什么是功能安全?

功能安全(Functional Safety)是导⼊安全功能以确保实现可接受的安全级别的一种方式。

IEC61508是基于功能安全制定的工业设备设计标准。
以IEC61508为基础，制定了适用于汽车ISO26262和可编程控制器IEC61131-6等多个行业的标准。
作为功能安全规格，其他还有ISO13849和DO178B/DO254等，但它们不是IEC61508派生成的。

功能安全规格的示例(来源:ADI "IC中的功能安全")

功能安全与SIL的关系

安全完整性级别(Safe Integrity Level，SIL)定义了安全功能实现的降低风险级别，并且是系统安全功能的标准。
IEC61508将SIL分为1至4的4个阶段，每上升1个阶段安全性就会提高。
功能安全规格还有其他相当于SIL的标准。例如，汽车适用于ASIL(Automotive Safety Integrity Levels)和ISO13849。ASIL性能级别(PL) A～E可对应SIL1～SIL3。

功能安全所需的诊断功能

在IEC61508中，Probability of Failure on Demand(按需求故障概率)和PFH(Probability of Failure per Hour:每小时故障概率)的2个概率作为目标使用。PFD适用于一直保持待机状态直到有事件触发的系统例如安全气囊，而PHF适用于经常运行的系统。

在IEC61508中，安全故障分数(Safe Failure Fraction，SFF)是一个最低的诊断覆盖范围的服务级别。
考虑安全侧和危险侧故障的SFF与忽略安全侧故障的DC(诊断覆盖率)相关，但这是一个不同的指标。
可以使用定量的FMEA(失效模式和效果分析)或FMEDA(故障模式影响分析)来测量实现的诊断功能是否正确地工作。

DC（诊断覆盖率）越高，未检测到故障的概率就越低。如果系统的诊断覆盖率为99%，则可以达到SIL3。 如果是90%的话SIL2、60%的话SIL1。

实现高诊断覆盖率的一种方法是在组件级别上实现冗余。 在这种情况下，错误检测不是直接进行的，而是通过比较应该相同的两个(或更多个)输出而间接进行的。但是，采用这种方法可能会增加系统的耗电量和最终成本。

ADI提供可靠性和诊断功能兼具的产品组合，有助于实现低功耗和控制成本增加的功能安全。

支持安全设计的ADI产品

8通道同步采样24位A/D转换器AD7770

AD7770内置了12位A/D转换器和通过3个GPIO进行控制MUX。
这些功能可以诊断AD7770，而无需关闭用于常规系统测量的Σ-ΔADC通道。
以下AD7770的功能方框图显示了包含监视功能的区域为紫色、可进行活动监控的区域为绿色、内部监控和主动监视的功能区域为蓝色。

AD7770的诊断/监视方框图 (来源:Analog Dialogue51-02)

可进行DC～204kHz动态信号分析的24位A/D转换器AD7768-1

AD7768-1内置了多路转换器，用于模拟诊断功能。此外，还配备了CRC(Cyclic Redundancy Check，循环冗余检查)，这些可以提供循环冗余检查(CRC)，以实现以下监控和诊断:

• SPI健全性的监视
• LDO输出水平的监视
• 滤波器的饱和检测
• 外部时钟的诊断
• 内部逻辑/内存的CRC诊断

AD7768-1内存的诊断功能（来源：Analog Dialogue 52-11）

低功耗、低噪音、全功能内置的24位A/D转换器AD7124系列

AD7124-4(4个通道)和AD7124-8(8个通道)作为其全面的功能组合的一部分，具有多种诊断功能，包括CRC、信号链检查和串行接口检查。这些功能不需要外部部件进行诊断，从而减少了主板空间、缩短设计周期和降低成本。
标准应用的故障模式影响/诊断分析(FMEDA)显示了根据IEC61508， 安全故障百分比(SFF)为90%以上。

HART连接，动态功耗控制的16位D/A转换器AD5758

AD5758提供了12位A/D转换器，用于输出电流监控和诊断。AD5758的接口还提供可选的SPI巡回冗余检查(CRC)和监视定时器计时器。此外，通过在VIOUT、+VSENSE和-VSENSE针中包括故障保护开关，提高了安全性。

应用示例

• 可编程逻辑控制器(PLC)和分布式控制系统(DCS)
• 过程控制
• 驱动器控制
• 温度测量、压力测量等数据采集
• 智能变送器
• 通道隔离模拟输出
• HART网络连接