变速驱动器中使用的集成电路的功能安全

功能安全是与电气和电子系统正常运行相关的安全分支。变速驱动器现在在实现功能安全方面发挥着重要作用。以前，电机控制应用的功能安全是使用驱动器外部的安全继电器和接触器实现的。但是，通过将安全性集成到驱动器安全功能（如 STO 和 SLS）中，它可以在驱动器内实施，从而提高工厂车间的生产率。集成安全需要使用集成电路，但解释变速驱动器中使用的集成电路的功能安全要求具有挑战性。理想情况下，所有此类IC都将按照IEC 61508进行评估，但这将是昂贵的，并且标准没有要求。本文将尝试总结在变速驱动器设计中使用的集成电路可用的指南。本文的目标之一是在不使用行话的情况下提供主题的概述。

功能安全三大关键要求

功能安全有三个关键要求：

要求 1 - 使用可靠的组件。这意味着具有足够低FIT速率的IC。FIT率通常根据IEC 62380或SN 29500等标准计算，这些标准的结果基于现场对各种类型的组件的平均故障率。或者，数据可以基于加速寿命测试，例如在 analog.com/ReliabilityData 发现的测试。一个重要的考虑因素是，IEC 61508和类似标准中给出的PFH（每小时危险故障概率）数字适用于整个安全功能，而不仅仅是单个IC。因此，PFH的数字为10-7h-1对于SIL 3安全功能（100 FIT），给定IC的误差预算可能仅为1 FIT。还值得注意的是，术语PFH实际上意味着每小时发生危险故障的概率。可以说，至少有50%的故障是安全的，IC的可靠性极限可以加倍。

要求 2 - 实施过去已证明的一系列措施，以设计具有高安全性的产品。这被称为系统完整性的标准。与随机硬件故障不同，系统故障内置于系统中，只有设计更改才能消除它们。软件错误既是系统性故障，也是 EMC 故障的示例。

要求 3 - 容错并接受由于随机硬件故障而导致的故障，否则无论组件多么可靠或遵循的开发过程多么好，都会发生系统故障。处理故障的两种方法是通过诊断和冗余。诊断程序检测故障并使系统进入安全状态。对于电机控制，安全状态通常是使用安全子功能（如IEC 61800-5-2中的STO）使电机停止。另一种替代方法是实现冗余，以便有两个或多个项目，其中一个可以检测到不安全状态，并在需要时使系统进入安全状态。标准通常允许在诊断和冗余之间进行权衡。有效性的衡量标准包括IEC 61508的SFF，ISO 13849的诊断覆盖率（DC）和ISO 26262的单点故障指标。

IEC 61800-5-2

IEC 61800-5-2 是 C 类标准。这意味着该标准规定了特定机器类别的要求，在本例中为变速驱动器。拥有C类标准非常有价值，因为它解释了该设备类型的通用标准IEC 61508，并且只保留与该机器相关的标准。通用标准本质上必须应对许多不同类型的设备和情况，这意味着它包含许多与特定设计无关的信息和要求。IEC 61800-5-2 宣称，“通过应用 IEC 61800 系列这一部分的要求，满足了 IEC 61508 中 PDS （SR） 所需的相应要求。但是，如果存在C类标准（例如IEC 61800-5-2）未提供指导的主题，则IEC 61508是后备。

在IEC 61800-5-2中，定义了安全子功能，例如STO（安全扭矩关闭）和SLS（安全限速），并概述了功能安全生命周期。

图1.STO安全功能。

通过STO安全子功能，可以通过防止向电机提供产生力的动力来实现安全状态。通常，当防护装置断开时，这将在栅极驱动器上使用脉冲阻断或电源消除来完成。由于驱动器的总功率未断开，因此在防护装置关闭后可以快速重新启动。

通过SLS安全子功能，可以监控电机的速度，如果超过设定水平，驱动器会将电机带到安全状态，最常见的是STO。此安全子功能的典型用途可能是在清洁滚筒期间与三位夹持开关配合使用。图 2 显示了 SLS 在 t 处啮合1并在 T 处脱离2.红色块表示速度区域（如果输入）将导致驱动器进入安全状态。

图2.安全限速。

虽然IEC 61800-5-2没有强制要求2通道安全，但大多数驱动器制造商也希望根据ISO 13849要求性能水平，因此，两个通道是常见的。

ISO 13849 认证

ISO 13849是基于现在冗余的EN954标准的机械标准。与IEC 61800-5-2，IEC 61508和IEC 62061相比，它使用性能等级（PL）而不是SIL等级。级别为 PLa 到 PLe。ISO 13849 还明确偏爱 2 通道系统以获得更高的性能水平，必须使用三类或四类系统。ISO 13849使用DC（诊断覆盖率）作为诊断有效性的指标，而不是其他标准的SFF。假设故障是 50% 安全/50% 危险 SFF 和直流使用以下公式相关。

