你的位置:首頁 > EMC安規(guī) > 正文

如何設計和認證基于RTD的功能安全系統(tǒng)

發(fā)布時間:2023-08-09 責任編輯:lina

【導讀】電阻溫度檢測器 (RTD) 由傳感器及其模擬前端 (AFE) 信號調節(jié)電路組成,應用廣泛、準確而可靠。然而,對于任務關鍵型和高可靠性應用,通常需要通過 Route 1S 或 Route 2S 元器件認證流程來設計和確保實現(xiàn)功能安全系統(tǒng)。


電阻溫度檢測器 (RTD) 由傳感器及其模擬前端 (AFE) 信號調節(jié)電路組成,應用廣泛、準確而可靠。然而,對于任務關鍵型和高可靠性應用,通常需要通過 Route 1S 或 Route 2S 元器件認證流程來設計和確保實現(xiàn)功能安全系統(tǒng)。

由于必須審查系統(tǒng)中所有元器件的潛在故障模式和機理,因此對系統(tǒng)進行功能安全認證是一個復雜的過程。診斷故障的方法有很多種,使用已通過認證的元器件可減輕工作量并簡化認證過程。

請注意,“可靠性”與功能安全相關,但并不相同。最簡單地說,“可靠”是指設計和實現(xiàn)符合規(guī)格要求,不會出現(xiàn)問題或故障,而“功能安全”則是指設計必須能檢測到任何故障。對于關鍵應用而言,可靠性和功能安全都必不可少。

本文將結合功能安全認證介紹 RTD 及其信號調節(jié)電路的基礎知識,然后討論不同等級的可靠性和故障認證,以及通過上述兩種途徑達到這些要求所需的條件。我們將使用兩款多通道 RTD AFE IC(Analog Devices 的一對 AD7124 器件)以及相關的評估板配置來說明要點。

功能安全的作用

功能安全的作用是通過正確實施一個或多個自動保護/安全功能,使人免于遭受無法承受的傷害或健康損害風險。如果出現(xiàn)故障,功能安全將確保產品、設備或系統(tǒng)繼續(xù)安全運行。各種工業(yè)、商業(yè),甚至一些消費應用都需要功能安全,例如:

· 自主駕駛車輛
· 機器安全和機器人
· 工業(yè)控制系統(tǒng) (ICS)
· 智能家居消費產品
· 智能工廠和供應鏈
· 安全儀表系統(tǒng)和危險場所控制系統(tǒng)

例如,在功能安全設計中,即使系統(tǒng)中的其他組件失效,主電源開關的功能仍可支持關閉電源(圖 1)。


如何設計和認證基于RTD的功能安全系統(tǒng)
圖 1:在功能安全系統(tǒng)中,此開關必須毫無疑問地執(zhí)行其設計功能。(圖片來源:Pilla via City Electric Supply Co.)


RTD 基礎知識

為什么要關注溫度和功能安全?一個很好的理由是,溫度是最常測量的物理參數(shù)。溫度常與安全或關鍵應用有關,并且有各種傳感器支持,其中包括 RTD,其概念較為簡單:利用鎳、銅、鉑等金屬的已知且可重復的電阻溫度系數(shù) (TCR)。0°C 時電阻值為 100 Ω 和 1000 Ω 的鉑 RTD 應用最為廣泛,可在 -200°C 至 +850°C 范圍內使用。

在此溫度范圍內,這些 RTD 的電阻與溫度之間具有高度線性的關系;對于超高精度場景,可以應用校正和補償表及系數(shù)。標稱電阻為 100 Ω 的鉑 RTD(命名為 PT100)在 -200°C 時的典型電阻為 18 Ω,在 +850°C 時的典型電阻為 390.4 Ω。

使用 RTD 需要用已知電流激勵,該電流通常保持在 1 mA 左右,以盡量減少自發(fā)熱。根據(jù) RTD 的標稱電阻,也可使用其他電流值。

RTD 兩端的電壓降由 AFE 同步測量,該 AFE 包括一個可編程增益放大器 (PGA),并且在幾乎所有情況下,還包括模數(shù)轉換器 (ADC) 與微控制器單元 (MCU) 的組合(圖 2)。


如何設計和認證基于RTD的功能安全系統(tǒng)
圖 2:使用 RTD 測量溫度,需要驅動一個已知電流通過 RTD,測量其兩端的電壓降,然后應用歐姆定律。(圖片來源:Digi-Key)


