作者：Mary McCarthyandWasim Shaikh

本文將討論功能安全系統的電阻溫度檢測器（RTD）電路設計以及Route 2S組件認證流程。認證系統是一個漫長的過程，因為必須檢查系統中的所有組件是否存在潛在的故障機制，并且有多種方法可以診斷故障。使用已認證的部件可以減輕此工作量以及認證過程。

介紹

溫度是過程控制系統中的關鍵測量值。它可以是直接測量，測量化學反應的溫度。它也可以是補償測量，例如，壓力傳感器的溫度補償。對于任何系統設計，這種測量的準確性、可靠性和魯棒性都是至關重要的。對于某些最終設計，檢測系統故障至關重要，如果系統發生故障，它將轉換為安全狀態。在這些環境中使用功能安全設計。認證級別表示設計中包含的診斷覆蓋級別。

什么是功能安全

在功能安全的設計中，系統需要檢測任何故障。想想一個正在加滿油箱的煉油廠。如果液位傳感器發生故障，重要的是檢測到該故障，以便可以主動關閉罐體的閥門。這將防止儲罐溢出并避免潛在的危險爆炸?；蛘?，可以使用冗余。這是可以在設計中使用兩個電平傳感器的地方，以便在第一級傳感器發生故障時，系統可以使用第二級傳感器繼續運行。當設計獲得認證時，會給予其 SIL 評級。此評級表示設計提供的診斷覆蓋范圍。SIL 等級越高，解決方案就越堅固。SIL 2 等級表示可以診斷系統中 90% 以上的故障。為了認證設計，系統設計人員必須向認證機構提供有關潛在故障的證據，無論這些故障是安全故障還是危險故障，以及如何診斷故障。需要FIT等數據以及系統中不同組件的故障模式影響和診斷分析（FMEDA）。

設計溫度系統

在本文中，我們將重點介紹 RTD。然而，有許多不同類型的溫度傳感器——RTD、熱敏電阻和熱電偶。設計中使用的傳感器取決于所需的精度和被測溫度范圍。每種傳感器類型都有自己的要求：

熱電偶偏置

激勵RTD的激勵電流

熱電偶和熱敏電阻的絕對基準

因此，除了ADC之外，還需要其他構建模塊來激勵傳感器并調節前端的傳感器。為了功能安全，所有這些模塊都必須可靠且堅固。此外，必須檢測到不同塊的任何故障。傳統上，系統設計人員使用重復信號鏈，因此將使用兩個信號鏈，每個信號鏈檢查另一個信號鏈，以確保：

傳感器已連接

沒有開口或短褲

引用處于正確的級別

PGA仍在運作

認證過程需要文檔來證明設計是穩健的。這是一個耗時的過程，有時很難從IC制造商那里獲得某些信息。

但是，AD7124-4/AD7124-8集成模擬前端現在包括RTD設計所需的所有構建模塊。此外，嵌入式診斷功能消除了出于診斷目的而重復信號鏈的需要。除了芯片增強功能外，ADI公司還提供文檔，其中包括認證機構所需的所有信息（FIT引腳FMEDA、芯片FMEDA）。這簡化了功能安全的認證過程。

IEC 61508 是功能安全設計的規范。本規范記錄了開發 SIL 認證部件所需的設計流程。需要為每個步驟生成文檔，從概念、定義、設計、布局、制造、組裝和測試。這被稱為 1S 號公路。另一種選擇是使用 Route 2S 流。這是一種經過驗證的使用路線，因此，當大量產品被設計到最終客戶的系統中并在現場使用1000小時時，產品仍可以通過向認證機構提供以下證據來認證：

