變速驅(qū)動器中使用的集成電路的功能安全

功能安全是與電氣和電子系統(tǒng)正常運行相關(guān)的安全分支。變速驅(qū)動器現(xiàn)在在實現(xiàn)功能安全方面發(fā)揮著重要作用。以前，電機控制應(yīng)用的功能安全是使用驅(qū)動器外部的安全繼電器和接觸器實現(xiàn)的。但是，通過將安全性集成到驅(qū)動器安全功能（如 STO 和 SLS）中，它可以在驅(qū)動器內(nèi)實施，從而提高工廠車間的生產(chǎn)率。集成安全需要使用集成電路，但解釋變速驅(qū)動器中使用的集成電路的功能安全要求具有挑戰(zhàn)性。理想情況下，所有此類IC都將按照IEC 61508進行評估，但這將是昂貴的，并且標準沒有要求。本文將嘗試總結(jié)在變速驅(qū)動器設(shè)計中使用的集成電路可用的指南。本文的目標之一是在不使用行話的情況下提供主題的概述。

功能安全三大關(guān)鍵要求

功能安全有三個關(guān)鍵要求：

要求 1 - 使用可靠的組件。這意味著具有足夠低FIT速率的IC。FIT率通常根據(jù)IEC 62380或SN 29500等標準計算，這些標準的結(jié)果基于現(xiàn)場對各種類型的組件的平均故障率?；蛘?，數(shù)據(jù)可以基于加速壽命測試，例如在 analog.com/ReliabilityData 發(fā)現(xiàn)的測試。一個重要的考慮因素是，IEC 61508和類似標準中給出的PFH（每小時危險故障概率）數(shù)字適用于整個安全功能，而不僅僅是單個IC。因此，PFH的數(shù)字為10-7h-1對于SIL 3安全功能（100 FIT），給定IC的誤差預(yù)算可能僅為1 FIT。還值得注意的是，術(shù)語PFH實際上意味著每小時發(fā)生危險故障的概率?？梢哉f，至少有50%的故障是安全的，IC的可靠性極限可以加倍。

要求 2 - 實施過去已證明的一系列措施，以設(shè)計具有高安全性的產(chǎn)品。這被稱為系統(tǒng)完整性的標準。與隨機硬件故障不同，系統(tǒng)故障內(nèi)置于系統(tǒng)中，只有設(shè)計更改才能消除它們。軟件錯誤既是系統(tǒng)性故障，也是 EMC 故障的示例。

要求 3 - 容錯并接受由于隨機硬件故障而導(dǎo)致的故障，否則無論組件多么可靠或遵循的開發(fā)過程多么好，都會發(fā)生系統(tǒng)故障。處理故障的兩種方法是通過診斷和冗余。診斷程序檢測故障并使系統(tǒng)進入安全狀態(tài)。對于電機控制，安全狀態(tài)通常是使用安全子功能（如IEC 61800-5-2中的STO）使電機停止。另一種替代方法是實現(xiàn)冗余，以便有兩個或多個項目，其中一個可以檢測到不安全狀態(tài)，并在需要時使系統(tǒng)進入安全狀態(tài)。標準通常允許在診斷和冗余之間進行權(quán)衡。有效性的衡量標準包括IEC 61508的SFF，ISO 13849的診斷覆蓋率（DC）和ISO 26262的單點故障指標。

IEC 61800-5-2

IEC 61800-5-2 是 C 類標準。這意味著該標準規(guī)定了特定機器類別的要求，在本例中為變速驅(qū)動器。擁有C類標準非常有價值，因為它解釋了該設(shè)備類型的通用標準IEC 61508，并且只保留與該機器相關(guān)的標準。通用標準本質(zhì)上必須應(yīng)對許多不同類型的設(shè)備和情況，這意味著它包含許多與特定設(shè)計無關(guān)的信息和要求。IEC 61800-5-2 宣稱，“通過應(yīng)用 IEC 61800 系列這一部分的要求，滿足了 IEC 61508 中 PDS （SR） 所需的相應(yīng)要求。但是，如果存在C類標準（例如IEC 61800-5-2）未提供指導(dǎo)的主題，則IEC 61508是后備。