這種基本方案的電路拓撲結構與使用檢測電阻來測定通過負載的電流相同,但在這里,已知變量與未知變量發(fā)生互換。對于電流感測,電阻是已知的,而電流是未知的,因此計算公式為 I = V/R。對于 RTD,電流是已知的,但電阻不是,因此計算公式為 R = V/I。

需要使用 PGA 來保持信號完整性并最大限度地提高動態(tài)范圍,因為 RTD 兩端的電壓電平從幾十毫伏到幾百毫伏不等,具體取決于 RTD 類型和溫度。

激勵源、RTD 和 PGA 之間的物理連接可以是雙線、三線或四線接口。雖然原則上兩根引線就足夠了,但存在與連接引線中的 IR 壓降相關的問題以及其他偽影。在更先進的開爾文連接中,使用三線和四線拓撲可以獲得更加精確和一致的性能,不過這會增加布線成本(圖 3)。


如何設計和認證基于RTD的功能安全系統(tǒng)
圖 3:僅通過兩根導線就可驅動和檢測 RTD(左),但使用三根引線(中),甚至四根引線(右,開爾文連接)可以消除引線造成的各種誤差源。(圖片來源:Analog Devices)


從術語和標準入手

同許多專業(yè)領域一樣,功能安全也有許多獨特的術語、數(shù)據(jù)集和縮寫詞,它們在相關討論中被廣泛使用。其中包括:

· 失效率 (FIT):設備運行 10 億 (109) 小時期間預計發(fā)生的失效次數(shù)。
· 故障模式和影響分析 (FMEA):盡可能多地審查元器件、組件和子系統(tǒng),以確定系統(tǒng)中潛在的故障模式及其原因和影響的過程。
· 故障模式影響和診斷分析 (FMEDA):用于獲得子系統(tǒng)/產品級故障率、故障模式和診斷能力的系統(tǒng)分析技術。

為了進行全面分析,需要 FIT 數(shù)據(jù)以及系統(tǒng)中不同元器件的故障模式影響和診斷分析 (FMEDA)。FMEA 只提供定性信息,而 FMEDA 同時提供定性和定量信息,允許用戶衡量故障模式的關鍵程度,并根據(jù)重要性對其進行排序。FMEDA 增加了風險、故障模式、影響和診斷分析以及可靠性信息。

· 安全完整性等級 (SIL):與 SIL 相關的離散完整性等級有四個:SIL 1、SIL 2、SIL 3 和 SIL 4。SIL 等級越高,關聯(lián)的安全等級就越高,系統(tǒng)無法正常運行的概率就越低。

SIL 2 等級表明,可以診斷出系統(tǒng)內 90% 以上的故障。要對設計進行認證,系統(tǒng)設計人員必須向認證機構提供證據(jù),說明潛在的故障,這些故障是安全故障還是危險故障,以及如何診斷故障。

· IEC 61508 標準正式名稱為“電氣/電子/可編程電子安全相關系統(tǒng)的功能安全”(非正式名稱為“電子功能安全”),是功能安全設計的規(guī)范。其規(guī)定了開發(fā) SIL 認證元器件所需的設計流程。從概念和定義到設計、布局、制造、裝配和測試,每個步驟都需要生成文檔。

這一過程被稱為 Route 1S,非常復雜。不過,除了 Route 1S 之外,還有一種替代流程,即 Route 2S。這是一種“經使用驗證”途徑,適用于大量產品已設計成最終產品和系統(tǒng),并在現(xiàn)場使用,累積運行數(shù)千小時的情況。

在 Route 2S 流程下,仍可通過向認證機構提供以下證據(jù)而獲得產品認證:

· 現(xiàn)場使用的產品數(shù)量
· 現(xiàn)場任何退貨的分析,詳細說明退貨非由元器件本身的故障造成
· 安全規(guī)格書,詳細介紹產品提供的診斷功能和覆蓋范圍
· 引腳和芯片 FMEDA
· 合并 RTD 接口與 SIL Route 2S 流程

系統(tǒng)認證是一個漫長的過程,因為必須審查系統(tǒng)中所有元器件的潛在故障機理,并且診斷故障的方法多種多樣。使用已通過認證的元器件可減少所需的工作量,縮短認證過程。

高度集成、成熟的 RTD 接口元器件是簡化 Route 2S 認證的關鍵,因為其定義了完整的解決方案包,因而可以通過與現(xiàn)場使用和故障相關的數(shù)據(jù)對其進行全面鑒定。這與使用多個較小的構建塊 IC 不同,后者必須針對所使用的特定互連配置分析其各種接口和相互作用。

