作者：Mary McCarthy 和 Wasim Shaikh

本文將討論功能安全系統(tǒng)的電阻溫度檢測器（RTD）電路設(shè)計以及Route 2S組件認證流程。認證系統(tǒng)是一個漫長的過程，因為必須檢查系統(tǒng)中的所有組件是否存在潛在的故障機制，并且有多種方法可以診斷故障。使用已認證的部件可以減輕此工作量以及認證過程。

介紹

溫度是過程控制系統(tǒng)中的關(guān)鍵測量值。它可以是直接測量，測量化學反應的溫度。它也可以是補償測量，例如，壓力傳感器的溫度補償。對于任何系統(tǒng)設(shè)計，這種測量的準確性、可靠性和魯棒性都是至關(guān)重要的。對于某些最終設(shè)計，檢測系統(tǒng)故障至關(guān)重要，如果系統(tǒng)發(fā)生故障，它將轉(zhuǎn)換為安全狀態(tài)。在這些環(huán)境中使用功能安全設(shè)計。認證級別表示設(shè)計中包含的診斷覆蓋級別。

什么是功能安全

在功能安全的設(shè)計中，系統(tǒng)需要檢測任何故障。想想一個正在加滿油箱的煉油廠。如果液位傳感器發(fā)生故障，重要的是檢測到該故障，以便可以主動關(guān)閉罐體的閥門。這將防止儲罐溢出并避免潛在的危險爆炸?；蛘?，可以使用冗余。這是可以在設(shè)計中使用兩個電平傳感器的地方，以便在第一級傳感器發(fā)生故障時，系統(tǒng)可以使用第二級傳感器繼續(xù)運行。當設(shè)計獲得認證時，會給予其 SIL 評級。此評級表示設(shè)計提供的診斷覆蓋范圍。SIL 等級越高，解決方案就越堅固。SIL 2 等級表示可以診斷系統(tǒng)中 90% 以上的故障。為了認證設(shè)計，系統(tǒng)設(shè)計人員必須向認證機構(gòu)提供有關(guān)潛在故障的證據(jù)，無論這些故障是安全故障還是危險故障，以及如何診斷故障。需要FIT等數(shù)據(jù)以及系統(tǒng)中不同組件的故障模式影響和診斷分析（FMEDA）。

設(shè)計溫度系統(tǒng)

在本文中，我們將重點介紹 RTD。然而，有許多不同類型的溫度傳感器——RTD、熱敏電阻和熱電偶。設(shè)計中使用的傳感器取決于所需的精度和被測溫度范圍。每種傳感器類型都有自己的要求：

熱電偶偏置

激勵RTD的激勵電流

熱電偶和熱敏電阻的絕對基準

因此，除了ADC之外，還需要其他構(gòu)建模塊來激勵傳感器并調(diào)節(jié)前端的傳感器。為了功能安全，所有這些模塊都必須可靠且堅固。此外，必須檢測到不同塊的任何故障。傳統(tǒng)上，系統(tǒng)設(shè)計人員使用重復信號鏈，因此將使用兩個信號鏈，每個信號鏈檢查另一個信號鏈，以確保：

傳感器已連接

沒有開口或短褲

引用處于正確的級別

PGA仍在運作

認證過程需要文檔來證明設(shè)計是穩(wěn)健的。這是一個耗時的過程，有時很難從IC制造商那里獲得某些信息。

但是，AD7124-4/AD7124-8集成模擬前端現(xiàn)在包括RTD設(shè)計所需的所有構(gòu)建模塊。此外，嵌入式診斷功能消除了出于診斷目的而重復信號鏈的需要。除了芯片增強功能外，ADI公司還提供文檔，其中包括認證機構(gòu)所需的所有信息（FIT引腳FMEDA、芯片F(xiàn)MEDA）。這簡化了功能安全的認證過程。

