如何设计和认证功能安全的电阻温度检测器系统

描述

  作者:Mary McCarthy 和 Wasim Shaikh

本文将讨论功能安全系统的电阻温度检测器(RTD)电路设计以及Route 2S组件认证流程。认证系统是一个漫长的过程,因为必须检查系统中的所有组件是否存在潜在的故障机制,并且有多种方法可以诊断故障。使用已认证的部件可以减轻此工作量以及认证过程。

介绍

温度是过程控制系统中的关键测量值。它可以是直接测量,测量化学反应的温度。它也可以是补偿测量,例如,压力传感器的温度补偿。对于任何系统设计,这种测量的准确性、可靠性和鲁棒性都是至关重要的。对于某些最终设计,检测系统故障至关重要,如果系统发生故障,它将转换为安全状态。在这些环境中使用功能安全设计。认证级别表示设计中包含的诊断覆盖级别。

什么是功能安全

在功能安全的设计中,系统需要检测任何故障。想想一个正在加满油箱的炼油厂。如果液位传感器发生故障,重要的是检测到该故障,以便可以主动关闭罐体的阀门。这将防止储罐溢出并避免潜在的危险爆炸。或者,可以使用冗余。这是可以在设计中使用两个电平传感器的地方,以便在第一级传感器发生故障时,系统可以使用第二级传感器继续运行。当设计获得认证时,会给予其 SIL 评级。此评级表示设计提供的诊断覆盖范围。SIL 等级越高,解决方案就越坚固。SIL 2 等级表示可以诊断系统中 90% 以上的故障。为了认证设计,系统设计人员必须向认证机构提供有关潜在故障的证据,无论这些故障是安全故障还是危险故障,以及如何诊断故障。需要FIT等数据以及系统中不同组件的故障模式影响和诊断分析(FMEDA)。

设计温度系统

在本文中,我们将重点介绍 RTD。然而,有许多不同类型的温度传感器——RTD、热敏电阻和热电偶。设计中使用的传感器取决于所需的精度和被测温度范围。每种传感器类型都有自己的要求:

热电偶偏置

激励RTD的激励电流

热电偶和热敏电阻的绝对基准

因此,除了ADC之外,还需要其他构建模块来激励传感器并调节前端的传感器。为了功能安全,所有这些模块都必须可靠且坚固。此外,必须检测到不同块的任何故障。传统上,系统设计人员使用重复信号链,因此将使用两个信号链,每个信号链检查另一个信号链,以确保:

传感器已连接

没有开口或短裤

引用处于正确的级别

PGA仍在运作

认证过程需要文档来证明设计是稳健的。这是一个耗时的过程,有时很难从IC制造商那里获得某些信息。

但是,AD7124-4/AD7124-8集成模拟前端现在包括RTD设计所需的所有构建模块。此外,嵌入式诊断功能消除了出于诊断目的而重复信号链的需要。除了芯片增强功能外,ADI公司还提供文档,其中包括认证机构所需的所有信息(FIT引脚FMEDA、芯片FMEDA)。这简化了功能安全的认证过程。

IEC 61508 是功能安全设计的规范。本规范记录了开发 SIL 认证部件所需的设计流程。需要为每个步骤生成文档,从概念、定义、设计、布局、制造、组装和测试。这被称为 1S 号公路。另一种选择是使用 Route 2S 流。这是一种经过验证的使用路线,因此,当大量产品被设计到最终客户的系统中并在现场使用1000小时时,产品仍可以通过向认证机构提供以下证据来认证:

现场使用的卷

分析来自现场的任何回报,并详细说明返回不是
由于组件本身的故障造成的

安全数据表详细介绍了诊断及其提供的覆盖范围
 

引脚和模具 FMEDA

3线RTD设计

即时热饮器

RTD 可用于测量 –200°C 至 +850°C 范围内的温度,并在此温度范围内具有近乎线性的响应。用于RTD的典型元素是镍,铜和铂,其中100 Ω和1000 Ω铂RTD是最常见的。RTD 由两线、三线或四线组成,其中 3 线和 4 线是最常用的。这些是无源传感器,需要激励电流来产生输出电压。此类 RTD 的输出电压电平从 10 毫伏到 100 毫伏不等,具体取决于所选的 RTD。

