如何設計和認證基于RTD的功能安全系統

發(fā)布時(shí)間:2023-8-3 10:43    發(fā)布者:eechina
關(guān)鍵詞: RTD
來(lái)源:Digikey
作者:Bill Schweber

電阻溫度檢測器 (RTD) 由傳感器及其模擬前端 (AFE) 信號調節電路組成,應用廣泛、準確而可靠。然而,對于任務(wù)關(guān)鍵型和高可靠性應用,通常需要通過(guò) Route 1S 或 Route 2S 元器件認證流程來(lái)設計和確保實(shí)現功能安全系統。

由于必須審查系統中所有元器件的潛在故障模式和機理,因此對系統進(jìn)行功能安全認證是一個(gè)復雜的過(guò)程。診斷故障的方法有很多種,使用已通過(guò)認證的元器件可減輕工作量并簡(jiǎn)化認證過(guò)程。

請注意,“可靠性”與功能安全相關(guān),但并不相同。最簡(jiǎn)單地說(shuō),“可靠”是指設計和實(shí)現符合規格要求,不會(huì )出現問(wèn)題或故障,而“功能安全”則是指設計必須能檢測到任何故障。對于關(guān)鍵應用而言,可靠性和功能安全都必不可少。

本文將結合功能安全認證介紹 RTD 及其信號調節電路的基礎知識,然后討論不同等級的可靠性和故障認證,以及通過(guò)上述兩種途徑達到這些要求所需的條件。我們將使用兩款多通道 RTD AFE IC(Analog Devices 的一對 AD7124 器件)以及相關(guān)的評估板配置來(lái)說(shuō)明要點(diǎn)。

功能安全的作用

功能安全的作用是通過(guò)正確實(shí)施一個(gè)或多個(gè)自動(dòng)保護/安全功能,使人免于遭受無(wú)法承受的傷害或健康損害風(fēng)險。如果出現故障,功能安全將確保產(chǎn)品、設備或系統繼續安全運行。各種工業(yè)、商業(yè),甚至一些消費應用都需要功能安全,例如:

· 自主駕駛車(chē)輛
· 機器安全和機器人
· 工業(yè)控制系統 (ICS)
· 智能家居消費產(chǎn)品
· 智能工廠(chǎng)和供應鏈
· 安全儀表系統和危險場(chǎng)所控制系統

例如,在功能安全設計中,即使系統中的其他組件失效,主電源開(kāi)關(guān)的功能仍可支持關(guān)閉電源(圖 1)。


圖 1:在功能安全系統中,此開(kāi)關(guān)必須毫無(wú)疑問(wèn)地執行其設計功能。(圖片來(lái)源:Pilla via City Electric Supply Co.)

RTD 基礎知識

為什么要關(guān)注溫度和功能安全?一個(gè)很好的理由是,溫度是最常測量的物理參數。溫度常與安全或關(guān)鍵應用有關(guān),并且有各種傳感器支持,其中包括 RTD,其概念較為簡(jiǎn)單:利用鎳、銅、鉑等金屬的已知且可重復的電阻溫度系數 (TCR)。0°C 時(shí)電阻值為 100 Ω 和 1000 Ω 的鉑 RTD 應用最為廣泛,可在 -200°C 至 +850°C 范圍內使用。

在此溫度范圍內,這些 RTD 的電阻與溫度之間具有高度線(xiàn)性的關(guān)系;對于超高精度場(chǎng)景,可以應用校正和補償表及系數。標稱(chēng)電阻為 100 Ω 的鉑 RTD(命名為 PT100)在 -200°C 時(shí)的典型電阻為 18 Ω,在 +850°C 時(shí)的典型電阻為 390.4 Ω。

使用 RTD 需要用已知電流激勵,該電流通常保持在 1 mA 左右,以盡量減少自發(fā)熱。根據 RTD 的標稱(chēng)電阻,也可使用其他電流值。

RTD 兩端的電壓降由 AFE 同步測量,該 AFE 包括一個(gè)可編程增益放大器 (PGA),并且在幾乎所有情況下,還包括模數轉換器 (ADC) 與微控制器單元 (MCU) 的組合(圖 2)。


