IEC61508對于硬件設計給出了設計與研發的安全儀表的硬件部分應滿足硬件安全要求規范、設計應滿足硬件安全完整性架構約束、設計應滿足硬件隨機失效率、設計應滿足系統安全完整性和設計應考慮在檢測到故障后的應對措施這五個要求，昌暉儀表在本文和大家聊聊。

硬件設計需要在系統設計完成后進行，針對功能安全型儀器儀表或系統來言，硬件設計主要是板級設計，包括元器件選型、電原理圖設計、印制電路板布線等。功能安全標準IEC61508并沒有針對這些工作細節提出特定的要求，但是在硬件設計的步驟上包括(專用集成電路設計和可編程邏輯等)給出了必須遵循的設計要求。

IEC61508對硬件設計的五個要求
1、設計與研發的安全相關產品的硬件部分應滿足硬件安全要求規范。
安全要求的確立、分配、設計、實現、驗證與確認貫穿于整個安全生命周期。安全要求的分配過程安全儀表系統鏈路的安全要求分配和安全儀表產品的安全要求分配。
 
2、設計應滿足硬件安全完整性架構約束
所謂硬件安全完整性架構約束在產品設計中必須參考標準IEC61508 P2_7.4.4條目的規定來進行硬件安全完整性(Hardware SIL)的評估。對硬件安全完整性而言，可聲明的最高的安全完整性等級受限于硬件安全完整性約束，硬件安全完整性約束來自兩種可行的路線：
①路線1H(Route 1H)基于硬件故障裕度和安全失效分數的概念；
②路線2H(Route2 H)基于由最終用戶反饋的元器件可靠性數據、對指定的安全完整性等級增強的置信度和硬件故障裕度。
簡單的說第一種方法是通過設計中的計算分析來測評硬件安全完整性；第二種方法是大范圍的采集產品在現場應用領域的經驗數據通過數理統計的分析來判斷硬件的安全完整性。(關于如何采集現場應用領域的經驗數據可以參考IEC61508 P2_Table_B.6)兩者最大的區別在于使用第一種方法是存在安全失效分數也就是我們常見的SFF(Safe Failure Fraction)之說，而對于第二種方法則不設該參數作為硬件架構的限制項。

3、設計應滿足硬件隨機失效率(PFD；PFH)
該數據是量化產品在按要求時(低要求)或者連續運行時(高要求/連續要求)會發生失效的概率值，該數值由于表現的是失效概率因此對于產品可靠性來說數據越低則可靠性越高。





4、設計應滿足系統安全完整性
所謂系統安全完整性(SC)指安全相關系統安全完整性中，與危險失效模式下的系統性失效有關的部分。在這里注明一下，與可量化的硬件安全完整性不同，系統性安全完整性通常不能量化(至少在IEC61508標準中對于系統安全完整性只有定性的分析)，系統安全完整性不僅包括硬件部分同時也包括軟件部分。對于硬件設計的系統性能力要求必須依據IEC61508 P2_Annex A/B給出的推薦技術措施進行設計并執行設計驗證從而使產品的系統性能力符合安全標準的要求。

5、設計應考慮在檢測到故障后的應對措施。
對于故障檢測我們并不陌生，但是對于如何系統性的做到產品的故障的預測與基于這樣的預測使用相應的檢測措施以及進入系統級或產品級的安全狀態是產品硬件設計時的核心問題。

在此例舉FMEA作為一個系統的判斷方法。如下圖所示假設是一款高壓力報警器的電路模型

 
圖1 高壓力報警器的器件級電路模型

當檢測到傳感器I1 部分的壓力超過閾值則啟動Out1控制晶體管基極偏置從而控制I61作為報警輸出。在分析過程中，需要假設某模塊可能發生的失效并增加應對失效的檢測措施。例如：

表1 FMEA分析舉例

如上表可知，在進行假設性失效后，我們增加了一路R63，R64作為回采電路從而可以判斷報警信號是否按預先的要求準確發出，當然在具體設計中我們還應該考慮產品下一級輸出所接設備或者端口的阻抗匹配范圍來確定回采電路是使用簡易電阻鏈接亦或是使用運放跟隨的鏈接模式，在不斷的提出故障假設與應對故障假設來完成功能安全型產品對于故障診斷的要求中往復迭代硬件設計。