热电阻设计

图1所示为3线RTD系统。AD7124-4/AD7124-8是一款用于RTD测量的集成解决方案,包括系统所需的所有构建模块。为了充分优化该系统,需要两个相同匹配的电流源。这两个电流源用于消除RL1产生的引线电阻误差。一个激励电流流过两个精密基准电阻 R裁判和 RTD。第二个电流流过引线电阻RL2并产生一个电压,以抵消RL1两端的压降。精密基准电阻两端产生的电压用作ADC的基准电压REFIN1(±)。由于使用一个激励电流来产生基准电压和RTD两端的电压,因此电流源精度、失配和失配漂移对整个ADC传递函数的影响最小。AD7124-4/AD7124-8提供激励电流值选择,允许用户调整系统,以便使用大部分ADC输入范围,从而提高性能。

传感器

图1.3线RTD温度系统。

RTD的低电平输出电压需要放大,以便使用ADC的大部分输入范围。AD7124-4/AD7124-8的PGA可在1至128的增益范围内进行编程,允许客户在激励电流值与增益和性能之间进行权衡。传感器和ADC之间需要进行滤波,以实现抗混叠和EMC目的。参考缓冲器允许滤波器的R和C分量具有无限的值;也就是说,这些组件不会影响测量的准确性。

系统中还需要校准以消除增益和失调误差。图1显示了该3线B类RTD在内部零电平和满量程校准后测得的温度误差,总误差远小于±1°C。

模数转换器要求

对于温度系统,测量主要是低速(通常每秒最多 100 个样本)。因此,需要低带宽ADC。但是,ADC必须具有高分辨率。Σ-Δ型ADC适用于这些应用,因为可以使用Σ-Δ架构开发低带宽、高分辨率ADC。

使用Σ-Δ转换器时,模拟输入被连续采样,采样频率远高于目标频段。它们还使用噪声整形,将噪声从目标频带推到转换过程未使用的区域,从而进一步降低目标频带中的噪声。数字滤波器衰减目标频带外的任何信号。

数字滤波器确实具有采样频率和采样频率倍数的图像。因此,需要一些外部抗混叠滤波器。然而,由于过采样,一个简单的一阶RC滤波器足以满足大多数应用的需求。Σ-Δ架构允许开发p-p分辨率高达21.7位的24位ADC(21.7个稳定位或无闪烁位)。Σ-Δ 架构的其他优点包括:

模拟输入的宽共模范围

基准输入的宽共模范围

能够支持比率配置

传感器

图2.频率响应,后置滤波器,25 SPS:(a) 直流至 600 Hz 和 (b) 40 Hz 至 70 Hz。

滤波(50 Hz/60 Hz 抑制)

除了如前所述抑制噪声外,数字滤波器还可用于提供50 Hz/60 Hz抑制。当系统由主电源运行时,干扰发生在 50 Hz 或 60 Hz 时。在欧洲,有 50 Hz 及其倍数的电源生成频率,在美国有 60 Hz 及其倍数的电源生成频率。低带宽ADC主要使用sinc滤波器,可以将其编程为将陷波设置为50 Hz和/或60 Hz以及50 Hz和60 Hz的倍数,从而提供50 Hz/60 Hz及其倍数的抑制。使用建立时间短的滤波方法提供50 Hz/60 Hz抑制的需求越来越高。在多通道系统中,ADC通过所有使能通道进行时序控制,在每个通道上生成转换。选择通道时,需要滤波器建立时间才能生成有效的转换。如果建立时间缩短,则在给定时间段内转换的通道数会增加。AD7124-4/AD7124-8内置后置滤波器或FIR滤波器,与sinc3或sinc4滤波器相比,可在更短的建立时间内提供50 Hz/60 Hz同步抑制。图3显示了一个数字滤波器选项:该后置滤波器的建立时间为41.53 ms,同时提供50 Hz/60 Hz的62 dB抑制。

传感器

图3.每通道配置

诊断

为了实现功能安全的设计,需要对构成RTD系统的所有功能进行诊断。由于AD7124-4/AD7124-8具有多个嵌入式诊断功能,因此简化了设计复杂性和设计时间。它还消除了复制信号链以实现诊断覆盖的需要。

典型的诊断要求是:

