【導(dǎo)讀】電阻溫度檢測器 (RTD) 由傳感器及其模擬前端 (AFE) 信號調(diào)節(jié)電路組成,應(yīng)用廣泛、準(zhǔn)確而可靠。然而,對于任務(wù)關(guān)鍵型和高可靠性應(yīng)用,通常需要通過 Route 1S 或 Route 2S 元器件認(rèn)證流程來設(shè)計和確保實現(xiàn)功能安全系統(tǒng)。
電阻溫度檢測器 (RTD) 由傳感器及其模擬前端 (AFE) 信號調(diào)節(jié)電路組成,應(yīng)用廣泛、準(zhǔn)確而可靠。然而,對于任務(wù)關(guān)鍵型和高可靠性應(yīng)用,通常需要通過 Route 1S 或 Route 2S 元器件認(rèn)證流程來設(shè)計和確保實現(xiàn)功能安全系統(tǒng)。
由于必須審查系統(tǒng)中所有元器件的潛在故障模式和機理,因此對系統(tǒng)進(jìn)行功能安全認(rèn)證是一個復(fù)雜的過程。診斷故障的方法有很多種,使用已通過認(rèn)證的元器件可減輕工作量并簡化認(rèn)證過程。
請注意,“可靠性”與功能安全相關(guān),但并不相同。最簡單地說,“可靠”是指設(shè)計和實現(xiàn)符合規(guī)格要求,不會出現(xiàn)問題或故障,而“功能安全”則是指設(shè)計必須能檢測到任何故障。對于關(guān)鍵應(yīng)用而言,可靠性和功能安全都必不可少。
本文將結(jié)合功能安全認(rèn)證介紹 RTD 及其信號調(diào)節(jié)電路的基礎(chǔ)知識,然后討論不同等級的可靠性和故障認(rèn)證,以及通過上述兩種途徑達(dá)到這些要求所需的條件。我們將使用兩款多通道 RTD AFE IC(Analog Devices 的一對 AD7124 器件)以及相關(guān)的評估板配置來說明要點。
功能安全的作用
功能安全的作用是通過正確實施一個或多個自動保護/安全功能,使人免于遭受無法承受的傷害或健康損害風(fēng)險。如果出現(xiàn)故障,功能安全將確保產(chǎn)品、設(shè)備或系統(tǒng)繼續(xù)安全運行。各種工業(yè)、商業(yè),甚至一些消費應(yīng)用都需要功能安全,例如:
· 自主駕駛車輛
· 機器安全和機器人
· 工業(yè)控制系統(tǒng) (ICS)
· 智能家居消費產(chǎn)品
· 智能工廠和供應(yīng)鏈
· 安全儀表系統(tǒng)和危險場所控制系統(tǒng)
例如,在功能安全設(shè)計中,即使系統(tǒng)中的其他組件失效,主電源開關(guān)的功能仍可支持關(guān)閉電源(圖 1)。
圖 1:在功能安全系統(tǒng)中,此開關(guān)必須毫無疑問地執(zhí)行其設(shè)計功能。(圖片來源:Pilla via City Electric Supply Co.)
