如何設計和認證功能安全的電阻溫度檢測器(RTD)系統

發(fā)布時(shí)間:2022-11-22 17:54    發(fā)布者:eechina
關(guān)鍵詞: 功能安全 , 電阻溫度檢測器 , RTD
作者:ADI應用工程師Mary McCarthy和ADI應用工程師Wasim Shaikh

溫度是過(guò)程控制系統中的一個(gè)關(guān)鍵測量指標。人們可以直接測量,例如測量化學(xué)反應的溫度,也可以補償測量,例如通過(guò)壓力傳感器的溫度補償。對于任何系統設計,準確、可靠、穩健的溫度測量往往都很關(guān)鍵。對于某些終端設計,檢測系統故障則至關(guān)重要,一旦系統發(fā)生故障,就會(huì )轉換到安全狀態(tài)。因此在這些環(huán)境中應該使用功能安全設計,通過(guò)認證級別來(lái)表明設計的診斷覆蓋率水平。

什么是功能安全

在功能安全設計中,系統必須考慮將任何故障檢測到。比如一座煉油廠(chǎng),其中的一個(gè)儲罐正在裝油。如果液位傳感器發(fā)生故障,系統必須檢測到此故障,才能主動(dòng)關(guān)閉儲罐的閥門(mén),防止儲罐溢出,避免潛在的危險爆炸事故。另一種方案是冗余,即設計中可以使用兩個(gè)液位傳感器,當其中一個(gè)液位傳感器發(fā)生故障時(shí),系統可以繼續使用另一個(gè)液位傳感器運行。

設計通過(guò)認證后,將獲得SIL等級。此等級表示設計提供的診斷覆蓋率。SIL等級越高,解決方案越穩健。SIL 2等級表示可以診斷系統內超過(guò)90%的故障。為了對設計進(jìn)行認證,系統設計人員必須向認證機構提供有關(guān)潛在故障的證據——無(wú)論是安全故障還是危險故障,以及如何診斷故障。必須獲取FIT等數據,以及故障模式影響和對系統中不同元器件的診斷分析(FMEDA)。

溫度系統設計

下面重點(diǎn)來(lái)介紹RTD。不過(guò),溫度傳感器有許多不同類(lèi)型——RTD、熱敏電阻和熱電偶等。設計中使用的傳感器取決于所需的精度和測量的溫度范圍。每種類(lèi)型的傳感器都有自己的要求:
        熱電偶偏置
        激勵RTD的激勵電流
        熱電偶和熱敏電阻的絕對基準

因此,除了ADC之外,還需要其他構建模塊來(lái)激勵傳感器并調理前端的傳感器。為實(shí)現功能安全,所有這些模塊都必須可靠且穩健。此外,不同模塊的任何故障都必須可檢測。傳統上,系統設計人員使用復制方法,也就是使用兩個(gè)信號鏈,信號鏈彼此檢查以確保:
        傳感器已連接
        沒(méi)有開(kāi)路或短路
        基準電壓處于正確的電平
        PGA仍在正常運行

為了證明設計的穩健性,認證流程需要文檔記錄。這是一個(gè)耗時(shí)的過(guò)程,有時(shí)候很難從IC制造商那里獲得某些信息。

但是,AD7124-4/AD7124-8集成模擬前端現在包括了RTD設計所需的所有構建模塊。此外,嵌入式診斷功能使得設計人員無(wú)需出于診斷目的而復制信號鏈。除了芯片增強之外,ADI會(huì )提供文檔記錄,其中包括認證機構所需的所有信息(FIT引腳FMEDA、裸片FMEDA)。因此,功能安全的認證過(guò)程得以簡(jiǎn)化。

IEC 61508是功能安全設計方面的規范。此規范記錄了開(kāi)發(fā)SIL認證產(chǎn)品所需的設計流程。從概念、定義、設計、布局到制造、裝配、測試的每個(gè)步驟都需要生成文檔。這被稱(chēng)為Route 1S。另一種選擇是使用Route 2S流程。這是一條經(jīng)過(guò)實(shí)際使用驗證的路線(xiàn),當大批量產(chǎn)品被導入最終客戶(hù)的系統中并在現場(chǎng)使用了數千小時(shí)時(shí),仍然可以通過(guò)向認證機構提供如下證據來(lái)認證產(chǎn)品:
        現場(chǎng)使用的數量
        現場(chǎng)退貨的分析,并詳細說(shuō)明退貨不是由于元器件本身的故障造成的
        安全數據手冊,詳細說(shuō)明診斷及其提供的覆蓋率
        引腳和裸片FMEDA