在IEC 61800-5-2中，定義了安全子功能，例如STO（安全扭矩關(guān)閉）和SLS（安全限速），并概述了功能安全生命周期。

圖1.STO安全功能。

通過STO安全子功能，可以通過防止向電機提供產(chǎn)生力的動力來實現(xiàn)安全狀態(tài)。通常，當(dāng)防護裝置斷開時，這將在柵極驅(qū)動器上使用脈沖阻斷或電源消除來完成。由于驅(qū)動器的總功率未斷開，因此在防護裝置關(guān)閉后可以快速重新啟動。

通過SLS安全子功能，可以監(jiān)控電機的速度，如果超過設(shè)定水平，驅(qū)動器會將電機帶到安全狀態(tài)，最常見的是STO。此安全子功能的典型用途可能是在清潔滾筒期間與三位夾持開關(guān)配合使用。圖 2 顯示了 SLS 在 t 處嚙合1并在 T 處脫離2.紅色塊表示速度區(qū)域（如果輸入）將導(dǎo)致驅(qū)動器進入安全狀態(tài)。

圖2.安全限速。

雖然IEC 61800-5-2沒有強制要求2通道安全，但大多數(shù)驅(qū)動器制造商也希望根據(jù)ISO 13849要求性能水平，因此，兩個通道是常見的。

ISO 13849 認證

ISO 13849是基于現(xiàn)在冗余的EN954標準的機械標準。與IEC 61800-5-2，IEC 61508和IEC 62061相比，它使用性能等級（PL）而不是SIL等級。級別為 PLa 到 PLe。ISO 13849 還明確偏愛 2 通道系統(tǒng)以獲得更高的性能水平，必須使用三類或四類系統(tǒng)。ISO 13849使用DC（診斷覆蓋率）作為診斷有效性的指標，而不是其他標準的SFF。假設(shè)故障是 50% 安全/50% 危險 SFF 和直流使用以下公式相關(guān)。

IEC 62061

IEC 62061 是 IEC 61508 的機械解釋。它實際上是與 ISO 13849 平行的標準——事實上，人們努力將這兩種機械標準結(jié)合在 ISO/IEC 17305 中。

在IEC 62061的范圍內(nèi)，它指出“在本標準中，假定復(fù)雜的可編程電子子系統(tǒng)或子系統(tǒng)元件的設(shè)計符合IEC 61508的相關(guān)要求。該標準為使用而不是開發(fā)此類子系統(tǒng)和子系統(tǒng)元素作為SRECS的一部分提供了一種方法。

IEC 61508

IEC 61508-2：2010包含重要的IC要求，但在偶然或不完整的標準閱讀中很容易錯過。要求包括ASIC開發(fā)V模型，參見IEC 61508-2：2010圖3。V模型針對數(shù)字ASIC，因為它參考了合成布局和路由以及最終編碼，但V模型可以通過一點想象力來解釋模擬或混合信號ASIC。

圖3.ADuM4135隔離式柵極驅(qū)動器

對數(shù)字ASIC的偏好延續(xù)到附件F，該附件標題為“ASIC的技術(shù)和措施——避免系統(tǒng)故障”，并在注釋1中指出，“以下技術(shù)和措施僅與數(shù)字ASIC和用戶可編程IC有關(guān)。對于混合模式和模擬ASIC，目前無法給出通用技術(shù)和措施。然而，盡管存在這些限制，但完成混合信號ASIC數(shù)字部分的清單是完全可行的，并且使用一些甚至不適用于純模擬IC的用途。

附錄E的標題為“具有片上冗余的集成電路（IC）的特殊架構(gòu)要求”。附件中再次提出了數(shù)字限制，因為它在E.1中指出“以下要求僅與數(shù)字IC有關(guān)。對于混合模式和模擬IC，目前無法給出一般要求。當(dāng)附件在其他標準中被引用時，似乎被廣泛忽略的另一個限制是“本標準中使用的片上冗余意味著功能單元的重復(fù)（或三重），以建立大于零的硬件容錯。重復(fù)這個詞意味著相同的冗余，本文的作者認為目標是可能使用鎖步技術(shù)的雙核微處理器。雖然大多數(shù)技術(shù)都很好，但當(dāng)應(yīng)用于不同冗余塊之間的分離或一個塊與用作第一個塊診斷的另一個片上塊之間的分離時，它們可能會過多。重復(fù)的模塊會受到常見原因故障的影響，例如溫度、ESD、電源故障以及其他不太可能同時以相同方式影響不同模塊的原因。ISO 13849-2：2012 的 D.2.4 節(jié)中引用了附錄 E 的示例，其中指出“因此，除非滿足 IEC 61508-2：2010 的特殊架構(gòu)要求，否則極不可能使用單個集成電路實現(xiàn)類別 2、3 或 4 的容錯和/或檢測要求所需的多通道功能， 附件E.”IEC 61800-5-2 FDIS（2015 年秋季）允許根據(jù) IEC 61508-2：2010 附錄 E 的要求排除片上短路，但檢查附錄 E，您會發(fā)現(xiàn)只有 f） 和 g） 項直接涉及片上短路。項目f）要求單獨塊之間的間距至少為10×這是過程的最小設(shè)計規(guī)則，項目g）僅討論單獨物理塊的相鄰行。