現場使用的卷

分析來自現場的任何回報，并詳細說明返回不是
由于組件本身的故障造成的

安全數據表詳細介紹了診斷及其提供的覆蓋范圍

引腳和模具 FMEDA

3線RTD設計

即時熱飲器

RTD 可用于測量 –200°C 至 +850°C 范圍內的溫度，并在此溫度范圍內具有近乎線性的響應。用于RTD的典型元素是鎳，銅和鉑，其中100 Ω和1000 Ω鉑RTD是最常見的。RTD 由兩線、三線或四線組成，其中 3 線和 4 線是最常用的。這些是無源傳感器，需要激勵電流來產生輸出電壓。此類 RTD 的輸出電壓電平從 10 毫伏到 100 毫伏不等，具體取決于所選的 RTD。

熱電阻設計

圖1所示為3線RTD系統。AD7124-4/AD7124-8是一款用于RTD測量的集成解決方案，包括系統所需的所有構建模塊。為了充分優化該系統，需要兩個相同匹配的電流源。這兩個電流源用于消除RL1產生的引線電阻誤差。一個激勵電流流過兩個精密基準電阻 R裁判和 RTD。第二個電流流過引線電阻RL2并產生一個電壓，以抵消RL1兩端的壓降。精密基準電阻兩端產生的電壓用作ADC的基準電壓REFIN1（±）。由于使用一個激勵電流來產生基準電壓和RTD兩端的電壓，因此電流源精度、失配和失配漂移對整個ADC傳遞函數的影響最小。AD7124-4/AD7124-8提供激勵電流值選擇，允許用戶調整系統，以便使用大部分ADC輸入范圍，從而提高性能。

圖1.3線RTD溫度系統。

RTD的低電平輸出電壓需要放大，以便使用ADC的大部分輸入范圍。AD7124-4/AD7124-8的PGA可在1至128的增益范圍內進行編程，允許客戶在激勵電流值與增益和性能之間進行權衡。傳感器和ADC之間需要進行濾波，以實現抗混疊和EMC目的。參考緩沖器允許濾波器的R和C分量具有無限的值;也就是說，這些組件不會影響測量的準確性。

系統中還需要校準以消除增益和失調誤差。圖1顯示了該3線B類RTD在內部零電平和滿量程校準后測得的溫度誤差，總誤差遠小于±1°C。

模數轉換器要求

對于溫度系統，測量主要是低速（通常每秒最多 100 個樣本）。因此，需要低帶寬ADC。但是，ADC必須具有高分辨率。Σ-Δ型ADC適用于這些應用，因為可以使用Σ-Δ架構開發低帶寬、高分辨率ADC。

使用Σ-Δ轉換器時，模擬輸入被連續采樣，采樣頻率遠高于目標頻段。它們還使用噪聲整形，將噪聲從目標頻帶推到轉換過程未使用的區域，從而進一步降低目標頻帶中的噪聲。數字濾波器衰減目標頻帶外的任何信號。

數字濾波器確實具有采樣頻率和采樣頻率倍數的圖像。因此，需要一些外部抗混疊濾波器。然而，由于過采樣，一個簡單的一階RC濾波器足以滿足大多數應用的需求。Σ-Δ架構允許開發p-p分辨率高達21.7位的24位ADC（21.7個穩定位或無閃爍位）。Σ-Δ 架構的其他優點包括：