3線(xiàn)RTD設計

RTD

RTD適合測量–200°C至+850°C的溫度,在該溫度范圍內,其響應接近線(xiàn)性。RTD使用的典型元素有鎳、銅和鉑,100Ω和1000Ω鉑制RTD較為常見(jiàn)。RTD有兩線(xiàn)、三線(xiàn)或四線(xiàn)形式,其中3線(xiàn)和4線(xiàn)形式較為常用。RTD是無(wú)源傳感器,需要一個(gè)激勵電流來(lái)產(chǎn)生輸出電壓。RTD的輸出電平從數十毫伏到數百毫伏不等,具體取決于所選的RTD。

RTD設計

圖1顯示了一個(gè)3線(xiàn)RTD系統。AD7124-4/AD7124-8是用于RTD測量的集成解決方案,包含系統所需的所有構建模塊。為了全面優(yōu)化該系統,需要2個(gè)理想匹配的電流源。這兩個(gè)電流源用于抵消RL1產(chǎn)生的引線(xiàn)電阻誤差。一個(gè)激勵電流流過(guò)精密基準電阻RREF和RTD。另一個(gè)電流流過(guò)引線(xiàn)電阻RL2,所產(chǎn)生的電壓與RL1上的壓降相抵消。精密基準電阻上產(chǎn)生的電壓用作ADC的基準電壓REFIN1(±)。由于僅利用一個(gè)激勵電流來(lái)產(chǎn)生基準電壓和RTD上的電壓,因此,該電流源的精度、失配和失配漂移對ADC整體轉換函數的影響極小。AD7124-4/AD7124-8允許用戶(hù)選擇激勵電流值,從而調整系統以使用ADC的大部分輸入范圍,提高性能。


圖1.3線(xiàn)RTD溫度系統

RTD的低電平輸出電壓需要放大,以便利用ADC的大部分輸入范圍。AD7124-4/AD7124-8的PGA可以設置1到128的增益,允許用戶(hù)在激勵電流值和增益與性能之間進(jìn)行取舍。出于抗混疊和EMC目的,傳感器與ADC之間需要濾波;鶞孰妷壕彌_器支持無(wú)限的濾波器R、C元件值,也就是說(shuō),這些元件不會(huì )影響測量精度。

系統還需要校準以消除增益和失調誤差。圖1顯示了此3線(xiàn)B級RTD在執行內部零電平和滿(mǎn)量程校準后的實(shí)測溫度誤差,總誤差遠小于±1°C。

ADC要求

溫度測量系統以低速測量為主(最高速度通常是每秒100次采樣),因而需要低帶寬ADC。但是,該ADC必須具有高分辨率。Σ-Δ型ADC適合此類(lèi)應用,因為利用Σ-Δ結構能夠開(kāi)發(fā)出低帶寬、高分辨率ADC。

采用Σ-Δ型轉換器時(shí),對模擬輸入連續采樣,采樣頻率比目標頻段高很多。它還使用噪聲整形,將噪聲推到目標頻段之外,進(jìn)入轉換過(guò)程未使用的區域,從而進(jìn)一步降低目標頻段內的噪聲。數字濾波器會(huì )衰減任何處在目標頻段之外的信號。

數字濾波器在采樣頻率和采樣頻率的倍數處有鏡像,因此,需要一些外部抗混疊濾波器。然而,由于過(guò)采樣,簡(jiǎn)單的一階RC濾波器即足以滿(mǎn)足大部分應用的要求。Σ-Δ架構允許24位ADC實(shí)現最高達21.7位的峰峰值分辨率(21.7個(gè)穩定或無(wú)閃爍位)。Σ-Δ架構的其他優(yōu)勢有:
        寬共模范圍的模擬輸入
        寬范圍的基準輸入
        能夠支持比率式配置

濾波(50Hz/60Hz抑制)

除了如上所述的抑制噪聲以外,數字濾波器還用于提供50Hz/60Hz抑制。系統采用主電源供電時(shí),會(huì )發(fā)生50Hz或60Hz干擾。交流電源會(huì )產(chǎn)生50Hz及其倍數(歐洲)和60Hz及其倍數(美國)的噪聲。低帶寬ADC主要使用sinc濾波器,可將其陷波頻率設置在50Hz和/或60Hz及其倍數處,從而提供50Hz/60Hz及其倍數的抑制,F在越來(lái)越多地要求利用建立時(shí)間較短的濾波方法提供50Hz/60Hz抑制。在多通道系統中,ADC順次處理所有使能的通道,在每個(gè)通道上產(chǎn)生轉換結果。選擇一個(gè)通道后,便需要濾波器建立時(shí)間以產(chǎn)生有效轉換結果。若縮短建立時(shí)間,則可提高給定時(shí)間內轉換的通道數。AD7124-4/AD7124-8的后置濾波器或FIR濾波器可提供50Hz/60Hz同時(shí)抑制,并且其建立時(shí)間比sinc3或sinc4濾波器要短。圖3顯示了一個(gè)數字濾波器選項:此后置濾波器的建立時(shí)間為41.53ms,并且提供62dB的50Hz/60Hz同時(shí)抑制。


