借助安全事项应用笔记实现安全设计——第3部分：提升功能安全性能

作者：Bryan Angelo Borres，高级功能安全工程师

摘要

对安全功能电路进行首次失效模式、影响与诊断分析(FMEDA)后，结果只有两种。第一种结果是系统完整性等级(SIL)要求得到满足，第二种结果是要求未能满足。对于后者，要在不进行重大架构变更的情况下解决问题，系统集成商可以提高诊断覆盖率、调整运行条件和/或采用额外安全措施。ADI公司安全应用笔记中的信息可以帮助系统集成商实施此类设计改进，从而达到每小时危险失效概率(PFH)/按需危险失效概率(PFDAVG)和安全失效比率(SFF)要求。因此，本系列的第3部分深入探讨系统集成商如何使用功能安全(FS)型器件的安全应用笔记，来提升IC在系统中的功能安全性能。

示例FMEDA

本系列的第2部分介绍了系统集成商在进行系统失效模式、影响与诊断分析(FMEDA)时，如何使用功能安全(FS)型IC的安全应用笔记中包含的安全信息。首次执行FMEDA后，如果安全功能的功能安全(FS)架构设计已经较为完善，则设计可能已经达到规定的每小时危险失效平均频率(PFH)/按需危险失效平均概率(PFDAVG)和安全失效比率(SFF)要求。否则，设计将需要进一步改进。

例如，表1展示了一项系统FMEDA，侧重于分析ADP7156对一个假定的单通道（无硬件容错(HFT)/HFT = 0）安全功能的影响。分析中假设：
•        LDO为逻辑控制器供电。
•        如果低压差稳压器(LDO)的输出电压为0V，则安全功能可以实现安全状态；否则，后果要么是对安全功能没有影响，要么导致安全功能丧失。

就诊断而言，假设采用带安全切断的过压保护技术（参见IEC 61508-2:2010表A.9）。据此，针对与过压相关的危险失效，最大可声称诊断覆盖率(DC)可达到60%。在运行方面，假设安全功能在高需求模式下运行。同样，本文使用的失效率预测依据IEC 62380标准。

表1：针对ADP7156的FMEDA分析示例

         名称  器件  功能  失效率  失效模式  FMD (%)  影响  失效分类  DC  λS  λNE  λDD  λDU
  (%)  (FIT)  (FIT)  (FIT)  (FIT)
  IC1  LDO稳压器  使能后1.2ms内提供3.3V±1.5%的低噪声稳压输出  7.15 FIT  VOUT关断或钳位在接近0V的低电平  29  安全功能处于安全状态  安全  —  2.07  　  　  　
  VOUT稳压调节结果高于目标值  12  控制器损坏导致安全功能丧失  危险  60  　  　  0.52  0.34
  VOUT稳压调节结果低于目标值  9  安全功能丧失  危险  0  　  　  　  0.64
  VOUT输出振荡，但仍在稳压范围内  6  对安全功能无影响  无影响  —  　  0.43  　  　
  VOUT钳位在接近VIN的水平  24  控制器损坏导致安全功能丧失  危险  60  　  　  1.03  0.69
  VOUT建立时间>1.2ms  3  对安全功能无影响  无影响  —  　  0.21  　  　
  VOUT输出振荡，且超出稳压范围  1  控制器损坏导致安全功能丧失  危险  60  　  　  0.04  0.03
  对系统功能无影响  16  对安全功能无影响  无影响  —  　  1.14  　  　
  16
  0.39 FIT  VOUT关断或钳位在接近0V的低电平  32.2  安全功能处于安全状态  安全  —  0.13  　  　  　
  VOUT稳压调节结果高于目标值  6.8  控制器损坏导致安全功能丧失  危险  60  　  　  0.02  0.01
  VOUT稳压调节结果低于目标值  6.8  安全功能丧失  危险  0  　  　  　  0.03
  VOUT输出振荡，但仍在稳压范围内  3.4  对安全功能无影响  无影响  —  　  0.01  　  　
  VOUT钳位在接近VIN的水平  20.5  控制器损坏导致安全功能丧失  危险  60  　  　  0.05  0.03
  对系统功能无影响  30.3  对安全功能无影响  无影响  —  　  0.12  　  　
  总计  2.2  1.91  1.66  1.77


