在这篇由两部分组成的关于实现功能安全RTD系统的系列文章的第二篇中,我们描述了认证、审查系统潜在故障机制的必要性,以及诊断故障的各种方法。

这个由两部分组成的系列的第二篇文章继续了我们在首件关于功能安全系统的电阻式温度检测器(RTD)电路设计和Route 2S组件认证过程。认证系统是一个漫长的过程,因为必须对系统中的所有组件进行潜在故障机制的审查,并且有各种方法来诊断故障。


辅助功能安全设计


AD7124-4/AD7124-8不是SIL级,这意味着它们不是根据IEC 61508标准使用开发指南进行设计和开发的。然而,通过了解各种诊断的最终应用和用法,可以评估AD7124-4/AD712-4-8在SIL额定设计中的使用情况。


功能安全术语


让我们回顾一下对认证过程很重要的一些概念:


故障:系统性和随机性


系统性故障是由某种原因引起的确定性(非随机性)故障,可以通过修改设计或制造工艺、操作程序、文件或其他相关因素来消除。例如,由于外部中断引脚上缺乏过滤,系统会发生嘈杂的中断。


另一方面,随机故障是由于物理原因造成的,这适用于系统中的硬件组件。这种类型的故障是由腐蚀、热应力和磨损等影响引起的,不可能通过系统的过程来发现此类故障。


为了处理随机故障,我们可以使用可靠性、诊断和冗余等方法。


在可靠性方面,我们确保使用可靠的组件,而在诊断方面,我们则确保可以检测和纠正这些故障。另一种确保可靠性的方法是增加冗余以降低故障概率,但这会增加系统成本和空间。


随机故障有四种类型,即安全检测、安全未检测、危险检测和危险未检测。


<img data-lazy-fallback="1" decoding="async" src="https://uploads.9icnet.com/images/aritcle/20230426/2209adi-rtd_-fig-20106.jpg" alt="">

图1。随机故障类型。

例如,考虑一个系统,其安全功能是在温度读数高时打开机器的电源开关。任何不影响安全功能的随机故障,即打开电源开关,称为安全检测故障或安全未检测故障。影响安全功能的其他故障是危险的故障。对我们来说,最重要的是危险的未被发现的失败。这种故障类型不在诊断范围内,因此我们的目标是增加诊断,以将危险的未检测故障降至最低。


诊断覆盖范围


可以通过具有软件或硬件形式的各种内置检测机制来检测随机故障。例如,可以通过读回输出来检测MOSFET开关中的故障,或者可以通过定期运行CRC存储器检查来检测随机存储器位翻转。


诊断覆盖率是指系统检测危险故障的能力,数学上定义为检测到的危险故障与危险故障的比率。


硬件容错


考虑可编程逻辑控制器(PLC)系统,如图2所示,其安全功能是在输入超过特定值时打开开关以停止机器。在HFT=0图中,如果存在单个随机故障(X),则系统将发生故障,机器不会停止。现在,如果我们有一个如HFT=1图所示的冗余路径,那么单个随机故障将不再导致故障,我们将能够停止机器。


<img data-lazy-fallback="1" decoding="async" src="https://uploads.9icnet.com/images/aritcle/20230426/2209adi-rtd_-fig-20207.jpg" alt="">

图2:PLC系统。

因此,通过添加冗余路径,可以容忍单个故障;这个系统被称为HFT 1系统,它说一次故障不会导致系统故障。HFT 0表示一次故障可能导致系统故障。硬件容错是指组件或子系统在存在一个或多个危险故障的情况下执行安全功能的能力。


HFT可以根据1oo1、1oo2、2oo3等体系结构计算。如果体系结构表示为MooN,则HFT计算为N–M。换句话说,2oo4体系结构的HFT为2。这意味着它可以容忍两次故障,并且仍然可以工作,因此它是一个具有冗余的体系结构。


SIL级别覆盖范围


表1绘制了SFF(即诊断覆盖范围)和硬件容错(即冗余)。


表1。SIL级别覆盖范围[点击查看全尺寸图像]


