功能安全系统设计的两个属性

功能安全标准假设所有系统都将发生故障（不是会不会发生故障，而是何时发生故障），不存在零风险的情况。

功能安全系统设计的两个属性分别是：开发一个系统来提供预期功能，以及开发同一个系统来满足特定 SIL 或汽车 SIL (ASIL) 等安全功能要求。

设计人员经常以不同的方式或按顺序处理这两个方面。为大容量应用设计功能安全的系统，同时保持设计预算要求是一项挑战。表 1 概述了控制和驱动应用中预期功能和安全功能的示例。

为了更好地理解此概念，请查看表 1 中的电梯电机示例。

电梯的预期功能是根据用户输入上下运送乘客。如果您按下到达五楼的按钮，电梯应该会停在五楼。

电梯的安全功能则更进一步，可能包括：

• 将您从一个楼层平稳地运送到另一个楼层。
• 停在与每层楼平台齐平的位置。
• 如果电梯超过安全速度，则自动应用制动器。

为了更好地理解预期功能和安全功能如何协同工作，假设一栋建筑物中有 20 个楼层，里面的电梯有一个按钮电路（请参阅图 1），电梯电机控制器将故障解释为让电梯抵达第 25 或第 30 层（即，建筑物内不存在的楼层）。界限检查会尽早发现故障，以免其导致错误或最终导致失效。这是功能安全方面的公认进展：“故障”会导致“错误”，而某些错误可能会导致“失效”。

图 1 现代电梯按钮示例。

我们来回顾一下预期功能设计和安全功能设计的流程。

在电机驱动器的预期功能设计流程中，系统工程师选择微控制器 (MCU) 来满足预期功能的要求。随后，他们分配检测功能（例如集成模数转换器 (ADC) 通道），以监控转子位置、线路电流、相电压和系统温度。然后，系统工程师继续使用 MCU 的可用处理能力（例如 CPU 的每秒百万条指令 (MIPS)）来运行电机控制算法，以及可用的驱动外设（例如脉宽调制器 (PWM)）来驱动电机驱动器电路。此过程通常需要几个月，还涉及设计印刷电路板 (PCB)、开发电机控制算法以及开发和调试所有嵌入式软件。

在由一个独立的、有些孤立的团队负责处理安全功能设计流程的组织中，会有一名单独的功能安全专家负责检查系统工程师最初选择的 MCU 的功能安全手册。在某些情况下，功能安全专家可能会发现独立安全元素 (SEooC) 安全概念需要使用软件测试功能，包括错误测试、硬件冗余、数模转换器 (DAC) 至 ADC 环回检查或通过增强型捕捉监控增强型 PWM。回顾之前的电梯示例，可能有必要使用多个 ADC 通道来监控每个楼层上的水平传感器，以防止 MCU ADC 中出现“卡住”故障。

如果 ADC 和 PWM 通道不足或 CPU MIPS 不足，无法实现功能安全，可能需要返回到制图板并选择另一个 MCU 来实现功能安全系统，这可能会使独立系统设计团队迄今为止完成的工作付诸东流。

即使设计步骤不是按顺序进行，它们也经常在独立的组织孤岛中进行；也就是说，系统工程师通常不具备任何功能安全专业知识，而功能安全专家也不是系统工程师。这种孤立的方法最终会带来同样的问题：系统成本增加和面市时间延误数月。