本文將討論功能安全系統(tǒng)的電阻溫度檢測器(RTD)電路設計和Route 2S元件認證流程。系統(tǒng)認證是一個漫長的過程,系統(tǒng)中的所有元器件都必須進行審查以了解潛在的故障機制,診斷故障的方法則多種多樣。使用已經(jīng)過認證的部件可以減輕認證流程中的工作量。
引言
溫度是過程控制系統(tǒng)中的一個關鍵測量指標。它可以是直接測量,例如測量化學反應的溫度。它也可以是補償測量,例如壓力傳感器的溫度補償。對于任何系統(tǒng)設計,準確、可靠、穩(wěn)健的溫度測量都很重要。對于某些終端設計,檢測系統(tǒng)故障至關重要,系統(tǒng)如果發(fā)生故障,就會轉換到安全狀態(tài)。在這些環(huán)境中應使用功能安全設計。認證級別表明設計的診斷覆蓋率水平。
什么是功能安全
在功能安全設計中,系統(tǒng)需要檢測到任何故障??紤]一座煉油廠,其中的一個儲罐正在裝油。如果液位傳感器發(fā)生故障,系統(tǒng)必須檢測到此故障,以便可以主動關閉儲罐的閥門,防止儲罐溢出,避免潛在的危險爆炸事故。另一個方案是冗余。也就是說,設計中可以使用兩個液位傳感器,當其中一個液位傳感器發(fā)生故障時,系統(tǒng)可以繼續(xù)使用另一個液位傳感器運行。設計通過認證后,將獲得SIL等級。此等級表示設計提供的診斷覆蓋率。SIL等級越高,解決方案越穩(wěn)健。SIL 2等級表示可以診斷系統(tǒng)內(nèi)超過90%的故障。為了對設計進行認證,系統(tǒng)設計人員必須向認證機構提供有關潛在故障的證據(jù)——無論是安全故障還是危險故障,以及如何診斷故障。必須獲取FIT等數(shù)據(jù),以及故障模式影響和對系統(tǒng)中不同元器件的診斷分析(FMEDA)。
溫度系統(tǒng)設計
本文重點介紹RTD。然而,溫度傳感器有許多不同類型——RTD、熱敏電阻和熱電偶等。設計中使用的傳感器取決于所需的精度和測量的溫度范圍。每種類型的傳感器都有自己的要求:
熱電偶偏置
激勵RTD的激勵電流
熱電偶和熱敏電阻的絕對基準
因此,除了ADC之外,還需要其他構建模塊來激勵傳感器并調(diào)理前端的傳感器。為實現(xiàn)功能安全,所有這些模塊都必須可靠且穩(wěn)健。此外,不同模塊的任何故障都必須可檢測。傳統(tǒng)上,系統(tǒng)設計人員使用復制方法,也就是使用兩個信號鏈,信號鏈彼此檢查以確保:
傳感器已連接
沒有開路或短路
基準電壓處于正確的電平
PGA仍在正常運行
為了證明設計的穩(wěn)健性,認證流程需要文檔記錄。這是一個耗時的過程,有時候很難從IC制造商那里獲得某些信息。
但是, AD7124-4/AD7124-8 集成模擬前端現(xiàn)在包括了RTD設計所需的所有構建模塊。此外,嵌入式診斷功能使得設計人員無需出于診斷目的而復制信號鏈。除了芯片增強之外,ADI公司還提供文檔記錄,其中包括認證機構所需的所有信息(FIT引腳FMEDA、裸片F(xiàn)MEDA)。因此,功能安全的認證過程得以簡化。
IEC 61508是功能安全設計方面的規(guī)范。此規(guī)范記錄了開發(fā)SIL認證產(chǎn)品所需的設計流程。從概念、定義、設計、布局到制造、裝配、測試的每個步驟都需要生成文檔。這被稱為Route 1S。另一種選擇是使用Route 2S流程。這是一條經(jīng)過實際使用驗證的路線,當大批量產(chǎn)品被導入最終客戶的系統(tǒng)中并在現(xiàn)場使用了數(shù)千小時時,仍然可以通過向認證機構提供如下證據(jù)來認證產(chǎn)品:
現(xiàn)場使用的數(shù)量
現(xiàn)場退貨的分析,并詳細說明退貨不是由于元器件本身的
故障造成的
安全數(shù)據(jù)手冊,詳細說明診斷及其提供的覆蓋率
引腳和裸片F(xiàn)MEDA
3線RTD設計
RTD