圖2.頻率響應,后置濾波器,25SPS:(a) DC至600Hz,(b) 40Hz至70Hz。


圖3.各通道獨立配置

診斷

對于功能安全設計,構成RTD系統的所有功能都需要診斷。AD7124-4/AD7124-8具有多個(gè)嵌入式診斷功能,因此設計復雜性得以簡(jiǎn)化,設計時(shí)間得以縮短。另外還無(wú)需復制信號鏈以實(shí)現診斷覆蓋。

典型診斷要求如下:
        電源/基準電壓/模擬輸入監控
        開(kāi)路檢測
        轉換/校準檢查
        信號鏈功能檢查
        讀/寫(xiě)監控
        寄存器內容監控

下面詳細說(shuō)明嵌入式診斷。

SPI診斷

AD7124-4/AD7124-8提供CRC。使能后,所有讀操作和寫(xiě)操作都包括CRC計算。校驗和為8位寬,使用如下多項式生成:



因此,對于A(yíng)D7124-4/AD7124-8的每次寫(xiě)操作,處理器都會(huì )生成一個(gè)CRC值,該值會(huì )附加到發(fā)送至ADC的信息中。ADC根據接收到的信息生成自己的CRC值,并將其與從處理器接收到的CRC值進(jìn)行比較。如果兩個(gè)值一致,則可確定信息完好無(wú)損,從而將其寫(xiě)入相關(guān)的片內寄存器。如果CRC值不一致,則表明傳輸過(guò)程中發(fā)生了位損壞。在這種情況下,AD7124-4/AD7124-8會(huì )設置一個(gè)錯誤標志,指示發(fā)生了數據損壞。損壞的信息不會(huì )被寫(xiě)入寄存器,從而實(shí)現自我保護。同樣,當從AD7124-4/AD7124-8讀取信息時(shí),也會(huì )生成一個(gè)CRC值并伴隨該信息。處理器將處理此CRC值,以確定傳輸有效還是發(fā)生了損壞。

AD7124-4/AD7124-8數據手冊列出了客戶(hù)可以訪(fǎng)問(wèn)的寄存器(用戶(hù)寄存器)。AD7124-4/AD7124-8會(huì )檢查所訪(fǎng)問(wèn)寄存器的地址。如果用戶(hù)嘗試讀取或寫(xiě)入數據手冊中未記載的寄存器,就會(huì )設置一個(gè)錯誤標志,表示處理器正在嘗試訪(fǎng)問(wèn)非用戶(hù)寄存器。同樣,伴隨此寄存器訪(fǎng)問(wèn)的任何信息都不會(huì )應用于寄存器。

AD7124-4/AD7124-8還有一個(gè)SCLK計數器。所有讀寫(xiě)操作都是8的倍數。當ˉ("CS" )用于使能幀讀寫(xiě)操作時(shí),SCLK計數器計數每個(gè)讀/寫(xiě)操作中使用的SCLK脈沖數,與此同時(shí)ˉ("CS" )為低電平。當ˉ("CS" )變?yōu)楦唠娖綍r(shí),通信中使用的SCLK數量應為8的倍數。如果SCLK上出現毛刺,這將導致SCLK脈沖過(guò)量。如果發(fā)生這種情況,AD7124-4/AD7124-8會(huì )再次設置錯誤標志,并放棄輸入的任何信息。

狀態(tài)寄存器指示正在轉換的通道。讀取數據寄存器時(shí),可以將狀態(tài)位附加到轉換結果中。這會(huì )進(jìn)一步增強處理器/ADC通信的穩健性。

上面提到的所有診斷功能都是為了確保ADC與處理器之間的通信穩健,只有有效信息才被AD7124-4/AD7124-8接受。當ˉ("CS" )用于使能幀讀寫(xiě)操作時(shí),每次拉高ˉ("CS" )時(shí),串行接口便復位。這確保了所有通信都從已定義的或已知的狀態(tài)開(kāi)始。

存儲器檢查

每次更改片內寄存器(例如更改增益)時(shí),都會(huì )對寄存器執行CRC,并將生成的CRC值臨時(shí)存儲在內部。AD7124-4/AD7124-8內部定期對寄存器執行額外的CRC檢查。得到的CRC值與存儲的值進(jìn)行比較。如果值由于位翻轉而不同,就會(huì )設置一個(gè)標志,以向處理器表明寄存器設置已損壞。處理器隨后可以復位ADC,并重新加載寄存器。

片內ROM保存寄存器的默認值。上電時(shí)或復位后,ROM內容將應用于用戶(hù)寄存器。在最終的生產(chǎn)測試中會(huì )計算ROM內容的CRC,并將得到的CRC值存儲在ROM中。在上電或復位時(shí)會(huì )再次對ROM內容執行CRC,并將得到的CRC值與保存的值進(jìn)行比較。如果二者不同,則表明默認寄存器設置與預期不同,因而需要重啟或復位。