RTD 基礎(chǔ)知識
為什么要關(guān)注溫度和功能安全?一個很好的理由是,溫度是最常測量的物理參數(shù)。溫度常與安全或關(guān)鍵應(yīng)用有關(guān),并且有各種傳感器支持,其中包括 RTD,其概念較為簡單:利用鎳、銅、鉑等金屬的已知且可重復(fù)的電阻溫度系數(shù) (TCR)。0°C 時電阻值為 100 Ω 和 1000 Ω 的鉑 RTD 應(yīng)用最為廣泛,可在 -200°C 至 +850°C 范圍內(nèi)使用。
在此溫度范圍內(nèi),這些 RTD 的電阻與溫度之間具有高度線性的關(guān)系;對于超高精度場景,可以應(yīng)用校正和補償表及系數(shù)。標(biāo)稱電阻為 100 Ω 的鉑 RTD(命名為 PT100)在 -200°C 時的典型電阻為 18 Ω,在 +850°C 時的典型電阻為 390.4 Ω。
使用 RTD 需要用已知電流激勵,該電流通常保持在 1 mA 左右,以盡量減少自發(fā)熱。根據(jù) RTD 的標(biāo)稱電阻,也可使用其他電流值。
RTD 兩端的電壓降由 AFE 同步測量,該 AFE 包括一個可編程增益放大器 (PGA),并且在幾乎所有情況下,還包括模數(shù)轉(zhuǎn)換器 (ADC) 與微控制器單元 (MCU) 的組合(圖 2)。
圖 2:使用 RTD 測量溫度,需要驅(qū)動一個已知電流通過 RTD,測量其兩端的電壓降,然后應(yīng)用歐姆定律。(圖片來源:Digi-Key)
這種基本方案的電路拓?fù)浣Y(jié)構(gòu)與使用檢測電阻來測定通過負(fù)載的電流相同,但在這里,已知變量與未知變量發(fā)生互換。對于電流感測,電阻是已知的,而電流是未知的,因此計算公式為 I = V/R。對于 RTD,電流是已知的,但電阻不是,因此計算公式為 R = V/I。
需要使用 PGA 來保持信號完整性并最大限度地提高動態(tài)范圍,因為 RTD 兩端的電壓電平從幾十毫伏到幾百毫伏不等,具體取決于 RTD 類型和溫度。
激勵源、RTD 和 PGA 之間的物理連接可以是雙線、三線或四線接口。雖然原則上兩根引線就足夠了,但存在與連接引線中的 IR 壓降相關(guān)的問題以及其他偽影。在更先進(jìn)的開爾文連接中,使用三線和四線拓?fù)淇梢垣@得更加精確和一致的性能,不過這會增加布線成本(圖 3)。
圖 3:僅通過兩根導(dǎo)線就可驅(qū)動和檢測 RTD(左),但使用三根引線(中),甚至四根引線(右,開爾文連接)可以消除引線造成的各種誤差源。(圖片來源:Analog Devices)
從術(shù)語和標(biāo)準(zhǔn)入手
同許多專業(yè)領(lǐng)域一樣,功能安全也有許多獨特的術(shù)語、數(shù)據(jù)集和縮寫詞,它們在相關(guān)討論中被廣泛使用。其中包括:
· 失效率 (FIT):設(shè)備運行 10 億 (109) 小時期間預(yù)計發(fā)生的失效次數(shù)。
· 故障模式和影響分析 (FMEA):盡可能多地審查元器件、組件和子系統(tǒng),以確定系統(tǒng)中潛在的故障模式及其原因和影響的過程。
· 故障模式影響和診斷分析 (FMEDA):用于獲得子系統(tǒng)/產(chǎn)品級故障率、故障模式和診斷能力的系統(tǒng)分析技術(shù)。
為了進(jìn)行全面分析,需要 FIT 數(shù)據(jù)以及系統(tǒng)中不同元器件的故障模式影響和診斷分析 (FMEDA)。FMEA 只提供定性信息,而 FMEDA 同時提供定性和定量信息,允許用戶衡量故障模式的關(guān)鍵程度,并根據(jù)重要性對其進(jìn)行排序。FMEDA 增加了風(fēng)險、故障模式、影響和診斷分析以及可靠性信息。
· 安全完整性等級 (SIL):與 SIL 相關(guān)的離散完整性等級有四個:SIL 1、SIL 2、SIL 3 和 SIL 4。SIL 等級越高,關(guān)聯(lián)的安全等級就越高,系統(tǒng)無法正常運行的概率就越低。