<img data-lazy-fallback="1" decoding="async" style="width: 700px; margin-left: auto; margin-right: auto;" src="https://uploads.9icnet.com/images/aritcle/20230426/2209adi-rtd_-tab-201.png">

行显示诊断覆盖率,而列显示硬件容错率。HFT为0意味着如果系统中有一个故障,安全功能将丢失(见表1)。


如果我们添加实现HFT 1的冗余,如图2所示,系统可以容忍一次故障,而系统不会停机。因此,如果客户使用具有更高诊断覆盖率的零件,那么今天实现具有冗余的SIL 3的客户可以在没有冗余的情况下实现SIL 3评级。


因此,通过更高级别的诊断,我们可以减少所需的系统冗余量,或者在具有相同冗余级别的情况下提高解决方案的SIL级别(在表1中向下移动)。


现在,让我们回顾一下AD7124-4/AD7124-8中的诊断,它支持各种内置机制,如电源/参考电压/AIN监测、开路检测、转换/校准检查、信号链功能检查、读/写监测、寄存器内容监测等,从而提高AD7124-4/AD7124-8系统的诊断覆盖率。在没有这些诊断的情况下,需要两个ADC才能达到相同的期望水平。


因此,一个AD7124-4或AD7124-8提供了相同水平的覆盖范围,其诊断覆盖范围和特征使得能够设计功能安全的系统。这样可以节省50%的BOM和印刷电路板空间。


支持SIL额定设计的文件


辅助最终系统SIL认证所需的文件包括:


这些文档由输入组成,主要来自四个数据源,如图3所示。这些数据是诊断数据、设计数据、FIT率和故障插入测试的数据。


单击以获取全尺寸图像

<img data-lazy-fallback="1" decoding="async" style="width: 700px; margin-left: auto; margin-right: auto;" src="https://uploads.9icnet.com/images/aritcle/20230426/2209adi-rtd_-fig-20308.jpg">

图3。功能安全文件信息流。

模具FMEDA


AD7124-4/AD7124-8 FMEDA分析应用示意图中的主要块,识别故障模式和影响,并检查特定安全功能的诊断和分析。让我们看看图4来了解其机制。对于RTD型系统,安全功能是测量温度,精度为±x度;应用示意图如图4所示。


单击以获取全尺寸图像

<img data-lazy-fallback="1" decoding="async" style="width: 700px; margin-left: auto; margin-right: auto;" src="https://uploads.9icnet.com/images/aritcle/20230426/2209adi-rtd_-fig-20409.jpg">

图4。RTD应用示意图。

我们将危险故障定义为可能导致ADC输出或SPI通信错误的故障,如果输出中的错误很大,则可能导致危险故障。


安全状态定义为:


根据IEC 61508,AD7124-4/AD7124-8被确定为B型系统。为了解释FMEDA,让我们以时钟模块为例,分析其故障模式。


表2显示了当时钟块面对第一列中描述的故障模式时会发生什么,它对输出的影响,诊断覆盖的数量,最后是分析。


表2。主时钟块故障模式、影响、诊断和分析[点击查看全尺寸图像]


<img data-lazy-fallback="1" decoding="async" style="width: 700px; margin-left: auto; margin-right: auto;" src="https://uploads.9icnet.com/images/aritcle/20230426/2209adi-rtd_-tab-202.png">

类似地,我们随后分析AD7124-4/AD7124-8中的剩余块。


请注意,可能存在一些不会影响安全功能的故障;例如,AIN0引脚上的故障不会导致温度测量问题,因此可以从安全计算中排除。


FMEDA的结果将是用于计算SFF的安全故障、危险检测故障和危险未检测故障的故障率。


引脚FMEDA


引脚FMEDA分析AD7124-4/AD77124-8引脚上的各种类型的故障及其在该RTD应用中的结果。我们一步一步地对每个引脚进行分析,以防引脚开路或对电源/接地短路或对相邻引脚短路。