其中一個例子是四通道 AD7124-4(圖 4)和類似的八通道 AD7124-8(下文在討論它們的許多共同特性時,將其統(tǒng)稱為“AD7124”)。這些元器件具有嵌入式自檢和診斷特性,而且在現(xiàn)場“表現(xiàn)良好”,因此非常適合 Route 2S 流程。


如何設計和認證基于RTD的功能安全系統(tǒng)
圖 4:四通道 AD7124-4 是功能完整的 RTD 傳感器至處理器信號鏈。(圖片來源:Analog Devices)


這些 IC 是完整的多通道 RTD 測量解決方案,包含從傳感器到數(shù)字化輸出以及與相關微控制器通信所需的全部構件。其中包括:多通道多路復用器、PGA、24 位三角積分 ADC、RTD 電流源、用于內部操作的電壓基準、系統(tǒng)時鐘、模擬和數(shù)字濾波,以及用于 SPI、QSPI、MICROWIRE 和 DSP 兼容互連的三線或四線串行接口。

但是,這些功能的存在本身并不能為 SIL Route 2S 資格認證提供基礎。為了實現(xiàn)功能安全設計,構成 RTD 系統(tǒng)的許多功能需要一系列的嵌入式診斷程序。AD7124 中的多種嵌入式診斷程序最大程度地降低了設計復雜性,縮短了設計時間,并且無需復制信號鏈以實現(xiàn)診斷覆蓋。

這些診斷程序包括但不限于:監(jiān)測電源、基準電壓和模擬輸入;檢測 RTD 開路;檢查轉換和校準性能;檢查信號鏈的功能;監(jiān)測讀/寫功能;以及監(jiān)測寄存器內容。

這些“高級”說明如何轉化為必要的片上診斷?答案涉及許多方面,包括:

SPI 診斷:每次寫入 AD7124 時,處理器都會生成一個循環(huán)冗余校驗 (CRC) 值,該值附加到發(fā)送至 ADC 的信息中。然后,ADC 根據(jù)接收到的信息生成自己的 CRC 值,并將其與從處理器接收到的 CRC 值進行比較。如果兩個值一致,則信息完好無損,將被寫入相關的片上寄存器。

如果值不一致,則意味著信息在傳輸過程中發(fā)生了損壞,IC 會設置一個錯誤標志,表明發(fā)生了數(shù)據(jù)損壞。AD7124 還具有自我保護功能,不會將損壞的信息寫入寄存器。

系統(tǒng)處理器從 AD7124 讀取信息時,也會使用類似的 CRC 過程。最后,接口還會對時鐘脈沖進行計數(shù),以確保每個讀取或寫入數(shù)據(jù)幀中只有 8 個這樣的脈沖,從而確保不會出現(xiàn)時鐘毛刺。

存儲器檢查:當上電時或片上寄存器發(fā)生變化時(如更改增益時),也會使用 CRC 驗證寄存器內容。此外,還會定期執(zhí)行 CRC 過程,以確保沒有存儲器位因噪聲或其他原因而“翻轉”。如果發(fā)生了變化,并且處理器隨后被標記為寄存器設置已損壞,則可以復位 ADC 并重新加載寄存器。

信號鏈檢查:所有關鍵靜態(tài)電壓都可以通過 ADC 檢查,包括電源軌、低壓差 (LDO) 穩(wěn)壓器輸出和基準電壓;還可以檢查 LDO 兩端是否存在外部電容器。此外,還可以對 ADC 輸入端施加一個已知電壓,以檢查 ADC 和增益功能設置。另外,可以在模擬輸入上注入已知電流,以檢查開路或短路 RTD。

轉換和校準:持續(xù)檢查 ADC 轉換的結果,了解其是否為全零值或滿刻度值,這兩種情況都表示存在問題。監(jiān)測來自 ADC 內核調制器的比特流,確保其未飽和,如果出現(xiàn)飽和(即調制器連續(xù)產生 20 個 1 或 0),則會設置一個錯誤標志。

主時鐘頻率:該時鐘頻率不僅控制轉換速率,還決定 50/60 Hz 數(shù)字濾波器的陷波頻率。AD7124 的內部寄存器允許協(xié)處理器計時,從而檢查主時鐘的精度。

其他特性:AD7124 包括一個溫度傳感器,也可用來監(jiān)測芯片溫度。兩個版本都有 4 kV 靜電放電 (ESD) 額定值,性能穩(wěn)健,并且均采用 5 × 5 mm LFCSP 封裝,適用于本質安全設計。