图1：基于IEC 61508:2010的诊断2

回顾SFF计算公式1：



IC每小时危险失效平均频率(PFH)的计算公式1：



对于当前设计，安全功能的SFF为69%，而PFH贡献为1.77FIT。如果安全功能需要达到IEC 61508规定的系统完整性等级(SIL) 2，设计的SFF至少需要为90%。同时，SIL 2容许的PFH为100FIT至1000FIT。假设1%的PFH分配给IC，则要求的PFH贡献将在1FIT到10FIT的范围内。如果目标是下限，即1FIT，则当前架构将不符合SIL 2的SFF和PFH要求。

接下来将阐述系统集成商可以通过哪些途径来改进设计的PFH和SFF指标。

提高诊断覆盖率

公式2表明，PFH与未检出的危险失效率成正比。同样，公式1表明SFF与安全失效率和未检出的危险失效率成正比。因此，降低未检出的危险失效率并提高已检出的危险失效率，会改善IC的PFH和SFF指标。详情如图1所示。

对于表1所示的FMEDA示例，仅与过压相关的失效被纳入诊断覆盖范围。为了提升IC的安全性能，可从提高诊断覆盖率入手，具体包括以下两种方法：第一种是增加诊断覆盖率以检测欠压相关的危险失效，第二种是增加诊断覆盖率以检测过压相关的危险失效。例如，诊断覆盖率(DC)从60%增加到90%。

当前设计采用过压保护和安全关断诊断措施，根据IEC 61508-2:2010表A.9，最大可声称诊断覆盖率为60%。使用电压控制（次级）诊断措施来监测ADP7156的输出，将使最大可声称诊断覆盖率达到99%。这种诊断措施会同时监测过压(OV)和欠压(UV)情况，或任何超出指定范围的异常情况，因此与OV和UV相关的危险失效都会得到覆盖。将此方法应用于表2中的FMEDA示例，可实现0.04FIT的PFH和99.3%的SFF，超过SIL 2的要求。1,3

优化可靠性预测

改善IC的PFH的另一种方法是降低估计的失效率。《了解安全事项应用笔记》系列的第1部分介绍了系统集成商如何根据高温工作寿命(HTOL)、SN 29500和IEC 62380，计算FS型器件的失效率。在ADI安全应用笔记中给出的假设条件下，系统集成商可以使用所提供的信息来确保可靠性预测与工作条件相符，而不必使用最差情况下的值。

例如，在假设工作条件下根据SN 29500 FIT进行的ADP7156可靠性预测如图2所示。SN 29500可靠性预测受应用相关参数的影响，例如电压依赖因子和温度依赖因子。因此，如果假设的IC工作条件（如工作电压、环境工作温度、任务剖面和负载条件）比实际应用更严苛，设计人员可以调整假设条件，使其与实际情况相匹配。