模擬輸入的寬共模范圍

基準輸入的寬共模范圍

能夠支持比率配置

圖2.頻率響應，后置濾波器，25 SPS：（a） 直流至 600 Hz 和 （b） 40 Hz 至 70 Hz。

濾波（50 Hz/60 Hz 抑制）

除了如前所述抑制噪聲外，數字濾波器還可用于提供50 Hz/60 Hz抑制。當系統由主電源運行時，干擾發生在 50 Hz 或 60 Hz 時。在歐洲，有 50 Hz 及其倍數的電源生成頻率，在美國有 60 Hz 及其倍數的電源生成頻率。低帶寬ADC主要使用sinc濾波器，可以將其編程為將陷波設置為50 Hz和/或60 Hz以及50 Hz和60 Hz的倍數，從而提供50 Hz/60 Hz及其倍數的抑制。使用建立時間短的濾波方法提供50 Hz/60 Hz抑制的需求越來越高。在多通道系統中，ADC通過所有使能通道進行時序控制，在每個通道上生成轉換。選擇通道時，需要濾波器建立時間才能生成有效的轉換。如果建立時間縮短，則在給定時間段內轉換的通道數會增加。AD7124-4/AD7124-8內置后置濾波器或FIR濾波器，與sinc3或sinc4濾波器相比，可在更短的建立時間內提供50 Hz/60 Hz同步抑制。圖3顯示了一個數字濾波器選項：該后置濾波器的建立時間為41.53 ms，同時提供50 Hz/60 Hz的62 dB抑制。

圖3.每通道配置

診斷

為了實現功能安全的設計，需要對構成RTD系統的所有功能進行診斷。由于AD7124-4/AD7124-8具有多個嵌入式診斷功能，因此簡化了設計復雜性和設計時間。它還消除了復制信號鏈以實現診斷覆蓋的需要。

典型的診斷要求是：

電源/基準電壓/模擬輸入監控

開路檢測

轉換/校準檢查

信號鏈功能檢查

讀/寫監控

注冊內容監控

讓我們更詳細地看一下嵌入式診斷。

SPI 診斷

CRC在AD7124-4/AD7124-8上提供。啟用后，所有讀取和寫入操作都包括 CRC 計算。校驗和為 8 位寬，是使用多項式生成的。

因此，每次寫入AD7124-4/AD7124-8時，處理器都會生成一個CRC值，該值附加到發送到ADC的信息中。ADC根據接收到的信息生成自己的CRC值，并將其與從處理器接收的CRC值進行比較。如果兩個值一致，這將確保信息完好無損，并將寫入相關的片上寄存器。如果CRC值不匹配，則表示傳輸中發生了位損壞。在這種情況下，AD7124-4/AD7124-8設置一個錯誤標志，指示發生了數據損壞。他們還通過不將損壞的信息寫入登記冊來自我保護。同樣，當從AD7124-4/AD7124-8讀取信息時，它們將生成一個CRC值以伴隨信息。處理器將處理此 CRC 值以確定傳輸是有效還是損壞。

AD7124-4/AD7124-8數據手冊列出了客戶可以訪問的寄存器（用戶寄存器）。AD7124-4/AD7124-8檢查正在訪問的寄存器地址。如果用戶嘗試讀取或寫入數據手冊中未記錄的寄存器，則會設置一個錯誤標志，指示處理器正在嘗試訪問非用戶寄存器。同樣，此寄存器訪問附帶的任何信息都不適用于寄存器。

AD7124-4/AD7124-8還具有SCLK計數器。所有讀取和寫入操作都是 8 的倍數。當 CS 用于幀讀取和寫入操作時，當 CS 較低時，SCLK 計數器會計算每個讀/寫操作中使用的 SCLK 脈沖數。當 CS 取高時，通信中使用的 SCLK 數量應為 8 的倍數。如果SCLK上發生毛刺，這將導致SCLK脈沖過多。如果發生這種情況，AD7124-4/AD7124-8將再次設置錯誤標志，并放棄輸入的任何信息。

狀態寄存器指示正在轉換的通道。讀取數據寄存器時，可以將狀態位附加到轉換結果中。這為處理器/ADC通信增加了另一層魯棒性。

因此，上述所有診斷功能可確保ADC和處理器之間的通信可靠。它們確保AD7124-4/AD7124-8僅接受有效信息。當 CS 用于幀讀取和寫入操作時，每次 CS 達到高電平時，串行接口都會重置。這可確保所有通信都從已定義或已知狀態開始。

內存檢查

每次改變片內寄存器（例如改變增益）時，都會對寄存器執行CRC，并將生成的CRC值臨時存儲在內部。AD7124-4/AD7124-8定期在內部對寄存器執行額外的CRC檢查。將生成的CRC值與存儲值進行比較。如果值由于位翻轉而不同，則設置一個標志。這向處理器指示寄存器設置已損壞。然后，處理器可以復位ADC并重新加載寄存器。