由于 AD7124-4 和 AD7124-8 內部復雜精密,并具有高級自檢特性,因此擁有對 IC 進行測試和評估的一種方法也合情合理。

為此,Analog Devices 提供了一對互連板:用于 AD7124-4 的 EVAL-AD7124-4SDZ 評估板(圖 5)和配套的 EVAL-SDP-CB1Z SDP(系統(tǒng)演示平臺)/接口板(圖 6)。前者專用于 AD7124-4,與后者配合使用,后者通過 USB 鏈路與用戶的 PC 和評估軟件進行通信。


如何設計和認證基于RTD的功能安全系統(tǒng)
圖 5:EVAL-AD7124-4SDZ 是 AD7124-4 的評估板。(圖片來源:Analog Devices)


如何設計和認證基于RTD的功能安全系統(tǒng)
圖 6:EVAL-SDP-CB1Z/接口板是 EVAL-AD7124-4SDZ 評估板的配套產品,提供與主機 PC 的 USB 連接。(圖片來源:Analog Devices)


AD7124-4 EVAL+ 軟件支持該評估配置,可全面配置 AD7124-4 器件寄存器功能并對 IC 進行測試。該軟件還以波形圖、直方圖和相關噪聲分析的形式提供時域分析,用于評估 ADC 性能。

向功能安全設計過渡

必須認識到,AD7124-4 和 AD7124-8 沒有 SIL 等級,這意味著二者的設計和開發(fā)均未遵照 IEC 61508 標準定義的開發(fā)準則。但是,通過了解最終應用并適當使用各種診斷,可以評估它們是否可在 SIL 等級設計中使用。

Route 1S 認證途徑在分析和處理故障時需要考慮多個因素,這些故障可能是系統(tǒng)性的或隨機的。系統(tǒng)性故障由設計或制造缺陷造成,例如外部中斷引腳缺乏濾波導致的噪聲中斷,或信號裕量不足等。而隨機故障是由于腐蝕、熱應力或磨損等物理原因造成的。

一個重要問題是所謂“未檢測到的危險故障”,有多種技術可以解決這個問題。為了盡量減少隨機故障,設計人員會使用三種策略中的一種或全部:

· 更可靠、應力更小的元器件。
· 依賴內置檢測機制的診斷,這些機制通過硬件或軟件實現(xiàn)。
· 通過冗余電路實現(xiàn)容錯。增加冗余路徑可以使系統(tǒng)不受單一故障影響。這就是所謂的硬件容錯 1 (HFT 1) 系統(tǒng),即一個故障不會導致系統(tǒng)失效。

用于了解 SIL 等級覆蓋率的一種工具是羅列安全失效比例(SFF,診斷覆蓋率)和硬件容錯性(冗余度)的矩陣(圖 7)。


如何設計和認證基于RTD的功能安全系統(tǒng)
圖 7:此矩陣描述了安全失效比例 (SFF) 與硬件容錯性 (HFT) 的關系,以供深入了解 SIL 覆蓋范圍。(圖片來源:Analog Devices)


行顯示診斷覆蓋率,列顯示硬件容錯性。HFT 為 0 意味著,如果系統(tǒng)出現(xiàn)一個故障,安全功能就會喪失。診斷級別越高,所需的系統(tǒng)冗余量就越少,或者在冗余量相同的情況下,解決方案的 SIL 等級就越高(沿著矩陣下移)。

請注意,根據(jù) IEC 61508 標準,使用這些器件的典型溫度應用的 FMEDA 顯示安全失效比例 (SFF) 大于 90%。通常需要兩個傳統(tǒng) ADC 以便通過冗余提供此覆蓋率,但 AD4172 只需要一個 ADC,因此可大幅節(jié)省物料清單 (BOM) 成本和電路板空間。

SIL 等級設計的文件

獲得 Route 1S 認證需要大量文件。必要的源文件包括:

· 安全規(guī)格書(SIL 等級元器件的安全手冊)
· 引腳 FMEDA 和芯片 FMEDA,以及二者的故障模式、影響和分析
· 附件 F 檢查清單(由 IEC 61508 定義)

反過來,這些文件又有多種來源(圖 8):

· 規(guī)格書中的診斷數(shù)據(jù)反映元器件提供的所有診斷特性。
· 設計數(shù)據(jù)指的是內部數(shù)據(jù)。例如,芯片面積和元器件每個內部模塊的影響。
· FIT 以及各組件的失效率可從數(shù)據(jù)手冊獲取。
· 對于無法使用設計和診斷數(shù)據(jù)來分析的模塊,則進行故障插入測試。這些測試根據(jù)應用要求進行規(guī)劃,故障插入測試的結果用于強化 FMEDA 和 FMEA 文件。


