无码亚洲国产一区二区三区电影_O久久精品国产99国产精品亚洲_曰韩精品无码一区二区视频_国产日产韩产麻豆_国产最新精品自在自线亚洲

設(shè)計高完整性系統(tǒng)

2021-04-07

不久之后，第一批電氣設(shè)備就被認為是在可能會導(dǎo)致災(zāi)難性后果的情況下使用它們的。這可能會給用戶帶來致命的電擊，或者無法在超速行駛的車輛上踩剎車；電氣設(shè)備無處不在，幾乎用于所有可能的目的?，F(xiàn)在，通常將醫(yī)療設(shè)備嵌入患者體內(nèi)以調(diào)節(jié)他們的心跳。機動車輛現(xiàn)在具有電控轉(zhuǎn)向，制動和加速功能。如果沒有計算機控制，某些現(xiàn)代飛機將無法飛行。如果控制它們的電氣設(shè)備發(fā)生故障，那么所有這些示例都有一個共同點，那就是可能會發(fā)生事故，從而導(dǎo)致生命損失。高完整性系統(tǒng)還有其他一些例子，其中失敗的后果更加微妙。家用供暖系統(tǒng)可能會使您在冬天的深處感到寒冷。電信設(shè)備可能會使您的基于Internet的業(yè)務(wù)與整個世界斷開連接。如果發(fā)生災(zāi)難性的錯誤，管理全球資金流的財務(wù)計劃可能會錯位客戶的終身儲蓄，甚至可能使整個國家破產(chǎn)。 

設(shè)計過程

高完整性系統(tǒng)的設(shè)計過程遵循一系列步驟。第一步是查找由設(shè)備引起的所有可信危害，并將其消除。例如，假設(shè)計劃是將該設(shè)備連接到市電并包括一個電源模塊，以生成組件所需的低電壓。但是，存在可信的危險，即設(shè)備可能會被弄濕并觸電。一種解決方案是將設(shè)備封閉在防水外殼中，以保持高壓和水的隔離。另一種選擇是將主電源替換為使用位于主電源插座上的電源適配器產(chǎn)生的低壓電源。電擊危險現(xiàn)在已消除了由于設(shè)備受潮而導(dǎo)致的故障。如果設(shè)備被淋濕，它還會帶來其他影響，但它們超出了該假設(shè)示例的范圍。

第二步是采取無法消除的危害，并將其發(fā)生的可能性降低到可接受的水平。例如，您的設(shè)備可能包括一個互鎖裝置，以防止操作員在打開檢修門時打開檢修門。這可能是為了阻止操作員暴露在危險電壓下，或者可能是設(shè)備內(nèi)有激光器在運行，其功率足以造成眼睛傷害。繼電器將處于故障模式，在該模式下，設(shè)備已打開，但繼電器發(fā)生了故障，檢修門已解鎖。這種故障模式將有發(fā)生的可能性，例如，每萬年一次。聽起來這將永遠不會發(fā)生，但是機會并不是那么簡單。通常對于安全性至關(guān)重要的應(yīng)用，導(dǎo)致生命損失或嚴(yán)重傷害的危害應(yīng)在幾百萬年左右的范圍內(nèi)，具體取決于適用的法規(guī)和規(guī)章。在這里，我們需要提高安全聯(lián)鎖的可靠性，以使危險可以接受。將需要進行設(shè)計更改，包括對互鎖機制進行冗余或添加第二個獨立的互鎖。作為最后的手段，可以添加手動步驟以確保設(shè)備打開時永遠不會打開檢修門。人類是設(shè)計上不可靠的生物，因此技術(shù)解決方案應(yīng)始終是第一，第二甚至第三道防線。包括將冗余添加到聯(lián)鎖機制中或添加第二個獨立聯(lián)鎖。作為最后的手段，可以添加手動步驟以確保設(shè)備打開時永遠不會打開檢修門。人類是設(shè)計上不可靠的生物，因此技術(shù)解決方案應(yīng)始終是第一，第二甚至第三道防線。包括將冗余添加到聯(lián)鎖機制中或添加第二個獨立聯(lián)鎖。作為最后的手段，可以添加手動步驟以確保設(shè)備打開時永遠不會打開檢修門。人類是設(shè)計上不可靠的生物，因此技術(shù)解決方案應(yīng)始終是第一，第二甚至第三道防線。

