设计高完整性系统

2021-04-07

不久之后，第一批電(diàn)气设备就被认為(wèi)是在可(kě)能(néng)会导致灾难性后果的情况下使用(yòng)它们的。这可(kě)能(néng)会给用(yòng)户带来致命的電(diàn)击，或者无法在超速行驶的車(chē)辆上踩刹車(chē)；電(diàn)气设备无处不在，几乎用(yòng)于所有(yǒu)可(kě)能(néng)的目的。现在，通常将医疗设备嵌入患者體(tǐ)内以调节他(tā)们的心跳。机动車(chē)辆现在具有(yǒu)電(diàn)控转向，制动和加速功能(néng)。如果没有(yǒu)计算机控制，某些现代飞机将无法飞行。如果控制它们的電(diàn)气设备发生故障，那么所有(yǒu)这些示例都有(yǒu)一个共同点，那就是可(kě)能(néng)会发生事故，从而导致生命损失。高完整性系统还有(yǒu)其他(tā)一些例子，其中失败的后果更加微妙。家用(yòng)供暖系统可(kě)能(néng)会使您在冬天的深处感到寒冷。電(diàn)信设备可(kě)能(néng)会使您的基于Internet的业務(wù)与整个世界断开连接。如果发生灾难性的错误，管理(lǐ)全球资金流的财務(wù)计划可(kě)能(néng)会错位客户的终身储蓄，甚至可(kě)能(néng)使整个國(guó)家破产。 

设计过程

高完整性系统的设计过程遵循一系列步骤。第一步是查找由设备引起的所有(yǒu)可(kě)信危害，并将其消除。例如，假设计划是将该设备连接到市電(diàn)并包括一个電(diàn)源模块，以生成组件所需的低電(diàn)压。但是，存在可(kě)信的危险，即设备可(kě)能(néng)会被弄湿并触電(diàn)。一种解决方案是将设备封闭在防水外壳中，以保持高压和水的隔离。另一种选择是将主電(diàn)源替换為(wèi)使用(yòng)位于主電(diàn)源插座上的電(diàn)源适配器产生的低压電(diàn)源。電(diàn)击危险现在已消除了由于设备受潮而导致的故障。如果设备被淋湿，它还会带来其他(tā)影响，但它们超出了该假设示例的范围。

第二步是采取无法消除的危害，并将其发生的可(kě)能(néng)性降低到可(kě)接受的水平。例如，您的设备可(kě)能(néng)包括一个互锁装置，以防止操作员在打开检修门时打开检修门。这可(kě)能(néng)是為(wèi)了阻止操作员暴露在危险電(diàn)压下，或者可(kě)能(néng)是设备内有(yǒu)激光器在运行，其功率足以造成眼睛伤害。继電(diàn)器将处于故障模式，在该模式下，设备已打开，但继電(diàn)器发生了故障，检修门已解锁。这种故障模式将有(yǒu)发生的可(kě)能(néng)性，例如，每万年一次。听起来这将永遠(yuǎn)不会发生，但是机会并不是那么简单。通常对于安全性至关重要的应用(yòng)，导致生命损失或严重伤害的危害应在几百万年左右的范围内，具體(tǐ)取决于适用(yòng)的法规和规章。在这里，我们需要提高安全联锁的可(kě)靠性，以使危险可(kě)以接受。将需要进行设计更改，包括对互锁机制进行冗余或添加第二个独立的互锁。作為(wèi)最后的手段，可(kě)以添加手动步骤以确保设备打开时永遠(yuǎn)不会打开检修门。人类是设计上不可(kě)靠的生物(wù)，因此技术解决方案应始终是第一，第二甚至第三道防線(xiàn)。包括将冗余添加到联锁机制中或添加第二个独立联锁。作為(wèi)最后的手段，可(kě)以添加手动步骤以确保设备打开时永遠(yuǎn)不会打开检修门。人类是设计上不可(kě)靠的生物(wù)，因此技术解决方案应始终是第一，第二甚至第三道防線(xiàn)。包括将冗余添加到联锁机制中或添加第二个独立联锁。作為(wèi)最后的手段，可(kě)以添加手动步骤以确保设备打开时永遠(yuǎn)不会打开检修门。人类是设计上不可(kě)靠的生物(wù)，因此技术解决方案应始终是第一，第二甚至第三道防線(xiàn)。