信號鏈檢查

器件包括許多信號鏈檢查。電源軌(AVDD、AVSS和IOVDD)可應用于A(yíng)DC輸入,從而可以監視電源軌。AD7124-4/AD7124-8內置一個(gè)模擬和一個(gè)數字低壓差(LDO)穩壓器。這些也可以應用于A(yíng)DC并進(jìn)行監視。AD7124-4/AD7124-8包括x路復用。此外,AVSS可在內部用作AIN–,這樣就可以檢查模擬輸入引腳上的絕對電壓?蛻(hù)可以探測輸出激勵電流的引腳,并探測AIN+和AIN-引腳。這將檢查連接,并確保各個(gè)引腳上的電壓處于正確的電平。

對于基準電壓檢查,基準電壓檢測功能會(huì )指示基準電壓過(guò)低的情況?蛻(hù)還可以選擇內部基準電壓作為模擬輸入,這樣就可以用來(lái)監視外部基準電阻上產(chǎn)生的電壓,前提條件是基準電阻兩端的電壓略高于2.5V(內部基準電壓的幅度)。

AD7124-4/AD7124-8還有一個(gè)內部20mV電壓,這對于檢查增益級很有用。例如,使用20mV作為模擬輸入,增益可以從1變?yōu)?、4、... 128。每次提高增益時(shí),轉換結果放大2倍,從而證實(shí)增益級工作正常。

檢查鎖定位時(shí),X路復用也很有用。它允許交換AIN+和AIN–引腳,導致轉換結果反轉。因此,使用20mV和x路復用時(shí),用戶(hù)可以檢查鎖定位。

為AIN+和AIN–選擇相同的模擬輸入引腳并偏置此內部短路,以便檢查ADC噪聲,確保其在規定范圍內工作。內部可以選擇嵌入式基準電壓(+2.5V)作為ADC的輸入。同樣,應用+VREF和–VREF可確認信號鏈正常工作。

可編程的開(kāi)路測試電流可用來(lái)檢查傳感器連接。PT100在-200°C時(shí)電阻典型值為18Ω,在+850°C時(shí)為390.4Ω。使能開(kāi)路測試電流后,可以執行轉換。如果RTD短路,獲得的轉換結果將接近0。AIN+和AIN–之間開(kāi)路會(huì )導致轉換結果接近0xFFFFFF。在RTD正確連接的情況下,永遠不會(huì )獲得接近0或全1的代碼。

最后,AD7124-4/AD7124-8具有過(guò)壓和欠壓檢測功能。正在轉換的AIN+和AIN-引腳上的絕對電壓通過(guò)比較器持續監控。當AIN+或AIN–上的電壓超出電源軌(AVDD和AVSS)時(shí),就會(huì )設置標志。

這種高集成度減少了執行測量和提供診斷覆蓋所需的物料(BOM),并縮短了設計時(shí)間,降低了設計復雜性。

轉換/校準

AD7124-4/AD7124-8上的轉換也受到監控。如果(AIN+ – AIN–)/增益大于正滿(mǎn)量程或小于負滿(mǎn)量程,就會(huì )設置一個(gè)標志。ADC的轉換結果變?yōu)槿?(模擬輸入過(guò)高)或全0(模擬輸入過(guò)低),因此客戶(hù)知道發(fā)生了故障。

對來(lái)自調制器的比特流進(jìn)行監控,以確保調制器不會(huì )飽和。如果發(fā)生飽和(調制器連續輸出20個(gè)1或20個(gè)0),則設置一個(gè)標志。

AD7124-4/AD7124-8包括內部偏移和校準以及系統偏移和增益校準。如果校準失敗,就會(huì )設置一個(gè)標志以告知用戶(hù)。請注意,如果校準失敗,偏移和增益寄存器不會(huì )更新。

電源

除了前面討論的電源檢查外,AD7124-4/AD7124-8還有用于持續監控內部LDO穩壓器的比較器。因此,如果這些LDO穩壓器的電壓低于跳變點(diǎn),就會(huì )立即報告錯誤。

這些LDO穩壓器需要一個(gè)外部電容。也可以檢查該電容存在與否。

MCLK計數器

濾波器曲線(xiàn)和輸出數據速率與MCLK直接相關(guān)。當主時(shí)鐘為614.4kHz時(shí),數據手冊中列出的輸出數據速率是正確的。如果主時(shí)鐘改變頻率,輸出數據速率和濾波器陷波頻率也會(huì )改變。例如,若使用濾波器陷波頻率來(lái)抑制50Hz或60Hz,則變化的時(shí)鐘會(huì )減少所獲得的衰減。因此,了解時(shí)鐘頻率對于確保獲得最佳抑制很有價(jià)值。AD7124-4/AD7124-8包含一個(gè)MCLK計數器寄存器。每計數131個(gè)MCLK周期,該寄存器便加1。為了測量MCLK頻率,處理器需要一個(gè)定時(shí)器?梢栽跁r(shí)間0讀取該寄存器,然后在定時(shí)器超時(shí)后再次讀取。有了這些信息,便可確定主時(shí)鐘的頻率。