圖 2:使用 RTD 測量溫度,需要驅動(dòng)一個(gè)已知電流通過(guò) RTD,測量其兩端的電壓降,然后應用歐姆定律。(圖片來(lái)源:Digi-Key)

這種基本方案的電路拓撲結構與使用檢測電阻來(lái)測定通過(guò)負載的電流相同,但在這里,已知變量與未知變量發(fā)生互換。對于電流感測,電阻是已知的,而電流是未知的,因此計算公式為 I = V/R。對于 RTD,電流是已知的,但電阻不是,因此計算公式為 R = V/I。

需要使用 PGA 來(lái)保持信號完整性并最大限度地提高動(dòng)態(tài)范圍,因為 RTD 兩端的電壓電平從幾十毫伏到幾百毫伏不等,具體取決于 RTD 類(lèi)型和溫度。

激勵源、RTD 和 PGA 之間的物理連接可以是雙線(xiàn)、三線(xiàn)或四線(xiàn)接口。雖然原則上兩根引線(xiàn)就足夠了,但存在與連接引線(xiàn)中的 IR 壓降相關(guān)的問(wèn)題以及其他偽影。在更先進(jìn)的開(kāi)爾文連接中,使用三線(xiàn)和四線(xiàn)拓撲可以獲得更加精確和一致的性能,不過(guò)這會(huì )增加布線(xiàn)成本(圖 3)。


圖 3:僅通過(guò)兩根導線(xiàn)就可驅動(dòng)和檢測 RTD(左),但使用三根引線(xiàn)(中),甚至四根引線(xiàn)(右,開(kāi)爾文連接)可以消除引線(xiàn)造成的各種誤差源。(圖片來(lái)源:Analog Devices)

從術(shù)語(yǔ)和標準入手

同許多專(zhuān)業(yè)領(lǐng)域一樣,功能安全也有許多獨特的術(shù)語(yǔ)、數據集和縮寫(xiě)詞,它們在相關(guān)討論中被廣泛使用。其中包括:

· 失效率 (FIT):設備運行 10 億 (109) 小時(shí)期間預計發(fā)生的失效次數。
· 故障模式和影響分析 (FMEA):盡可能多地審查元器件、組件和子系統,以確定系統中潛在的故障模式及其原因和影響的過(guò)程。
· 故障模式影響和診斷分析 (FMEDA):用于獲得子系統/產(chǎn)品級故障率、故障模式和診斷能力的系統分析技術(shù)。

為了進(jìn)行全面分析,需要 FIT 數據以及系統中不同元器件的故障模式影響和診斷分析 (FMEDA)。FMEA 只提供定性信息,而 FMEDA 同時(shí)提供定性和定量信息,允許用戶(hù)衡量故障模式的關(guān)鍵程度,并根據重要性對其進(jìn)行排序。FMEDA 增加了風(fēng)險、故障模式、影響和診斷分析以及可靠性信息。

· 安全完整性等級 (SIL):與 SIL 相關(guān)的離散完整性等級有四個(gè):SIL 1、SIL 2、SIL 3 和 SIL 4。SIL 等級越高,關(guān)聯(lián)的安全等級就越高,系統無(wú)法正常運行的概率就越低。

SIL 2 等級表明,可以診斷出系統內 90% 以上的故障。要對設計進(jìn)行認證,系統設計人員必須向認證機構提供證據,說(shuō)明潛在的故障,這些故障是安全故障還是危險故障,以及如何診斷故障。

· IEC 61508 標準正式名稱(chēng)為“電氣/電子/可編程電子安全相關(guān)系統的功能安全”(非正式名稱(chēng)為“電子功能安全”),是功能安全設計的規范。其規定了開(kāi)發(fā) SIL 認證元器件所需的設計流程。從概念和定義到設計、布局、制造、裝配和測試,每個(gè)步驟都需要生成文檔。