片上ROM保存默認寄存器值。上電或復位后，ROM內容將應用于用戶寄存器。在最終的生產測試中，計算ROM內容的CRC，并將生成的CRC值存儲在ROM中。在上電或復位時，再次對ROM內容執行CRC，并將所得CRC值與保存的值進行比較。如果值不同，則表示默認寄存器設置將不符合預期。需要電源循環或復位。

信號鏈檢查

包括許多信號鏈檢查。電源軌 （AVDD、影視黨衛軍和 IOVDD） 可以施加到 ADC 輸入，從而允許監視電源軌。AD7124-4/AD7124-8內部內置一個模擬和數字低壓差（LDO）穩壓器。這些也可以應用于ADC并進行監控。AD7124-4/AD7124-8內置x多路復用功能。此外，AV黨衛軍可以在內部用作 AIN-。這允許檢查模擬輸入引腳上的絕對電壓。因此，客戶可以探測輸出激勵電流的引腳，并探測AIN+和AIN-引腳。這將檢查連接性并確保各種引腳上的電壓處于正確的水平。

為了檢查基準電壓，基準檢測功能將指示基準電壓過低?？蛻暨€可以選擇內部基準作為模擬輸入，以便用于監視外部基準電阻兩端產生的電壓。這假設基準電阻兩端的電壓略高于2.5 V（內部基準電壓源的幅度）。

AD7124-4/AD7124-8還包括一個20 mV內部電壓。這對于檢查增益級很有用。例如，使用20 mV作為模擬輸入時，增益可以從1更改為2，4，...128. 每次增加增益時，轉換結果將按 2 倍縮放，這確認增益級正常工作。

X 多路復用在檢查卡住位時也很有用。它允許交換AIN+和AIN-引腳。然后反轉轉換結果。因此，使用20 mV和x多路復用允許用戶檢查卡住的位。

為 AIN+ 和 AIN– 選擇相同的模擬輸入引腳并偏置此內部短路，可以檢查 ADC 噪聲，以確保其工作在規格范圍內。嵌入式基準電壓源（+2.5 V）可在內部選擇作為ADC的輸入，因此再次應用+V裁判和 –V裁判有助于確認信號鏈是否正常工作。

可編程的燒毀電流對于檢查傳感器連接非常有用。PT100 的電阻通常在 –200°C 時為 18 Ω，在 +850°C 時具有 390.4 Ω。 啟用燒毀電流后，可以執行轉換。如果RTD短路，將獲得接近0的轉換結果。AIN+ 和 AIN– 之間的開路將導致接近 0xFFFFFF 的轉換。正確連接RTD后，不應獲得接近0或全部1的代碼。

最后，AD7124-4/AD7124-8具有過壓和欠壓檢測功能。正在轉換的AIN+和AIN-引腳上的絕對電壓通過比較器持續監控。當 AIN+ 或 AIN– 上的電壓超出電源軌 （AVDD和視聽黨衛軍).

這種高度集成減少了執行測量和提供診斷范圍所需的物料清單 （BOM）。減少了設計時間和設計復雜性。

轉換/校準

AD7124-4/AD7124-8上的轉換也受到監控。如果 （AIN+ – AIN–）/增益大于 +滿量程或小于 –滿量程，則設置一個標志。ADC的轉換變為全部1（模擬輸入過高）或全部0（模擬輸入太低），因此客戶知道故障已發生。

來自調制器的比特流受到監控，以確保調制器不會飽和。如果發生飽和（調制器連續 20 個 1 或 20 個 0 輸出），則設置一個標志。

AD7124-4/AD7124-8包括內部失調和再次校準以及系統失調和增益校準。如果校準失敗，則會向用戶標記。請注意，如果校準失敗，失調和增益寄存器不會更新。

電源

除了前面討論的電源檢查外，AD7124-4/AD7124-8還包括連續監控內部LDO穩壓器的比較器。因此，如果來自這些LDO穩壓器的電壓低于跳變點，則會立即報告錯誤。