最后一步是添加控制機制以限制任何故障的影響，從而使設(shè)備具有容錯能力。隔離技術(shù)可以防止一個組件塊發(fā)生故障，從而在連接的組件塊中引起連鎖故障。例如，如果電源模塊出現(xiàn)故障，則如果電源模塊的故障導(dǎo)致電源輸出電壓急劇上升，則不應(yīng)導(dǎo)致該模塊上的所有組件發(fā)生故障。從高完整性的觀點來看，這種在電源下游的故障的級聯(lián)不僅是不希望的，而且還可能使任何維修在經(jīng)濟上都不可行。

處理失敗

一種常見的方法是假設(shè)您的設(shè)備在某個時候會發(fā)生故障，并實施控制措施以最安全的方式管理該故障。

故障安全還是故障安全？

一種選擇是故障安全系統(tǒng)。如果發(fā)生任何錯誤，設(shè)備將立即進入安全狀態(tài)。它發(fā)出操作員警報以采取糾正措施，例如，向患者輸送一定劑量藥物的醫(yī)療設(shè)備。安全的選擇是停止提供藥物，并警告護士更換設(shè)備或手動管理藥物。您想要的最后一件事是該設(shè)備錯誤地輸送了過多或過少的藥物，并且沒有人注意到它為時已晚—同一脈絡(luò)上的另一種變化，即防盜系統(tǒng)。以自動取款機為例；銀行希望得到的最后一件事是由于故障導(dǎo)致機器發(fā)行免費貨幣的故障。更好的選擇是防止任何現(xiàn)金離開設(shè)備，如果有任何用戶未能取款，

有時，故障安全和故障安全之間的區(qū)別可能會變得模糊，甚至相互排斥。以設(shè)施的電控檢修門為例。發(fā)生故障時，可以將門鎖上或開鎖。如果門后有任何有價值的東西，則鎖定是故障安全選項，但是如果門在發(fā)生火災(zāi)時提供逃生手段，則解鎖是故障安全選項。盡管我們希望故障安全狀態(tài)始終能勝過故障安全狀態(tài)，但現(xiàn)在這已成為較關(guān)鍵狀態(tài)之間的折衷方案。更現(xiàn)實地講，這種情況應(yīng)促使設(shè)計人員重新考慮使故障安全和故障安全條件保持一致的設(shè)計。

失敗軟

故障安全和故障安全的替代方法是故障軟原理。在這種情況下，如果發(fā)生故障，該設(shè)備將以有限的容量繼續(xù)運行，以提供不受任何缺陷影響的最低級別的功能。一個很好的例子是現(xiàn)代汽車的li行功能。如果發(fā)動機控制器或其許多傳感器中的任何一個發(fā)生故障，而不是僅僅停止發(fā)動機，它就會進入以降低的功率設(shè)置運行的狀態(tài)，這意味著汽車可以帶您回家或到達最近的車庫。 

最復(fù)雜的選擇是設(shè)計一個故障操作系統(tǒng)，在該系統(tǒng)中設(shè)備的故障不會停止或減少整個系統(tǒng)的操作。以電梯為例。發(fā)生故障時，您不希望電梯僅停下來，因為任何乘員都需要被拉走。如果它停在樓層之間，并且乘員是手推車上的住院病人，正好在從手術(shù)室返回的途中，這是一個棘手的提議。設(shè)計一種系統(tǒng)，使電梯能夠到達可以打開門的安全位置，并且乘員通?？梢噪x開首選位置。

失敗原因

故障可能是由設(shè)備內(nèi)部或外部的多種原因引起的。 

組件故障

就組件故障的發(fā)生可能性和組件故障的方式而言，它們很容易理解。舉一個簡單的例子，分立電阻器很可能會開路故障，并且在較小程度上可能會導(dǎo)致短路故障或超出容差范圍。盡管設(shè)計人員需要考慮設(shè)備運行的環(huán)境，但制造商可以提供平均故障時間數(shù)據(jù)。極端溫度，暴露于濕氣，振動和沖擊的影響將影響組件的可靠性和可能的故障模式。例如，在高振動環(huán)境中，由于PCB走線，焊點或組件腳的斷裂而引起的開路故障很常見。相反，在高濕度環(huán)境中，

但是，組件越復(fù)雜，該任務(wù)就越困難。穩(wěn)壓器的故障模式可能更加微妙，難以計劃。它們不僅無法提供正確的電壓。在穩(wěn)壓輸出上的更細微的影響（例如噪聲或紋波）可能更難追蹤，并且它們的影響將在電路中更遠的其他組件上看到。結(jié)果很可能是連接的組件過早發(fā)生故障。替換該故障組件而沒有意識到這是后果，而不是設(shè)備故障的原因，僅意味著當(dāng)替換組件掉落時，設(shè)備將再次發(fā)生故障。