表2：针对ADP7156的FMEDA分析示例

         名称  器件  功能  失效率  失效模式  FMD (%)  影响  失效分类  DC (%)  λS (FIT)  λNE (FIT)  λDD (FIT)  λDU (FIT)
  IC1  LDO稳压器  使能后1.2ms内提供3.3V±1.5%的低噪声稳压输出  7.15 FIT  VOUT关断或钳位在接近0V的低电平  29  安全功能处于安全状态  安全  —  2.07  　  　  　
  VOUT稳压调节结果高于目标值  12  控制器损坏导致安全功能丧失  危险  99  　  　  0.85  0.01
  VOUT稳压调节结果低于目标值  9  安全功能丧失  危险  99  　  　  0.63  0.01
  VOUT输出振荡，但仍在稳压范围内  6  对安全功能无影响  无影响  —  　  0.43  　  　
  VOUT钳位在接近VIN的水平  24  控制器损坏导致安全功能丧失  危险  99  　  　  1.7  0.02
  VOUT建立时间>1.2ms  3  对安全功能无影响  无影响  —  　  0.21  　  　
  VOUT输出振荡，且超出稳压范围  1  控制器损坏导致安全功能丧失  危险  99  　  　  0.07  0
  对系统功能无影响  16  对安全功能无影响  无影响  —  　  1.14  　  　
  0.39 FIT  VOUT关断或钳位在接近0V的低电平  32.2  安全功能处于安全状态  安全  —  0.13  　  　  　
  VOUT稳压调节结果高于目标值  6.8  控制器损坏导致安全功能丧失  危险  99  　  　  0.03  0
  VOUT稳压调节结果低于目标值  6.8  安全功能丧失  危险  99  　  　  0.03  0
  VOUT输出振荡，但仍在稳压范围内  3.4  对安全功能无影响  无影响  —  　  0.01  　  　
  VOUT钳位在接近VIN的水平  20.5  控制器损坏导致安全功能丧失  危险  99  　  　  0.08  0
  对系统功能无影响  30.3  对安全功能无影响  无影响  —  　  0.12  　  　
  总计  2.2  1.91  3.39  0.04


图2：ADP7156的SN 29500 FIT，基于其安全应用笔记

采用额外安全措施

ADI的安全应用笔记还给出了分析中使用的假设应用电路，如图3所示。应用笔记中的“失效模式分布(FMD)”部分提供了系统失效模式。在此基础上，设计人员可以根据需要决定，应采取哪些额外的安全措施来应对这些失效模式。例如，可以添加齐纳二极管和保险丝等保护措施，防止输出端发生过压相关的危险失效。有了这种保护，齐纳二极管会钳位过压，使此类失效不产生影响，从而消除危险失效，改善PFH和SFF指标。


图3：ADP7156安全应用笔记中假设的应用电路

结论

要达到严格的SIL要求，未必需要对系统架构进行全面改造。很多情况下，利用有针对性的诊断和可靠性数据，对现有设计进行策略性优化，就能实现目标。借助ADI公司安全事项应用笔记中提供的见解，系统集成商可以增强诊断覆盖率，优化运行条件以降低估计失效率，或纳入外部保护电路等补充安全措施，从而系统性地提升功能安全性能，尤其是SFF和PFH/PFDAVG。正如ADP7156 LDO稳压器示例所示，从基本过压关断升级为次级电压监测，能够使设计从不符合SIL 2标准，一举跃升为满足并超越SIL 2标准的要求。总而言之，这些应用笔记为工程师的安全设计提供了关键指引，可确保集成电路能够精准高效地满足IEC 61508的严格要求。

参考文献
1 Bryan Borres，“了解安全事项应用笔记——第2部分：失效模式分布”，《模拟对话》，第59卷，2025年10月。
2 Bryan Borres，“利用高性能监控电路提高工业功能安全合规性：使用SIL级器件——第二部分”，ADI公司，2025年3月。
3 Bryan Borres和Noel Tenorio，“工业功能安全电源设计——第一部分：IEC 61508标准解读”，ADI公司，2025年7月。

# # #
作者简介
Bryan Angelo Borres是一名经TüV认证的功能安全工程师，目前负责多个工业功能安全项目。作为高级功能安全工程师，他协助元器件设计师和系统集成商设计符合工业功能安全标准的功能安全电源产品。Bryan是菲律宾参加国际电工委员会(IEC) TC65/SC65A技术委员会的国家委员会成员，同时也是电气电子工程师协会(IEEE)的高级会员。此外，他拥有电力电子专业研究生文凭，在高效、稳健的电力电子系统设计方面拥有超过八年的丰富行业经验。