圖4.概念2通道架構(gòu)，用于使用ADSP-CM419（/8/7/6）DSP內(nèi)核實現(xiàn)IEC 61800-5-2的SLS安全子功能。

圖5.SLS 解釋的可靠性框圖。

IEC 61508-2：2010的表A.1給出了計算SFF時要假設(shè)的故障或故障。表A.2至A.14給出了典型診斷范圍的示例，可以要求對典型診斷進行解釋，但有時可能需要對集成電路進行解釋。IEC 62380 的附錄 H 和 UL 1998 的相關(guān)附錄 A 更詳細，特別是針對數(shù)字微控制器和類似產(chǎn)品。

在計算集成電路的FIT速率方面，IEC 62380和SN29500都與其他來源一起參考。

在標準的2010年修訂版中增加了考慮軟錯誤的要求，并且對將ECC和奇偶校驗添加到易失性存儲器（如RAM）中具有影響，以便檢測和控制特別影響RAM的軟錯誤。

ISO 26262 要求

ISO 26262 是對 IEC 61508 的汽車解釋。它是與IEC 61508修訂版2并行開發(fā)的，包含IEC 61508中未找到的與集成電路相關(guān)的一些要求，對IEC 61508中的項目進行了一些澄清，但省略了其他要求。例如，ISO 26262-10：2012 包含汽車版的 IEC 61508-2：2010 附錄 F 和 ISO 26262-5：2011 表 D.1，其中闡明了汽車在如何考慮片上短路方面的立場，“這里并不打算要求進行詳盡的分析，例如要求對橋接故障進行詳盡分析，這些故障可能會影響微控制器或復(fù)雜 PCB 內(nèi)任何信號的任何理論組合。分析側(cè)重于主要信號或通過布局級分析確定的非常高度耦合的互連。

特別是第10部分包含諸如“如果CPU面積占整個微控制器芯片面積的3%，則可以假設(shè)其故障率等于微控制器總故障率的3%。雖然這樣的過程是IEC 61508的習(xí)慣和實踐的一部分，但很高興看到它被寫下來。

ISO 26262的集成電路解釋正在ISO/TC 22/SC32下作為ISO/AWI PAS 19451-1進行。

協(xié)助設(shè)計集成電路

在審查了這些標準之后，作者就IC制造商如何幫助驅(qū)動器制造商在其驅(qū)動器中設(shè)計集成電路提出了許多建議。

首先，集成電路安全手冊應(yīng)該有利于驅(qū)動設(shè)計人員。即使 ASIC 或設(shè)備未按照 IEC 61508 開發(fā)，也可以生成。

安全手冊中提供的項目可能包括：

使用的開發(fā)過程和生命周期模型。

IEC 61508-2：2010 中完整的附錄 F 清單。

假定的任務(wù)配置文件。

根據(jù) IEC 62380 和 SN29500 在合理的平均工作溫度下預(yù)測 FIT 速率，例如 55°C，24 小時內(nèi)熱循環(huán)為 10°C。

芯片尺寸、芯片數(shù)量、RAM 單元數(shù)量和晶體管數(shù)量，允許驅(qū)動器設(shè)計人員使用 SN29500 和 IEC 62380 計算自己的 FIT 速率（如果計算已經(jīng)完成并給出計算細節(jié)，那就更好了）。

