設計高完整性系統

2021-04-07

不久之后，第一批電氣設備就被認為是在可能會(huì )導致災難性后果的情況下使用它們的。這可能會(huì )給用戶(hù)帶來(lái)致命的電擊，或者無(wú)法在超速行駛的車(chē)輛上踩剎車(chē)；電氣設備無(wú)處不在，幾乎用于所有可能的目的?，F在，通常將醫療設備嵌入患者體內以調節他們的心跳。機動(dòng)車(chē)輛現在具有電控轉向，制動(dòng)和加速功能。如果沒(méi)有計算機控制，某些現代飛機將無(wú)法飛行。如果控制它們的電氣設備發(fā)生故障，那么所有這些示例都有一個(gè)共同點(diǎn)，那就是可能會(huì )發(fā)生事故，從而導致生命損失。高完整性系統還有其他一些例子，其中失敗的后果更加微妙。家用供暖系統可能會(huì )使您在冬天的深處感到寒冷。電信設備可能會(huì )使您的基于Internet的業(yè)務(wù)與整個(gè)世界斷開(kāi)連接。如果發(fā)生災難性的錯誤，管理全球資金流的財務(wù)計劃可能會(huì )錯位客戶(hù)的終身儲蓄，甚至可能使整個(gè)國家破產(chǎn)。 

設計過(guò)程

高完整性系統的設計過(guò)程遵循一系列步驟。第一步是查找由設備引起的所有可信危害，并將其消除。例如，假設計劃是將該設備連接到市電并包括一個(gè)電源模塊，以生成組件所需的低電壓。但是，存在可信的危險，即設備可能會(huì )被弄濕并觸電。一種解決方案是將設備封閉在防水外殼中，以保持高壓和水的隔離。另一種選擇是將主電源替換為使用位于主電源插座上的電源適配器產(chǎn)生的低壓電源。電擊危險現在已消除了由于設備受潮而導致的故障。如果設備被淋濕，它還會(huì )帶來(lái)其他影響，但它們超出了該假設示例的范圍。

第二步是采取無(wú)法消除的危害，并將其發(fā)生的可能性降低到可接受的水平。例如，您的設備可能包括一個(gè)互鎖裝置，以防止操作員在打開(kāi)檢修門(mén)時(shí)打開(kāi)檢修門(mén)。這可能是為了阻止操作員暴露在危險電壓下，或者可能是設備內有激光器在運行，其功率足以造成眼睛傷害。繼電器將處于故障模式，在該模式下，設備已打開(kāi)，但繼電器發(fā)生了故障，檢修門(mén)已解鎖。這種故障模式將有發(fā)生的可能性，例如，每萬(wàn)年一次。聽(tīng)起來(lái)這將永遠不會(huì )發(fā)生，但是機會(huì )并不是那么簡(jiǎn)單。通常對于安全性至關(guān)重要的應用，導致生命損失或嚴重傷害的危害應在幾百萬(wàn)年左右的范圍內，具體取決于適用的法規和規章。在這里，我們需要提高安全聯(lián)鎖的可靠性，以使危險可以接受。將需要進(jìn)行設計更改，包括對互鎖機制進(jìn)行冗余或添加第二個(gè)獨立的互鎖。作為最后的手段，可以添加手動(dòng)步驟以確保設備打開(kāi)時(shí)永遠不會(huì )打開(kāi)檢修門(mén)。人類(lèi)是設計上不可靠的生物，因此技術(shù)解決方案應始終是第一，第二甚至第三道防線(xiàn)。包括將冗余添加到聯(lián)鎖機制中或添加第二個(gè)獨立聯(lián)鎖。作為最后的手段，可以添加手動(dòng)步驟以確保設備打開(kāi)時(shí)永遠不會(huì )打開(kāi)檢修門(mén)。人類(lèi)是設計上不可靠的生物，因此技術(shù)解決方案應始終是第一，第二甚至第三道防線(xiàn)。包括將冗余添加到聯(lián)鎖機制中或添加第二個(gè)獨立聯(lián)鎖。作為最后的手段，可以添加手動(dòng)步驟以確保設備打開(kāi)時(shí)永遠不會(huì )打開(kāi)檢修門(mén)。人類(lèi)是設計上不可靠的生物，因此技術(shù)解決方案應始終是第一，第二甚至第三道防線(xiàn)。