IEC 61508 是功能安全設(shè)計的規(guī)范。本規(guī)范記錄了開發(fā) SIL 認證部件所需的設(shè)計流程。需要為每個步驟生成文檔，從概念、定義、設(shè)計、布局、制造、組裝和測試。這被稱為 1S 號公路。另一種選擇是使用 Route 2S 流。這是一種經(jīng)過驗證的使用路線，因此，當大量產(chǎn)品被設(shè)計到最終客戶的系統(tǒng)中并在現(xiàn)場使用1000小時時，產(chǎn)品仍可以通過向認證機構(gòu)提供以下證據(jù)來認證：

現(xiàn)場使用的卷

分析來自現(xiàn)場的任何回報，并詳細說明返回不是
由于組件本身的故障造成的

安全數(shù)據(jù)表詳細介紹了診斷及其提供的覆蓋范圍

引腳和模具 FMEDA

3線RTD設(shè)計

即時熱飲器

RTD 可用于測量 –200°C 至 +850°C 范圍內(nèi)的溫度，并在此溫度范圍內(nèi)具有近乎線性的響應。用于RTD的典型元素是鎳，銅和鉑，其中100 Ω和1000 Ω鉑RTD是最常見的。RTD 由兩線、三線或四線組成，其中 3 線和 4 線是最常用的。這些是無源傳感器，需要激勵電流來產(chǎn)生輸出電壓。此類 RTD 的輸出電壓電平從 10 毫伏到 100 毫伏不等，具體取決于所選的 RTD。

熱電阻設(shè)計

圖1所示為3線RTD系統(tǒng)。AD7124-4/AD7124-8是一款用于RTD測量的集成解決方案，包括系統(tǒng)所需的所有構(gòu)建模塊。為了充分優(yōu)化該系統(tǒng)，需要兩個相同匹配的電流源。這兩個電流源用于消除RL1產(chǎn)生的引線電阻誤差。一個激勵電流流過兩個精密基準電阻 R裁判和 RTD。第二個電流流過引線電阻RL2并產(chǎn)生一個電壓，以抵消RL1兩端的壓降。精密基準電阻兩端產(chǎn)生的電壓用作ADC的基準電壓REFIN1（±）。由于使用一個激勵電流來產(chǎn)生基準電壓和RTD兩端的電壓，因此電流源精度、失配和失配漂移對整個ADC傳遞函數(shù)的影響最小。AD7124-4/AD7124-8提供激勵電流值選擇，允許用戶調(diào)整系統(tǒng)，以便使用大部分ADC輸入范圍，從而提高性能。

圖1.3線RTD溫度系統(tǒng)。

RTD的低電平輸出電壓需要放大，以便使用ADC的大部分輸入范圍。AD7124-4/AD7124-8的PGA可在1至128的增益范圍內(nèi)進行編程，允許客戶在激勵電流值與增益和性能之間進行權(quán)衡。傳感器和ADC之間需要進行濾波，以實現(xiàn)抗混疊和EMC目的。參考緩沖器允許濾波器的R和C分量具有無限的值;也就是說，這些組件不會影響測量的準確性。

系統(tǒng)中還需要校準以消除增益和失調(diào)誤差。圖1顯示了該3線B類RTD在內(nèi)部零電平和滿量程校準后測得的溫度誤差，總誤差遠小于±1°C。

模數(shù)轉(zhuǎn)換器要求

對于溫度系統(tǒng)，測量主要是低速（通常每秒最多 100 個樣本）。因此，需要低帶寬ADC。但是，ADC必須具有高分辨率。Σ-Δ型ADC適用于這些應用，因為可以使用Σ-Δ架構(gòu)開發(fā)低帶寬、高分辨率ADC。

使用Σ-Δ轉(zhuǎn)換器時，模擬輸入被連續(xù)采樣，采樣頻率遠高于目標頻段。它們還使用噪聲整形，將噪聲從目標頻帶推到轉(zhuǎn)換過程未使用的區(qū)域，從而進一步降低目標頻帶中的噪聲。數(shù)字濾波器衰減目標頻帶外的任何信號。