這一過(guò)程被稱(chēng)為 Route 1S,非常復雜。不過(guò),除了 Route 1S 之外,還有一種替代流程,即 Route 2S。這是一種“經(jīng)使用驗證”途徑,適用于大量產(chǎn)品已設計成最終產(chǎn)品和系統,并在現場(chǎng)使用,累積運行數千小時(shí)的情況。

在 Route 2S 流程下,仍可通過(guò)向認證機構提供以下證據而獲得產(chǎn)品認證:

· 現場(chǎng)使用的產(chǎn)品數量
· 現場(chǎng)任何退貨的分析,詳細說(shuō)明退貨非由元器件本身的故障造成
· 安全規格書(shū),詳細介紹產(chǎn)品提供的診斷功能和覆蓋范圍
· 引腳和芯片 FMEDA
· 合并 RTD 接口與 SIL Route 2S 流程

系統認證是一個(gè)漫長(cháng)的過(guò)程,因為必須審查系統中所有元器件的潛在故障機理,并且診斷故障的方法多種多樣。使用已通過(guò)認證的元器件可減少所需的工作量,縮短認證過(guò)程。

高度集成、成熟的 RTD 接口元器件是簡(jiǎn)化 Route 2S 認證的關(guān)鍵,因為其定義了完整的解決方案包,因而可以通過(guò)與現場(chǎng)使用和故障相關(guān)的數據對其進(jìn)行全面鑒定。這與使用多個(gè)較小的構建塊 IC 不同,后者必須針對所使用的特定互連配置分析其各種接口和相互作用。

其中一個(gè)例子是四通道 AD7124-4(圖 4)和類(lèi)似的八通道 AD7124-8(下文在討論它們的許多共同特性時(shí),將其統稱(chēng)為“AD7124”)。這些元器件具有嵌入式自檢和診斷特性,而且在現場(chǎng)“表現良好”,因此非常適合 Route 2S 流程。


圖 4:四通道 AD7124-4 是功能完整的 RTD 傳感器至處理器信號鏈。(圖片來(lái)源:Analog Devices)

這些 IC 是完整的多通道 RTD 測量解決方案,包含從傳感器到數字化輸出以及與相關(guān)微控制器通信所需的全部構件。其中包括:多通道多路復用器、PGA、24 位三角積分 ADC、RTD 電流源、用于內部操作的電壓基準、系統時(shí)鐘、模擬和數字濾波,以及用于 SPI、QSPI、MICROWIRE 和 DSP 兼容互連的三線(xiàn)或四線(xiàn)串行接口。

但是,這些功能的存在本身并不能為 SIL Route 2S 資格認證提供基礎。為了實(shí)現功能安全設計,構成 RTD 系統的許多功能需要一系列的嵌入式診斷程序。AD7124 中的多種嵌入式診斷程序最大程度地降低了設計復雜性,縮短了設計時(shí)間,并且無(wú)需復制信號鏈以實(shí)現診斷覆蓋。

這些診斷程序包括但不限于:監測電源、基準電壓和模擬輸入;檢測 RTD 開(kāi)路;檢查轉換和校準性能;檢查信號鏈的功能;監測讀/寫(xiě)功能;以及監測寄存器內容。

這些“高級”說(shuō)明如何轉化為必要的片上診斷?答案涉及許多方面,包括:

SPI 診斷:每次寫(xiě)入 AD7124 時(shí),處理器都會(huì )生成一個(gè)循環(huán)冗余校驗 (CRC) 值,該值附加到發(fā)送至 ADC 的信息中。然后,ADC 根據接收到的信息生成自己的 CRC 值,并將其與從處理器接收到的 CRC 值進(jìn)行比較。如果兩個(gè)值一致,則信息完好無(wú)損,將被寫(xiě)入相關(guān)的片上寄存器。

如果值不一致,則意味著(zhù)信息在傳輸過(guò)程中發(fā)生了損壞,IC 會(huì )設置一個(gè)錯誤標志,表明發(fā)生了數據損壞。AD7124 還具有自我保護功能,不會(huì )將損壞的信息寫(xiě)入寄存器。