电源/基准电压/模拟输入监控

开路检测

转换/校准检查

信号链功能检查

读/写监控

注册内容监控

让我们更详细地看一下嵌入式诊断。

SPI 诊断

CRC在AD7124-4/AD7124-8上提供。启用后,所有读取和写入操作都包括 CRC 计算。校验和为 8 位宽,是使用多项式生成的。

传感器

因此,每次写入AD7124-4/AD7124-8时,处理器都会生成一个CRC值,该值附加到发送到ADC的信息中。ADC根据接收到的信息生成自己的CRC值,并将其与从处理器接收的CRC值进行比较。如果两个值一致,这将确保信息完好无损,并将写入相关的片上寄存器。如果CRC值不匹配,则表示传输中发生了位损坏。在这种情况下,AD7124-4/AD7124-8设置一个错误标志,指示发生了数据损坏。他们还通过不将损坏的信息写入登记册来自我保护。同样,当从AD7124-4/AD7124-8读取信息时,它们将生成一个CRC值以伴随信息。处理器将处理此 CRC 值以确定传输是有效还是损坏。

AD7124-4/AD7124-8数据手册列出了客户可以访问的寄存器(用户寄存器)。AD7124-4/AD7124-8检查正在访问的寄存器地址。如果用户尝试读取或写入数据手册中未记录的寄存器,则会设置一个错误标志,指示处理器正在尝试访问非用户寄存器。同样,此寄存器访问附带的任何信息都不适用于寄存器。

AD7124-4/AD7124-8还具有SCLK计数器。所有读取和写入操作都是 8 的倍数。当 CS 用于帧读取和写入操作时,当 CS 较低时,SCLK 计数器会计算每个读/写操作中使用的 SCLK 脉冲数。当 CS 取高时,通信中使用的 SCLK 数量应为 8 的倍数。如果SCLK上发生毛刺,这将导致SCLK脉冲过多。如果发生这种情况,AD7124-4/AD7124-8将再次设置错误标志,并放弃输入的任何信息。

状态寄存器指示正在转换的通道。读取数据寄存器时,可以将状态位附加到转换结果中。这为处理器/ADC通信增加了另一层鲁棒性。

因此,上述所有诊断功能可确保ADC和处理器之间的通信可靠。它们确保AD7124-4/AD7124-8仅接受有效信息。当 CS 用于帧读取和写入操作时,每次 CS 达到高电平时,串行接口都会重置。这可确保所有通信都从已定义或已知状态开始。

内存检查

每次改变片内寄存器(例如改变增益)时,都会对寄存器执行CRC,并将生成的CRC值临时存储在内部。AD7124-4/AD7124-8定期在内部对寄存器执行额外的CRC检查。将生成的CRC值与存储值进行比较。如果值由于位翻转而不同,则设置一个标志。这向处理器指示寄存器设置已损坏。然后,处理器可以复位ADC并重新加载寄存器。

片上ROM保存默认寄存器值。上电或复位后,ROM内容将应用于用户寄存器。在最终的生产测试中,计算ROM内容的CRC,并将生成的CRC值存储在ROM中。在上电或复位时,再次对ROM内容执行CRC,并将所得CRC值与保存的值进行比较。如果值不同,则表示默认寄存器设置将不符合预期。需要电源循环或复位。

信号链检查

包括许多信号链检查。电源轨 (AVDD、影视党卫军和 IOVDD) 可以施加到 ADC 输入,从而允许监视电源轨。AD7124-4/AD7124-8内部内置一个模拟和数字低压差(LDO)稳压器。这些也可以应用于ADC并进行监控。AD7124-4/AD7124-8内置x多路复用功能。此外,AV党卫军可以在内部用作 AIN-。这允许检查模拟输入引脚上的绝对电压。因此,客户可以探测输出激励电流的引脚,并探测AIN+和AIN-引脚。这将检查连接性并确保各种引脚上的电压处于正确的水平。

为了检查基准电压,基准检测功能将指示基准电压过低。客户还可以选择内部基准作为模拟输入,以便用于监视外部基准电阻两端产生的电压。这假设基准电阻两端的电压略高于2.5 V(内部基准电压源的幅度)。

AD7124-4/AD7124-8还包括一个20 mV内部电压。这对于检查增益级很有用。例如,使用20 mV作为模拟输入时,增益可以从1更改为2,4,...128. 每次增加增益时,转换结果将按 2 倍缩放,这确认增益级正常工作。