SIL 2 等級表明,可以診斷出系統(tǒng)內(nèi) 90% 以上的故障。要對設(shè)計進(jìn)行認(rèn)證,系統(tǒng)設(shè)計人員必須向認(rèn)證機構(gòu)提供證據(jù),說明潛在的故障,這些故障是安全故障還是危險故障,以及如何診斷故障。
· IEC 61508 標(biāo)準(zhǔn)正式名稱為“電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全”(非正式名稱為“電子功能安全”),是功能安全設(shè)計的規(guī)范。其規(guī)定了開發(fā) SIL 認(rèn)證元器件所需的設(shè)計流程。從概念和定義到設(shè)計、布局、制造、裝配和測試,每個步驟都需要生成文檔。
這一過程被稱為 Route 1S,非常復(fù)雜。不過,除了 Route 1S 之外,還有一種替代流程,即 Route 2S。這是一種“經(jīng)使用驗證”途徑,適用于大量產(chǎn)品已設(shè)計成最終產(chǎn)品和系統(tǒng),并在現(xiàn)場使用,累積運行數(shù)千小時的情況。
在 Route 2S 流程下,仍可通過向認(rèn)證機構(gòu)提供以下證據(jù)而獲得產(chǎn)品認(rèn)證:
· 現(xiàn)場使用的產(chǎn)品數(shù)量
· 現(xiàn)場任何退貨的分析,詳細(xì)說明退貨非由元器件本身的故障造成
· 安全規(guī)格書,詳細(xì)介紹產(chǎn)品提供的診斷功能和覆蓋范圍
· 引腳和芯片 FMEDA
· 合并 RTD 接口與 SIL Route 2S 流程
系統(tǒng)認(rèn)證是一個漫長的過程,因為必須審查系統(tǒng)中所有元器件的潛在故障機理,并且診斷故障的方法多種多樣。使用已通過認(rèn)證的元器件可減少所需的工作量,縮短認(rèn)證過程。
高度集成、成熟的 RTD 接口元器件是簡化 Route 2S 認(rèn)證的關(guān)鍵,因為其定義了完整的解決方案包,因而可以通過與現(xiàn)場使用和故障相關(guān)的數(shù)據(jù)對其進(jìn)行全面鑒定。這與使用多個較小的構(gòu)建塊 IC 不同,后者必須針對所使用的特定互連配置分析其各種接口和相互作用。
其中一個例子是四通道 AD7124-4(圖 4)和類似的八通道 AD7124-8(下文在討論它們的許多共同特性時,將其統(tǒng)稱為“AD7124”)。這些元器件具有嵌入式自檢和診斷特性,而且在現(xiàn)場“表現(xiàn)良好”,因此非常適合 Route 2S 流程。
圖 4:四通道 AD7124-4 是功能完整的 RTD 傳感器至處理器信號鏈。(圖片來源:Analog Devices)
這些 IC 是完整的多通道 RTD 測量解決方案,包含從傳感器到數(shù)字化輸出以及與相關(guān)微控制器通信所需的全部構(gòu)件。其中包括:多通道多路復(fù)用器、PGA、24 位三角積分 ADC、RTD 電流源、用于內(nèi)部操作的電壓基準(zhǔn)、系統(tǒng)時鐘、模擬和數(shù)字濾波,以及用于 SPI、QSPI、MICROWIRE 和 DSP 兼容互連的三線或四線串行接口。
但是,這些功能的存在本身并不能為 SIL Route 2S 資格認(rèn)證提供基礎(chǔ)。為了實現(xiàn)功能安全設(shè)計,構(gòu)成 RTD 系統(tǒng)的許多功能需要一系列的嵌入式診斷程序。AD7124 中的多種嵌入式診斷程序最大程度地降低了設(shè)計復(fù)雜性,縮短了設(shè)計時間,并且無需復(fù)制信號鏈以實現(xiàn)診斷覆蓋。
