各種標準中對時間的利用比我意識到的要多，我沒有涵蓋所有內容，但我認為我得到了最重要的標準。希望這可以作為功能安全標準中有關時間的問題和術語的有用總結。

讓我們從符合IEC 61508的典型安全相關系統開始。下圖顯示了頂部的EUC（受控設備）和非安全EUC控制系統。然而，底部是E/E/PE（電氣電子或可編程電子）控制系統，該系統使用傳感器監控EUC，如果傳感器檢測到問題，它能夠將EUC置于安全狀態。例如，如果EUC是由變速驅動器控制的大型旋轉電機，則E/E/PE安全相關系統可能會監控電機的速度，如果超過安全速度限制，它將使系統進入安全狀態，通常（除非它是一架飛行飛機）停止電機旋轉。

圖2 - 受控設備

IEC 4 第 61508 部分將過程安全時間定義為“在 EUC 或 EUC 控制系統中發生的故障（有可能引起危險事件）與必須在 EUC 中完成操作以防止危險事件發生之間的時間段。我們可能會立即通過討論什么是危險事件而陷入困境，但我不會。

讓我們繼續以旋轉電機為例，圖中的吹氣顯示了電機以遞增的速度旋轉，直到時間 t1它超過了設定的安全速度限制。E/E/PE 安全相關系統檢測到此超限事件并啟動 STO（IEC 61800-5-2 中定義的安全轉矩關閉），以在時間 t 之前使電機停止2.時間 t2-噸1必須小于過程安全時間，從圖中可以看出（隨著歲月的流逝和設備的磨損，我們甚至內置了一些制動效率較低的余量）。

圖 3 - IEC 61508 的過程安全時間

在某些情況下，確定過程安全時間可能很困難，但在其他情況下，一旦做出某些保守的假設，計算起來就相當容易了。例如，假設我們有一個機器人安全應用程序，其中機器人不在籠子里，如果有人接近機器人，則必須在人到達系統并造成傷害之前停止機器人。在這種情況下，如果我們知道機器人的最大速度，操作員的最大假定行走速度（在機器安全標準中通常為1.6m / s），機器人的制動時間，安全功能響應極限需要多長時間被打破，我們可以定義一個過程安全時間。以下是基于 ISO TS 15066 的計算示例，即將納入 ISO 10218-2。

圖 4 - 使用 SLS 安全功能計算機器人的過程安全時間

在機器人安全的情況下，過程安全時間用于定義保護性分離距離，然后用激光掃描儀或將來的3D TOF相機（3D TOF相機可以減少保護性分離距離（并且遵循過程安全時間）進行監控，因為它不必允許伸手）。

時間的另一個非常相似的方面如下所示。然而，這里是E/E/PE控制系統本身發生的故障，而不是觸發移動到安全狀態的外部不良事件。此故障應通過 E/E/PE 安全相關控制系統內的診斷來檢測。如果檢測此故障的診斷程序每隔diagnostic_test_interval那么最壞的情況是，直到指定的時間才會檢測到故障。從那里開始，需要一段時間才能達到安全狀態，該圖中稱為“故障反應時間”。在圖中，診斷測試間隔和故障響應時間的總和顯示為安全響應時間，并且安全響應時間再次需要小于過程安全時間。對于高需求模式（需求速率超過每年一次），有另一種選擇是診斷測試>需求速率的 100 倍）。

圖5 - 與診斷相關的時間

我不會分心，但上述計算實際上僅適用于單通道架構，因為使用雙通道架構時，第二個通道仍然可用于將您帶到安全狀態，因此診斷測試間隔并不那么重要。然而，對于機械，歐盟垂直建議的使用要求SIL 2 / PL d的診斷測試間隔至少每年一次，SIL 3 / PL e每月一次。對于所有閱讀此博客的汽車人，請記住，在工業領域，與汽車不同，安全系統可能會打開并運行 20 或 30 年而不會關閉。沒有像鍵控這樣的好時機來測試潛在故障。

在上述術語中，只有過程安全時間被定義為IEC 61508，診斷測試間隔在IEC 61508的文本中使用。故障反應時間實際上在IEC 61800-5-2中使用，但在IEC 61508中未提及，其中它指出諸如“診斷測試間隔和執行指定操作以達到或保持安全狀態的時間的總和小于處理時間”。我認為故障反應時間是一個很好的術語。