各通道獨立配置

AD7124-4/AD7124-8允許按通道進(jìn)行配置,也就是說(shuō),器件支持八種不同的設置,一個(gè)設置由基準電壓源、增益設置、輸出數據速率和濾波器類(lèi)型組成。當用戶(hù)配置一個(gè)通道時(shí),可將八種設置中的一種分配給該通道。請注意,通道可以是模擬輸入通道,也可以是診斷通道,例如測量電源(AVDD-AVSS)。因此,客戶(hù)可以設計一個(gè)由模擬輸入和診斷組成的序列。各通道獨立配置允許以與模擬輸入轉換不同的輸出數據速率運行診斷。診斷不需要與主要測量相同的精度,因此客戶(hù)可以將診斷與測量交錯,并以較高輸出數據速率運行診斷。這些嵌入式特性可減少處理器的工作量。


圖4.將設置分配給通道

其他功能

AD7124-4/AD7124-8包含一個(gè)溫度傳感器,該傳感器也可用于監控芯片溫度。這兩款器件的ESD額定值均為4kV,支持實(shí)現穩健的解決方案。這些器件采用5×5mm LFCSP封裝,適合本質(zhì)安全設計。

根據IEC 61508,使用這些器件的典型溫度應用的FMEDA表明安全失效比率(SFF)大于90%。一般需要兩個(gè)傳統ADC才能達到這一水平。

內置診斷的其他好處

除了BOM和成本節省之外,診斷還能從其他方面節省成本:避免設計復雜性,減少資源使用,以及加快客戶(hù)產(chǎn)品上市時(shí)間。參考如下案例來(lái)理解:

AD7124-4/AD7124-8有一個(gè)MCLK計數器,用于測量主時(shí)鐘頻率并捕捉所提供的主時(shí)鐘的任何不一致。主時(shí)鐘計數器是一個(gè)8位寄存器,每131個(gè)MCLK周期遞增一次。該寄存器由SPI主機讀取,以確定內部/外部614.4 kHz時(shí)鐘的頻率。

如果必須在A(yíng)D7124-4/AD7124-8外部實(shí)施MCLK頻率檢查該怎么辦?這將需要下列硬件資源:
        帶外設(如計數器和外部中斷控制器)的微控制器
        施密特觸發(fā)電路

另外請注意,存儲和運行代碼(包括中斷服務(wù)例程)需要存儲器?傊,實(shí)施方案將如圖5所示。


圖5.由微控制器實(shí)現的MCLK頻率監視器

此外,必須確保代碼經(jīng)過(guò)檢查并符合編碼準則和限制?傊,實(shí)施單獨的診斷部分會(huì )產(chǎn)生很大的開(kāi)銷(xiāo)。因此,內置診斷有諸多好處:
        節省空間和BOM
        提高系統可靠性;更少元器件=更高的可靠性
        加速產(chǎn)品上市
        軟件開(kāi)發(fā)——開(kāi)發(fā)和運行診斷程序
        硬件測試
        系統測試
        節省微控制器存儲器
        不需要代碼來(lái)運行診斷
        編碼準則要求進(jìn)行大量雙重存儲器代碼檢查
        即用型安全文檔節省系統評估時(shí)間

助力功能安全設計

AD7124-4/AD7124-8不是按照IEC 61508標準中的開(kāi)發(fā)指南進(jìn)行設計和開(kāi)發(fā)的,因此無(wú)SIL等級。但是,通過(guò)了解各種診斷的最終應用和使用情況,可以評估AD7124-4/AD7124-8是否適用于SIL等級設計。

功能安全術(shù)語(yǔ)

回顧一下認證過(guò)程中的一些重要概念:
        故障:系統性和隨機性
        診斷覆蓋率
        硬件容錯
        SIL等級

故障:系統性和隨機性

系統性故障是由特定原因引起的確定性(非隨機)故障,可通過(guò)修改設計或制造過(guò)程、操作程序、文檔或其他相關(guān)因素來(lái)消除。例如,由于外部中斷引腳上缺乏濾波,系統會(huì )因為高噪聲而發(fā)生中斷。

隨機故障則是由作用于系統內硬件組件的物理原因引起的。此類(lèi)故障是由腐蝕、熱應力、磨損等效應引發(fā)的,無(wú)法通過(guò)系統化流程來(lái)發(fā)現此類(lèi)故障。