X 多路复用在检查卡住位时也很有用。它允许交换AIN+和AIN-引脚。然后反转转换结果。因此,使用20 mV和x多路复用允许用户检查卡住的位。

为 AIN+ 和 AIN– 选择相同的模拟输入引脚并偏置此内部短路,可以检查 ADC 噪声,以确保其工作在规格范围内。嵌入式基准电压源(+2.5 V)可在内部选择作为ADC的输入,因此再次应用+V裁判和 –V裁判有助于确认信号链是否正常工作。

可编程的烧毁电流对于检查传感器连接非常有用。PT100 的电阻通常在 –200°C 时为 18 Ω,在 +850°C 时具有 390.4 Ω。 启用烧毁电流后,可以执行转换。如果RTD短路,将获得接近0的转换结果。AIN+ 和 AIN– 之间的开路将导致接近 0xFFFFFF 的转换。正确连接RTD后,不应获得接近0或全部1的代码。

最后,AD7124-4/AD7124-8具有过压和欠压检测功能。正在转换的AIN+和AIN-引脚上的绝对电压通过比较器持续监控。当 AIN+ 或 AIN– 上的电压超出电源轨 (AVDD和视听党卫军).

这种高度集成减少了执行测量和提供诊断范围所需的物料清单 (BOM)。减少了设计时间和设计复杂性。

转换/校准

AD7124-4/AD7124-8上的转换也受到监控。如果 (AIN+ – AIN–)/增益大于 +满量程或小于 –满量程,则设置一个标志。ADC的转换变为全部1(模拟输入过高)或全部0(模拟输入太低),因此客户知道故障已发生。

来自调制器的比特流受到监控,以确保调制器不会饱和。如果发生饱和(调制器连续 20 个 1 或 20 个 0 输出),则设置一个标志。

AD7124-4/AD7124-8包括内部失调和再次校准以及系统失调和增益校准。如果校准失败,则会向用户标记。请注意,如果校准失败,失调和增益寄存器不会更新。

电源

除了前面讨论的电源检查外,AD7124-4/AD7124-8还包括连续监控内部LDO稳压器的比较器。因此,如果来自这些LDO稳压器的电压低于跳变点,则会立即报告错误。

这些LDO稳压器需要一个外部电容器。也可以检查该电容器的存在。

MCLK 柜台

滤波器配置文件和输出数据速率与MCLK直接相关。当主时钟为614.4 kHz时,数据手册中列出的输出数据速率是正确的。如果主时钟改变频率,输出数据速率和滤波器陷波也会改变。例如,如果滤波器陷波用于抑制50 Hz或60 Hz,则变化的时钟会降低获得的衰减。因此,了解时钟频率对于确保获得最佳抑制非常重要。AD7124-4/AD7124-8内置MCLK计数器寄存器。该寄存器每 131 个 MCLK 周期递增 1。为了测量MCLK频率,处理器中需要一个定时器。寄存器可以在时间 0 读取,然后在计时器超时后读取。利用这些信息,可以确定主时钟的频率。

每通道配置

AD7124-4/AD7124-8允许每通道配置;也就是说,它们支持八种不同的设置,一种设置由基准电压源、增益设置、输出数据速率和滤波器类型组成。当用户配置通道时,会将八个设置中的一个分配给该通道。请注意,通道可以是模拟输入或诊断,例如测量电源(AVDD-AV党卫军).因此,客户可以设计一个由模拟输入和诊断组成的序列。每通道配置允许诊断以与模拟输入转换不同的输出数据速率运行。由于诊断不需要与主要测量相同的精度,因此客户可以将诊断与测量交错,并以更高的输出数据速率运行诊断。因此,这些嵌入式功能减少了处理器的工作量。

传感器

图4.将设置分配给通道

其他功能

AD7124-4/AD7124-8内置温度传感器,也可用于监控管芯温度。两款器件的ESD额定值均为4 kV,可提供稳健的解决方案。两款器件均采用 5 × 5 mm LFCSP 封装,适用于本质安全设计。

根据IEC 61508,使用这些设备的典型温度应用的FMEDA显示安全故障分数(SFF)大于90%。通常需要两个传统的ADC来提供这种级别的覆盖范围。

内置诊断的其他优势

除了节省BOM和成本外,诊断还可以在避免设计复杂性,减少资源使用和加快客户上市时间方面节省成本。让我们借助以下示例来理解这一点:

AD7124-4/AD7124-8内置MCLK计数器,用于测量主时钟频率并捕获主时钟中的任何不一致。主时钟计数器是一个 8 位寄存器,每 131 个 MCLK 周期递增一次。SPI主机读取该寄存器,以确定内部/外部614.4 kHz时钟的频率。

如果我必须在AD7124-4/AD7124-8外部实现MCLK频率检查,该怎么办?它将需要以下硬件资源:

带外围设备的微控制器,如计数器和外部
中断控制器

施密特触发电路

另请注意,存储和运行包含中断服务例程的代码需要内存。总体而言,该方案如图 5 所示。

传感器

图5.由微控制器实现的MCLK频率监视器

此外,我们必须确保代码经过检查并符合编码准则和限制。因此,总体而言,实施单独的诊断部分将产生大量开销;因此,内置诊断功能带来了额外的好处:

节省空间和 BOM

提高系统可靠性;更少的组件 = 更高的可靠性

加快上市时间

软件开发 — 开发和运行诊断例程

硬件测试

系统测试

节省微控制器内存

运行诊断不需要代码

编码指南要求进行大量双内存代码检查

即用型安全文档可节省系统评估时间

辅助功能安全设计

AD7124-4/AD7124-8没有SIL额定值,这意味着它们不是按照IEC 61508标准设计和开发的。但是,通过了解各种诊断的最终应用和用途,可以评估AD7124-4/AD7124-8在SIL额定设计中的应用。

功能安全术语

让我们回顾一下对认证之旅很重要的一些概念:

故障:系统性和随机性

诊断覆盖范围

硬件容错

零星水平

故障:系统性和随机性

系统故障是某种原因造成的确定性(非随机)故障,可以通过修改设计或制造过程、操作程序、文档或其他相关因素来消除。例如,由于外部中断引脚上缺少滤波,系统出现嘈杂中断。

另一方面,随机故障是由于物理原因造成的,这些原因适用于系统中的硬件组件。这种类型的故障是由腐蚀、热应力和磨损等影响引起的,不可能通过系统的过程来捕获此类故障。

为了处理随机故障,我们可以使用可靠性、诊断和冗余等方法。

在可靠性方面,我们确保使用可靠的组件,而通过诊断,我们确保可以检测和纠正这些故障。确保可靠性的另一种方法是增加冗余以降低故障概率,但随后会增加系统成本和空间。

随机故障有四种类型,即安全检测、安全未检测、危险检测和危险未检测。

例如,考虑一个系统,其安全功能是在温度读数较高时为机器打开电源开关。任何不影响安全功能的随机故障,即打开电源开关,称为安全检测到或安全未检测到的故障。影响安全功能的其他故障是危险的故障。对我们来说,最重要的一个是危险的未被发现的故障。此故障类型不在诊断范围内,因此我们的目标是增加诊断,以将未检测到的危险故障降至最低。

传感器

图6.随机故障类型。

诊断覆盖范围

随机故障可以通过软件或硬件形式的各种内置检测机制来检测。例如,MOSFET开关中的故障可以通过回读输出来检测,或者可以通过定期运行CRC存储器检查来检测随机存储器位翻转。

诊断覆盖率是系统检测危险故障的能力,数学上定义为检测到的危险故障与危险故障的比率。

硬件容错

考虑一个可编程逻辑控制器(PLC)系统,如图7所示,其安全功能是在输入超过特定值时打开开关以停止机器。在HFT = 0图中,如果存在单个随机故障(X),则系统将发生故障,机器将不会停止。

传感器

图7.一个PLC系统。

现在,如果我们有一个冗余路径,如HFT = 1图所示,那么单个随机故障将不再导致故障,我们将能够停止机器。

因此,通过添加冗余路径,可以容忍单个故障;该系统称为HFT 1系统,它表示一次故障不会导致系统故障。HFT 0 表示一个故障可能导致系统故障。硬件容错是组件或子系统在存在一个或多个危险故障时执行安全功能的能力。

HFT 可以从 1oo1、1oo2、2oo3 等架构中计算出来。如果架构表示为 MooN,则高频交易计算为 N – M。换句话说,2oo4 架构的 HFT 为 2。这意味着它可以容忍两次故障并且仍然可以工作,因此它是一个具有冗余的架构。

