功能安全系統設計的兩個屬性

功能安全標準會假設所有系統都失敗 (不是萬一發生時，而是遲早都會發生)，也沒有零風險這回事。

功能安全系統設計的兩項屬性：一是開發提供所需功能的系統，再來是開發符合特定 SIL 或汽車 SIL (ASIL) 等安全功能的相同系統。

設計人員通常會以不同的或序列方式處理這兩個層面。爲大量應用設計功能安全的系統，同時還要維持設計預算要求，不啻是一項艱鉅的任務。表 1 概述控制與驅動應用中的預期功能與安全功能範例。

要更貼切地解說這個概念，請查看 表 1 中的電梯電機範例。

電梯的預期功能是根據使用者的輸入將人員上移和下移。如果按下按鈕到五樓 , 電梯應該會帶您到五樓。

電梯的安全功能可進一步提升，其中包括：

• 順利地將您從一個樓層帶到另一個樓層。
• 停在與每一層樓平台平行的位置。
• 如果電梯超過安全速度，就自動煞車。

爲了更加了解預期功能和安全功能如何協同作業，假設 20 層樓的電梯具有按鈕電路 (請參見 圖 1) ，當發生故障時，電梯馬達控制器會將其解釋爲將電梯運送到 25 樓或 30 樓 (即 建築物中不存在的樓層)。邊界檢查會在故障導致錯誤或最終導致故障之前揪出故障。這是普遍認可的功能安全進展：「故障」會導致「錯誤」，而有些錯誤則會導致「故障」。

圖 1 新型電梯按鈕範例。

我們來回顧預期功能設計和安全功能設計的流程。

在馬達驅動器的預期功能設計流程中，系統工程師選擇符合預期功能需求的微控制器 (MCU)。隨後，他們會分配感測功能，例如整合式類比轉數位轉換器 (ADC) 通道，以監控轉子位置、線路電流、相位電壓及系統溫度。接著系統工程師會繼續利用 MCU 的可用處理功能，例如 CPU 每秒百萬指令數 (MIPS) 來執行馬達控制演算法，以及脈衝寬度調變器 (PWM) 等可用的驅動周邊設備來驅動馬達驅動電路。此流程通常需要花費數個月時間，其中包含設計印刷電路板 (PCB)、開發馬達控制演算法，以及開發和偵錯所有嵌入式軟體。

在有些組織中，若由不同的、甚至有點孤立的團隊負責處理安全功能設計流程，則會有另一位功能安全專家前來檢查系統工程師原本選擇的 MCU 功能安全手冊。在有些情況中，功能安全專家可能會發現獨立安全要素 (SEooC) 安全概念需要使用功能測試，其中包括錯誤測試、硬體備援、數位轉類比轉換器 (DAC) 至 ADC 回送檢查，或是透過強化擷取來監控強化型 PWM。回想一下先前的電梯範例，可能需要使用多個 ADC 通道來監控各樓層的位準感測器，以防止 MCU ADC 中發生「卡住」故障。

如果 ADC 和 PWM 通道不足，或 CPU MIPS 不足以達到功能安全之目的， 則可能需要回到製圖板，並選擇不同的 MCU 來實現功能安全的系統，這樣一來，可能會使該掉單獨系統設計團隊迄今完成的工作全部前功盡棄。

即使設計步驟不是依序連續進行，也經常發生在單獨的組織孤島中，也就是說，系統工程師一般不具備任何功能安全專業知識，而功能安全專家也不是系統工程師。這種孤立方法最終會導致同樣的問題：系統成本增加，以及延遲數個月的上市時間。