IEC 62061

IEC 62061 是 IEC 61508 的机械解释。它实际上是与 ISO 13849 平行的标准——事实上，人们努力将这两种机械标准结合在 ISO/IEC 17305 中。

在IEC 62061的范围内，它指出“在本标准中，假定复杂的可编程电子子系统或子系统元件的设计符合IEC 61508的相关要求。该标准为使用而不是开发此类子系统和子系统元素作为SRECS的一部分提供了一种方法。

IEC 61508

IEC 61508-2：2010包含重要的IC要求，但在偶然或不完整的标准阅读中很容易错过。要求包括ASIC开发V模型，参见IEC 61508-2：2010图3。V模型针对数字ASIC，因为它参考了合成布局和路由以及最终编码，但V模型可以通过一点想象力来解释模拟或混合信号ASIC。

图3.ADuM4135隔离式栅极驱动器

对数字ASIC的偏好延续到附件F，该附件标题为“ASIC的技术和措施——避免系统故障”，并在注释1中指出，“以下技术和措施仅与数字ASIC和用户可编程IC有关。对于混合模式和模拟ASIC，目前无法给出通用技术和措施。然而，尽管存在这些限制，但完成混合信号ASIC数字部分的清单是完全可行的，并且使用一些甚至不适用于纯模拟IC的用途。

附录E的标题为“具有片上冗余的集成电路（IC）的特殊架构要求”。附件中再次提出了数字限制，因为它在E.1中指出“以下要求仅与数字IC有关。对于混合模式和模拟IC，目前无法给出一般要求。当附件在其他标准中被引用时，似乎被广泛忽略的另一个限制是“本标准中使用的片上冗余意味着功能单元的重复（或三重），以建立大于零的硬件容错。重复这个词意味着相同的冗余，本文的作者认为目标是可能使用锁步技术的双核微处理器。虽然大多数技术都很好，但当应用于不同冗余块之间的分离或一个块与用作第一个块诊断的另一个片上块之间的分离时，它们可能会过多。重复的模块会受到常见原因故障的影响，例如温度、ESD、电源故障以及其他不太可能同时以相同方式影响不同模块的原因。ISO 13849-2：2012 的 D.2.4 节中引用了附录 E 的示例，其中指出“因此，除非满足 IEC 61508-2：2010 的特殊架构要求，否则极不可能使用单个集成电路实现类别 2、3 或 4 的容错和/或检测要求所需的多通道功能， 附件E.”IEC 61800-5-2 FDIS（2015 年秋季）允许根据 IEC 61508-2：2010 附录 E 的要求排除片上短路，但检查附录 E，您会发现只有 f） 和 g） 项直接涉及片上短路。项目f）要求单独块之间的间距至少为10×这是过程的最小设计规则，项目g）仅讨论单独物理块的相邻行。

图4.概念2通道架构，用于使用ADSP-CM419（/8/7/6）DSP内核实现IEC 61800-5-2的SLS安全子功能。

图5.SLS 解释的可靠性框图。

IEC 61508-2：2010的表A.1给出了计算SFF时要假设的故障或故障。表A.2至A.14给出了典型诊断范围的示例，可以要求对典型诊断进行解释，但有时可能需要对集成电路进行解释。IEC 62380 的附录 H 和 UL 1998 的相关附录 A 更详细，特别是针对数字微控制器和类似产品。

在计算集成电路的FIT速率方面，IEC 62380和SN29500都与其他来源一起参考。

在标准的2010年修订版中增加了考虑软错误的要求，并且对将ECC和奇偶校验添加到易失性存储器（如RAM）中具有影响，以便检测和控制特别影响RAM的软错误。

ISO 26262 要求

ISO 26262 是对 IEC 61508 的汽车解释。它是与IEC 61508修订版2并行开发的，包含IEC 61508中未找到的与集成电路相关的一些要求，对IEC 61508中的项目进行了一些澄清，但省略了其他要求。例如，ISO 26262-10：2012 包含汽车版的 IEC 61508-2：2010 附录 F 和 ISO 26262-5：2011 表 D.1，其中阐明了汽车在如何考虑片上短路方面的立场，“这里并不打算要求进行详尽的分析，例如要求对桥接故障进行详尽分析，这些故障可能会影响微控制器或复杂 PCB 内任何信号的任何理论组合。分析侧重于主要信号或通过布局级分析确定的非常高度耦合的互连。

特别是第10部分包含诸如“如果CPU面积占整个微控制器芯片面积的3%，则可以假设其故障率等于微控制器总故障率的3%。虽然这样的过程是IEC 61508的习惯和实践的一部分，但很高兴看到它被写下来。

