不久之后，第一批电气设备就被认为是在可能会导致灾难性后果的情况下使用它们的。这可能会给用户带来致命的电击，或者无法在超速行驶的车辆上踩刹车；电气设备无处不在，几乎用于所有可能的目的。现在，通常将医疗设备嵌入患者体内以调节他们的心跳。机动车辆现在具有电控转向，制动和加速功能。如果没有计算机控制，某些现代飞机将无法飞行。如果控制它们的电气设备发生故障，那么所有这些示例都有一个共同点，那就是可能会发生事故，从而导致生命损失。高完整性系统还有其他一些例子，其中失败的后果更加微妙。家用供暖系统可能会使您在冬天的深处感到寒冷。电信设备可能会使您的基于Internet的业务与整个世界断开连接。如果发生灾难性的错误，管理全球资金流的财务计划可能会错位客户的终身储蓄，甚至可能使整个国家破产。 

设计过程

高完整性系统的设计过程遵循一系列步骤。第一步是查找由设备引起的所有可信危害，并将其消除。例如，假设计划是将该设备连接到市电并包括一个电源模块，以生成组件所需的低电压。但是，存在可信的危险，即设备可能会被弄湿并触电。一种解决方案是将设备封闭在防水外壳中，以保持高压和水的隔离。另一种选择是将主电源替换为使用位于主电源插座上的电源适配器产生的低压电源。电击危险现在已消除了由于设备受潮而导致的故障。如果设备被淋湿，它还会带来其他影响，但它们超出了该假设示例的范围。

第二步是采取无法消除的危害，并将其发生的可能性降低到可接受的水平。例如，您的设备可能包括一个互锁装置，以防止操作员在打开检修门时打开检修门。这可能是为了阻止操作员暴露在危险电压下，或者可能是设备内有激光器在运行，其功率足以造成眼睛伤害。继电器将处于故障模式，在该模式下，设备已打开，但继电器发生了故障，检修门已解锁。这种故障模式将有发生的可能性，例如，每万年一次。听起来这将永远不会发生，但是机会并不是那么简单。通常对于安全性至关重要的应用，导致生命损失或严重伤害的危害应在几百万年左右的范围内，具体取决于适用的法规和规章。在这里，我们需要提高安全联锁的可靠性，以使危险可以接受。将需要进行设计更改，包括对互锁机制进行冗余或添加第二个独立的互锁。作为最后的手段，可以添加手动步骤以确保设备打开时永远不会打开检修门。人类是设计上不可靠的生物，因此技术解决方案应始终是第一，第二甚至第三道防线。包括将冗余添加到联锁机制中或添加第二个独立联锁。作为最后的手段，可以添加手动步骤以确保设备打开时永远不会打开检修门。人类是设计上不可靠的生物，因此技术解决方案应始终是第一，第二甚至第三道防线。包括将冗余添加到联锁机制中或添加第二个独立联锁。作为最后的手段，可以添加手动步骤以确保设备打开时永远不会打开检修门。人类是设计上不可靠的生物，因此技术解决方案应始终是第一，第二甚至第三道防线。

最后一步是添加控制机制以限制任何故障的影响，从而使设备具有容错能力。隔离技术可以防止一个组件块发生故障，从而在连接的组件块中引起连锁故障。例如，如果电源模块出现故障，则如果电源模块的故障导致电源输出电压急剧上升，则不应导致该模块上的所有组件发生故障。从高完整性的观点来看，这种在电源下游的故障的级联不仅是不希望的，而且还可能使任何维修在经济上都不可行。

处理失败

一种常见的方法是假设您的设备在某个时候会发生故障，并实施控制措施以最安全的方式管理该故障。

故障安全还是故障安全？

一种选择是故障安全系统。如果发生任何错误，设备将立即进入安全状态。它发出操作员警报以采取纠正措施，例如，向患者输送一定剂量药物的医疗设备。安全的选择是停止提供药物，并警告护士更换设备或手动管理药物。您想要的最后一件事是该设备错误地输送了过多或过少的药物，并且没有人注意到它为时已晚—同一脉络上的另一种变化，即防盗系统。以自动取款机为例；银行希望得到的最后一件事是由于故障导致机器发行免费货币的故障。更好的选择是防止任何现金离开设备，如果有任何用户未能取款，

有时，故障安全和故障安全之间的区别可能会变得模糊，甚至相互排斥。以设施的电控检修门为例。发生故障时，可以将门锁上或开锁。如果门后有任何有价值的东西，则锁定是故障安全选项，但是如果门在发生火灾时提供逃生手段，则解锁是故障安全选项。尽管我们希望故障安全状态始终能胜过故障安全状态，但现在这已成为较关键状态之间的折衷方案。更现实地讲，这种情况应促使设计人员重新考虑使故障安全和故障安全条件保持一致的设计。

失败软

故障安全和故障安全的替代方法是故障软原理。在这种情况下，如果发生故障，该设备将以有限的容量继续运行，以提供不受任何缺陷影响的最低级别的功能。一个很好的例子是现代汽车的li行功能。如果发动机控制器或其许多传感器中的任何一个发生故障，而不是仅仅停止发动机，它就会进入以降低的功率设置运行的状态，这意味着汽车可以带您回家或到达最近的车库。 