最后一步是添加控制机制以限制任何故障的影响，从而使设备具有(yǒu)容错能(néng)力。隔离技术可(kě)以防止一个组件块发生故障，从而在连接的组件块中引起连锁故障。例如，如果電(diàn)源模块出现故障，则如果電(diàn)源模块的故障导致電(diàn)源输出電(diàn)压急剧上升，则不应导致该模块上的所有(yǒu)组件发生故障。从高完整性的观点来看，这种在電(diàn)源下游的故障的级联不仅是不希望的，而且还可(kě)能(néng)使任何维修在经济上都不可(kě)行。

处理(lǐ)失败

一种常见的方法是假设您的设备在某个时候会发生故障，并实施控制措施以最安全的方式管理(lǐ)该故障。

故障安全还是故障安全？

一种选择是故障安全系统。如果发生任何错误，设备将立即进入安全状态。它发出操作员警报以采取纠正措施，例如，向患者输送一定剂量药物(wù)的医疗设备。安全的选择是停止提供药物(wù)，并警告护士更换设备或手动管理(lǐ)药物(wù)。您想要的最后一件事是该设备错误地输送了过多(duō)或过少的药物(wù)，并且没有(yǒu)人注意到它為(wèi)时已晚—同一脉络上的另一种变化，即防盗系统。以自动取款机為(wèi)例；银行希望得到的最后一件事是由于故障导致机器发行免费货币的故障。更好的选择是防止任何现金离开设备，如果有(yǒu)任何用(yòng)户未能(néng)取款，

有(yǒu)时，故障安全和故障安全之间的區(qū)别可(kě)能(néng)会变得模糊，甚至相互排斥。以设施的電(diàn)控检修门為(wèi)例。发生故障时，可(kě)以将门锁上或开锁。如果门后有(yǒu)任何有(yǒu)价值的东西，则锁定是故障安全选项，但是如果门在发生火灾时提供逃生手段，则解锁是故障安全选项。尽管我们希望故障安全状态始终能(néng)胜过故障安全状态，但现在这已成為(wèi)较关键状态之间的折衷方案。更现实地讲，这种情况应促使设计人员重新(xīn)考虑使故障安全和故障安全条件保持一致的设计。

失败软

故障安全和故障安全的替代方法是故障软原理(lǐ)。在这种情况下，如果发生故障，该设备将以有(yǒu)限的容量继续运行，以提供不受任何缺陷影响的最低级别的功能(néng)。一个很(hěn)好的例子是现代汽車(chē)的li行功能(néng)。如果发动机控制器或其许多(duō)传感器中的任何一个发生故障，而不是仅仅停止发动机，它就会进入以降低的功率设置运行的状态，这意味着汽車(chē)可(kě)以带您回家或到达最近的車(chē)库。 

最复杂的选择是设计一个故障操作系统，在该系统中设备的故障不会停止或减少整个系统的操作。以電(diàn)梯為(wèi)例。发生故障时，您不希望電(diàn)梯仅停下来，因為(wèi)任何乘员都需要被拉走。如果它停在楼层之间，并且乘员是手推車(chē)上的住院病人，正好在从手术室返回的途中，这是一个棘手的提议。设计一种系统，使電(diàn)梯能(néng)够到达可(kě)以打开门的安全位置，并且乘员通常可(kě)以离开首选位置。

失败原因

故障可(kě)能(néng)是由设备内部或外部的多(duō)种原因引起的。 

组件故障

就组件故障的发生可(kě)能(néng)性和组件故障的方式而言，它们很(hěn)容易理(lǐ)解。举一个简单的例子，分(fēn)立電(diàn)阻器很(hěn)可(kě)能(néng)会开路故障，并且在较小(xiǎo)程度上可(kě)能(néng)会导致短路故障或超出容差范围。尽管设计人员需要考虑设备运行的环境，但制造商(shāng)可(kě)以提供平均故障时间数据。极端温度，暴露于湿气，振动和冲击的影响将影响组件的可(kě)靠性和可(kě)能(néng)的故障模式。例如，在高振动环境中，由于PCB走線(xiàn)，焊点或组件脚的断裂而引起的开路故障很(hěn)常见。相反，在高湿度环境中，

但是，组件越复杂，该任務(wù)就越困难。稳压器的故障模式可(kě)能(néng)更加微妙，难以计划。它们不仅无法提供正确的電(diàn)压。在稳压输出上的更细微的影响（例如噪声或纹波）可(kě)能(néng)更难追踪，并且它们的影响将在電(diàn)路中更遠(yuǎn)的其他(tā)组件上看到。结果很(hěn)可(kě)能(néng)是连接的组件过早发生故障。替换该故障组件而没有(yǒu)意识到这是后果，而不是设备故障的原因，仅意味着当替换组件掉落时，设备将再次发生故障。