數(shù)字濾波器確實具有采樣頻率和采樣頻率倍數(shù)的圖像。因此，需要一些外部抗混疊濾波器。然而，由于過采樣，一個簡單的一階RC濾波器足以滿足大多數(shù)應用的需求。Σ-Δ架構(gòu)允許開發(fā)p-p分辨率高達21.7位的24位ADC（21.7個穩(wěn)定位或無閃爍位）。Σ-Δ 架構(gòu)的其他優(yōu)點包括：

模擬輸入的寬共模范圍

基準輸入的寬共模范圍

能夠支持比率配置

圖2.頻率響應，后置濾波器，25 SPS：（a） 直流至 600 Hz 和 （b） 40 Hz 至 70 Hz。

濾波（50 Hz/60 Hz 抑制）

除了如前所述抑制噪聲外，數(shù)字濾波器還可用于提供50 Hz/60 Hz抑制。當系統(tǒng)由主電源運行時，干擾發(fā)生在 50 Hz 或 60 Hz 時。在歐洲，有 50 Hz 及其倍數(shù)的電源生成頻率，在美國有 60 Hz 及其倍數(shù)的電源生成頻率。低帶寬ADC主要使用sinc濾波器，可以將其編程為將陷波設(shè)置為50 Hz和/或60 Hz以及50 Hz和60 Hz的倍數(shù)，從而提供50 Hz/60 Hz及其倍數(shù)的抑制。使用建立時間短的濾波方法提供50 Hz/60 Hz抑制的需求越來越高。在多通道系統(tǒng)中，ADC通過所有使能通道進行時序控制，在每個通道上生成轉(zhuǎn)換。選擇通道時，需要濾波器建立時間才能生成有效的轉(zhuǎn)換。如果建立時間縮短，則在給定時間段內(nèi)轉(zhuǎn)換的通道數(shù)會增加。AD7124-4/AD7124-8內(nèi)置后置濾波器或FIR濾波器，與sinc3或sinc4濾波器相比，可在更短的建立時間內(nèi)提供50 Hz/60 Hz同步抑制。圖3顯示了一個數(shù)字濾波器選項：該后置濾波器的建立時間為41.53 ms，同時提供50 Hz/60 Hz的62 dB抑制。

圖3.每通道配置

診斷

為了實現(xiàn)功能安全的設(shè)計，需要對構(gòu)成RTD系統(tǒng)的所有功能進行診斷。由于AD7124-4/AD7124-8具有多個嵌入式診斷功能，因此簡化了設(shè)計復雜性和設(shè)計時間。它還消除了復制信號鏈以實現(xiàn)診斷覆蓋的需要。

典型的診斷要求是：

電源/基準電壓/模擬輸入監(jiān)控

開路檢測

轉(zhuǎn)換/校準檢查

信號鏈功能檢查

讀/寫監(jiān)控

注冊內(nèi)容監(jiān)控

讓我們更詳細地看一下嵌入式診斷。

SPI 診斷

CRC在AD7124-4/AD7124-8上提供。啟用后，所有讀取和寫入操作都包括 CRC 計算。校驗和為 8 位寬，是使用多項式生成的。

因此，每次寫入AD7124-4/AD7124-8時，處理器都會生成一個CRC值，該值附加到發(fā)送到ADC的信息中。ADC根據(jù)接收到的信息生成自己的CRC值，并將其與從處理器接收的CRC值進行比較。如果兩個值一致，這將確保信息完好無損，并將寫入相關(guān)的片上寄存器。如果CRC值不匹配，則表示傳輸中發(fā)生了位損壞。在這種情況下，AD7124-4/AD7124-8設(shè)置一個錯誤標志，指示發(fā)生了數(shù)據(jù)損壞。他們還通過不將損壞的信息寫入登記冊來自我保護。同樣，當從AD7124-4/AD7124-8讀取信息時，它們將生成一個CRC值以伴隨信息。處理器將處理此 CRC 值以確定傳輸是有效還是損壞。