最复杂的选择是设计一个故障操作系统，在该系统中设备的故障不会停止或减少整个系统的操作。以电梯为例。发生故障时，您不希望电梯仅停下来，因为任何乘员都需要被拉走。如果它停在楼层之间，并且乘员是手推车上的住院病人，正好在从手术室返回的途中，这是一个棘手的提议。设计一种系统，使电梯能够到达可以打开门的安全位置，并且乘员通常可以离开首选位置。

失败原因

故障可能是由设备内部或外部的多种原因引起的。 

组件故障

就组件故障的发生可能性和组件故障的方式而言，它们很容易理解。举一个简单的例子，分立电阻器很可能会开路故障，并且在较小程度上可能会导致短路故障或超出容差范围。尽管设计人员需要考虑设备运行的环境，但制造商可以提供平均故障时间数据。极端温度，暴露于湿气，振动和冲击的影响将影响组件的可靠性和可能的故障模式。例如，在高振动环境中，由于PCB走线，焊点或组件脚的断裂而引起的开路故障很常见。相反，在高湿度环境中，

但是，组件越复杂，该任务就越困难。稳压器的故障模式可能更加微妙，难以计划。它们不仅无法提供正确的电压。在稳压输出上的更细微的影响（例如噪声或纹波）可能更难追踪，并且它们的影响将在电路中更远的其他组件上看到。结果很可能是连接的组件过早发生故障。替换该故障组件而没有意识到这是后果，而不是设备故障的原因，仅意味着当替换组件掉落时，设备将再次发生故障。

最大的挑战是拥有最复杂的组件。诸如MCU之类的处理设备可能会以几乎无数种不同的方式发生故障。并且在制造或组装过程中可能会引起故障直到出现一组精确的条件时才可能实现，直到设备成功运行数月（甚至数年）后，这种情况才可能发生。闲置的引脚被疏忽地连接的情况并不少见，如果引脚恰巧以与良性状态匹配的电压浮动，则不会被发现。但是，它所需要的只是该引脚上的电位差由于外部因素而随着时间的推移而悬停在相反的状态，并且突然地，处理器可能会执行一些不必要的操作。如果销钉在工作台上并正在被调查时浮回良性状态，则调试此类故障可能会是一项艰巨的任务。

静电放电

另一个常见问题是设备暴露于静电放电（ESD）中当操作设备时或在可能产生高静态电压的环境中。在纯模拟设备中，ESD的影响往往是短暂的，除非存在的电压足以损坏组件，否则不会产生持久的影响。但是，如果设备包含数字组件（例如MCU），则效果会更加显着。尽管数字电路的影响可能会发生很大变化，但仍可能会造成永久性损坏。最坏的情况是设备出现故障。设备的一小部分很可能会损坏，并且只有在使用该部分时才能看到影响。假设这发生在高度完整性的系统中。在这种情况下，您可能会争辩说，部分数字组件的有限故障可能比完全组件故障更麻烦，因为影响可能更加微妙且难以抵消。在这里，需要设计者的经验和对电路的仔细分析，以识别可能性并确定控制后果的方法。

电磁干扰

与ESD问题类似的是外部EMI的影响。此处的区别在于外部环境不在设计者的控制范围之内。他们所能做的就是计划最坏的EM级别，并包括保护电路以增强对外部EM源的抵抗力。防止EMI的常规技术包括线路滤波，屏蔽外壳和电缆以及精心的布局设计。EMI的常见入口点是通过外部电源连接，尤其是主电源。注意将EMI保护作为设备电源电路的一部分，可以降低设备的整体敏感性。

设计人员参与的关键点包括以下内容：

EMI保护需要被视为电路设计过程的一部分，而不是事后才考虑的。任何螺栓连接式保护都无法像完全集成式保护一样有效。

所有保护电路应尽可能靠近EMI进入电路的位置添加。理想情况下，应在设备外壳的每个连接点处进行保护，并将EMI保持在盒子外面。EMI应直接重定向到机箱的接地连接，并远离设备内部的任何接地路径。

设备中任何对EMI敏感的组件都应与可能暴露于EMI的那些组件在物理上和电气上尽可能地隔离。可以通过屏蔽被屏蔽设备中的敏感组件来提供深度防御。光隔离器也是防止EMI通过外部连接进入内部受保护的圣殿的一种好方法。较便宜的选择是使用与输入串联的二极管/抑制器网络。与低值电阻串联的去耦二极管与抑制二极管一起工作可防止大电压，并提供一定程度的噪声防护。

设计电路时，请同时考虑共模和差模EMI效应。信号线上的低通滤波器将衰减信号线与地面之间的差模噪声；它对信号线和地线上的共模噪声都无济于事。特别是在数字电路中，信号线和地之间的电容器会增加共模噪声电平。提供干净的地面可以解决问题，或者使用共模扼流圈也可以帮助解决问题。