单击以获取全尺寸图像

<img data-lazy-fallback="1" decoding="async" style="width: 700px; margin-left: auto; margin-right: auto;" src="https://uploads.9icnet.com/images/aritcle/20230426/2209adi-rtd_-fig-20510.jpg">

图10。32引脚LFCSP引脚配置。

例如,让我们以图5中的引脚29(DIN)为例,参考图4中所示的应用示意图,并检查不同故障的结果。表3显示了故障模式、影响和检测。


表3。引脚DIN的故障模式、影响和分析[点击查看全尺寸图像]


<img data-lazy-fallback="1" decoding="async" style="width: 700px; margin-left: auto; margin-right: auto;" src="https://uploads.9icnet.com/images/aritcle/20230426/2209adi-rtd_-tab-203.png">

请注意,该分析是针对图4中所示的应用示意图进行的,因此对未使用引脚的分析不会影响任何内容。


附件F检查表


这是ASIC避免系统故障的设计措施清单。需要符合IEC 61508-2:2010中的完整附录F检查表。


安全手册或数据表


一整套信息最终流入安全手册或数据表,其中提供了实现AD7124-4/AD77124-8集成的必要要求。


当显示符合IEC 61508功能安全标准时,安全数据表会整理各种文件中的所有诊断和分析。它将包含以下所有信息:


路线2S,也称为已验证使用


我们已经讨论了第一种评估方法。现在,让我们讨论另一种被称为已在使用的方法或路线2S。该方法适用于已发布的零件,基于对客户退货和发货设备数量的分析。


这允许SIL认证,就好像该部件是根据IEC 61508标准完全开发的一样。


如果模块/系统设计人员过去成功使用过IC并从现场了解故障率,则可以使用路线2S或经验证的使用声明。


请注意,在路线2S中,我们需要现场返回的全部数据,这使得集成电路设计者或制造商更难提出这一要求,因为他们通常对最终应用程序或现场故障单元的百分比不了解,无法进行分析。


结论


RTD测量系统的ADC和系统要求相当严格。这些传感器产生的模拟信号很小。这些信号需要由噪声较低的增益级放大,以便放大器的噪声不会淹没来自传感器的信号。在放大器之后,需要高分辨率ADC,以便可以将来自传感器的低电平信号转换为数字信息。除了ADC和增益级,温度系统还需要其他组件,例如激励电流。同样,这些部件必须是低漂移、低噪声的部件,这样系统精度就不会降低。初始不准确度,如偏移,可以在系统外进行校准,但部件随温度的漂移必须很低,以避免引入误差。因此,集成激励块和测量块简化了客户的设计。在设计功能安全性时,还需要进行额外的诊断。通过将诊断与激励和测量块集成在一起,简化了整个系统的设计,减少了BOM、设计时间和上市时间。


FMEDA等文件包含客户在最终设计中认证组件所需的所有信息。然而,对组件本身进行认证可以进一步简化与认证机构的对话。Route 2S工艺允许产品在发布后进行认证,因此这是一条有用的途径,因为目前发布了许多适合功能安全设计的设备。


了解更多信息


注:数字和图表由Analog Devices提供。


<img data-lazy-fallback="1" decoding="async" alt="" style="width: 110px; float: left; margin: 0px 4px 0px 0px;" src="https://uploads.9icnet.com/images/aritcle/20230426/ADI_Mary-McCarthy.jpg">

玛丽麦卡锡是的应用工程师模拟设备她于1991年加入ADI,在爱尔兰科克的线性和精密技术应用集团工作,专注于精密西格玛-德尔塔转换器。玛丽于1991年毕业于科克大学学院,获得电子和电气工程学士学位。

<img data-lazy-fallback="1" decoding="async" alt="" style="width: 110px; float: left; margin: 0px 4px 0px 0px;" src="https://uploads.9icnet.com/images/aritcle/20230426/ADI_Wasim-Shaikh.jpg">

瓦西姆·谢赫已加入模拟设备2015年,在位于印度班加罗尔的精密转换器部门担任应用工程师。Wasim是一名认证的功能安全工程师,于2003年在浦那大学获得学士学位。