為了處理隨機故障,可以使用可靠性、診斷和冗余等方法。

在可靠性方面,確保使用可靠的元器件,而通過(guò)診斷,確?梢詸z測和排解這些故障。確?煽啃缘牧硪环N方法是增加冗余以降低故障概率,但這樣做會(huì )增加系統成本和空間。

隨機故障有四種類(lèi)型,即安全檢測型、安全未檢測型、危險檢測型和危險未檢測型。


圖6.隨機故障類(lèi)型

例如,考慮一個(gè)系統,其安全功能是在溫度讀數很高時(shí)斷開(kāi)機器的電源開(kāi)關(guān)。任何不影響安全功能(即斷開(kāi)電源開(kāi)關(guān))的隨機故障,稱(chēng)為安全檢測型故障或安全未檢測型故障。影響安全功能的其他故障則是危險故障。實(shí)際上,重要的是危險未檢測型故障。這類(lèi)故障是診斷未覆蓋的故障,ADI的目標是提高診斷覆蓋率,以盡可能將危險及未檢測到的故障減少。

診斷覆蓋率

隨機故障可以通過(guò)軟件或硬件形式的各種內置檢測機制來(lái)檢測。例如,MOSFET開(kāi)關(guān)故障可以通過(guò)回讀輸出來(lái)檢測,隨機存儲器位翻轉可以通過(guò)定期運行CRC存儲器檢查來(lái)檢測。

診斷覆蓋率衡量系統檢測危險故障的能力,數學(xué)上定義為危險檢測型故障與危險故障的比率。

硬件容錯

考慮一個(gè)可編程邏輯控制器(PLC)系統,例如圖7所示,其安全功能是在輸入超過(guò)特定值時(shí)斷開(kāi)開(kāi)關(guān)以停止機器。在HFT=0圖中,如果存在單一隨機故障(X),系統就會(huì )發(fā)生故障,機器不會(huì )停止。


圖7.PLC系統

現在,如果有HFT=1圖中所示的冗余路徑,那么單一隨機故障將不再引起故障,將能夠停止機器。

因此,通過(guò)增加冗余路徑,系統便可容忍單一故障。此系統被稱(chēng)為HFT 1系統,表示一個(gè)故障不會(huì )導致系統失效。HFT 0表示一個(gè)故障可能導致系統失效。硬件容錯是當存在一個(gè)或多個(gè)危險故障時(shí),元器件或子系統執行安全功能的能力。

HFT可以從1oo1、1oo2、2oo3等架構來(lái)計算。如果將架構表示為MooN,則HFT計算式為N–M。換句話(huà)說(shuō),2oo4架構的HFT為2。這意味著(zhù)它可以容忍兩個(gè)故障并繼續工作,因此它是一個(gè)具有冗余的架構。

SIL等級覆蓋率

表1顯示了SFF(即診斷覆蓋率)和硬件容錯(意味著(zhù)冗余)。行表示診斷覆蓋率,列表示硬件容錯。HFT為0表示如果系統出現一個(gè)故障,安全功能就會(huì )喪失(見(jiàn)表1)。

表1.SIL等級覆蓋率
 
硬件容錯
元件的安全失效比率012
<60%不允許SIL 1SIL 2
60%至<90%SIL 1SIL 2SIL 3
90%至<99%SIL 2SIL 3SIL 4
≥99%SIL 3SIL 4SIL 4

如果增加冗余以實(shí)現HFT 1,如圖7所示,那么系統可以容忍一個(gè)故障而不會(huì )停機。目前通過(guò)冗余達到SIL 3等級的客戶(hù),如果使用具有更高診斷覆蓋率的部件,則可以在沒(méi)有冗余的情況下達到SIL 3。

因此,更高水平的診斷可以減少所需的系統冗余量,或者在相同冗余量下,同時(shí)可以提高解決方案的SIL等級(在表1中向下移動(dòng))。

現在,回顧一下AD7124-4/AD7124-8中的診斷功能,其支持多種內置機制,例如電源/基準電壓/AIN監控、開(kāi)路檢測、轉換/校準檢查、信號鏈功能檢查、讀/寫(xiě)監控、寄存器內容監控等,這些診斷功能可提高AD7124-4/AD7124-8系統的診斷覆蓋率。在沒(méi)有這些診斷的情況下,需要兩個(gè)ADC才能達到相同的水平。

因此,一個(gè)AD7124-4或AD7124-8可提供相同水平的覆蓋范圍,其診斷覆蓋率和特性支持設計功能安全的系統。這可節省50%的BOM和印刷電路板空間。

支持SIL等級設計的文檔

輔助終端系統SIL認證所需的文檔包括:
        安全數據手冊(安全手冊用于SIL等級部件)
        引腳FMEDA(故障模式、影響和分析)和FMEDA(故障模式、影響和診斷分析)
        附錄F 檢查清單