RTD適合測量–200°C至+850°C的溫度,在該溫度范圍內(nèi),其響應接近線性。RTD使用的典型元素有鎳、銅和鉑,100 Ω和1000 Ω鉑制RTD較為常見。RTD有兩線、三線或四線形式,其中3線和4線形式較為常用。RTD是無源傳感器,需要一個激勵電流來產(chǎn)生輸出電壓。RTD的輸出電平從數(shù)十毫伏到數(shù)百毫伏不等,具體取決于所選的RTD。
RTD設計
圖1顯示了一個3線RTD系統(tǒng)。AD7124-4/AD7124-8是用于RTD測量的集成解決方案,包含系統(tǒng)所需的所有構建模塊。為了全面優(yōu)化該系統(tǒng),需要2個理想匹配的電流源。這兩個電流源用于抵消RL1產(chǎn)生的引線電阻誤差。一個激勵電流流過精密基準電阻RREF和RTD。另一個電流流過引線電阻RL2,所產(chǎn)生的電壓與RL1上的壓降相抵消。精密基準電阻上產(chǎn)生的電壓用作ADC的基準電壓REFIN1(±)。由于僅利用一個激勵電流來產(chǎn)生基準電壓和RTD上的電壓,因此,該電流源的精度、失配和失配漂移對ADC整體轉換函數(shù)的影響極小。AD7124-4/AD7124-8允許用戶選擇激勵電流值,從而調(diào)整系統(tǒng)以使用ADC的大部分輸入范圍,提高性能。
圖1. 3線RTD溫度系統(tǒng)
RTD的低電平輸出電壓需要放大,以便利用ADC的大部分輸入范圍。AD7124-4/AD7124-8的PGA可以設置1到128的增益,允許用戶在激勵電流值和增益與性能之間進行取舍。出于抗混疊和EMC目的,傳感器與ADC之間需要濾波。基準電壓緩沖器支持無限的濾波器R、C元件值,也就是說,這些元件不會影響測量精度。
系統(tǒng)還需要校準以消除增益和失調(diào)誤差。圖1顯示了此3線B級RTD在執(zhí)行內(nèi)部零電平和滿量程校準后的實測溫度誤差,總誤差遠小于±1°C。
ADC要求
溫度測量系統(tǒng)以低速測量為主(最高速度通常是每秒100次采樣),因而需要低帶寬ADC。但是,該ADC必須具有高分辨率。Σ-Δ型ADC適合此類應用,因為利用Σ-Δ結構能夠開發(fā)出低帶寬、高分辨率ADC。
采用Σ-Δ型轉換器時,對模擬輸入連續(xù)采樣,采樣頻率比目標頻段高很多。它還使用噪聲整形,將噪聲推到目標頻段之外,進入轉換過程未使用的區(qū)域,從而進一步降低目標頻段內(nèi)的噪聲。數(shù)字濾波器會衰減任何處在目標頻段之外的信號。
數(shù)字濾波器在采樣頻率和采樣頻率的倍數(shù)處有鏡像,因此,需要一些外部抗混疊濾波器。然而,由于過采樣,簡單的一階RC濾波器即足以滿足大部分應用的要求。Σ-Δ架構允許24位ADC實現(xiàn)最高達21.7位的峰峰值分辨率(21.7個穩(wěn)定或無閃爍位)。Σ-Δ架構的其他優(yōu)勢有:
寬共模范圍的模擬輸入
寬范圍的基準輸入
能夠支持比率式配置
圖2. 頻率響應,后置濾波器,25 SPS:(a) DC至600 Hz,(b) 40 Hz至 70 Hz。
濾波(50 Hz/60 Hz抑制)
除了如上所述的抑制噪聲以外,數(shù)字濾波器還用于提供50 Hz/60 Hz抑制。系統(tǒng)采用主電源供電時,會發(fā)生50 Hz或60 Hz干擾。交流電源會產(chǎn)生50 Hz及其倍數(shù)(歐洲)和60 Hz及其倍數(shù)(美國)的噪聲。低帶寬ADC主要使用sinc濾波器,可將其陷波頻率設置在50 Hz和/或60 Hz及其倍數(shù)處,從而提供50 Hz/60 Hz及其倍數(shù)的抑制?,F(xiàn)在越來越多地要求利用建立時間較短的濾波方法提供50 Hz/60 Hz抑制。在多通道系統(tǒng)中,ADC順次處理所有使能的通道,在每個通道上產(chǎn)生轉換結果。選擇一個通道后,便需要濾波器建立時間以產(chǎn)生有效轉換結果。若縮短建立時間,則可提高給定時間內(nèi)轉換的通道數(shù)。AD7124-4/AD7124-8的后置濾波器或FIR濾波器可提供50 Hz/60 Hz同時抑制,并且其建立時間比sinc3或sinc4濾波器要短。圖3顯示了一個數(shù)字濾波器選項:此后置濾波器的建立時間為41.53 ms,并且提供62 dB的50 Hz/60 Hz同時抑制。