這些LDO穩壓器需要一個外部電容器。也可以檢查該電容器的存在。

MCLK 柜臺

濾波器配置文件和輸出數據速率與MCLK直接相關。當主時鐘為614.4 kHz時，數據手冊中列出的輸出數據速率是正確的。如果主時鐘改變頻率，輸出數據速率和濾波器陷波也會改變。例如，如果濾波器陷波用于抑制50 Hz或60 Hz，則變化的時鐘會降低獲得的衰減。因此，了解時鐘頻率對于確保獲得最佳抑制非常重要。AD7124-4/AD7124-8內置MCLK計數器寄存器。該寄存器每 131 個 MCLK 周期遞增 1。為了測量MCLK頻率，處理器中需要一個定時器。寄存器可以在時間 0 讀取，然后在計時器超時后讀取。利用這些信息，可以確定主時鐘的頻率。

每通道配置

AD7124-4/AD7124-8允許每通道配置;也就是說，它們支持八種不同的設置，一種設置由基準電壓源、增益設置、輸出數據速率和濾波器類型組成。當用戶配置通道時，會將八個設置中的一個分配給該通道。請注意，通道可以是模擬輸入或診斷，例如測量電源（AVDD-AV黨衛軍).因此，客戶可以設計一個由模擬輸入和診斷組成的序列。每通道配置允許診斷以與模擬輸入轉換不同的輸出數據速率運行。由于診斷不需要與主要測量相同的精度，因此客戶可以將診斷與測量交錯，并以更高的輸出數據速率運行診斷。因此，這些嵌入式功能減少了處理器的工作量。

圖4.將設置分配給通道

其他功能

AD7124-4/AD7124-8內置溫度傳感器，也可用于監控管芯溫度。兩款器件的ESD額定值均為4 kV，可提供穩健的解決方案。兩款器件均采用 5 × 5 mm LFCSP 封裝，適用于本質安全設計。

根據IEC 61508，使用這些設備的典型溫度應用的FMEDA顯示安全故障分數（SFF）大于90%。通常需要兩個傳統的ADC來提供這種級別的覆蓋范圍。

內置診斷的其他優勢

除了節省BOM和成本外，診斷還可以在避免設計復雜性，減少資源使用和加快客戶上市時間方面節省成本。讓我們借助以下示例來理解這一點：

AD7124-4/AD7124-8內置MCLK計數器，用于測量主時鐘頻率并捕獲主時鐘中的任何不一致。主時鐘計數器是一個 8 位寄存器，每 131 個 MCLK 周期遞增一次。SPI主機讀取該寄存器，以確定內部/外部614.4 kHz時鐘的頻率。

如果我必須在AD7124-4/AD7124-8外部實現MCLK頻率檢查，該怎么辦？它將需要以下硬件資源：

帶外圍設備的微控制器，如計數器和外部
中斷控制器

施密特觸發電路

另請注意，存儲和運行包含中斷服務例程的代碼需要內存?？傮w而言，該方案如圖 5 所示。

圖5.由微控制器實現的MCLK頻率監視器

此外，我們必須確保代碼經過檢查并符合編碼準則和限制。因此，總體而言，實施單獨的診斷部分將產生大量開銷;因此，內置診斷功能帶來了額外的好處：

節省空間和 BOM

提高系統可靠性;更少的組件 = 更高的可靠性

加快上市時間

軟件開發 — 開發和運行診斷例程

硬件測試

系統測試

節省微控制器內存

運行診斷不需要代碼

編碼指南要求進行大量雙內存代碼檢查

即用型安全文檔可節省系統評估時間

輔助功能安全設計

AD7124-4/AD7124-8沒有SIL額定值，這意味著它們不是按照IEC 61508標準設計和開發的。但是，通過了解各種診斷的最終應用和用途，可以評估AD7124-4/AD7124-8在SIL額定設計中的應用。