上面還顯示了FTTI（容錯時間間隔），它實際上是ISO 26262中的一個術語，但類似于IEC 61508的過程安全時間。ISO26262的其他術語是FDTI（故障檢測時間間隔），它類似于上面顯示的診斷測試間隔和FHTI（故障處理時間間隔），這是上面顯示的安全響應時間。遺憾的是，標準無法根據 electropeida 或類似術語對此類術語進行標準化。

對于網絡，術語安全功能響應時間如下所示，類似于上圖所示的響應時間。它提醒我們，需要考慮從網絡一端到另一端的最大可能傳輸時間。請注意，總和始終使用最大保證響應時間而不是 RMS 總和完成。這樣做的理由可能會成為另一個未來的博客。IEC 61784-3中一個很好的句子是“經驗測量只能作為最壞情況計算的合理性檢查”，這清楚地表明它必須通過分析而不是測量來完成。

圖 6 - IEC 61784-3 中的圖形，用于說明安全功能響應時間

IEC 61508中另一個重要的時間概念是需求速率。速率是時間的倒數。因此，例如，如果您每小時發生一次，則需求率為1 / h。對于每 15 分鐘發生一次的事情，需求率為 4/h。如果某件事每年發生一次，需求率為 1e-4/h。如果估計需求率小于 1/年，則根據 IEC 61508，我們使用 PFD（按需故障概率）作為關鍵可靠性指標，但如果需求率大于一次/年，則關鍵指標是 PFH（每小時平均故障概率）。允許的 PFH 和 PFD 因所需的 SIL（安全完整性等級）而異。我在下面顯示了PFH的SIL相關要求，因為單位是1 / h，因此與時間有關。

圖 7 - IEC 61508 第 1 部分每個 SIL 允許的最大 PFH

為什么我們以每年一次的需求率從PFD切換到PFH是一個有趣的話題，并且會成為一個很好的未來博客，但是我今天不會討論它。

IEC 61508中的另一個概念是任務時間。這是安全系統的預期壽命。對于工業應用，任務時間通常為20年。用于構建安全系統的組件的使用壽命需要大于任務時間，否則您將進入組件的磨損期，組件的可靠性將迅速下降（您可以通過在此之前更換組件來應對這種情況）。對于汽車來說，任務時間可能是 15 年（對于汽車來說，壽命還不錯），但這可能只有 6 個月的運行時間（6 個月大約是 5000 小時，每小時 30 英里/50 公里意味著您將有 150000 英里或 2500000 公里），這聽起來至少適合愛爾蘭的汽車。

圖8 - ADI可靠性手冊中的可靠性浴盆曲線

說到電子元件的可靠性，可靠性通常表示為FIT（時間故障），這是1億小時運行中預期的故障次數。IC的典型FIT可能是20 FIT，但簡單組件可以聲稱FIT為1。FIT 為 1 并不意味著組件將持續十億年，而是在上述曲線的綠色區域內，每小時運行的故障概率為 1e-9/h。使用 FIT 的一個原因是，人們覺得使用 10 而不是 1e-8 這樣的數字更好。

組件的可靠性通常用符號 λ 表示。可靠性的另一種表達方式是MTTF（平均故障時間），MTTF在機器安全標準中非常常見。如果您在浴缸曲線的平坦部分操作，則 MTTF 通常取為 1/λ。

一個有趣的方程給出了在恒定故障率 λ 的一段時間 t 后仍能正常運行的單元的比例是 R（t）=1-exp（-λt）。一段時間后，MTTF 63% 的單位已經出現故障（R（MTTF）=1-exp （-1））。對于可修復的系統，通常使用 MTBF – 故障前的平均時間 – 而不是 MTTF。對于機械部件，β10天代替 MTTF。這表示預計 10% 的組件發生危險故障的循環次數。

IEC 61508中提到的另一個時間是驗證測試間隔。驗證測試類似于診斷，但正常診斷是自動運行的，而驗證測試是一種非自動測試，通常涉及將安全系統從其電路中取出并運行旨在查找正常自動診斷無法檢測到的項目的所有故障模式的測試。如果不允許驗證測試，那么通常會說內部證明測試等于任務時間。如果證明測試不完美，那么如果發生故障，它們將平均存在 T1/2 其中 T1是證明測試間隔或任務時間，以較短者為準。最近一篇關于 1oo2 架構的博客對此進行了分析，請參見此處。

與任務時間相關的是任務配置文件。這通常表示為產品整個生命周期內給定溫度下的時間量。例如，如果壽命為20年，那么任務概況可能在-1'c時為20年，在4'c時為0年，在10'c時為45年，在4'c下為65年，在1'c時為85年。此任務配置文件可用于根據IEC 62380等標準進行可靠性預測。

審核編輯：郭婷