這些診斷程序包括但不限于:監(jiān)測電源、基準(zhǔn)電壓和模擬輸入;檢測 RTD 開路;檢查轉(zhuǎn)換和校準(zhǔn)性能;檢查信號鏈的功能;監(jiān)測讀/寫功能;以及監(jiān)測寄存器內(nèi)容。
這些“高級”說明如何轉(zhuǎn)化為必要的片上診斷?答案涉及許多方面,包括:
SPI 診斷:每次寫入 AD7124 時,處理器都會生成一個循環(huán)冗余校驗 (CRC) 值,該值附加到發(fā)送至 ADC 的信息中。然后,ADC 根據(jù)接收到的信息生成自己的 CRC 值,并將其與從處理器接收到的 CRC 值進(jìn)行比較。如果兩個值一致,則信息完好無損,將被寫入相關(guān)的片上寄存器。
如果值不一致,則意味著信息在傳輸過程中發(fā)生了損壞,IC 會設(shè)置一個錯誤標(biāo)志,表明發(fā)生了數(shù)據(jù)損壞。AD7124 還具有自我保護功能,不會將損壞的信息寫入寄存器。
系統(tǒng)處理器從 AD7124 讀取信息時,也會使用類似的 CRC 過程。最后,接口還會對時鐘脈沖進(jìn)行計數(shù),以確保每個讀取或?qū)懭霐?shù)據(jù)幀中只有 8 個這樣的脈沖,從而確保不會出現(xiàn)時鐘毛刺。
存儲器檢查:當(dāng)上電時或片上寄存器發(fā)生變化時(如更改增益時),也會使用 CRC 驗證寄存器內(nèi)容。此外,還會定期執(zhí)行 CRC 過程,以確保沒有存儲器位因噪聲或其他原因而“翻轉(zhuǎn)”。如果發(fā)生了變化,并且處理器隨后被標(biāo)記為寄存器設(shè)置已損壞,則可以復(fù)位 ADC 并重新加載寄存器。
信號鏈檢查:所有關(guān)鍵靜態(tài)電壓都可以通過 ADC 檢查,包括電源軌、低壓差 (LDO) 穩(wěn)壓器輸出和基準(zhǔn)電壓;還可以檢查 LDO 兩端是否存在外部電容器。此外,還可以對 ADC 輸入端施加一個已知電壓,以檢查 ADC 和增益功能設(shè)置。另外,可以在模擬輸入上注入已知電流,以檢查開路或短路 RTD。
轉(zhuǎn)換和校準(zhǔn):持續(xù)檢查 ADC 轉(zhuǎn)換的結(jié)果,了解其是否為全零值或滿刻度值,這兩種情況都表示存在問題。監(jiān)測來自 ADC 內(nèi)核調(diào)制器的比特流,確保其未飽和,如果出現(xiàn)飽和(即調(diào)制器連續(xù)產(chǎn)生 20 個 1 或 0),則會設(shè)置一個錯誤標(biāo)志。
主時鐘頻率:該時鐘頻率不僅控制轉(zhuǎn)換速率,還決定 50/60 Hz 數(shù)字濾波器的陷波頻率。AD7124 的內(nèi)部寄存器允許協(xié)處理器計時,從而檢查主時鐘的精度。
其他特性:AD7124 包括一個溫度傳感器,也可用來監(jiān)測芯片溫度。兩個版本都有 4 kV 靜電放電 (ESD) 額定值,性能穩(wěn)健,并且均采用 5 × 5 mm LFCSP 封裝,適用于本質(zhì)安全設(shè)計。
由于 AD7124-4 和 AD7124-8 內(nèi)部復(fù)雜精密,并具有高級自檢特性,因此擁有對 IC 進(jìn)行測試和評估的一種方法也合情合理。
為此,Analog Devices 提供了一對互連板:用于 AD7124-4 的 EVAL-AD7124-4SDZ 評估板(圖 5)和配套的 EVAL-SDP-CB1Z SDP(系統(tǒng)演示平臺)/接口板(圖 6)。前者專用于 AD7124-4,與后者配合使用,后者通過 USB 鏈路與用戶的 PC 和評估軟件進(jìn)行通信。
圖 5:EVAL-AD7124-4SDZ 是 AD7124-4 的評估板。(圖片來源:Analog Devices)
圖 6:EVAL-SDP-CB1Z/接口板是 EVAL-AD7124-4SDZ 評估板的配套產(chǎn)品,提供與主機 PC 的 USB 連接。(圖片來源:Analog Devices)