如何設計和認證基于RTD的功能安全系統(tǒng)
圖 8:匯總和提取各種文件來源,以提供 SIL 認證所需的完整信息包。(圖片來源:Analog Devices)


更詳細地探究細節(jié):

· 安全手冊或安全規(guī)格書使用所有匯編的信息來提供必要的要求,以支持 AD7124-4 或 AD7124-8 的集成。其整理了來自各種文件和數(shù)據(jù)集的所有診斷和分析。


· AD7124-4 和 AD7124-8 的芯片 FMEDA 分析應用原理圖中的主要模塊,確定故障模式和影響,并檢查用于特定安全功能的診斷和分析。例如,對時鐘模塊的分析顯示了故障模式、每種模式對輸出的影響、診斷覆蓋率以及影響分析(圖 9)。


如何設計和認證基于RTD的功能安全系統(tǒng)
圖 9:此表定義了主時鐘模塊的故障模式、影響、診斷和分析。(圖片來源:Analog Devices)


該芯片 FMEDA 可定量顯示安全故障、已檢測到的危險故障和未檢測到的危險故障的故障率。所有這些都用于計算 SFF。

引腳 FDEMA 從不同角度看待故障。其分析了 AD7124-4 和 AD7124-8 引腳上的各類故障及其對 RTD 應用的影響。它針對每個引腳進行分析,并描述引腳開路、與電源/接地短路或與相鄰引腳短路等情況的結果。

附件 F 檢查清單是一份避免系統(tǒng)性故障的設計措施檢查清單。包括:

· 產品概覽
· 應用信息
· 安全理念
· 壽命預測
· FIT
· FMEDA 計算 - SFF 和 DC
· 硬件安全機制
· 診斷說明
· EMC 魯棒性
· 冗余配置運行
· 附件和文件清單

總之,通過 Route 1S 對新導入的元器件進行功能安全認證是一項漫長、復雜、耗時、緊張的綜合性工作。幸運的是,如上所述,Route 2S 對某些元器件而言是一種可行的替代方法。

Route 2S:替代途徑

Route 2S 適用于有現(xiàn)場應用經驗和數(shù)據(jù)的已發(fā)布元器件,稱為“經使用驗證”的元器件。其基于對器件的客戶退貨情況和發(fā)貨數(shù)量的分析,不適用于只有很少或根本沒有實際使用記錄的新元器件。

Route 2S 支持 SIL 認證,就像元器件根據(jù) IEC 61508 標準進行了全面分析一樣。如果模塊和系統(tǒng)設計人員過去成功使用過相關 IC,并知道了現(xiàn)場的故障率,就可以使用它。嵌入式測試和驗證特性以及性能數(shù)據(jù),使 AD7214-4 和 AD7214-8 成為 Route 2S 的理想候選器件。

使用 Route 2S 需要詳細的、具有統(tǒng)計意義的現(xiàn)場退貨和故障數(shù)據(jù)。與電路板或模塊供應商相比,IC 供應商滿足這一要求要難得多。原因是后者一般對最終應用情況了解不夠,或者不知道有多少比例的現(xiàn)場故障單元被退回給他們進行分析。

總結

新產品功能安全認證的 Route 1S 路徑非??b密、全面和詳細。其在技術上也很有挑戰(zhàn)性,而且非常耗時。相比之下,Route 2S 流程允許根據(jù)現(xiàn)場經驗、故障和分析數(shù)據(jù)對已發(fā)布產品進行認證。AD7214-4 和 AD7214-8 RTD 接口 IC 具有所需的歷史記錄,因此支持這種非常有用的途徑。同樣重要的是,這些 IC 嵌入了許多診斷和自檢功能及特性,因而是此類認證的合適候選產品。

作者:Bill Schweber)


免責聲明:本文為轉載文章,轉載此文目的在于傳遞更多信息,版權歸原作者所有。本文所用視頻、圖片、文字如涉及作品版權問題,請聯(lián)系小編進行處理。


推薦閱讀:

什么是激光雷達以及如何使用它?

什么情況下網(wǎng)絡安全遠遠不夠?

如何使用關鍵的射頻電路浪涌保護方法?

使用TMT4 PCIe性能綜合測試儀創(chuàng)建PCIe參考模板

第十七屆中國(華南)電池供應鏈及儲能技術博覽會邀請函



特別推薦
技術文章更多>>
技術白皮書下載更多>>
熱門搜索
?

關閉

?

關閉