支持片上分離主張的證據(jù)。

支持任何相關(guān)故障排除主張的證據(jù)。

片上診斷的詳細信息。

假定的系統(tǒng)級診斷的詳細信息。

引腳FMEA給出λ的結(jié)果都3 DDD3 DS，并計算了一組假定診斷的 SFF 和 DC，以查看預(yù)期的封裝故障模式。

FME（D）A 給出 λ 的結(jié)果都3 DDD3 DS，并計算了一組假設(shè)診斷的 SFF 和 DC，以查看預(yù)期的芯片故障模式。

數(shù)據(jù)表上顯示的各種模塊的FIT速率，允許驅(qū)動器制造商重做FME（D）A。

鑒于數(shù)據(jù)的性質(zhì)，安全手冊可能僅在NDA（保密協(xié)議）下提供。

ADI公司目前正在開發(fā)安全手冊的電機控制安全相關(guān)器件包括隔離式ADCAD7403和隔離式柵極驅(qū)動器ADuM4135。

其次，了解系統(tǒng)級設(shè)計的IC制造商可以幫助設(shè)計功能安全所需的特性。例如：

知道只有PFH的一小部分，也許只有1%可用于IC。

知道雖然一般來說功能安全，越簡單越好，但芯片上的晶體管非?？煽?，如果將芯片上的晶體管數(shù)量增加 10 倍會導(dǎo)致 PCB 上的組件減少，則整體 PFH 將下降。

知道片上診斷的反應(yīng)速度比系統(tǒng)級診斷快得多，并且有助于防止錯誤累積。

知道驅(qū)動器的典型壽命為 20 年，并且應(yīng)該有數(shù)據(jù)來證明 IC 在給定的任務(wù)配置文件下可以匹配此壽命。

知道添加CRC引擎等硬件加速器可以減輕軟件負擔(dān)。

第三，一組推薦的架構(gòu)，展示了如何組合IC以實現(xiàn)IEC 61800-5-2中的安全功能。這可能涉及：

有關(guān)系統(tǒng)級診斷的建議。

關(guān)于合適組件的建議。

關(guān)于滿足不同渠道之間獨立性要求的建議。

關(guān)于安全軟件和非安全軟件之間的軟件獨立性的建議，如果控制和安全可以在至少一個處理器中組合在一起，則可以將所需處理器的數(shù)量從三個減少到兩個。如果不能表現(xiàn)出足夠的獨立性，那么一切都必須被視為與安全有關(guān)。

第四，應(yīng)影響標準以明確要求。例如：

在將ADC連接到同一PCB上的微控制器或DSP的SPI接口上，應(yīng)該提供哪些防止數(shù)據(jù)損壞的保護？IEC 61800-5-2：2006 等標準將讀者引回 IEC 61508，而 IEC 61508 又指鐵路標準。下一版本的IEC 61800-5-2增加了文字，以澄清IEC 61784-3的要求不適用于此類接口，但是當(dāng)作者在新標準中讀到自己的話時，澄清并不像他希望的那樣清晰。EN 50402的新標準草案中包含更好的澄清，其中區(qū)分了空間分離模塊的信號傳輸和未空間分離模塊之間的信號傳輸。

闡明實現(xiàn)多樣化冗余的IC的片上分離要求。

闡明模擬和混合信號 ICS 的片上分離要求。

第五，從標準中刪除對特定解決方案的引用，這導(dǎo)致一些讀者認為這些是解決問題的唯一解決方案。例如，光耦合器是實現(xiàn)信號隔離的一種古老且眾所周知的方法，但與新型數(shù)字隔離器相比，在可靠性、功耗和速度方面存在許多缺點。編輯ISO 13849和IEC 61800-5-2等標準，用電流隔離器等更通用的術(shù)語替換對光耦合器的引用，也將有助于采用更新、更可靠的數(shù)字隔離器。這已在2015年IEC 61800-5-2的最新FDIS（最終草案）中完成。

結(jié)論

本文特別回顧了與機器和變速驅(qū)動器相關(guān)的主要功能安全標準。從這次審查中，得出了與集成電路相關(guān)的要求的結(jié)論。一個結(jié)論是，為了幫助滿足功能安全IC的要求，制造商可以提供額外的信息和功能。本文列出了該信息的一些最重要的要點。第二個結(jié)論是，半導(dǎo)體制造商需要更多地了解系統(tǒng)級要求，ADI公司已經(jīng)開始分析自己的非功能性安全、電機控制演示系統(tǒng)設(shè)計。目標是揭示如何修改該架構(gòu)以滿足功能安全的要求，并發(fā)現(xiàn)缺少哪些信息，以使我們的客戶能夠?qū)⑽覀兊漠a(chǎn)品設(shè)計成具有功能安全要求的驅(qū)動器。

審核編輯：郭婷