SIL 级别覆盖范围

表 1 绘制了 SFF(即诊断覆盖量)和硬件容错(表示冗余)。

 

元件的安全失效分数 硬件容错
0 1 2
<60% 不允许 SIL 1 SIL 2
60% 至 <90% SIL 1 SIL 2 SIL 3
90% 至 <99% SIL 2 SIL 3 SIL 4
≥99% SIL 3 SIL 4 SIL 4

 

行显示诊断覆盖率,而列显示硬件容错。HFT为0意味着如果系统中存在一个故障,安全功能将丢失(见表1)。

如果我们添加冗余以实现HFT 1,如图7所示,系统可以容忍一次故障,而不会使系统停机。因此,目前通过冗余实现 SIL 3 的客户如果使用具有更高诊断覆盖范围的部件,则可以在没有冗余的情况下达到 SIL 3 等级。

因此,通过更高级别的诊断,我们可以减少所需的系统冗余量,或者我们以相同的冗余级别改进解决方案的 SIL 级别(下移至表 1)。

现在,让我们回顾一下AD7124-4/AD7124-8中的诊断功能,它们支持各种内置机制,如电源/基准电压/AIN监控、开路检测、转换/校准检查、信号链功能检查、读/写监控、寄存器内容监控等,从而扩大AD7124-4/AD7124-8系统的诊断范围。如果没有这些诊断,则需要两个ADC才能达到相同的理想电平。

因此,一个AD7124-4或AD7124-8提供相同级别的覆盖范围,其诊断范围和特性支持功能安全系统的设计。这样可以节省 50% 的 BOM 和印刷电路板空间。

支持 SIL 等级设计的文档

辅助终端系统 SIL 认证所需的文档包括:

安全数据表(安全手册适用于 SIL 额定部件)

引脚 FMEDA(失效模式、影响和分析)和芯片 FMEDA(失效
模式、效应和诊断分析)

附件F核对表

这些文档由输入组成,主要来自四个数据源,如图 8 所示。这些数据是诊断数据、设计数据、FIT 速率和故障插入测试数据。

数据手册中的诊断数据捕获了器件中可用的所有诊断功能

设计数据是指内部数据,例如,模具面积和零件每个内部块的影响。

各种组件的FIT或及时故障率可从数据手册中获得。一个流行的例子是西门子数据手册SN 29500。

故障插入测试是针对模块进行的,无法使用设计和诊断数据分析。这些测试是根据所需的应用进行规划的,故障插入测试的结果用于加强 FMEDA 和 FMEA 文档。

传感器

图8.功能安全文档信息流。

Die FMEDA

AD7124-4/AD7124-8 FMEDA分析应用原理图中的主要模块,识别故障模式和影响,并检查特定安全功能的诊断和分析。让我们看一下图 9 来了解其机制。

对于RTD型系统,安全功能是以±x度的精度测量温度;应用原理图如图9所示。

传感器

图9.RTD 应用示意图。

我们将危险故障定义为可能导致ADC输出或SPI通信错误的故障,如果输出中的误差很大,则可能导致危险故障。

安全状态定义为:

输出上的数据表示根据安全功能的输入

设置了错误状态位

ADC输出转换结果为全零或全1

无 SPI 通信

AD7124-4/AD7124-8根据IEC 61508被确定为B型系统。

为了解释 FMEDA,让我们以时钟模块为例并分析其故障模式。

表2显示了当时钟块面临第一列中描述的故障模式时会发生什么,它对输出的影响,诊断覆盖率的数量,最后是分析。

 

故障模式 影响 诊断覆盖范围 分析
输出卡在高电平 ADC转换结果冻结 99 MCLK 时钟计数器 - 表 A.11 - “具有单独时基和时间窗口的看门狗”
输出卡在低电平 ADC转换结果冻结 99 MCLK 时钟计数器 - 表 A.11 - “具有单独时基和时间窗口的看门狗”
输出高阻抗 ADC转换结果冻结 99 MCLK 时钟计数器 — 表 A.11 — “具有单独时基和时间窗口的看门狗”
输出漂移 ±10% ADC 转换结果损坏,50 Hz/60 Hz 陷波无效 99 MCLK 时钟计数器 - 表 A.11 - “具有单独时基和时间窗口的看门狗”
输出抖动 ADC转换结果损坏或有噪声 99 转换 0, ±FS - 表 A.13 “参考传感器”,对结果进行合理性检查