功能安全術語

讓我們回顧一下對認證之旅很重要的一些概念：

故障：系統性和隨機性

診斷覆蓋范圍

硬件容錯

零星水平

故障：系統性和隨機性

系統故障是某種原因造成的確定性（非隨機）故障，可以通過修改設計或制造過程、操作程序、文檔或其他相關因素來消除。例如，由于外部中斷引腳上缺少濾波，系統出現嘈雜中斷。

另一方面，隨機故障是由于物理原因造成的，這些原因適用于系統中的硬件組件。這種類型的故障是由腐蝕、熱應力和磨損等影響引起的，不可能通過系統的過程來捕獲此類故障。

為了處理隨機故障，我們可以使用可靠性、診斷和冗余等方法。

在可靠性方面，我們確保使用可靠的組件，而通過診斷，我們確?？梢詸z測和糾正這些故障。確?？煽啃缘牧硪环N方法是增加冗余以降低故障概率，但隨后會增加系統成本和空間。

隨機故障有四種類型，即安全檢測、安全未檢測、危險檢測和危險未檢測。

例如，考慮一個系統，其安全功能是在溫度讀數較高時為機器打開電源開關。任何不影響安全功能的隨機故障，即打開電源開關，稱為安全檢測到或安全未檢測到的故障。影響安全功能的其他故障是危險的故障。對我們來說，最重要的一個是危險的未被發現的故障。此故障類型不在診斷范圍內，因此我們的目標是增加診斷，以將未檢測到的危險故障降至最低。

圖6.隨機故障類型。

診斷覆蓋范圍

隨機故障可以通過軟件或硬件形式的各種內置檢測機制來檢測。例如，MOSFET開關中的故障可以通過回讀輸出來檢測，或者可以通過定期運行CRC存儲器檢查來檢測隨機存儲器位翻轉。

診斷覆蓋率是系統檢測危險故障的能力，數學上定義為檢測到的危險故障與危險故障的比率。

硬件容錯

考慮一個可編程邏輯控制器（PLC）系統，如圖7所示，其安全功能是在輸入超過特定值時打開開關以停止機器。在HFT = 0圖中，如果存在單個隨機故障（X），則系統將發生故障，機器將不會停止。

圖7.一個PLC系統。

現在，如果我們有一個冗余路徑，如HFT = 1圖所示，那么單個隨機故障將不再導致故障，我們將能夠停止機器。

因此，通過添加冗余路徑，可以容忍單個故障;該系統稱為HFT 1系統，它表示一次故障不會導致系統故障。HFT 0 表示一個故障可能導致系統故障。硬件容錯是組件或子系統在存在一個或多個危險故障時執行安全功能的能力。

HFT 可以從 1oo1、1oo2、2oo3 等架構中計算出來。如果架構表示為 MooN，則高頻交易計算為 N – M。換句話說，2oo4 架構的 HFT 為 2。這意味著它可以容忍兩次故障并且仍然可以工作，因此它是一個具有冗余的架構。

SIL 級別覆蓋范圍

表 1 繪制了 SFF（即診斷覆蓋量）和硬件容錯（表示冗余）。

元件的安全失效分數	硬件容錯
0	1	2
<60%	不允許	SIL 1	SIL 2
60% 至 <90%	SIL 1	SIL 2	SIL 3
90% 至 <99%	SIL 2	SIL 3	SIL 4
≥99%	SIL 3	SIL 4	SIL 4