圖3. 各通道獨立配置
診斷
對于功能安全設計,構成RTD系統(tǒng)的所有功能都需要診斷。AD7124-4/AD7124-8具有多個嵌入式診斷功能,因此設計復雜性得以簡化,設計時間得以縮短。另外還無需復制信號鏈以實現(xiàn)診斷覆蓋。
典型診斷要求如下:
電源/基準電壓/模擬輸入監(jiān)控
開路檢測
轉換/校準檢查
信號鏈功能檢查
讀/寫監(jiān)控
寄存器內(nèi)容監(jiān)控
下面詳細說明嵌入式診斷。
SPI診斷
AD7124-4/AD7124-8提供CRC。使能后,所有讀操作和寫操作都包括CRC計算。校驗和為8位寬,使用如下多項式生成:
因此,對于AD7124-4/AD7124-8的每次寫操作,處理器都會生成一個CRC值,該值會附加到發(fā)送至ADC的信息中。ADC根據(jù)接收到的信息生成自己的CRC值,并將其與從處理器接收到的CRC值進行比較。如果兩個值一致,則可確定信息完好無損,從而將其寫入相關的片內(nèi)寄存器。如果CRC值不一致,則表明傳輸過程中發(fā)生了位損壞。在這種情況下,AD7124-4/AD7124-8會設置一個錯誤標志,指示發(fā)生了數(shù)據(jù)損壞。損壞的信息不會被寫入寄存器,從而實現(xiàn)自我保護。同樣,當從AD7124-4/AD7124-8讀取信息時,也會生成一個CRC值并伴隨該信息。處理器將處理此CRC值,以確定傳輸有效還是發(fā)生了損壞。
AD7124-4/AD7124-8數(shù)據(jù)手冊列出了客戶可以訪問的寄存器(用戶寄存器)。AD7124-4/AD7124-8會檢查所訪問寄存器的地址。如果用戶嘗試讀取或?qū)懭霐?shù)據(jù)手冊中未記載的寄存器,就會設置一個錯誤標志,表示處理器正在嘗試訪問非用戶寄存器。同樣,伴隨此寄存器訪問的任何信息都不會應用于寄存器。
AD7124-4/AD7124-8還有一個SCLK計數(shù)器。所有讀寫操作都是8的倍數(shù)。當CS用于使能幀讀寫操作時,SCLK計數(shù)器計數(shù)每個讀/寫操作中使用的SCLK脈沖數(shù),與此同時CS為低電平。當CS變?yōu)楦唠娖綍r,通信中使用的SCLK數(shù)量應為8的倍數(shù)。如果SCLK上出現(xiàn)毛刺,這將導致SCLK脈沖過量。如果發(fā)生這種情況,AD7124-4/AD7124-8會再次設置錯誤標志,并放棄輸入的任何信息。
狀態(tài)寄存器指示正在轉換的通道。讀取數(shù)據(jù)寄存器時,可以將狀態(tài)位附加到轉換結果中。這會進一步增強處理器/ADC通信的穩(wěn)健性。
上面提到的所有診斷功能都是為了確保ADC與處理器之間的通信穩(wěn)健,只有有效信息才被AD7124-4/AD7124-8接受。當CS用于使能幀讀寫操作時,每次拉高CS時,串行接口便復位。這確保了所有通信都從已定義的或已知的狀態(tài)開始。
存儲器檢查
每次更改片內(nèi)寄存器(例如更改增益)時,都會對寄存器執(zhí)行CRC,并將生成的CRC值臨時存儲在內(nèi)部。AD7124-4/AD7124-8內(nèi)部定期對寄存器執(zhí)行額外的CRC檢查。得到的CRC值與存儲的值進行比較。如果值由于位翻轉而不同,就會設置一個標志,以向處理器表明寄存器設置已損壞。處理器隨后可以復位ADC,并重新加載寄存器。
片內(nèi)ROM保存寄存器的默認值。上電時或復位后,ROM內(nèi)容將應用于用戶寄存器。在最終的生產(chǎn)測試中會計算ROM內(nèi)容的CRC,并將得到的CRC值存儲在ROM中。在上電或復位時會再次對ROM內(nèi)容執(zhí)行CRC,并將得到的CRC值與保存的值進行比較。如果二者不同,則表明默認寄存器設置與預期不同,因而需要重啟或復位。