這些文檔由主要來(lái)自四個(gè)數據源的輸入組成,如圖8所示。這些數據是診斷數據、設計數據、FIT率和來(lái)自故障插入測試的數據。
        數據手冊中的診斷數據涉及部件提高的所有診斷特性。
        設計數據是指內部數據——例如,裸片面積和部件每個(gè)內部模塊的影響。
        數據手冊中提供了各種元器件的FIT率(故障率)。一個(gè)常見(jiàn)例子是Siemens Databook        SN 29500。
        對無(wú)法使用設計和診斷數據進(jìn)行分析的模塊應進(jìn)行故障插入測試。這些測試是        根據應用需求而規劃的,故障插入測試的結果用于加強FMEDA和        FMEA文件。


圖8.功能安全文檔信息流

AD7124-4/AD7124-8 FMEDA分析應用原理圖中的主要模塊,識別故障模式和影響,并檢查特定安全功能的診斷和分析。下面通過(guò)圖9了解該機制。

對于RTD型系統,安全功能是以±x度的精度測量溫度。應用原理圖如圖9所示。


圖9.RTD應用原理圖

將危險故障定義為可能導致ADC輸出或SPI通信出現錯誤的故障,如果輸出中的錯誤很?chē)乐,則可能導致危險故障。

安全狀態(tài)定義為:
        根據安全功能,輸出數據代表輸入
        錯誤狀態(tài)位已置位
        ADC輸出轉換結果為全0或全1
        無(wú)SPI通信

根據IEC 61508,AD7124-4/AD7124-8被認定為B類(lèi)系統。為了解釋FMEDA,以時(shí)鐘模塊為例,分析其故障模式。

表2顯示了當時(shí)鐘模塊面臨第一列中描述的故障模式時(shí)會(huì )發(fā)生什么,它對輸出的影響,診斷覆蓋率,最后是分析。

表2.主時(shí)鐘模塊故障模式、影響、診斷和分析
故障模式影響診斷覆蓋率分析
輸出鎖在高電平ADC轉換99MCLK時(shí)鐘計數器——表A.11——“具有獨立時(shí)基和時(shí)間窗口的看門(mén)狗
結果凍結
輸出鎖在低電平ADC轉換99MCLK時(shí)鐘計數器——表A.11——“具有獨立時(shí)基和時(shí)間窗口的看門(mén)狗”
結果凍結
輸出高阻抗ADC轉換99MCLK時(shí)鐘計數器——表A.11——“具有獨立時(shí)基和時(shí)間窗口的看門(mén)狗”
結果凍結
輸出漂移±10%ADC轉換結果損壞,50Hz/60Hz陷波頻率無(wú)效99MCLK時(shí)鐘計數器——表A.11——“具有獨立時(shí)基和時(shí)間窗口的看門(mén)狗”
輸出抖動(dòng)ADC轉換結果損壞或有噪聲99轉換0,±FS—表A.13“參考傳感器”,檢查結果合理性

同樣,隨后分析AD7124-4/AD7124-8中的其余模塊。

請注意,可能存在一些可能不會(huì )影響安全功能的故障;例如,AIN0引腳上的故障不會(huì )導致溫度測量出現問(wèn)題,因此可以從安全計算中排除。

FMEDA的結果將是安全故障、危險檢測型故障和危險未檢測型故障的故障率,用于計算SFF。

引腳FMEDA

引腳FMEDA分析AD7124-4/AD7124-8引腳上的各類(lèi)故障及其在此RTD應用中的后果。選取每個(gè)引腳,一步一步地分析引腳開(kāi)路、短接到電源/接地或短接到相鄰引腳會(huì )有什么后果。


圖10.32引腳LFCSP引腳配置

例如,以圖10中的引腳29 (DIN)為例,參考圖9所示的應用原理圖,檢查不同故障的后果。表3顯示了故障模式、影響和檢測。

表3.引腳DIN的故障模式、影響和分析
引腳名稱(chēng)引腳故障模式故障的潛在影響檢測
DIN引腳開(kāi)路喪失通信在系統級別很容易檢測
DIN短接到地喪失通信在系統級別很容易檢測
DIN短接到AVDD或IOVDD喪失通信;可能損壞在系統級別很容易檢測
DIN短接到相鄰引腳SCLK喪失通信在系統級別很容易檢測
DIN短接到相鄰引腳DOUT/RDY喪失通信在系統級別很容易檢測