行顯示診斷覆蓋率，而列顯示硬件容錯。HFT為0意味著如果系統中存在一個故障，安全功能將丟失（見表1）。

如果我們添加冗余以實現HFT 1，如圖7所示，系統可以容忍一次故障，而不會使系統停機。因此，目前通過冗余實現 SIL 3 的客戶如果使用具有更高診斷覆蓋范圍的部件，則可以在沒有冗余的情況下達到 SIL 3 等級。

因此，通過更高級別的診斷，我們可以減少所需的系統冗余量，或者我們以相同的冗余級別改進解決方案的 SIL 級別（下移至表 1）。

現在，讓我們回顧一下AD7124-4/AD7124-8中的診斷功能，它們支持各種內置機制，如電源/基準電壓/AIN監控、開路檢測、轉換/校準檢查、信號鏈功能檢查、讀/寫監控、寄存器內容監控等，從而擴大AD7124-4/AD7124-8系統的診斷范圍。如果沒有這些診斷，則需要兩個ADC才能達到相同的理想電平。

因此，一個AD7124-4或AD7124-8提供相同級別的覆蓋范圍，其診斷范圍和特性支持功能安全系統的設計。這樣可以節省 50% 的 BOM 和印刷電路板空間。

支持 SIL 等級設計的文檔

輔助終端系統 SIL 認證所需的文檔包括：

安全數據表（安全手冊適用于 SIL 額定部件）

引腳 FMEDA（失效模式、影響和分析）和芯片 FMEDA（失效
模式、效應和診斷分析）

附件F核對表

這些文檔由輸入組成，主要來自四個數據源，如圖 8 所示。這些數據是診斷數據、設計數據、FIT 速率和故障插入測試數據。

數據手冊中的診斷數據捕獲了器件中可用的所有診斷功能
。

設計數據是指內部數據，例如，模具面積和零件每個內部塊的影響。

各種組件的FIT或及時故障率可從數據手冊中獲得。一個流行的例子是西門子數據手冊SN 29500。

故障插入測試是針對模塊進行的，無法使用設計和診斷數據分析。這些測試是根據所需的應用進行規劃的，故障插入測試的結果用于加強 FMEDA 和 FMEA 文檔。

圖8.功能安全文檔信息流。

Die FMEDA

AD7124-4/AD7124-8 FMEDA分析應用原理圖中的主要模塊，識別故障模式和影響，并檢查特定安全功能的診斷和分析。讓我們看一下圖 9 來了解其機制。

對于RTD型系統，安全功能是以±x度的精度測量溫度;應用原理圖如圖9所示。

圖9.RTD 應用示意圖。

我們將危險故障定義為可能導致ADC輸出或SPI通信錯誤的故障，如果輸出中的誤差很大，則可能導致危險故障。

安全狀態定義為：

輸出上的數據表示根據安全功能的輸入

設置了錯誤狀態位

ADC輸出轉換結果為全零或全1

無 SPI 通信

AD7124-4/AD7124-8根據IEC 61508被確定為B型系統。

為了解釋 FMEDA，讓我們以時鐘模塊為例并分析其故障模式。

表2顯示了當時鐘塊面臨第一列中描述的故障模式時會發生什么，它對輸出的影響，診斷覆蓋率的數量，最后是分析。

故障模式	影響	診斷覆蓋范圍	分析
輸出卡在高電平	ADC轉換結果凍結	99	MCLK 時鐘計數器 - 表 A.11 - “具有單獨時基和時間窗口的看門狗”
輸出卡在低電平	ADC轉換結果凍結	99	MCLK 時鐘計數器 - 表 A.11 - “具有單獨時基和時間窗口的看門狗”
輸出高阻抗	ADC轉換結果凍結	99	MCLK 時鐘計數器 — 表 A.11 — “具有單獨時基和時間窗口的看門狗”
輸出漂移 ±10%	ADC 轉換結果損壞，50 Hz/60 Hz 陷波無效	99	MCLK 時鐘計數器 - 表 A.11 - “具有單獨時基和時間窗口的看門狗”
輸出抖動	ADC轉換結果損壞或有噪聲	99	轉換 0， ±FS - 表 A.13 “參考傳感器”，對結果進行合理性檢查