AD7124-4 EVAL+ 軟件支持該評估配置,可全面配置 AD7124-4 器件寄存器功能并對 IC 進(jìn)行測試。該軟件還以波形圖、直方圖和相關(guān)噪聲分析的形式提供時域分析,用于評估 ADC 性能。
向功能安全設(shè)計過渡
必須認(rèn)識到,AD7124-4 和 AD7124-8 沒有 SIL 等級,這意味著二者的設(shè)計和開發(fā)均未遵照 IEC 61508 標(biāo)準(zhǔn)定義的開發(fā)準(zhǔn)則。但是,通過了解最終應(yīng)用并適當(dāng)使用各種診斷,可以評估它們是否可在 SIL 等級設(shè)計中使用。
Route 1S 認(rèn)證途徑在分析和處理故障時需要考慮多個因素,這些故障可能是系統(tǒng)性的或隨機的。系統(tǒng)性故障由設(shè)計或制造缺陷造成,例如外部中斷引腳缺乏濾波導(dǎo)致的噪聲中斷,或信號裕量不足等。而隨機故障是由于腐蝕、熱應(yīng)力或磨損等物理原因造成的。
一個重要問題是所謂“未檢測到的危險故障”,有多種技術(shù)可以解決這個問題。為了盡量減少隨機故障,設(shè)計人員會使用三種策略中的一種或全部:
· 更可靠、應(yīng)力更小的元器件。
· 依賴內(nèi)置檢測機制的診斷,這些機制通過硬件或軟件實現(xiàn)。
· 通過冗余電路實現(xiàn)容錯。增加冗余路徑可以使系統(tǒng)不受單一故障影響。這就是所謂的硬件容錯 1 (HFT 1) 系統(tǒng),即一個故障不會導(dǎo)致系統(tǒng)失效。
用于了解 SIL 等級覆蓋率的一種工具是羅列安全失效比例(SFF,診斷覆蓋率)和硬件容錯性(冗余度)的矩陣(圖 7)。
圖 7:此矩陣描述了安全失效比例 (SFF) 與硬件容錯性 (HFT) 的關(guān)系,以供深入了解 SIL 覆蓋范圍。(圖片來源:Analog Devices)
行顯示診斷覆蓋率,列顯示硬件容錯性。HFT 為 0 意味著,如果系統(tǒng)出現(xiàn)一個故障,安全功能就會喪失。診斷級別越高,所需的系統(tǒng)冗余量就越少,或者在冗余量相同的情況下,解決方案的 SIL 等級就越高(沿著矩陣下移)。
請注意,根據(jù) IEC 61508 標(biāo)準(zhǔn),使用這些器件的典型溫度應(yīng)用的 FMEDA 顯示安全失效比例 (SFF) 大于 90%。通常需要兩個傳統(tǒng) ADC 以便通過冗余提供此覆蓋率,但 AD4172 只需要一個 ADC,因此可大幅節(jié)省物料清單 (BOM) 成本和電路板空間。
SIL 等級設(shè)計的文件
獲得 Route 1S 認(rèn)證需要大量文件。必要的源文件包括:
· 安全規(guī)格書(SIL 等級元器件的安全手冊)
· 引腳 FMEDA 和芯片 FMEDA,以及二者的故障模式、影響和分析
· 附件 F 檢查清單(由 IEC 61508 定義)
反過來,這些文件又有多種來源(圖 8):
· 規(guī)格書中的診斷數(shù)據(jù)反映元器件提供的所有診斷特性。
· 設(shè)計數(shù)據(jù)指的是內(nèi)部數(shù)據(jù)。例如,芯片面積和元器件每個內(nèi)部模塊的影響。
· FIT 以及各組件的失效率可從數(shù)據(jù)手冊獲取。
· 對于無法使用設(shè)計和診斷數(shù)據(jù)來分析的模塊,則進(jìn)行故障插入測試。這些測試根據(jù)應(yīng)用要求進(jìn)行規(guī)劃,故障插入測試的結(jié)果用于強化 FMEDA 和 FMEA 文件。
圖 8:匯總和提取各種文件來源,以提供 SIL 認(rèn)證所需的完整信息包。(圖片來源:Analog Devices)
更詳細(xì)地探究細(xì)節(jié):
· 安全手冊或安全規(guī)格書使用所有匯編的信息來提供必要的要求,以支持 AD7124-4 或 AD7124-8 的集成。其整理了來自各種文件和數(shù)據(jù)集的所有診斷和分析。