信號鏈檢查
器件包括許多信號鏈檢查。電源軌(AVDD、AVSS和IOVDD)可應用于ADC輸入,從而可以監(jiān)視電源軌。AD7124-4/AD7124-8內(nèi)置一個模擬和一個數(shù)字低壓差(LDO)穩(wěn)壓器。這些也可以應用于ADC并進行監(jiān)視。AD7124-4/AD7124-8包括x路復用。此外,AVSS可在內(nèi)部用作AIN–,這樣就可以檢查模擬輸入引腳上的絕對電壓??蛻艨梢蕴綔y輸出激勵電流的引腳,并探測AIN+和AIN-引腳。這將檢查連接,并確保各個引腳上的電壓處于正確的電平。
對于基準電壓檢查,基準電壓檢測功能會指示基準電壓過低的情況??蛻暨€可以選擇內(nèi)部基準電壓作為模擬輸入,這樣就可以用來監(jiān)視外部基準電阻上產(chǎn)生的電壓,前提條件是基準電阻兩端的電壓略高于2.5 V(內(nèi)部基準電壓的幅度)。
AD7124-4/AD7124-8還有一個內(nèi)部20 mV電壓,這對于檢查增益級很有用。例如,使用20 mV作為模擬輸入,增益可以從1變?yōu)?、4、... 128。每次提高增益時,轉換結果放大2倍,從而證實增益級工作正常。
檢查鎖定位時,X路復用也很有用。它允許交換AIN+和AIN–引腳,導致轉換結果反轉。因此,使用20 mV和x路復用時,用戶可以檢查鎖定位。
為AIN+和AIN–選擇相同的模擬輸入引腳并偏置此內(nèi)部短路,以便檢查ADC噪聲,確保其在規(guī)定范圍內(nèi)工作。內(nèi)部可以選擇嵌入式基準電壓(+2.5 V)作為ADC的輸入。同樣,應用+VREF和–VREF可確認信號鏈正常工作。
可編程的開路測試電流可用來檢查傳感器連接。PT100在–200°C時電阻典型值為18 Ω,在+850°C時為390.4 Ω。使能開路測試電流后,可以執(zhí)行轉換。如果RTD短路,獲得的轉換結果將接近0。AIN+和AIN–之間開路會導致轉換結果接近0xFFFFFF。在RTD正確連接的情況下,永遠不會獲得接近0或全1的代碼。
最后,AD7124-4/AD7124-8具有過壓和欠壓檢測功能。正在轉換的AIN+和AIN-引腳上的絕對電壓通過比較器持續(xù)監(jiān)控。當AIN+或AIN–上的電壓超出電源軌(AVDD和AVSS)時,就會設置標志。
這種高集成度減少了執(zhí)行測量和提供診斷覆蓋所需的物料(BOM),并縮短了設計時間,降低了設計復雜性。
轉換/校準
AD7124-4/AD7124-8上的轉換也受到監(jiān)控。如果(AIN+ – AIN–)/增益大于正滿量程或小于負滿量程,就會設置一個標志。ADC的轉換結果變?yōu)槿?(模擬輸入過高)或全0(模擬輸入過低),因此客戶知道發(fā)生了故障。
對來自調(diào)制器的比特流進行監(jiān)控,以確保調(diào)制器不會飽和。如果發(fā)生飽和(調(diào)制器連續(xù)輸出20個1或20個0),則設置一個標志。
AD7124-4/AD7124-8包括內(nèi)部偏移和校準以及系統(tǒng)偏移和增益校準。如果校準失敗,就會設置一個標志以告知用戶。請注意,如果校準失敗,偏移和增益寄存器不會更新。
電源
除了前面討論的電源檢查外,AD7124-4/AD7124-8還有用于持續(xù)監(jiān)控內(nèi)部LDO穩(wěn)壓器的比較器。因此,如果這些LDO穩(wěn)壓器的電壓低于跳變點,就會立即報告錯誤。
這些LDO穩(wěn)壓器需要一個外部電容。也可以檢查該電容存在與否。
MCLK計數(shù)器