同樣，我們分析AD7124-4/AD7124-8中的其余模塊。

請注意，可能存在一些可能不會影響安全功能的故障;例如，AIN0引腳上的故障不會引起溫度測量問題，因此可以排除在安全計算之外。

FMEDA 的結果將是安全故障、危險檢測到的故障和危險的未檢測到故障的故障率，這些故障用于計算 SFF。

別針 莫梅達

FMEDA引腳分析AD7124-4/AD7124-8引腳上的各種類型的故障及其針對此RTD應用的結果。我們逐步獲取每個單獨的引腳并分析結果，以防引腳斷開或短路至電源/接地或短路至相鄰引腳。

例如，讓我們以圖10中的引腳29（DIN）為例，參考圖9所示的應用原理圖，并檢查不同故障的結果。表 3 顯示了故障模式、影響和檢測。

圖 10.32 引腳 LFCSP 引腳配置。

引腳名稱	潛在故障模式	故障的潛在影響	檢波
喧囂	開放式銷釘	通信丟失	可在系統級別輕松檢測
喧囂	對地短路	通信丟失	可在系統級別輕松檢測
喧囂	短至AVDD或車聯網DD	失去通訊;可能的損壞	可在系統級別輕松檢測
喧囂	短至相鄰引腳 SCLK	通信丟失	可在系統級別輕松檢測
喧囂	短至相鄰引腳 DOUT/RDY	通信丟失	可在系統級別輕松檢測

請注意，分析與圖9所示的應用原理圖有關，因此對未使用引腳的分析不會影響任何事情。

附件F 核對表

這是ASIC避免系統故障的設計措施清單。為了符合要求，需要一份來自IEC 61508-2：2010的完整附件F清單。

安全手冊或數據表

整套信息最終流入安全手冊或數據手冊，其中提供了集成AD7124-4/AD7124-8的必要要求。

當顯示符合IEC 61508功能安全標準時，安全數據表會整理從各種文檔中流入的所有診斷和分析。它將包含所有信息，例如：

產品概述

應用信息

安全理念

生命周期預測

適合

FMEDA 計算 — SFF 和 DC

硬件安全機制

診斷說明

電磁兼容穩健性

在冗余配置中運行

附件和文件清單

路線 2S，也稱為使用驗證

我們已經討論了第一種評估方法?，F在，讓我們討論稱為“已驗證使用”或 Route 2S 的替代方法。此方法適用于已發布的部件，并基于對客戶退貨和發貨設備數量的分析。

這允許SIL認證，就好像該部件完全按照IEC 61508標準開發一樣。

如果模塊/系統設計人員過去成功使用過IC，并且知道現場的故障率，則可以使用Route 2S或經過驗證的使用聲明。

請注意，在 Route 2S 中，我們需要現場返回的全部數據，這使得集成電路設計人員或制造商更難提出這一要求，因為他們通常對最終應用或現場返回的故障單元的百分比沒有足夠的了解進行分析。

結論

RTD測量系統的ADC和系統要求非常嚴格。這些傳感器產生的模擬信號很小。這些信號需要由噪聲較低的增益級放大，以便放大器的噪聲不會淹沒來自傳感器的信號。在放大器之后，需要一個高分辨率ADC，以便將來自傳感器的低電平信號轉換為數字信息。除了ADC和增益級外，溫度系統還需要激勵電流等其他元件。同樣，這些必須是低漂移、低噪聲元件，以便系統精度不會降低。初始誤差（如失調）可以從系統外進行校準，但組件隨溫度的漂移必須較低，以避免引入誤差。因此，集成勵磁模塊和測量模塊可簡化客戶設計。在設計功能安全時，還需要進行診斷。通過將診斷與激勵和測量模塊集成在一起，簡化了整體系統設計，減少了BOM、設計時間和上市時間。