508-4:2010第3.6.7條，應將其歸類為危險故障。如果某診斷功能故障導致直接進入安全狀態(tài)，根據IEC 61508-4:2010第3.6.8條，應歸類為安全故障。

簡化了功能安全評估

如果應用的SIL等級要求更高，那么也需要包含更強的獨立性。如IEC 61508-1:2010表4和表5所示，功能安全評估所需的獨立程度基于后果或SIL/SC要求而變化，范圍涵蓋獨立人員到獨立組織。因此，最高獨立程度要求由獨立組織（例如外部評估機構）來驗證功能安全合規(guī)性。這反過來強調了了解外部評估機構對功能安全的看法的重要性。

我們以TüV SüD和Exida為例，這是功能安全領域公認的專業(yè)獨立評估機構。前者表示，整體安全功能的SIL要求也應適用于診斷。同樣，后者也強調了按照符合IEC 61508的流程開發(fā)安全關鍵器件的重要性。正如本系列第一部分所討論的，診斷是功能安全合規(guī)性的核心，因此選擇SIL級監(jiān)視器不僅可以提高FS合規(guī)性，還能縮短外部評估時間，從而加速認證過程。

結論

本文的主要目的是探討在遵守功能安全標準時，使用符合功能安全等級要求的監(jiān)視器的重要性。首先，文章深入研究了IEC 61508標準的基本要求，強調了在合規(guī)部件的安全手冊中提供器件FMEDA信息的重要性。第二，文章介紹了集成SIL級電源監(jiān)視器的優(yōu)勢，與分立解決方案相比，這不僅能夠減小電路板尺寸，還可以簡化安全分析。第三，文章討論了SIL級診斷IC中的廣泛片內診斷特性，相關功能可以大幅降低未檢測到危險故障的概率，及其對整個系統(tǒng)PFH預算的影響。第四，文章闡述了此類部件如何能夠使安全相關系統(tǒng)適應未來發(fā)展，為即將發(fā)布的IEC 61508標準修訂版本做好準備。第五，文章將對SIL級監(jiān)視器的需求與各國家/地區(qū)普遍采用的基本功能安全標準聯(lián)系起來，其中還涉及到行業(yè)特定標準（如《機械指令》）。最后，文章談到了知名功能安全評估機構對IEC 61508標準相關診斷的看法。