濾波器曲線和輸出數(shù)據(jù)速率與MCLK直接相關。當主時鐘為614.4 kHz時,數(shù)據(jù)手冊中列出的輸出數(shù)據(jù)速率是正確的。如果主時鐘改變頻率,輸出數(shù)據(jù)速率和濾波器陷波頻率也會改變。例如,若使用濾波器陷波頻率來抑制50 Hz或60 Hz,則變化的時鐘會減少所獲得的衰減。因此,了解時鐘頻率對于確保獲得最佳抑制很有價值。AD7124-4/AD7124-8包含一個MCLK計數(shù)器寄存器。每計數(shù)131個MCLK周期,該寄存器便加1。為了測量MCLK頻率,處理器需要一個定時器??梢栽跁r間0讀取該寄存器,然后在定時器超時后再次讀取。有了這些信息,便可確定主時鐘的頻率。
各通道獨立配置
AD7124-4/AD7124-8允許按通道進行配置,也就是說,器件支持八種不同的設置,一個設置由基準電壓源、增益設置、輸出數(shù)據(jù)速率和濾波器類型組成。當用戶配置一個通道時,可將八種設置中的一種分配給該通道。請注意,通道可以是模擬輸入通道,也可以是診斷通道,例如測量電源(AVDD-AVSS)。因此,客戶可以設計一個由模擬輸入和診斷組成的序列。各通道獨立配置允許以與模擬輸入轉換不同的輸出數(shù)據(jù)速率運行診斷。診斷不需要與主要測量相同的精度,因此客戶可以將診斷與測量交錯,并以較高輸出數(shù)據(jù)速率運行診斷。這些嵌入式特性可減少處理器的工作量。
圖4. 將設置分配給通道
其他功能
AD7124-4/AD7124-8包含一個溫度傳感器,該傳感器也可用于監(jiān)控芯片溫度。這兩款器件的ESD額定值均為4 kV,支持實現(xiàn)穩(wěn)健的解決方案。這些器件采用5 × 5 mm LFCSP封裝,適合本質(zhì)安全設計。
根據(jù)IEC 61508,使用這些器件的典型溫度應用的FMEDA表明安全失效比率(SFF)大于90%。一般需要兩個傳統(tǒng)ADC才能達到這一水平。
內(nèi)置診斷的其他好處
除了BOM和成本節(jié)省之外,診斷還能從其他方面節(jié)省成本:避免設計復雜性,減少資源使用,以及加快客戶產(chǎn)品上市時間。讓我們借助下例來理解這一點:
AD7124-4/AD7124-8有一個MCLK計數(shù)器,用于測量主時鐘頻率并捕捉所提供的主時鐘的任何不一致。主時鐘計數(shù)器是一個8位寄存器,每131個MCLK周期遞增一次。該寄存器由SPI主機讀取,以確定內(nèi)部/外部614.4 kHz時鐘的頻率。
如果必須在AD7124-4/AD7124-8外部實施MCLK頻率檢查該怎么辦?這將需要如下硬件資源:
施密特觸發(fā)電路
另外請注意,存儲和運行代碼(包括中斷服務例程)需要存儲器??傊?,實施方案將如圖5所示。
圖5. 由微控制器實現(xiàn)的MCLK頻率監(jiān)視器
此外,我們必須確保代碼經(jīng)過檢查并符合編碼準則和限制??傊?,實施單獨的診斷部分會產(chǎn)生很大的開銷。因此,內(nèi)置診斷有諸多好處:
節(jié)省空間和BOM
提高系統(tǒng)可靠性;更少元器件 = 更高的可靠性
加速產(chǎn)品上市
軟件開發(fā)——開發(fā)和運行診斷程序
硬件測試
系統(tǒng)測試
節(jié)省微控制器存儲器
不需要代碼來運行診斷
編碼準則要求進行大量雙重存儲器代碼檢查
即用型安全文檔節(jié)省系統(tǒng)評估時間
助力功能安全設計
AD7124-4/AD7124-8不是按照IEC 61508標準中的開發(fā)指南進行設計和開發(fā)的,因此無SIL等級。但是,通過了解各種診斷的最終應用和使用情況,可以評估AD7124-4/AD7124-8是否適用于SIL等級設計。
功能安全術語
讓我們回顧一下認證過程中的一些重要概念:
故障:系統(tǒng)性和隨機性
診斷覆蓋率
硬件容錯
SIL等級
故障:系統(tǒng)性和隨機性
系統(tǒng)性故障是由特定原因引起的確定性(非隨機)故障,可通過修改設計或制造過程、操作程序、文檔或其他相關因素來消除。例如,由于外部中斷引腳上缺乏濾波,系統(tǒng)會因為高噪聲而發(fā)生中斷。