系統處理器從 AD7124 讀取信息時(shí),也會(huì )使用類(lèi)似的 CRC 過(guò)程。最后,接口還會(huì )對時(shí)鐘脈沖進(jìn)行計數,以確保每個(gè)讀取或寫(xiě)入數據幀中只有 8 個(gè)這樣的脈沖,從而確保不會(huì )出現時(shí)鐘毛刺。

存儲器檢查:當上電時(shí)或片上寄存器發(fā)生變化時(shí)(如更改增益時(shí)),也會(huì )使用 CRC 驗證寄存器內容。此外,還會(huì )定期執行 CRC 過(guò)程,以確保沒(méi)有存儲器位因噪聲或其他原因而“翻轉”。如果發(fā)生了變化,并且處理器隨后被標記為寄存器設置已損壞,則可以復位 ADC 并重新加載寄存器。

信號鏈檢查:所有關(guān)鍵靜態(tài)電壓都可以通過(guò) ADC 檢查,包括電源軌、低壓差 (LDO) 穩壓器輸出和基準電壓;還可以檢查 LDO 兩端是否存在外部電容器。此外,還可以對 ADC 輸入端施加一個(gè)已知電壓,以檢查 ADC 和增益功能設置。另外,可以在模擬輸入上注入已知電流,以檢查開(kāi)路或短路 RTD。

轉換和校準:持續檢查 ADC 轉換的結果,了解其是否為全零值或滿(mǎn)刻度值,這兩種情況都表示存在問(wèn)題。監測來(lái)自 ADC 內核調制器的比特流,確保其未飽和,如果出現飽和(即調制器連續產(chǎn)生 20 個(gè) 1 或 0),則會(huì )設置一個(gè)錯誤標志。

主時(shí)鐘頻率:該時(shí)鐘頻率不僅控制轉換速率,還決定 50/60 Hz 數字濾波器的陷波頻率。AD7124 的內部寄存器允許協(xié)處理器計時(shí),從而檢查主時(shí)鐘的精度。

其他特性:AD7124 包括一個(gè)溫度傳感器,也可用來(lái)監測芯片溫度。兩個(gè)版本都有 4 kV 靜電放電 (ESD) 額定值,性能穩健,并且均采用 5 × 5 mm LFCSP 封裝,適用于本質(zhì)安全設計。

由于 AD7124-4 和 AD7124-8 內部復雜精密,并具有高級自檢特性,因此擁有對 IC 進(jìn)行測試和評估的一種方法也合情合理。

為此,Analog Devices 提供了一對互連板:用于 AD7124-4 的 EVAL-AD7124-4SDZ 評估板(圖 5)和配套的 EVAL-SDP-CB1Z SDP(系統演示平臺)/接口板(圖 6)。前者專(zhuān)用于 AD7124-4,與后者配合使用,后者通過(guò) USB 鏈路與用戶(hù)的 PC 和評估軟件進(jìn)行通信。


圖 5:EVAL-AD7124-4SDZ 是 AD7124-4 的評估板。(圖片來(lái)源:Analog Devices)


圖 6:EVAL-SDP-CB1Z/接口板是 EVAL-AD7124-4SDZ 評估板的配套產(chǎn)品,提供與主機 PC 的 USB 連接。(圖片來(lái)源:Analog Devices)

AD7124-4 EVAL+ 軟件支持該評估配置,可全面配置 AD7124-4 器件寄存器功能并對 IC 進(jìn)行測試。該軟件還以波形圖、直方圖和相關(guān)噪聲分析的形式提供時(shí)域分析,用于評估 ADC 性能。

向功能安全設計過(guò)渡

必須認識到,AD7124-4 和 AD7124-8 沒(méi)有 SIL 等級,這意味著(zhù)二者的設計和開(kāi)發(fā)均未遵照 IEC 61508 標準定義的開(kāi)發(fā)準則。但是,通過(guò)了解最終應用并適當使用各種診斷,可以評估它們是否可在 SIL 等級設計中使用。