ISO 26262的集成电路解释正在ISO/TC 22/SC32下作为ISO/AWI PAS 19451-1进行。

协助设计集成电路

在审查了这些标准之后，作者就IC制造商如何帮助驱动器制造商在其驱动器中设计集成电路提出了许多建议。

首先，集成电路安全手册应该有利于驱动设计人员。即使 ASIC 或设备未按照 IEC 61508 开发，也可以生成。

安全手册中提供的项目可能包括：

使用的开发过程和生命周期模型。

IEC 61508-2：2010 中完整的附录 F 清单。

假定的任务配置文件。

根据 IEC 62380 和 SN29500 在合理的平均工作温度下预测 FIT 速率，例如 55°C，24 小时内热循环为 10°C。

芯片尺寸、芯片数量、RAM 单元数量和晶体管数量，允许驱动器设计人员使用 SN29500 和 IEC 62380 计算自己的 FIT 速率（如果计算已经完成并给出计算细节，那就更好了）。

支持片上分离主张的证据。

支持任何相关故障排除主张的证据。

片上诊断的详细信息。

假定的系统级诊断的详细信息。

引脚FMEA给出λ的结果都3 DDD3 DS，并计算了一组假定诊断的 SFF 和 DC，以查看预期的封装故障模式。

FME（D）A 给出 λ 的结果都3 DDD3 DS，并计算了一组假设诊断的 SFF 和 DC，以查看预期的芯片故障模式。

数据表上显示的各种模块的FIT速率，允许驱动器制造商重做FME（D）A。

鉴于数据的性质，安全手册可能仅在NDA（保密协议）下提供。

ADI公司目前正在开发安全手册的电机控制安全相关器件包括隔离式ADCAD7403和隔离式栅极驱动器ADuM4135。

其次，了解系统级设计的IC制造商可以帮助设计功能安全所需的特性。例如：

知道只有PFH的一小部分，也许只有1%可用于IC。

知道虽然一般来说功能安全，越简单越好，但芯片上的晶体管非常可靠，如果将芯片上的晶体管数量增加 10 倍会导致 PCB 上的组件减少，则整体 PFH 将下降。

知道片上诊断的反应速度比系统级诊断快得多，并且有助于防止错误累积。

知道驱动器的典型寿命为 20 年，并且应该有数据来证明 IC 在给定的任务配置文件下可以匹配此寿命。

知道添加CRC引擎等硬件加速器可以减轻软件负担。

第三，一组推荐的架构，展示了如何组合IC以实现IEC 61800-5-2中的安全功能。这可能涉及：

有关系统级诊断的建议。

关于合适组件的建议。

关于满足不同渠道之间独立性要求的建议。

关于安全软件和非安全软件之间的软件独立性的建议，如果控制和安全可以在至少一个处理器中组合在一起，则可以将所需处理器的数量从三个减少到两个。如果不能表现出足够的独立性，那么一切都必须被视为与安全有关。

第四，应影响标准以明确要求。例如：

在将ADC连接到同一PCB上的微控制器或DSP的SPI接口上，应该提供哪些防止数据损坏的保护？IEC 61800-5-2：2006 等标准将读者引回 IEC 61508，而 IEC 61508 又指铁路标准。下一版本的IEC 61800-5-2增加了文字，以澄清IEC 61784-3的要求不适用于此类接口，但是当作者在新标准中读到自己的话时，澄清并不像他希望的那样清晰。EN 50402的新标准草案中包含更好的澄清，其中区分了空间分离模块的信号传输和未空间分离模块之间的信号传输。

阐明实现多样化冗余的IC的片上分离要求。

阐明模拟和混合信号 ICS 的片上分离要求。

第五，从标准中删除对特定解决方案的引用，这导致一些读者认为这些是解决问题的唯一解决方案。例如，光耦合器是实现信号隔离的一种古老且众所周知的方法，但与新型数字隔离器相比，在可靠性、功耗和速度方面存在许多缺点。编辑ISO 13849和IEC 61800-5-2等标准，用电流隔离器等更通用的术语替换对光耦合器的引用，也将有助于采用更新、更可靠的数字隔离器。这已在2015年IEC 61800-5-2的最新FDIS（最终草案）中完成。

结论

本文特别回顾了与机器和变速驱动器相关的主要功能安全标准。从这次审查中，得出了与集成电路相关的要求的结论。一个结论是，为了帮助满足功能安全IC的要求，制造商可以提供额外的信息和功能。本文列出了该信息的一些最重要的要点。第二个结论是，半导体制造商需要更多地了解系统级要求，ADI公司已经开始分析自己的非功能性安全、电机控制演示系统设计。目标是揭示如何修改该架构以满足功能安全的要求，并发现缺少哪些信息，以使我们的客户能够将我们的产品设计成具有功能安全要求的驱动器。

审核编辑：郭婷