隨機故障則是由作用于系統(tǒng)內(nèi)硬件組件的物理原因引起的。此類故障是由腐蝕、熱應力、磨損等效應引發(fā)的,無法通過系統(tǒng)化流程來發(fā)現(xiàn)此類故障。
為了處理隨機故障,我們可以使用可靠性、診斷和冗余等方法。
在可靠性方面,我們確保使用可靠的元器件,而通過診斷,我們確??梢詸z測和排解這些故障。確??煽啃缘牧硪环N方法是增加冗余以降低故障概率,但這樣做會增加系統(tǒng)成本和空間。
隨機故障有四種類型,即安全檢測型、安全未檢測型、危險檢測型和危險未檢測型。
例如,考慮一個系統(tǒng),其安全功能是在溫度讀數(shù)很高時斷開機器的電源開關。任何不影響安全功能(即斷開電源開關)的隨機故障,稱為安全檢測型故障或安全未檢測型故障。影響安全功能的其他故障則是危險故障。對我們來說,重要的是危險未檢測型故障。這類故障是診斷未覆蓋的故障,我們的目標是提高診斷覆蓋率,以盡可能將危險及未檢測到的故障減少。
圖6. 隨機故障類型
診斷覆蓋率
隨機故障可以通過軟件或硬件形式的各種內(nèi)置檢測機制來檢測。例如,MOSFET開關故障可以通過回讀輸出來檢測,隨機存儲器位翻轉可以通過定期運行CRC存儲器檢查來檢測。
診斷覆蓋率衡量系統(tǒng)檢測危險故障的能力,數(shù)學上定義為危險檢測型故障與危險故障的比率。
硬件容錯
考慮一個可編程邏輯控制器(PLC)系統(tǒng),例如圖7所示,其安全功能是在輸入超過特定值時斷開開關以停止機器。在HFT = 0圖中,如果存在單一隨機故障(X),系統(tǒng)就會發(fā)生故障,機器不會停止。
圖7. PLC系統(tǒng)
現(xiàn)在,如果我們有HFT = 1圖中所示的冗余路徑,那么單一隨機故障將不再引起故障,我們將能夠停止機器。
因此,通過增加冗余路徑,系統(tǒng)便可容忍單一故障。此系統(tǒng)被稱為HFT 1系統(tǒng),表示一個故障不會導致系統(tǒng)失效。HFT 0表示一個故障可能導致系統(tǒng)失效。硬件容錯是當存在一個或多個危險故障時,元器件或子系統(tǒng)執(zhí)行安全功能的能力。
HFT可以從1oo1、1oo2、2oo3等架構來計算。如果將架構表示為MooN,則HFT計算式為N–M。換句話說,2oo4架構的HFT為2。這意味著它可以容忍兩個故障并繼續(xù)工作,因此它是一個具有冗余的架構。
SIL等級覆蓋率
表1顯示了SFF(即診斷覆蓋率)和硬件容錯(意味著冗余)
元件的安全失效比率 | 硬件容錯 | ||
0 | 1 | 2 | |
<60% | 不允許 | SIL 1 | SIL 2 |
60% 至 <90% | SIL 1 | SIL 2 | SIL 3 |
90% 至 <99% | SIL 2 | SIL 3 | SIL 4 |
≥99% | SIL 3 | SIL 4 | SIL 4 |
行表示診斷覆蓋率,列表示硬件容錯。HFT為0表示如果系統(tǒng)出現(xiàn)一個故障,安全功能就會喪失(見表1)。
如果增加冗余以實現(xiàn)HFT 1,如圖7所示,那么系統(tǒng)可以容忍一個故障而不會停機。目前通過冗余達到SIL 3等級的客戶,如果使用具有更高診斷覆蓋率的部件,則可以在沒有冗余的情況下達到SIL 3。
因此,更高水平的診斷可以減少所需的系統(tǒng)冗余量,或者在相同冗余量下,我們可以提高解決方案的SIL等級(在表1中向下移動)。
現(xiàn)在,讓我們回顧一下AD7124-4/AD7124-8中的診斷功能,其支持多種內(nèi)置機制,例如電源/基準電壓/AIN監(jiān)控、開路檢測、轉換/校準檢查、信號鏈功能檢查、讀/寫監(jiān)控、寄存器內(nèi)容監(jiān)控等,這些診斷功能可提高AD7124-4/AD7124-8系統(tǒng)的診斷覆蓋率。在沒有這些診斷的情況下,需要兩個ADC才能達到相同的水平。
