IEC61508對(duì)于硬件設(shè)計(jì)給出了設(shè)計(jì)與研發(fā)的安全儀表的硬件部分應(yīng)滿足硬件安全要求規(guī)范、設(shè)計(jì)應(yīng)滿足硬件安全完整性架構(gòu)約束、設(shè)計(jì)應(yīng)滿足硬件隨機(jī)失效率、設(shè)計(jì)應(yīng)滿足系統(tǒng)安全完整性和設(shè)計(jì)應(yīng)考慮在檢測(cè)到故障后的應(yīng)對(duì)措施這五個(gè)要求，昌暉儀表在本文和大家聊聊。

硬件設(shè)計(jì)需要在系統(tǒng)設(shè)計(jì)完成后進(jìn)行，針對(duì)功能安全型儀器儀表或系統(tǒng)來言，硬件設(shè)計(jì)主要是板級(jí)設(shè)計(jì)，包括元器件選型、電原理圖設(shè)計(jì)、印制電路板布線等。功能安全標(biāo)準(zhǔn)IEC61508并沒有針對(duì)這些工作細(xì)節(jié)提出特定的要求，但是在硬件設(shè)計(jì)的步驟上包括(專用集成電路設(shè)計(jì)和可編程邏輯等)給出了必須遵循的設(shè)計(jì)要求。

IEC61508對(duì)硬件設(shè)計(jì)的五個(gè)要求
1、設(shè)計(jì)與研發(fā)的安全相關(guān)產(chǎn)品的硬件部分應(yīng)滿足硬件安全要求規(guī)范。
安全要求的確立、分配、設(shè)計(jì)、實(shí)現(xiàn)、驗(yàn)證與確認(rèn)貫穿于整個(gè)安全生命周期。安全要求的分配過程安全儀表系統(tǒng)鏈路的安全要求分配和安全儀表產(chǎn)品的安全要求分配。
 
2、設(shè)計(jì)應(yīng)滿足硬件安全完整性架構(gòu)約束
所謂硬件安全完整性架構(gòu)約束在產(chǎn)品設(shè)計(jì)中必須參考標(biāo)準(zhǔn)IEC61508 P2_7.4.4條目的規(guī)定來進(jìn)行硬件安全完整性(Hardware SIL)的評(píng)估。對(duì)硬件安全完整性而言，可聲明的最高的安全完整性等級(jí)受限于硬件安全完整性約束，硬件安全完整性約束來自兩種可行的路線：
①路線1H(Route 1H)基于硬件故障裕度和安全失效分?jǐn)?shù)的概念；
②路線2H(Route2 H)基于由最終用戶反饋的元器件可靠性數(shù)據(jù)、對(duì)指定的安全完整性等級(jí)增強(qiáng)的置信度和硬件故障裕度。
簡(jiǎn)單的說第一種方法是通過設(shè)計(jì)中的計(jì)算分析來測(cè)評(píng)硬件安全完整性；第二種方法是大范圍的采集產(chǎn)品在現(xiàn)場(chǎng)應(yīng)用領(lǐng)域的經(jīng)驗(yàn)數(shù)據(jù)通過數(shù)理統(tǒng)計(jì)的分析來判斷硬件的安全完整性。(關(guān)于如何采集現(xiàn)場(chǎng)應(yīng)用領(lǐng)域的經(jīng)驗(yàn)數(shù)據(jù)可以參考IEC61508 P2_Table_B.6)兩者最大的區(qū)別在于使用第一種方法是存在安全失效分?jǐn)?shù)也就是我們常見的SFF(Safe Failure Fraction)之說，而對(duì)于第二種方法則不設(shè)該參數(shù)作為硬件架構(gòu)的限制項(xiàng)。

3、設(shè)計(jì)應(yīng)滿足硬件隨機(jī)失效率(PFD；PFH)
該數(shù)據(jù)是量化產(chǎn)品在按要求時(shí)(低要求)或者連續(xù)運(yùn)行時(shí)(高要求/連續(xù)要求)會(huì)發(fā)生失效的概率值，該數(shù)值由于表現(xiàn)的是失效概率因此對(duì)于產(chǎn)品可靠性來說數(shù)據(jù)越低則可靠性越高。





4、設(shè)計(jì)應(yīng)滿足系統(tǒng)安全完整性
所謂系統(tǒng)安全完整性(SC)指安全相關(guān)系統(tǒng)安全完整性中，與危險(xiǎn)失效模式下的系統(tǒng)性失效有關(guān)的部分。在這里注明一下，與可量化的硬件安全完整性不同，系統(tǒng)性安全完整性通常不能量化(至少在IEC61508標(biāo)準(zhǔn)中對(duì)于系統(tǒng)安全完整性只有定性的分析)，系統(tǒng)安全完整性不僅包括硬件部分同時(shí)也包括軟件部分。對(duì)于硬件設(shè)計(jì)的系統(tǒng)性能力要求必須依據(jù)IEC61508 P2_Annex A/B給出的推薦技術(shù)措施進(jìn)行設(shè)計(jì)并執(zhí)行設(shè)計(jì)驗(yàn)證從而使產(chǎn)品的系統(tǒng)性能力符合安全標(biāo)準(zhǔn)的要求。

5、設(shè)計(jì)應(yīng)考慮在檢測(cè)到故障后的應(yīng)對(duì)措施。
對(duì)于故障檢測(cè)我們并不陌生，但是對(duì)于如何系統(tǒng)性的做到產(chǎn)品的故障的預(yù)測(cè)與基于這樣的預(yù)測(cè)使用相應(yīng)的檢測(cè)措施以及進(jìn)入系統(tǒng)級(jí)或產(chǎn)品級(jí)的安全狀態(tài)是產(chǎn)品硬件設(shè)計(jì)時(shí)的核心問題。

在此例舉FMEA作為一個(gè)系統(tǒng)的判斷方法。如下圖所示假設(shè)是一款高壓力報(bào)警器的電路模型

 
圖1 高壓力報(bào)警器的器件級(jí)電路模型

當(dāng)檢測(cè)到傳感器I1 部分的壓力超過閾值則啟動(dòng)Out1控制晶體管基極偏置從而控制I61作為報(bào)警輸出。在分析過程中，需要假設(shè)某模塊可能發(fā)生的失效并增加應(yīng)對(duì)失效的檢測(cè)措施。例如：

表1 FMEA分析舉例

如上表可知，在進(jìn)行假設(shè)性失效后，我們?cè)黾恿艘宦稲63，R64作為回采電路從而可以判斷報(bào)警信號(hào)是否按預(yù)先的要求準(zhǔn)確發(fā)出，當(dāng)然在具體設(shè)計(jì)中我們還應(yīng)該考慮產(chǎn)品下一級(jí)輸出所接設(shè)備或者端口的阻抗匹配范圍來確定回采電路是使用簡(jiǎn)易電阻鏈接亦或是使用運(yùn)放跟隨的鏈接模式，在不斷的提出故障假設(shè)與應(yīng)對(duì)故障假設(shè)來完成功能安全型產(chǎn)品對(duì)于故障診斷的要求中往復(fù)迭代硬件設(shè)計(jì)。