最大的挑战是拥有(yǒu)最复杂的组件。诸如MCU之类的处理(lǐ)设备可(kě)能(néng)会以几乎无数种不同的方式发生故障。并且在制造或组装过程中可(kě)能(néng)会引起故障直到出现一组精确的条件时才可(kě)能(néng)实现，直到设备成功运行数月（甚至数年）后，这种情况才可(kě)能(néng)发生。闲置的引脚被疏忽地连接的情况并不少见，如果引脚恰巧以与良性状态匹配的電(diàn)压浮动，则不会被发现。但是，它所需要的只是该引脚上的電(diàn)位差由于外部因素而随着时间的推移而悬停在相反的状态，并且突然地，处理(lǐ)器可(kě)能(néng)会执行一些不必要的操作。如果销钉在工作台上并正在被调查时浮回良性状态，则调试此类故障可(kě)能(néng)会是一项艰巨的任務(wù)。

静電(diàn)放電(diàn)

另一个常见问题是设备暴露于静電(diàn)放電(diàn)（ESD）中当操作设备时或在可(kě)能(néng)产生高静态電(diàn)压的环境中。在纯模拟设备中，ESD的影响往往是短暂的，除非存在的電(diàn)压足以损坏组件，否则不会产生持久的影响。但是，如果设备包含数字组件（例如MCU），则效果会更加显着。尽管数字電(diàn)路的影响可(kě)能(néng)会发生很(hěn)大变化，但仍可(kě)能(néng)会造成永久性损坏。最坏的情况是设备出现故障。设备的一小(xiǎo)部分(fēn)很(hěn)可(kě)能(néng)会损坏，并且只有(yǒu)在使用(yòng)该部分(fēn)时才能(néng)看到影响。假设这发生在高度完整性的系统中。在这种情况下，您可(kě)能(néng)会争辩说，部分(fēn)数字组件的有(yǒu)限故障可(kě)能(néng)比完全组件故障更麻烦，因為(wèi)影响可(kě)能(néng)更加微妙且难以抵消。在这里，需要设计者的经验和对電(diàn)路的仔细分(fēn)析，以识别可(kě)能(néng)性并确定控制后果的方法。

電(diàn)磁干扰

与ESD问题类似的是外部EMI的影响。此处的區(qū)别在于外部环境不在设计者的控制范围之内。他(tā)们所能(néng)做的就是计划最坏的EM级别，并包括保护電(diàn)路以增强对外部EM源的抵抗力。防止EMI的常规技术包括線(xiàn)路滤波，屏蔽外壳和電(diàn)缆以及精心的布局设计。EMI的常见入口点是通过外部電(diàn)源连接，尤其是主電(diàn)源。注意将EMI保护作為(wèi)设备電(diàn)源電(diàn)路的一部分(fēn)，可(kě)以降低设备的整體(tǐ)敏感性。

设计人员参与的关键点包括以下内容：

EMI保护需要被视為(wèi)電(diàn)路设计过程的一部分(fēn)，而不是事后才考虑的。任何螺栓连接式保护都无法像完全集成式保护一样有(yǒu)效。

所有(yǒu)保护電(diàn)路应尽可(kě)能(néng)靠近EMI进入電(diàn)路的位置添加。理(lǐ)想情况下，应在设备外壳的每个连接点处进行保护，并将EMI保持在盒子外面。EMI应直接重定向到机箱的接地连接，并遠(yuǎn)离设备内部的任何接地路径。

设备中任何对EMI敏感的组件都应与可(kě)能(néng)暴露于EMI的那些组件在物(wù)理(lǐ)上和電(diàn)气上尽可(kě)能(néng)地隔离。可(kě)以通过屏蔽被屏蔽设备中的敏感组件来提供深度防御。光隔离器也是防止EMI通过外部连接进入内部受保护的圣殿的一种好方法。较便宜的选择是使用(yòng)与输入串联的二极管/抑制器网络。与低值電(diàn)阻串联的去耦二极管与抑制二极管一起工作可(kě)防止大電(diàn)压，并提供一定程度的噪声防护。

设计電(diàn)路时，请同时考虑共模和差模EMI效应。信号線(xiàn)上的低通滤波器将衰减信号線(xiàn)与地面之间的差模噪声；它对信号線(xiàn)和地線(xiàn)上的共模噪声都无济于事。特别是在数字電(diàn)路中，信号線(xiàn)和地之间的電(diàn)容器会增加共模噪声電(diàn)平。提供干净的地面可(kě)以解决问题，或者使用(yòng)共模扼流圈也可(kě)以帮助解决问题。