· AD7124-4 和 AD7124-8 的芯片 FMEDA 分析應(yīng)用原理圖中的主要模塊,確定故障模式和影響,并檢查用于特定安全功能的診斷和分析。例如,對時鐘模塊的分析顯示了故障模式、每種模式對輸出的影響、診斷覆蓋率以及影響分析(圖 9)。
圖 9:此表定義了主時鐘模塊的故障模式、影響、診斷和分析。(圖片來源:Analog Devices)
該芯片 FMEDA 可定量顯示安全故障、已檢測到的危險故障和未檢測到的危險故障的故障率。所有這些都用于計算 SFF。
引腳 FDEMA 從不同角度看待故障。其分析了 AD7124-4 和 AD7124-8 引腳上的各類故障及其對 RTD 應(yīng)用的影響。它針對每個引腳進(jìn)行分析,并描述引腳開路、與電源/接地短路或與相鄰引腳短路等情況的結(jié)果。
附件 F 檢查清單是一份避免系統(tǒng)性故障的設(shè)計措施檢查清單。包括:
· 產(chǎn)品概覽
· 應(yīng)用信息
· 安全理念
· 壽命預(yù)測
· FIT
· FMEDA 計算 - SFF 和 DC
· 硬件安全機制
· 診斷說明
· EMC 魯棒性
· 冗余配置運行
· 附件和文件清單
總之,通過 Route 1S 對新導(dǎo)入的元器件進(jìn)行功能安全認(rèn)證是一項漫長、復(fù)雜、耗時、緊張的綜合性工作。幸運的是,如上所述,Route 2S 對某些元器件而言是一種可行的替代方法。
Route 2S:替代途徑
Route 2S 適用于有現(xiàn)場應(yīng)用經(jīng)驗和數(shù)據(jù)的已發(fā)布元器件,稱為“經(jīng)使用驗證”的元器件。其基于對器件的客戶退貨情況和發(fā)貨數(shù)量的分析,不適用于只有很少或根本沒有實際使用記錄的新元器件。
Route 2S 支持 SIL 認(rèn)證,就像元器件根據(jù) IEC 61508 標(biāo)準(zhǔn)進(jìn)行了全面分析一樣。如果模塊和系統(tǒng)設(shè)計人員過去成功使用過相關(guān) IC,并知道了現(xiàn)場的故障率,就可以使用它。嵌入式測試和驗證特性以及性能數(shù)據(jù),使 AD7214-4 和 AD7214-8 成為 Route 2S 的理想候選器件。
使用 Route 2S 需要詳細(xì)的、具有統(tǒng)計意義的現(xiàn)場退貨和故障數(shù)據(jù)。與電路板或模塊供應(yīng)商相比,IC 供應(yīng)商滿足這一要求要難得多。原因是后者一般對最終應(yīng)用情況了解不夠,或者不知道有多少比例的現(xiàn)場故障單元被退回給他們進(jìn)行分析。
總結(jié)
新產(chǎn)品功能安全認(rèn)證的 Route 1S 路徑非常縝密、全面和詳細(xì)。其在技術(shù)上也很有挑戰(zhàn)性,而且非常耗時。相比之下,Route 2S 流程允許根據(jù)現(xiàn)場經(jīng)驗、故障和分析數(shù)據(jù)對已發(fā)布產(chǎn)品進(jìn)行認(rèn)證。AD7214-4 和 AD7214-8 RTD 接口 IC 具有所需的歷史記錄,因此支持這種非常有用的途徑。同樣重要的是,這些 IC 嵌入了許多診斷和自檢功能及特性,因而是此類認(rèn)證的合適候選產(chǎn)品。
(作者:Bill Schweber)
免責(zé)聲明:本文為轉(zhuǎn)載文章,轉(zhuǎn)載此文目的在于傳遞更多信息,版權(quán)歸原作者所有。本文所用視頻、圖片、文字如涉及作品版權(quán)問題,請聯(lián)系小編進(jìn)行處理。
推薦閱讀:
什么情況下網(wǎng)絡(luò)安全遠(yuǎn)遠(yuǎn)不夠?
使用TMT4 PCIe性能綜合測試儀創(chuàng)建PCIe參考模板
第十七屆中國(華南)電池供應(yīng)鏈及儲能技術(shù)博覽會邀請函