 

同样,我们分析AD7124-4/AD7124-8中的其余模块。

请注意,可能存在一些可能不会影响安全功能的故障;例如,AIN0引脚上的故障不会引起温度测量问题,因此可以排除在安全计算之外。

FMEDA 的结果将是安全故障、危险检测到的故障和危险的未检测到故障的故障率,这些故障用于计算 SFF。

别针 莫梅达

FMEDA引脚分析AD7124-4/AD7124-8引脚上的各种类型的故障及其针对此RTD应用的结果。我们逐步获取每个单独的引脚并分析结果,以防引脚断开或短路至电源/接地或短路至相邻引脚。

例如,让我们以图10中的引脚29(DIN)为例,参考图9所示的应用原理图,并检查不同故障的结果。表 3 显示了故障模式、影响和检测。

传感器

图 10.32 引脚 LFCSP 引脚配置。

 

引脚名称 潜在故障模式 故障的潜在影响 检波
喧嚣 开放式销钉 通信丢失 可在系统级别轻松检测
喧嚣 对地短路 通信丢失 可在系统级别轻松检测
喧嚣 短至AVDD或车联网DD 失去通讯;可能的损坏 可在系统级别轻松检测
喧嚣 短至相邻引脚 SCLK 通信丢失 可在系统级别轻松检测
喧嚣 短至相邻引脚 DOUT/RDY 通信丢失 可在系统级别轻松检测

 

请注意,分析与图9所示的应用原理图有关,因此对未使用引脚的分析不会影响任何事情。

附件F 核对表

这是ASIC避免系统故障的设计措施清单。为了符合要求,需要一份来自IEC 61508-2:2010的完整附件F清单。

安全手册或数据表

整套信息最终流入安全手册或数据手册,其中提供了集成AD7124-4/AD7124-8的必要要求。

当显示符合IEC 61508功能安全标准时,安全数据表会整理从各种文档中流入的所有诊断和分析。它将包含所有信息,例如:

产品概述

应用信息

安全理念

生命周期预测

适合

FMEDA 计算 — SFF 和 DC

硬件安全机制

诊断说明

电磁兼容稳健性

在冗余配置中运行

附件和文件清单

路线 2S,也称为使用验证

我们已经讨论了第一种评估方法。现在,让我们讨论称为“已验证使用”或 Route 2S 的替代方法。此方法适用于已发布的部件,并基于对客户退货和发货设备数量的分析。

这允许SIL认证,就好像该部件完全按照IEC 61508标准开发一样。

如果模块/系统设计人员过去成功使用过IC,并且知道现场的故障率,则可以使用Route 2S或经过验证的使用声明。

请注意,在 Route 2S 中,我们需要现场返回的全部数据,这使得集成电路设计人员或制造商更难提出这一要求,因为他们通常对最终应用或现场返回的故障单元的百分比没有足够的了解进行分析。

结论

RTD测量系统的ADC和系统要求非常严格。这些传感器产生的模拟信号很小。这些信号需要由噪声较低的增益级放大,以便放大器的噪声不会淹没来自传感器的信号。在放大器之后,需要一个高分辨率ADC,以便将来自传感器的低电平信号转换为数字信息。除了ADC和增益级外,温度系统还需要激励电流等其他元件。同样,这些必须是低漂移、低噪声元件,以便系统精度不会降低。初始误差(如失调)可以从系统外进行校准,但组件随温度的漂移必须较低,以避免引入误差。因此,集成励磁模块和测量模块可简化客户设计。在设计功能安全时,还需要进行诊断。通过将诊断与激励和测量模块集成在一起,简化了整体系统设计,减少了BOM、设计时间和上市时间。

FMEDA 等文档包含客户在最终设计中认证组件所需的所有信息。但是,认证组件本身可以进一步简化与认证机构的对话。Route 2S 流程允许产品在发布后进行认证,因此这是一个有用的途径,因为当前发布了许多适合功能安全设计的设备。

审核编辑:郭婷

打开APP阅读更多精彩内容
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉

全部0条评论

快来发表一下你的评论吧 !

×
20
完善资料,
赚取积分