功能安全是與電氣和電子系統(tǒng)正常運(yùn)行相關(guān)的安全分支。變速驅(qū)動(dòng)器現(xiàn)在在實(shí)現(xiàn)功能安全方面發(fā)揮著重要作用。以前,電機(jī)控制應(yīng)用的功能安全是使用驅(qū)動(dòng)器外部的安全繼電器和接觸器實(shí)現(xiàn)的。但是,通過將安全性集成到驅(qū)動(dòng)器安全功能(如 STO 和 SLS)中,它可以在驅(qū)動(dòng)器內(nèi)實(shí)施,從而提高工廠車間的生產(chǎn)率。集成安全需要使用集成電路,但解釋變速驅(qū)動(dòng)器中使用的集成電路的功能安全要求具有挑戰(zhàn)性。理想情況下,所有此類IC都將按照IEC 61508進(jìn)行評(píng)估,但這將是昂貴的,并且標(biāo)準(zhǔn)沒有要求。本文將嘗試總結(jié)在變速驅(qū)動(dòng)器設(shè)計(jì)中使用的集成電路可用的指南。本文的目標(biāo)之一是在不使用行話的情況下提供主題的概述。
功能安全三大關(guān)鍵要求
功能安全有三個(gè)關(guān)鍵要求:
要求 1 - 使用可靠的組件。這意味著具有足夠低FIT速率的IC。FIT率通常根據(jù)IEC 62380或SN 29500等標(biāo)準(zhǔn)計(jì)算,這些標(biāo)準(zhǔn)的結(jié)果基于現(xiàn)場(chǎng)對(duì)各種類型的組件的平均故障率。或者,數(shù)據(jù)可以基于加速壽命測(cè)試,例如在 analog.com/ReliabilityData 發(fā)現(xiàn)的測(cè)試。一個(gè)重要的考慮因素是,IEC 61508和類似標(biāo)準(zhǔn)中給出的PFH(每小時(shí)危險(xiǎn)故障概率)數(shù)字適用于整個(gè)安全功能,而不僅僅是單個(gè)IC。因此,PFH的數(shù)字為10-7h-1對(duì)于SIL 3安全功能(100 FIT),給定IC的誤差預(yù)算可能僅為1 FIT。還值得注意的是,術(shù)語PFH實(shí)際上意味著每小時(shí)發(fā)生危險(xiǎn)故障的概率。可以說,至少有50%的故障是安全的,IC的可靠性極限可以加倍。
要求 2 - 實(shí)施過去已證明的一系列措施,以設(shè)計(jì)具有高安全性的產(chǎn)品。這被稱為系統(tǒng)完整性的標(biāo)準(zhǔn)。與隨機(jī)硬件故障不同,系統(tǒng)故障內(nèi)置于系統(tǒng)中,只有設(shè)計(jì)更改才能消除它們。軟件錯(cuò)誤既是系統(tǒng)性故障,也是 EMC 故障的示例。
要求 3 - 容錯(cuò)并接受由于隨機(jī)硬件故障而導(dǎo)致的故障,否則無論組件多么可靠或遵循的開發(fā)過程多么好,都會(huì)發(fā)生系統(tǒng)故障。處理故障的兩種方法是通過診斷和冗余。診斷程序檢測(cè)故障并使系統(tǒng)進(jìn)入安全狀態(tài)。對(duì)于電機(jī)控制,安全狀態(tài)通常是使用安全子功能(如IEC 61800-5-2中的STO)使電機(jī)停止。另一種替代方法是實(shí)現(xiàn)冗余,以便有兩個(gè)或多個(gè)項(xiàng)目,其中一個(gè)可以檢測(cè)到不安全狀態(tài),并在需要時(shí)使系統(tǒng)進(jìn)入安全狀態(tài)。標(biāo)準(zhǔn)通常允許在診斷和冗余之間進(jìn)行權(quán)衡。有效性的衡量標(biāo)準(zhǔn)包括IEC 61508的SFF,ISO 13849的診斷覆蓋率(DC)和ISO 26262的單點(diǎn)故障指標(biāo)。
IEC 61800-5-2