請注意,分析是針對圖9所示的應用原理圖進(jìn)行的,因此對未使用引腳的分析不會(huì )產(chǎn)生任何影響。

附錄F 檢查清單

這是ASIC避免系統性故障的設計措施清單。合規需要一份完整的IEC 61508-2:2010附錄F檢查清單。

安全手冊或數據手冊

一整套信息最終進(jìn)入安全手冊或數據手冊,提供實(shí)現AD7124-4/AD7124-8集成的必要要求。

當顯示符合IEC 61508功能安全標準時(shí),安全數據手冊會(huì )整理來(lái)自各種文檔的所有診斷和分析。它將包含所有信息,例如:
        產(chǎn)品概述
        應用信息
        安全理念
        終身預測
        FIT
        FMEDA計算——SFF和DC
        硬件安全機制
        診斷描述
        EMC穩健性
        以冗余配置工作
        附件和文件清單

Route 2S,也稱(chēng)為“經(jīng)過(guò)使用證明”

上述為第一種評估方法,F在討論另一種方法,稱(chēng)為“經(jīng)過(guò)使用證明”或Route 2S。此方法適用于已發(fā)布器件,并且基于對客戶(hù)退貨的分析和已發(fā)貨數量。這樣可以進(jìn)行SIL認證,就好像該部件是完全按照IEC61508標準開(kāi)發(fā)的一樣。如果模塊/系統設計者過(guò)去曾成功使用某一IC,并且了解現場(chǎng)故障率,那么他可以宣稱(chēng)其“經(jīng)過(guò)使用驗證”(Route 2S)。

請注意,Route 2S需要完整的現場(chǎng)退貨數據,因此對于集成電路設計者或制造商來(lái)說(shuō),作出這種宣稱(chēng)要困難得多,因為他們一般不太了解最終應用或擁有完備的現場(chǎng)失效器件收集、失效分析流程及數據。

結論

RTD測量系統對ADC和系統的要求非?量。這些傳感器產(chǎn)生的模擬信號很小。這些信號需要用增益級放大,同時(shí)放大器的噪聲必須非常低,不至于淹沒(méi)傳感器的信號。放大器之后需接一個(gè)高分辨率ADC,以將傳感器的低電平信號轉換為數字信息。除了ADC和增益級之外,溫度系統還需要其他元器件,例如激勵電流。同樣,這些元件必須是低漂移、低噪聲元件,不致于降低系統精度。諸如失調等初始精度誤差可以通過(guò)校準從系統中消除,但元件隨溫度的漂移必須非常低,以免引入誤差。集成激勵模塊和測量模塊可簡(jiǎn)化客戶(hù)設計。針對功能安全進(jìn)行設計時(shí),還需要診斷。將診斷與激勵和測量模塊集成在一起,可以簡(jiǎn)化整體系統設計,減少BOM,縮短設計時(shí)間,加速產(chǎn)品上市。

FMEDA等文檔包含客戶(hù)認證最終設計中的元器件所需的全部信息。但是,對元器件本身進(jìn)行認證可以進(jìn)一步簡(jiǎn)化與認證機構的交流。Route 2S流程允許對發(fā)布后的產(chǎn)品進(jìn)行認證,鑒于目前有很多已發(fā)布的器件適合功能安全設計,因此這是一條很有用的途徑。

了解更多
►   相關(guān)資料—RTD測量(CN0383)


關(guān)于作者

Mary McCarthy是ADI公司應用工程師。她于1991年加入ADI公司,在愛(ài)爾蘭科克市的線(xiàn)性與精密技術(shù)應用部工作,主要關(guān)注精密Δ-Σ型轉換器。她于1991年畢業(yè)于科克大學(xué),獲得電子與電氣工程學(xué)士學(xué)位。

Wasim Shaikh于2015年加入ADI公司,在精密轉換器部門(mén)擔任應用工程師,工作地點(diǎn)在印度班加羅爾。Wasim是一名獲認證的功能安全工程師,于2003年獲得普鈉大學(xué)學(xué)士學(xué)位。


本文地址:http://selenalain.com/thread-806208-1-1.html     【打印本頁(yè)】

本站部分文章為轉載或網(wǎng)友發(fā)布,目的在于傳遞和分享信息,并不代表本網(wǎng)贊同其觀(guān)點(diǎn)和對其真實(shí)性負責;文章版權歸原作者及原出處所有,如涉及作品內容、版權和其它問(wèn)題,我們將根據著(zhù)作權人的要求,第一時(shí)間更正或刪除。
您需要登錄后才可以發(fā)表評論 登錄 | 立即注冊

相關(guān)視頻

關(guān)于我們  -  服務(wù)條款  -  使用指南  -  站點(diǎn)地圖  -  友情鏈接  -  聯(lián)系我們
電子工程網(wǎng) © 版權所有   京ICP備16069177號 | 京公網(wǎng)安備11010502021702
快速回復 返回頂部 返回列表
午夜高清国产拍精品福利|亚洲色精品88色婷婷七月丁香|91久久精品无码一区|99久久国语露脸精品|动漫卡通亚洲综合专区48页