最后一步是添加控制機制以限制任何故障的影響，從而使設備具有容錯能力。隔離技術(shù)可以防止一個(gè)組件塊發(fā)生故障，從而在連接的組件塊中引起連鎖故障。例如，如果電源模塊出現故障，則如果電源模塊的故障導致電源輸出電壓急劇上升，則不應導致該模塊上的所有組件發(fā)生故障。從高完整性的觀(guān)點(diǎn)來(lái)看，這種在電源下游的故障的級聯(lián)不僅是不希望的，而且還可能使任何維修在經(jīng)濟上都不可行。

處理失敗

一種常見(jiàn)的方法是假設您的設備在某個(gè)時(shí)候會(huì )發(fā)生故障，并實(shí)施控制措施以最安全的方式管理該故障。

故障安全還是故障安全？

一種選擇是故障安全系統。如果發(fā)生任何錯誤，設備將立即進(jìn)入安全狀態(tài)。它發(fā)出操作員警報以采取糾正措施，例如，向患者輸送一定劑量藥物的醫療設備。安全的選擇是停止提供藥物，并警告護士更換設備或手動(dòng)管理藥物。您想要的最后一件事是該設備錯誤地輸送了過(guò)多或過(guò)少的藥物，并且沒(méi)有人注意到它為時(shí)已晚—同一脈絡(luò )上的另一種變化，即防盜系統。以自動(dòng)取款機為例；銀行希望得到的最后一件事是由于故障導致機器發(fā)行免費貨幣的故障。更好的選擇是防止任何現金離開(kāi)設備，如果有任何用戶(hù)未能取款，

有時(shí)，故障安全和故障安全之間的區別可能會(huì )變得模糊，甚至相互排斥。以設施的電控檢修門(mén)為例。發(fā)生故障時(shí)，可以將門(mén)鎖上或開(kāi)鎖。如果門(mén)后有任何有價(jià)值的東西，則鎖定是故障安全選項，但是如果門(mén)在發(fā)生火災時(shí)提供逃生手段，則解鎖是故障安全選項。盡管我們希望故障安全狀態(tài)始終能勝過(guò)故障安全狀態(tài)，但現在這已成為較關(guān)鍵狀態(tài)之間的折衷方案。更現實(shí)地講，這種情況應促使設計人員重新考慮使故障安全和故障安全條件保持一致的設計。

失敗軟

故障安全和故障安全的替代方法是故障軟原理。在這種情況下，如果發(fā)生故障，該設備將以有限的容量繼續運行，以提供不受任何缺陷影響的最低級別的功能。一個(gè)很好的例子是現代汽車(chē)的li行功能。如果發(fā)動(dòng)機控制器或其許多傳感器中的任何一個(gè)發(fā)生故障，而不是僅僅停止發(fā)動(dòng)機，它就會(huì )進(jìn)入以降低的功率設置運行的狀態(tài)，這意味著(zhù)汽車(chē)可以帶您回家或到達最近的車(chē)庫。 

最復雜的選擇是設計一個(gè)故障操作系統，在該系統中設備的故障不會(huì )停止或減少整個(gè)系統的操作。以電梯為例。發(fā)生故障時(shí)，您不希望電梯僅停下來(lái)，因為任何乘員都需要被拉走。如果它停在樓層之間，并且乘員是手推車(chē)上的住院病人，正好在從手術(shù)室返回的途中，這是一個(gè)棘手的提議。設計一種系統，使電梯能夠到達可以打開(kāi)門(mén)的安全位置，并且乘員通?？梢噪x開(kāi)首選位置。

失敗原因

故障可能是由設備內部或外部的多種原因引起的。 

組件故障

就組件故障的發(fā)生可能性和組件故障的方式而言，它們很容易理解。舉一個(gè)簡(jiǎn)單的例子，分立電阻器很可能會(huì )開(kāi)路故障，并且在較小程度上可能會(huì )導致短路故障或超出容差范圍。盡管設計人員需要考慮設備運行的環(huán)境，但制造商可以提供平均故障時(shí)間數據。極端溫度，暴露于濕氣，振動(dòng)和沖擊的影響將影響組件的可靠性和可能的故障模式。例如，在高振動(dòng)環(huán)境中，由于PCB走線(xiàn)，焊點(diǎn)或組件腳的斷裂而引起的開(kāi)路故障很常見(jiàn)。相反，在高濕度環(huán)境中，

但是，組件越復雜，該任務(wù)就越困難。穩壓器的故障模式可能更加微妙，難以計劃。它們不僅無(wú)法提供正確的電壓。在穩壓輸出上的更細微的影響（例如噪聲或紋波）可能更難追蹤，并且它們的影響將在電路中更遠的其他組件上看到。結果很可能是連接的組件過(guò)早發(fā)生故障。替換該故障組件而沒(méi)有意識到這是后果，而不是設備故障的原因，僅意味著(zhù)當替換組件掉落時(shí)，設備將再次發(fā)生故障。