因此,一個AD7124-4或AD7124-8可提供相同水平的覆蓋范圍,其診斷覆蓋率和特性支持設計功能安全的系統(tǒng)。這可節(jié)省50%的BOM和印刷電路板空間。
支持SIL等級設計的文檔
輔助終端系統(tǒng)SIL認證所需的文檔包括:
安全數(shù)據(jù)手冊(安全手冊用于SIL等級部件)
引腳FMEDA(故障模式、影響和分析)和FMEDA(故障模式、影響和診斷分析)
附錄F 檢查清單
這些文檔由主要來自四個數(shù)據(jù)源的輸入組成,如圖8所示。這些數(shù)據(jù)是診斷數(shù)據(jù)、設計數(shù)據(jù)、FIT率和來自故障插入測試的數(shù)據(jù)。
數(shù)據(jù)手冊中的診斷數(shù)據(jù)涉及部件提高的所有診斷特性。
設計數(shù)據(jù)是指內(nèi)部數(shù)據(jù)——例如,裸片面積和部件每個內(nèi)部模塊的影響。
數(shù)據(jù)手冊中提供了各種元器件的FIT率(故障率)。一個常見例子是Siemens Databook SN 29500。
對無法使用設計和診斷數(shù)據(jù)進行分析的模塊應進行故障插入測試。這些測試是根據(jù)應用需求而規(guī)劃的,故障插入測試的結果用于加強FMEDA和FMEA文件。
圖8. 功能安全文檔信息流
裸片F(xiàn)MEDA
AD7124-4/AD7124-8 FMEDA分析應用原理圖中的主要模塊,識別故障模式和影響,并檢查特定安全功能的診斷和分析。讓我們通過圖9了解該機制。
對于RTD型系統(tǒng),安全功能是以±x度的精度測量溫度。應用原理圖如圖9所示。
圖9. RTD應用原理圖
我們將危險故障定義為可能導致ADC輸出或SPI通信出現(xiàn)錯誤的故障,如果輸出中的錯誤很嚴重,則可能導致危險故障。
安全狀態(tài)定義為:
根據(jù)安全功能,輸出數(shù)據(jù)代表輸入
錯誤狀態(tài)位已置位
ADC輸出轉換結果為全0或全1
無SPI通信單
根據(jù)IEC 61508,AD7124-4/AD7124-8被認定為B類系統(tǒng)。
為了解釋FMEDA,讓我們以時鐘模塊為例,分析其故障模式。
表2顯示了當時鐘模塊面臨第一列中描述的故障模式時會發(fā)生什么,它對輸出的影響,診斷覆蓋率,最后是分析。
故障模式 | 影響 | 診斷覆蓋率 | 分析 |
輸出鎖在高電平 | ADC轉換結果凍結 | 99 | MCLK時鐘計數(shù)器—Table A.11—“具有獨立時基和時間窗口的看門狗” |
輸出鎖在高電平 | ADC轉換結果凍結 | 99 | MCLK時鐘計數(shù)器—Table A.11—“具有獨立時基和時間窗口的看門狗” |
輸出高阻抗 | ADC轉換結果凍結 | 99 | MCLK時鐘計數(shù)器—Table A.11—“具有獨立時基和時間窗口的看門狗” |
輸出漂移 ±10% | ADC 轉換結果損壞,50 Hz/60 Hz陷波頻率無效 | 99 | MCLK時鐘計數(shù)器—Table A.11—“具有獨立時基和時間窗口的看門狗” |
輸出抖動 | ADC 轉換結果損壞或有噪聲 | 99 | A.13“參考傳感器”,檢查結果合理性 |
同樣,我們隨后分析AD7124-4/AD7124-8中的其余模塊。
請注意,可能存在一些可能不會影響安全功能的故障;例如,AIN0引腳上的故障不會導致溫度測量出現(xiàn)問題,因此可以從安全計算中排除。
FMEDA的結果將是安全故障、危險檢測型故障和危險未檢測型故障的故障率,用于計算SFF。
引腳FMEDA
引腳FMEDA分析AD7124-4/AD7124-8引腳上的各類故障及其在此RTD應用中的后果。選取每個引腳,一步一步地分析引腳開路、短接到電源/接地或短接到相鄰引腳會有什么后果。