IEC 61800-5-2 是 C 類標(biāo)準(zhǔn)。這意味著該標(biāo)準(zhǔn)規(guī)定了特定機(jī)器類別的要求,在本例中為變速驅(qū)動(dòng)器。擁有C類標(biāo)準(zhǔn)非常有價(jià)值,因?yàn)樗忉屃嗽撛O(shè)備類型的通用標(biāo)準(zhǔn)IEC 61508,并且只保留與該機(jī)器相關(guān)的標(biāo)準(zhǔn)。通用標(biāo)準(zhǔn)本質(zhì)上必須應(yīng)對(duì)許多不同類型的設(shè)備和情況,這意味著它包含許多與特定設(shè)計(jì)無關(guān)的信息和要求。IEC 61800-5-2 宣稱,“通過應(yīng)用 IEC 61800 系列這一部分的要求,滿足了 IEC 61508 中 PDS (SR) 所需的相應(yīng)要求。但是,如果存在C類標(biāo)準(zhǔn)(例如IEC 61800-5-2)未提供指導(dǎo)的主題,則IEC 61508是后備。
在IEC 61800-5-2中,定義了安全子功能,例如STO(安全扭矩關(guān)閉)和SLS(安全限速),并概述了功能安全生命周期。
圖1.STO安全功能。
通過STO安全子功能,可以通過防止向電機(jī)提供產(chǎn)生力的動(dòng)力來實(shí)現(xiàn)安全狀態(tài)。通常,當(dāng)防護(hù)裝置斷開時(shí),這將在柵極驅(qū)動(dòng)器上使用脈沖阻斷或電源消除來完成。由于驅(qū)動(dòng)器的總功率未斷開,因此在防護(hù)裝置關(guān)閉后可以快速重新啟動(dòng)。
通過SLS安全子功能,可以監(jiān)控電機(jī)的速度,如果超過設(shè)定水平,驅(qū)動(dòng)器會(huì)將電機(jī)帶到安全狀態(tài),最常見的是STO。此安全子功能的典型用途可能是在清潔滾筒期間與三位夾持開關(guān)配合使用。圖 2 顯示了 SLS 在 t 處嚙合1并在 T 處脫離2.紅色塊表示速度區(qū)域(如果輸入)將導(dǎo)致驅(qū)動(dòng)器進(jìn)入安全狀態(tài)。
圖2.安全限速。
雖然IEC 61800-5-2沒有強(qiáng)制要求2通道安全,但大多數(shù)驅(qū)動(dòng)器制造商也希望根據(jù)ISO 13849要求性能水平,因此,兩個(gè)通道是常見的。
ISO 13849 認(rèn)證
ISO 13849是基于現(xiàn)在冗余的EN954標(biāo)準(zhǔn)的機(jī)械標(biāo)準(zhǔn)。與IEC 61800-5-2,IEC 61508和IEC 62061相比,它使用性能等級(jí)(PL)而不是SIL等級(jí)。級(jí)別為 PLa 到 PLe。ISO 13849 還明確偏愛 2 通道系統(tǒng)以獲得更高的性能水平,必須使用三類或四類系統(tǒng)。ISO 13849使用DC(診斷覆蓋率)作為診斷有效性的指標(biāo),而不是其他標(biāo)準(zhǔn)的SFF。假設(shè)故障是 50% 安全/50% 危險(xiǎn) SFF 和直流使用以下公式相關(guān)。
IEC 62061
IEC 62061 是 IEC 61508 的機(jī)械解釋。它實(shí)際上是與 ISO 13849 平行的標(biāo)準(zhǔn)——事實(shí)上,人們努力將這兩種機(jī)械標(biāo)準(zhǔn)結(jié)合在 ISO/IEC 17305 中。
在IEC 62061的范圍內(nèi),它指出“在本標(biāo)準(zhǔn)中,假定復(fù)雜的可編程電子子系統(tǒng)或子系統(tǒng)元件的設(shè)計(jì)符合IEC 61508的相關(guān)要求。該標(biāo)準(zhǔn)為使用而不是開發(fā)此類子系統(tǒng)和子系統(tǒng)元素作為SRECS的一部分提供了一種方法。
IEC 61508
IEC 61508-2:2010包含重要的IC要求,但在偶然或不完整的標(biāo)準(zhǔn)閱讀中很容易錯(cuò)過。要求包括ASIC開發(fā)V模型,參見IEC 61508-2:2010圖3。V模型針對(duì)數(shù)字ASIC,因?yàn)樗鼌⒖剂撕铣刹季趾吐酚梢约白罱K編碼,但V模型可以通過一點(diǎn)想象力來解釋模擬或混合信號(hào)ASIC。
圖3.ADuM4135隔離式柵極驅(qū)動(dòng)器