最大的挑戰(zhàn)是擁有最復(fù)雜的組件。諸如MCU之類的處理設(shè)備可能會以幾乎無數(shù)種不同的方式發(fā)生故障。并且在制造或組裝過程中可能會引起故障直到出現(xiàn)一組精確的條件時才可能實現(xiàn)，直到設(shè)備成功運行數(shù)月（甚至數(shù)年）后，這種情況才可能發(fā)生。閑置的引腳被疏忽地連接的情況并不少見，如果引腳恰巧以與良性狀態(tài)匹配的電壓浮動，則不會被發(fā)現(xiàn)。但是，它所需要的只是該引腳上的電位差由于外部因素而隨著時間的推移而懸停在相反的狀態(tài)，并且突然地，處理器可能會執(zhí)行一些不必要的操作。如果銷釘在工作臺上并正在被調(diào)查時浮回良性狀態(tài)，則調(diào)試此類故障可能會是一項艱巨的任務(wù)。

靜電放電

另一個常見問題是設(shè)備暴露于靜電放電（ESD）中當(dāng)操作設(shè)備時或在可能產(chǎn)生高靜態(tài)電壓的環(huán)境中。在純模擬設(shè)備中，ESD的影響往往是短暫的，除非存在的電壓足以損壞組件，否則不會產(chǎn)生持久的影響。但是，如果設(shè)備包含數(shù)字組件（例如MCU），則效果會更加顯著。盡管數(shù)字電路的影響可能會發(fā)生很大變化，但仍可能會造成永久性損壞。最壞的情況是設(shè)備出現(xiàn)故障。設(shè)備的一小部分很可能會損壞，并且只有在使用該部分時才能看到影響。假設(shè)這發(fā)生在高度完整性的系統(tǒng)中。在這種情況下，您可能會爭辯說，部分數(shù)字組件的有限故障可能比完全組件故障更麻煩，因為影響可能更加微妙且難以抵消。在這里，需要設(shè)計者的經(jīng)驗和對電路的仔細分析，以識別可能性并確定控制后果的方法。

電磁干擾

與ESD問題類似的是外部EMI的影響。此處的區(qū)別在于外部環(huán)境不在設(shè)計者的控制范圍之內(nèi)。他們所能做的就是計劃最壞的EM級別，并包括保護電路以增強對外部EM源的抵抗力。防止EMI的常規(guī)技術(shù)包括線路濾波，屏蔽外殼和電纜以及精心的布局設(shè)計。EMI的常見入口點是通過外部電源連接，尤其是主電源。注意將EMI保護作為設(shè)備電源電路的一部分，可以降低設(shè)備的整體敏感性。

設(shè)計人員參與的關(guān)鍵點包括以下內(nèi)容：

EMI保護需要被視為電路設(shè)計過程的一部分，而不是事后才考慮的。任何螺栓連接式保護都無法像完全集成式保護一樣有效。

所有保護電路應(yīng)盡可能靠近EMI進入電路的位置添加。理想情況下，應(yīng)在設(shè)備外殼的每個連接點處進行保護，并將EMI保持在盒子外面。EMI應(yīng)直接重定向到機箱的接地連接，并遠離設(shè)備內(nèi)部的任何接地路徑。

設(shè)備中任何對EMI敏感的組件都應(yīng)與可能暴露于EMI的那些組件在物理上和電氣上盡可能地隔離?？梢酝ㄟ^屏蔽被屏蔽設(shè)備中的敏感組件來提供深度防御。光隔離器也是防止EMI通過外部連接進入內(nèi)部受保護的圣殿的一種好方法。較便宜的選擇是使用與輸入串聯(lián)的二極管/抑制器網(wǎng)絡(luò)。與低值電阻串聯(lián)的去耦二極管與抑制二極管一起工作可防止大電壓，并提供一定程度的噪聲防護。

設(shè)計電路時，請同時考慮共模和差模EMI效應(yīng)。信號線上的低通濾波器將衰減信號線與地面之間的差模噪聲；它對信號線和地線上的共模噪聲都無濟于事。特別是在數(shù)字電路中，信號線和地之間的電容器會增加共模噪聲電平。提供干凈的地面可以解決問題，或者使用共模扼流圈也可以幫助解決問題。