Route 1S 認證途徑在分析和處理故障時(shí)需要考慮多個(gè)因素,這些故障可能是系統性的或隨機的。系統性故障由設計或制造缺陷造成,例如外部中斷引腳缺乏濾波導致的噪聲中斷,或信號裕量不足等。而隨機故障是由于腐蝕、熱應力或磨損等物理原因造成的。

一個(gè)重要問(wèn)題是所謂“未檢測到的危險故障”,有多種技術(shù)可以解決這個(gè)問(wèn)題。為了盡量減少隨機故障,設計人員會(huì )使用三種策略中的一種或全部:

· 更可靠、應力更小的元器件。
· 依賴(lài)內置檢測機制的診斷,這些機制通過(guò)硬件或軟件實(shí)現。
· 通過(guò)冗余電路實(shí)現容錯。增加冗余路徑可以使系統不受單一故障影響。這就是所謂的硬件容錯 1 (HFT 1) 系統,即一個(gè)故障不會(huì )導致系統失效。

用于了解 SIL 等級覆蓋率的一種工具是羅列安全失效比例(SFF,診斷覆蓋率)和硬件容錯性(冗余度)的矩陣(圖 7)。


圖 7:此矩陣描述了安全失效比例 (SFF) 與硬件容錯性 (HFT) 的關(guān)系,以供深入了解 SIL 覆蓋范圍。(圖片來(lái)源:Analog Devices)

行顯示診斷覆蓋率,列顯示硬件容錯性。HFT 為 0 意味著(zhù),如果系統出現一個(gè)故障,安全功能就會(huì )喪失。診斷級別越高,所需的系統冗余量就越少,或者在冗余量相同的情況下,解決方案的 SIL 等級就越高(沿著(zhù)矩陣下移)。

請注意,根據 IEC 61508 標準,使用這些器件的典型溫度應用的 FMEDA 顯示安全失效比例 (SFF) 大于 90%。通常需要兩個(gè)傳統 ADC 以便通過(guò)冗余提供此覆蓋率,但 AD4172 只需要一個(gè) ADC,因此可大幅節省物料清單 (BOM) 成本和電路板空間。

SIL 等級設計的文件

獲得 Route 1S 認證需要大量文件。必要的源文件包括:

· 安全規格書(shū)(SIL 等級元器件的安全手冊)
· 引腳 FMEDA 和芯片 FMEDA,以及二者的故障模式、影響和分析
· 附件 F 檢查清單(由 IEC 61508 定義)

反過(guò)來(lái),這些文件又有多種來(lái)源(圖 8):

· 規格書(shū)中的診斷數據反映元器件提供的所有診斷特性。
· 設計數據指的是內部數據。例如,芯片面積和元器件每個(gè)內部模塊的影響。
· FIT 以及各組件的失效率可從數據手冊獲取。
· 對于無(wú)法使用設計和診斷數據來(lái)分析的模塊,則進(jìn)行故障插入測試。這些測試根據應用要求進(jìn)行規劃,故障插入測試的結果用于強化 FMEDA 和 FMEA 文件。


圖 8:匯總和提取各種文件來(lái)源,以提供 SIL 認證所需的完整信息包。(圖片來(lái)源:Analog Devices)

更詳細地探究細節:

· 安全手冊或安全規格書(shū)使用所有匯編的信息來(lái)提供必要的要求,以支持 AD7124-4 或 AD7124-8 的集成。其整理了來(lái)自各種文件和數據集的所有診斷和分析。
· AD7124-4 和 AD7124-8 的芯片 FMEDA 分析應用原理圖中的主要模塊,確定故障模式和影響,并檢查用于特定安全功能的診斷和分析。例如,對時(shí)鐘模塊的分析顯示了故障模式、每種模式對輸出的影響、診斷覆蓋率以及影響分析(圖 9)。


圖 9:此表定義了主時(shí)鐘模塊的故障模式、影響、診斷和分析。(圖片來(lái)源:Analog Devices)