最大的挑戰是擁有最復雜的組件。諸如MCU之類(lèi)的處理設備可能會(huì )以幾乎無(wú)數種不同的方式發(fā)生故障。并且在制造或組裝過(guò)程中可能會(huì )引起故障直到出現一組精確的條件時(shí)才可能實(shí)現，直到設備成功運行數月（甚至數年）后，這種情況才可能發(fā)生。閑置的引腳被疏忽地連接的情況并不少見(jiàn)，如果引腳恰巧以與良性狀態(tài)匹配的電壓浮動(dòng)，則不會(huì )被發(fā)現。但是，它所需要的只是該引腳上的電位差由于外部因素而隨著(zhù)時(shí)間的推移而懸停在相反的狀態(tài)，并且突然地，處理器可能會(huì )執行一些不必要的操作。如果銷(xiāo)釘在工作臺上并正在被調查時(shí)浮回良性狀態(tài)，則調試此類(lèi)故障可能會(huì )是一項艱巨的任務(wù)。

靜電放電

另一個(gè)常見(jiàn)問(wèn)題是設備暴露于靜電放電（ESD）中當操作設備時(shí)或在可能產(chǎn)生高靜態(tài)電壓的環(huán)境中。在純模擬設備中，ESD的影響往往是短暫的，除非存在的電壓足以損壞組件，否則不會(huì )產(chǎn)生持久的影響。但是，如果設備包含數字組件（例如MCU），則效果會(huì )更加顯著(zhù)。盡管數字電路的影響可能會(huì )發(fā)生很大變化，但仍可能會(huì )造成永久性損壞。最壞的情況是設備出現故障。設備的一小部分很可能會(huì )損壞，并且只有在使用該部分時(shí)才能看到影響。假設這發(fā)生在高度完整性的系統中。在這種情況下，您可能會(huì )爭辯說(shuō)，部分數字組件的有限故障可能比完全組件故障更麻煩，因為影響可能更加微妙且難以抵消。在這里，需要設計者的經(jīng)驗和對電路的仔細分析，以識別可能性并確定控制后果的方法。

電磁干擾

與ESD問(wèn)題類(lèi)似的是外部EMI的影響。此處的區別在于外部環(huán)境不在設計者的控制范圍之內。他們所能做的就是計劃最壞的EM級別，并包括保護電路以增強對外部EM源的抵抗力。防止EMI的常規技術(shù)包括線(xiàn)路濾波，屏蔽外殼和電纜以及精心的布局設計。EMI的常見(jiàn)入口點(diǎn)是通過(guò)外部電源連接，尤其是主電源。注意將EMI保護作為設備電源電路的一部分，可以降低設備的整體敏感性。

設計人員參與的關(guān)鍵點(diǎn)包括以下內容：

EMI保護需要被視為電路設計過(guò)程的一部分，而不是事后才考慮的。任何螺栓連接式保護都無(wú)法像完全集成式保護一樣有效。

所有保護電路應盡可能靠近EMI進(jìn)入電路的位置添加。理想情況下，應在設備外殼的每個(gè)連接點(diǎn)處進(jìn)行保護，并將EMI保持在盒子外面。EMI應直接重定向到機箱的接地連接，并遠離設備內部的任何接地路徑。

設備中任何對EMI敏感的組件都應與可能暴露于EMI的那些組件在物理上和電氣上盡可能地隔離?？梢酝ㄟ^(guò)屏蔽被屏蔽設備中的敏感組件來(lái)提供深度防御。光隔離器也是防止EMI通過(guò)外部連接進(jìn)入內部受保護的圣殿的一種好方法。較便宜的選擇是使用與輸入串聯(lián)的二極管/抑制器網(wǎng)絡(luò )。與低值電阻串聯(lián)的去耦二極管與抑制二極管一起工作可防止大電壓，并提供一定程度的噪聲防護。

設計電路時(shí)，請同時(shí)考慮共模和差模EMI效應。信號線(xiàn)上的低通濾波器將衰減信號線(xiàn)與地面之間的差模噪聲；它對信號線(xiàn)和地線(xiàn)上的共模噪聲都無(wú)濟于事。特別是在數字電路中，信號線(xiàn)和地之間的電容器會(huì )增加共模噪聲電平。提供干凈的地面可以解決問(wèn)題，或者使用共模扼流圈也可以幫助解決問(wèn)題。