對(duì)數(shù)字ASIC的偏好延續(xù)到附件F,該附件標(biāo)題為“ASIC的技術(shù)和措施——避免系統(tǒng)故障”,并在注釋1中指出,“以下技術(shù)和措施僅與數(shù)字ASIC和用戶可編程IC有關(guān)。對(duì)于混合模式和模擬ASIC,目前無法給出通用技術(shù)和措施。然而,盡管存在這些限制,但完成混合信號(hào)ASIC數(shù)字部分的清單是完全可行的,并且使用一些甚至不適用于純模擬IC的用途。
附錄E的標(biāo)題為“具有片上冗余的集成電路(IC)的特殊架構(gòu)要求”。附件中再次提出了數(shù)字限制,因?yàn)樗贓.1中指出“以下要求僅與數(shù)字IC有關(guān)。對(duì)于混合模式和模擬IC,目前無法給出一般要求。當(dāng)附件在其他標(biāo)準(zhǔn)中被引用時(shí),似乎被廣泛忽略的另一個(gè)限制是“本標(biāo)準(zhǔn)中使用的片上冗余意味著功能單元的重復(fù)(或三重),以建立大于零的硬件容錯(cuò)。重復(fù)這個(gè)詞意味著相同的冗余,本文的作者認(rèn)為目標(biāo)是可能使用鎖步技術(shù)的雙核微處理器。雖然大多數(shù)技術(shù)都很好,但當(dāng)應(yīng)用于不同冗余塊之間的分離或一個(gè)塊與用作第一個(gè)塊診斷的另一個(gè)片上塊之間的分離時(shí),它們可能會(huì)過多。重復(fù)的模塊會(huì)受到常見原因故障的影響,例如溫度、ESD、電源故障以及其他不太可能同時(shí)以相同方式影響不同模塊的原因。ISO 13849-2:2012 的 D.2.4 節(jié)中引用了附錄 E 的示例,其中指出“因此,除非滿足 IEC 61508-2:2010 的特殊架構(gòu)要求,否則極不可能使用單個(gè)集成電路實(shí)現(xiàn)類別 2、3 或 4 的容錯(cuò)和/或檢測(cè)要求所需的多通道功能, 附件E.”IEC 61800-5-2 FDIS(2015 年秋季)允許根據(jù) IEC 61508-2:2010 附錄 E 的要求排除片上短路,但檢查附錄 E,您會(huì)發(fā)現(xiàn)只有 f) 和 g) 項(xiàng)直接涉及片上短路。項(xiàng)目f)要求單獨(dú)塊之間的間距至少為10×這是過程的最小設(shè)計(jì)規(guī)則,項(xiàng)目g)僅討論單獨(dú)物理塊的相鄰行。
圖4.概念2通道架構(gòu),用于使用ADSP-CM419(/8/7/6)DSP內(nèi)核實(shí)現(xiàn)IEC 61800-5-2的SLS安全子功能。
圖5.SLS 解釋的可靠性框圖。
IEC 61508-2:2010的表A.1給出了計(jì)算SFF時(shí)要假設(shè)的故障或故障。表A.2至A.14給出了典型診斷范圍的示例,可以要求對(duì)典型診斷進(jìn)行解釋,但有時(shí)可能需要對(duì)集成電路進(jìn)行解釋。IEC 62380 的附錄 H 和 UL 1998 的相關(guān)附錄 A 更詳細(xì),特別是針對(duì)數(shù)字微控制器和類似產(chǎn)品。
在計(jì)算集成電路的FIT速率方面,IEC 62380和SN29500都與其他來源一起參考。
在標(biāo)準(zhǔn)的2010年修訂版中增加了考慮軟錯(cuò)誤的要求,并且對(duì)將ECC和奇偶校驗(yàn)添加到易失性存儲(chǔ)器(如RAM)中具有影響,以便檢測(cè)和控制特別影響RAM的軟錯(cuò)誤。
ISO 26262 要求
ISO 26262 是對(duì) IEC 61508 的汽車解釋。它是與IEC 61508修訂版2并行開發(fā)的,包含IEC 61508中未找到的與集成電路相關(guān)的一些要求,對(duì)IEC 61508中的項(xiàng)目進(jìn)行了一些澄清,但省略了其他要求。例如,ISO 26262-10:2012 包含汽車版的 IEC 61508-2:2010 附錄 F 和 ISO 26262-5:2011 表 D.1,其中闡明了汽車在如何考慮片上短路方面的立場(chǎng),“這里并不打算要求進(jìn)行詳盡的分析,例如要求對(duì)橋接故障進(jìn)行詳盡分析,這些故障可能會(huì)影響微控制器或復(fù)雜 PCB 內(nèi)任何信號(hào)的任何理論組合。分析側(cè)重于主要信號(hào)或通過布局級(jí)分析確定的非常高度耦合的互連。