該芯片 FMEDA 可定量顯示安全故障、已檢測到的危險故障和未檢測到的危險故障的故障率。所有這些都用于計算 SFF。

引腳 FDEMA 從不同角度看待故障。其分析了 AD7124-4 和 AD7124-8 引腳上的各類(lèi)故障及其對 RTD 應用的影響。它針對每個(gè)引腳進(jìn)行分析,并描述引腳開(kāi)路、與電源/接地短路或與相鄰引腳短路等情況的結果。

附件 F 檢查清單是一份避免系統性故障的設計措施檢查清單。包括:

· 產(chǎn)品概覽
· 應用信息
· 安全理念
· 壽命預測
· FIT
· FMEDA 計算 - SFF 和 DC
· 硬件安全機制
· 診斷說(shuō)明
· EMC 魯棒性
· 冗余配置運行
· 附件和文件清單

總之,通過(guò) Route 1S 對新導入的元器件進(jìn)行功能安全認證是一項漫長(cháng)、復雜、耗時(shí)、緊張的綜合性工作。幸運的是,如上所述,Route 2S 對某些元器件而言是一種可行的替代方法。

Route 2S:替代途徑

Route 2S 適用于有現場(chǎng)應用經(jīng)驗和數據的已發(fā)布元器件,稱(chēng)為“經(jīng)使用驗證”的元器件。其基于對器件的客戶(hù)退貨情況和發(fā)貨數量的分析,不適用于只有很少或根本沒(méi)有實(shí)際使用記錄的新元器件。

Route 2S 支持 SIL 認證,就像元器件根據 IEC 61508 標準進(jìn)行了全面分析一樣。如果模塊和系統設計人員過(guò)去成功使用過(guò)相關(guān) IC,并知道了現場(chǎng)的故障率,就可以使用它。嵌入式測試和驗證特性以及性能數據,使 AD7214-4 和 AD7214-8 成為 Route 2S 的理想候選器件。

使用 Route 2S 需要詳細的、具有統計意義的現場(chǎng)退貨和故障數據。與電路板或模塊供應商相比,IC 供應商滿(mǎn)足這一要求要難得多。原因是后者一般對最終應用情況了解不夠,或者不知道有多少比例的現場(chǎng)故障單元被退回給他們進(jìn)行分析。

總結

新產(chǎn)品功能安全認證的 Route 1S 路徑非?b密、全面和詳細。其在技術(shù)上也很有挑戰性,而且非常耗時(shí)。相比之下,Route 2S 流程允許根據現場(chǎng)經(jīng)驗、故障和分析數據對已發(fā)布產(chǎn)品進(jìn)行認證。AD7214-4 和 AD7214-8 RTD 接口 IC 具有所需的歷史記錄,因此支持這種非常有用的途徑。同樣重要的是,這些 IC 嵌入了許多診斷和自檢功能及特性,因而是此類(lèi)認證的合適候選產(chǎn)品。
本文地址:http://selenalain.com/thread-833362-1-1.html     【打印本頁(yè)】

本站部分文章為轉載或網(wǎng)友發(fā)布,目的在于傳遞和分享信息,并不代表本網(wǎng)贊同其觀(guān)點(diǎn)和對其真實(shí)性負責;文章版權歸原作者及原出處所有,如涉及作品內容、版權和其它問(wèn)題,我們將根據著(zhù)作權人的要求,第一時(shí)間更正或刪除。
您需要登錄后才可以發(fā)表評論 登錄 | 立即注冊

關(guān)于我們  -  服務(wù)條款  -  使用指南  -  站點(diǎn)地圖  -  友情鏈接  -  聯(lián)系我們
電子工程網(wǎng) © 版權所有   京ICP備16069177號 | 京公網(wǎng)安備11010502021702
快速回復 返回頂部 返回列表
午夜高清国产拍精品福利|亚洲色精品88色婷婷七月丁香|91久久精品无码一区|99久久国语露脸精品|动漫卡通亚洲综合专区48页