安全问题：3个关键要求

IEC 61508 等功能安全标准共 700 个部分，长达 7 多页。但是，这些要求可以归纳为3个关键要求

要求1：具有良好的可靠性

要求2：容错（即使你具有良好的可靠性，故障仍然会发生）

要求 3：防止设计错误（并非所有系统故障都是由硬件故障引起的）

要求 1：大多数人会接受，虽然拥有良好的可靠性并不能保证安全性，但它至少是一个很好的第一步。可靠性以 FIT（每十亿小时运行的故障数）来衡量。可靠性预测可以基于现场经验或使用IEC 62380，SN29500或FIDES指南等系统的预测。允许的危险故障率将取决于 SIL，SIL 10000 为 1 FIT，SIL 1000 为 2，SIL 100 为 3，SIL 10 为 4。

数据使用允许输入平均工作温度的工具呈现，并在60%和90%的置信水平下给出可靠性预测。

大多数设备供应商都对可靠性感兴趣，但功能安全坚持使用特定的限制，具体取决于允许的危险故障概率所需的安全级别。它还提供了使用降额等技术和 MooN 等架构来增强它的方法，这些技术是未来博客的主题。

要求 2：如果您接受无论可靠性有多好，系统仍然会失败，那么应对此故障的方法包括诊断和冗余。诊断程序检测到故障是否发生，并使系统进入安全状态。冗余意味着有多个系统能够执行安全措施，即使发生一个故障，也会有另一个冗余设备来维护安全。在IEC 61508中，诊断覆盖率的品质因数是SFF（安全故障分数）。SFF 提供信用安全故障并检测到危险故障。对于 SIL 1，最低 SFF 要求为 60%，SIL 2 的最低 SFF 为 90%，SIL 3 的最低 SFF 要求为 99%。允许用冗余 （HFT） 换取 SFF，以便可以使用两个通道实现 SIL 2 安全功能，每个通道具有 60% 的 SFF。在IC级器件（如AD7124）具有许多诊断功能，可用于检测内部和系统级故障。片内诊断包括0V、+/满量程和+/-20mV等基准输入，以及用于检测内部位翻转的状态机。系统级诊断包括传感器烧毁电流源。

要求 3： 在IEC 61508中，功能安全是指为防止引入设计错误而采取的措施，作为项目的系统安全完整性。这些措施是必要的，因为无论您的可靠性有多好，尽管您内置了硬件容错能力，您都必须认识到系统可能无法在没有任何故障的情况下执行其安全相关任务。此类失败的原因可能包括错过、忘记要求、验证或确认不当。软件编码错误被认为是系统错误，因为它们不是由故障引起的，因为系统通常按设计运行。更难接受的是，EMI（电磁铁抗扰度）故障也被认为是系统故障，因为系统本身并没有失败，而是没有构建足够的鲁棒性。IEC 61508倡导的防止引入系统性错误的措施包括编码标准，设计审查，验证计划，安全计划，清单，需求管理等等。

审核编辑：郭婷