例如,以圖10中的引腳29 (DIN)為例,參考圖9所示的應用原理圖,檢查不同故障的后果。表3顯示了故障模式、影響和檢測。
圖10. 32引腳LFCSP引腳配置
引腳名稱 | 引腳故障模式 | 故障的潛在影響 | 檢測 |
DIN | 引腳開路 | 喪失通信 | 在系統(tǒng)級別很容易檢測 |
DIN | 短接到地 | 喪失通信 | 在系統(tǒng)級別很容易檢測 |
DIN | 短接到 AVDD 或 IOVDD | 喪失通信;可能損壞 | 在系統(tǒng)級別很容易檢測 |
DIN | 短接到相鄰引腳SCLK | 喪失通信 | 在系統(tǒng)級別很容易檢測 |
DIN | 短接到相鄰引腳DOUT/RDY | 喪失通信 | 在系統(tǒng)級別很容易檢測 |
請注意,分析是針對圖9所示的應用原理圖進行的,因此對未使用引腳的分析不會產(chǎn)生任何影響。
附錄F 檢查清單
這是ASIC避免系統(tǒng)性故障的設計措施清單。合規(guī)需要一份完整的IEC 61508-2:2010附錄F檢查清單。
安全手冊或數(shù)據(jù)手冊
一整套信息最終進入安全手冊或數(shù)據(jù)手冊,提供實現(xiàn)AD7124-4/AD7124-8集成的必要要求。
當顯示符合IEC 61508功能安全標準時,安全數(shù)據(jù)手冊會整理來自各種文檔的所有診斷和分析。它將包含所有信息,例如:
產(chǎn)品概述
應用信息
安全理念
終身預測
FIT
FMEDA計算——SFF和DC
硬件安全機制
診斷描述
EMC穩(wěn)健性
以冗余配置工作
附件和文件清單
Route 2S,也稱為"經(jīng)過使用證明"
我們已經(jīng)討論了第一種評估方法?,F(xiàn)在我們討論另一種方法,稱為"經(jīng)過使用證明"或Route 2S。此方法適用于已發(fā)布器件,并且基于對客戶退貨的分析和已發(fā)貨數(shù)量。
這樣可以進行SIL認證,就好像該部件是完全按照IEC61508標準開發(fā)的一樣。
如果模塊/系統(tǒng)設計者過去曾成功使用某一IC,并且了解現(xiàn)場故障率,那么他可以宣稱其"經(jīng)過使用驗證"(Route 2S)。
請注意,Route 2S需要完整的現(xiàn)場退貨數(shù)據(jù),因此對于集成電路設計者或制造商來說,作出這種宣稱要困難得多,因為他們一般不太了解最終應用或擁有完備的現(xiàn)場失效器件收集、失效分析流程及數(shù)據(jù)。
結論
RTD測量系統(tǒng)對ADC和系統(tǒng)的要求非??量?。這些傳感器產(chǎn)生的模擬信號很小。這些信號需要用增益級放大,同時放大器的噪聲必須非常低,不至于淹沒傳感器的信號。放大器之后需接一個高分辨率ADC,以將傳感器的低電平信號轉換為數(shù)字信息。除了ADC和增益級之外,溫度系統(tǒng)還需要其他元器件,例如激勵電流。同樣,這些元件必須是低漂移、低噪聲元件,不致于降低系統(tǒng)精度。諸如失調(diào)等初始精度誤差可以通過校準從系統(tǒng)中消除,但元件隨溫度的漂移必須非常低,以免引入誤差。集成激勵模塊和測量模塊可簡化客戶設計。針對功能安全進行設計時,還需要診斷。將診斷與激勵和測量模塊集成在一起,可以簡化整體系統(tǒng)設計,減少BOM,縮短設計時間,加速產(chǎn)品上市。
FMEDA等文檔包含客戶認證最終設計中的元器件所需的全部信息。但是,對元器件本身進行認證可以進一步簡化與認證機構的交流。Route 2S流程允許對發(fā)布后的產(chǎn)品進行認證,鑒于目前有很多已發(fā)布的器件適合功能安全設計,因此這是一條很有用的途徑。
審核編輯:郭婷
-
傳感器
+關注
關注
2548文章
50699瀏覽量
752074 -
adc
+關注
關注
98文章
6438瀏覽量
544119 -
RTD
+關注
關注
1文章
152瀏覽量
27487
發(fā)布評論請先 登錄
相關推薦
評論