特別是第10部分包含諸如“如果CPU面積占整個(gè)微控制器芯片面積的3%,則可以假設(shè)其故障率等于微控制器總故障率的3%。雖然這樣的過程是IEC 61508的習(xí)慣和實(shí)踐的一部分,但很高興看到它被寫下來。
ISO 26262的集成電路解釋正在ISO/TC 22/SC32下作為ISO/AWI PAS 19451-1進(jìn)行。
協(xié)助設(shè)計(jì)集成電路
在審查了這些標(biāo)準(zhǔn)之后,作者就IC制造商如何幫助驅(qū)動(dòng)器制造商在其驅(qū)動(dòng)器中設(shè)計(jì)集成電路提出了許多建議。
首先,集成電路安全手冊(cè)應(yīng)該有利于驅(qū)動(dòng)設(shè)計(jì)人員。即使 ASIC 或設(shè)備未按照 IEC 61508 開發(fā),也可以生成。
安全手冊(cè)中提供的項(xiàng)目可能包括:
使用的開發(fā)過程和生命周期模型。
IEC 61508-2:2010 中完整的附錄 F 清單。
假定的任務(wù)配置文件。
根據(jù) IEC 62380 和 SN29500 在合理的平均工作溫度下預(yù)測(cè) FIT 速率,例如 55°C,24 小時(shí)內(nèi)熱循環(huán)為 10°C。
芯片尺寸、芯片數(shù)量、RAM 單元數(shù)量和晶體管數(shù)量,允許驅(qū)動(dòng)器設(shè)計(jì)人員使用 SN29500 和 IEC 62380 計(jì)算自己的 FIT 速率(如果計(jì)算已經(jīng)完成并給出計(jì)算細(xì)節(jié),那就更好了)。
支持片上分離主張的證據(jù)。
支持任何相關(guān)故障排除主張的證據(jù)。
片上診斷的詳細(xì)信息。
假定的系統(tǒng)級(jí)診斷的詳細(xì)信息。
引腳FMEA給出λ的結(jié)果都3 DDD3 DS,并計(jì)算了一組假定診斷的 SFF 和 DC,以查看預(yù)期的封裝故障模式。
FME(D)A 給出 λ 的結(jié)果都3 DDD3 DS,并計(jì)算了一組假設(shè)診斷的 SFF 和 DC,以查看預(yù)期的芯片故障模式。
數(shù)據(jù)表上顯示的各種模塊的FIT速率,允許驅(qū)動(dòng)器制造商重做FME(D)A。
鑒于數(shù)據(jù)的性質(zhì),安全手冊(cè)可能僅在NDA(保密協(xié)議)下提供。
ADI公司目前正在開發(fā)安全手冊(cè)的電機(jī)控制安全相關(guān)器件包括隔離式ADCAD7403和隔離式柵極驅(qū)動(dòng)器ADuM4135。
其次,了解系統(tǒng)級(jí)設(shè)計(jì)的IC制造商可以幫助設(shè)計(jì)功能安全所需的特性。例如:
知道只有PFH的一小部分,也許只有1%可用于IC。
知道雖然一般來說功能安全,越簡(jiǎn)單越好,但芯片上的晶體管非常可靠,如果將芯片上的晶體管數(shù)量增加 10 倍會(huì)導(dǎo)致 PCB 上的組件減少,則整體 PFH 將下降。
知道片上診斷的反應(yīng)速度比系統(tǒng)級(jí)診斷快得多,并且有助于防止錯(cuò)誤累積。
知道驅(qū)動(dòng)器的典型壽命為 20 年,并且應(yīng)該有數(shù)據(jù)來證明 IC 在給定的任務(wù)配置文件下可以匹配此壽命。
知道添加CRC引擎等硬件加速器可以減輕軟件負(fù)擔(dān)。
第三,一組推薦的架構(gòu),展示了如何組合IC以實(shí)現(xiàn)IEC 61800-5-2中的安全功能。這可能涉及:
有關(guān)系統(tǒng)級(jí)診斷的建議。
關(guān)于合適組件的建議。
關(guān)于滿足不同渠道之間獨(dú)立性要求的建議。
關(guān)于安全軟件和非安全軟件之間的軟件獨(dú)立性的建議,如果控制和安全可以在至少一個(gè)處理器中組合在一起,則可以將所需處理器的數(shù)量從三個(gè)減少到兩個(gè)。如果不能表現(xiàn)出足夠的獨(dú)立性,那么一切都必須被視為與安全有關(guān)。
