本系列文章的第 2 部分详细阐述了可能阻碍安全相关系统进入安全状态的系统性故障与随机硬件故障之间的关键区别，并强调了遵循 IEC 61508 等标准进行安全电源设计的重要性。 系统性故障是确定性的，包含硬件和软件缺陷，必须通过主动的设计修改来消除，例如实施元器件降额、稳健的过压保护以及适当的电源监测。

反之，由元器件退化机制导致的随机硬件故障，则通过诊断措施和架构设计加以控制，主要通过故障模式、影响及诊断分析(FMEDA)进行量化。有效管理这两类故障——消除系统性缺陷和控制随机硬件故障——对于达到所需的安全完整性等级(SIL)至关重要。

IEC 61508：回顾

除了了解功能安全标准的要求之外，在着手设计安全相关系统(例如安全的电源设计)时，搞清楚哪些类型的故障会阻碍系统进入安全状态也同样重要。一个安全功能可以采取积极行动来避免危险情况，也可以阻止某些行动以维持安全状态。就故障而言，安全功能可能遭遇系统性故障或随机故障，如图 1 所示。

图1

系统性故障包括硬件和软件故障。这些故障由特定原因确定性地发生，可以通过设计修改和其他措施加以消除。例如，IEC 61508 提供了规范性的技术和方法，以便避免和控制系统性故障。更多细节可参见本系列文章的第 1 部分，该部分已发表于《Bodo’s Power Systems》2025 年 8 月刊。

图2

另一方面，随机故障仅发生在硬件中。这类故障是由硬件中一种或多种可能的退化机制在随机时间发生而导致的。因此，随机硬件故障只能通过诊断措施和合理的架构设计加以控制。

控制系统性故障

无论安全完整性等级(SIL)高低，都必须采取措施来防止电压击穿及其他与电源相关的危险故障，从而控制系统性故障。这些措施可以是被动形式的，例如采用被动保护(如熔断器和齐纳二极管)、实施恰当的元器件降额，以及分配充足的工作余量。

在主动措施方面，可以采用电源诊断措施，例如增加过压保护、窗口化电源监测、次级电压控制、电流限制以及其他主动保护电路。在旨在符合特定 SIL 等级的电源设计中，实施这些控制系统性故障的措施非常重要。

除了要满足所需的性能要求，并遵循电气、热学、机械、电磁兼容性、产品安全及其他相关标准之外，还需要思考以下几个问题：

是否对所有电压进行了恰当监测，以实现正确的上电时序?在设置电源监测器的过压(OV)和欠压(UV)阈值以实现无缝时序控制和诊断时，需要考虑影响电源输出精度的各种因素(参见图 2)。

是否采用了足够的保护措施(例如浪涌保护等)或其他方法来提高电磁抗扰度?可考虑采用 OV/UV 保护(如 MAX6399)、浪涌抑制器(如 LTC4364)、反极性输入保护、反向电流保护和电流限制等(参见图 3)。

图3

是否根据元器件规格书使用了经过充分验证的元器件，并进行了充分的降额，例如负载条件降至 67%?[4] 充分的降额包括确保元器件在其安全工作区内运行，以及采用额外的工作余量(参见图 4)。例如，一个额定工作温度为 125°C 的元器件，在环境工作温度为 55°C、结温升至 85°C 的条件下使用时，就提供了充分的降额。[4,5,6]

图4

其他值得思考的问题包括：还有哪些系统性故障模式需要处理?可能损坏输入电路的反电动势(EMF)[7] 如何处理?是否存在可能导致交叉导通的时序/脉宽问题?此外，检查可能导致热失控的热点问题也非常重要(参见图 5)。

图6

控制随机硬件故障

故障模式、影响及诊断分析(FMEDA)文档用于分析和量化随机硬件故障对安全相关系统性能的影响。其输入包括故障率、应用场景和硬件设计信息。而其输出则展示了模块的故障模式与影响、故障率 λSD、λSU、λDD 和 λDU、每种故障模式的诊断覆盖率，以及 SIL 指标。这些如图 6 所示。

使用 FMEDA 分析产品还需要满足其他要求。第一个要求是分析用于实现安全功能的元器件的故障模式。第二个要求是针对危险的未检出故障采用额外的安全(诊断)措施/内置自测试(BIST)，以相应提高 SIL 指标。第三个要求是进行迭代，直到达到所需的安全失效分数(SFF)和危险失效概率(PFH/PFDavg)指标。

这些要求还需配合其他考量因素，包括：使用符合功能安全标准的元器件[9]，这会带来多项好处;或者使用 Analog Devices 具备 FS 功能的器件，这些器件提供安全应用笔记[10]，展示了 IC 的故障率信息、故障模式分布(FMD)以及引脚故障模式与影响分析(FMEA)信息，有助于加快系统级 FMEDA 的进程。

结论

总而言之，稳健且安全的电源设计的基础在于遵循 IEC 61508 的规定，采用严格的故障管理方法。解决系统性故障至关重要;这些确定性故障必须通过主动的设计选择来消除，例如实施窗口化电压监测、采用充分的元器件降额以及集成浪涌保护。通过在开发周期的早期阶段同时采取被动和主动措施，工程师可以降低热失控和电压击穿等风险，确保电源系统即使在应力条件下也能保持在其定义的安全工作区内。

此外，设计还必须考虑到随机硬件故障的不可预测性。虽然这些故障无法仅通过设计消除，但可以通过 FMEDA 量化风险来有效管理。通过仔细分析故障率并纳入诸如 BIST 等诊断覆盖措施，设计人员可以控制硬件退化的影响，以满足严苛的 SIL 要求。最终，消除系统性缺陷与控制随机硬件故障之间的协同作用，确保了电源不仅是能源提供者，更是功能安全系统可靠的基石。