第四,應(yīng)影響標(biāo)準(zhǔn)以明確要求。例如:
在將ADC連接到同一PCB上的微控制器或DSP的SPI接口上,應(yīng)該提供哪些防止數(shù)據(jù)損壞的保護(hù)?IEC 61800-5-2:2006 等標(biāo)準(zhǔn)將讀者引回 IEC 61508,而 IEC 61508 又指鐵路標(biāo)準(zhǔn)。下一版本的IEC 61800-5-2增加了文字,以澄清IEC 61784-3的要求不適用于此類接口,但是當(dāng)作者在新標(biāo)準(zhǔn)中讀到自己的話時(shí),澄清并不像他希望的那樣清晰。EN 50402的新標(biāo)準(zhǔn)草案中包含更好的澄清,其中區(qū)分了空間分離模塊的信號(hào)傳輸和未空間分離模塊之間的信號(hào)傳輸。
闡明實(shí)現(xiàn)多樣化冗余的IC的片上分離要求。
闡明模擬和混合信號(hào) ICS 的片上分離要求。
第五,從標(biāo)準(zhǔn)中刪除對(duì)特定解決方案的引用,這導(dǎo)致一些讀者認(rèn)為這些是解決問題的唯一解決方案。例如,光耦合器是實(shí)現(xiàn)信號(hào)隔離的一種古老且眾所周知的方法,但與新型數(shù)字隔離器相比,在可靠性、功耗和速度方面存在許多缺點(diǎn)。編輯ISO 13849和IEC 61800-5-2等標(biāo)準(zhǔn),用電流隔離器等更通用的術(shù)語替換對(duì)光耦合器的引用,也將有助于采用更新、更可靠的數(shù)字隔離器。這已在2015年IEC 61800-5-2的最新FDIS(最終草案)中完成。
結(jié)論
本文特別回顧了與機(jī)器和變速驅(qū)動(dòng)器相關(guān)的主要功能安全標(biāo)準(zhǔn)。從這次審查中,得出了與集成電路相關(guān)的要求的結(jié)論。一個(gè)結(jié)論是,為了幫助滿足功能安全I(xiàn)C的要求,制造商可以提供額外的信息和功能。本文列出了該信息的一些最重要的要點(diǎn)。第二個(gè)結(jié)論是,半導(dǎo)體制造商需要更多地了解系統(tǒng)級(jí)要求,ADI公司已經(jīng)開始分析自己的非功能性安全、電機(jī)控制演示系統(tǒng)設(shè)計(jì)。目標(biāo)是揭示如何修改該架構(gòu)以滿足功能安全的要求,并發(fā)現(xiàn)缺少哪些信息,以使我們的客戶能夠?qū)⑽覀兊漠a(chǎn)品設(shè)計(jì)成具有功能安全要求的驅(qū)動(dòng)器。
審核編輯:郭婷
-
集成電路
+關(guān)注
關(guān)注
5424文章
12060瀏覽量
368442 -
驅(qū)動(dòng)器
+關(guān)注
關(guān)注
54文章
8695瀏覽量
149933 -
asic
+關(guān)注
關(guān)注
34文章
1246瀏覽量
122379
發(fā)布評(píng)論請(qǐng)先 登錄
集成電路TLP250構(gòu)成的IGBT驅(qū)動(dòng)器及電路

變速驅(qū)動(dòng)器中的集成電路功能安全
集成電路的功能安全
變速驅(qū)動(dòng)器的集成電路功能安全
接口集成電路(中國(guó)集成電路大全)

M57957L/M57958LIGBT厚膜驅(qū)動(dòng)器集成電路

M57957L/M57958LIGBT厚膜驅(qū)動(dòng)器集成電路

IR2117 單通道MOSFET或IGBT柵極驅(qū)動(dòng)器集成電路

LED驅(qū)動(dòng)器集成電路需要具有的特點(diǎn)

淺談集成電路的功能安全

機(jī)器和變速驅(qū)動(dòng)器相關(guān)的主要功能安全標(biāo)準(zhǔn)概括

LED驅(qū)動(dòng)器集成電路未來將會(huì)如何發(fā)展
集成電路的功能安全

變速驅(qū)動(dòng)器中集成電路的功能安全介紹

變速電機(jī)驅(qū)動(dòng)器受益于集成GaN

評(píng)論