AD7124-4/AD7124-8數(shù)據(jù)手冊列出了客戶可以訪問的寄存器（用戶寄存器）。AD7124-4/AD7124-8檢查正在訪問的寄存器地址。如果用戶嘗試讀取或?qū)懭霐?shù)據(jù)手冊中未記錄的寄存器，則會設(shè)置一個錯誤標志，指示處理器正在嘗試訪問非用戶寄存器。同樣，此寄存器訪問附帶的任何信息都不適用于寄存器。

AD7124-4/AD7124-8還具有SCLK計數(shù)器。所有讀取和寫入操作都是 8 的倍數(shù)。當 CS 用于幀讀取和寫入操作時，當 CS 較低時，SCLK 計數(shù)器會計算每個讀/寫操作中使用的 SCLK 脈沖數(shù)。當 CS 取高時，通信中使用的 SCLK 數(shù)量應為 8 的倍數(shù)。如果SCLK上發(fā)生毛刺，這將導致SCLK脈沖過多。如果發(fā)生這種情況，AD7124-4/AD7124-8將再次設(shè)置錯誤標志，并放棄輸入的任何信息。

狀態(tài)寄存器指示正在轉(zhuǎn)換的通道。讀取數(shù)據(jù)寄存器時，可以將狀態(tài)位附加到轉(zhuǎn)換結(jié)果中。這為處理器/ADC通信增加了另一層魯棒性。

因此，上述所有診斷功能可確保ADC和處理器之間的通信可靠。它們確保AD7124-4/AD7124-8僅接受有效信息。當 CS 用于幀讀取和寫入操作時，每次 CS 達到高電平時，串行接口都會重置。這可確保所有通信都從已定義或已知狀態(tài)開始。

內(nèi)存檢查

每次改變片內(nèi)寄存器（例如改變增益）時，都會對寄存器執(zhí)行CRC，并將生成的CRC值臨時存儲在內(nèi)部。AD7124-4/AD7124-8定期在內(nèi)部對寄存器執(zhí)行額外的CRC檢查。將生成的CRC值與存儲值進行比較。如果值由于位翻轉(zhuǎn)而不同，則設(shè)置一個標志。這向處理器指示寄存器設(shè)置已損壞。然后，處理器可以復位ADC并重新加載寄存器。

片上ROM保存默認寄存器值。上電或復位后，ROM內(nèi)容將應用于用戶寄存器。在最終的生產(chǎn)測試中，計算ROM內(nèi)容的CRC，并將生成的CRC值存儲在ROM中。在上電或復位時，再次對ROM內(nèi)容執(zhí)行CRC，并將所得CRC值與保存的值進行比較。如果值不同，則表示默認寄存器設(shè)置將不符合預期。需要電源循環(huán)或復位。

信號鏈檢查

包括許多信號鏈檢查。電源軌 （AVDD、影視黨衛(wèi)軍和 IOVDD） 可以施加到 ADC 輸入，從而允許監(jiān)視電源軌。AD7124-4/AD7124-8內(nèi)部內(nèi)置一個模擬和數(shù)字低壓差（LDO）穩(wěn)壓器。這些也可以應用于ADC并進行監(jiān)控。AD7124-4/AD7124-8內(nèi)置x多路復用功能。此外，AV黨衛(wèi)軍可以在內(nèi)部用作 AIN-。這允許檢查模擬輸入引腳上的絕對電壓。因此，客戶可以探測輸出激勵電流的引腳，并探測AIN+和AIN-引腳。這將檢查連接性并確保各種引腳上的電壓處于正確的水平。

為了檢查基準電壓，基準檢測功能將指示基準電壓過低?？蛻暨€可以選擇內(nèi)部基準作為模擬輸入，以便用于監(jiān)視外部基準電阻兩端產(chǎn)生的電壓。這假設(shè)基準電阻兩端的電壓略高于2.5 V（內(nèi)部基準電壓源的幅度）。

AD7124-4/AD7124-8還包括一個20 mV內(nèi)部電壓。這對于檢查增益級很有用。例如，使用20 mV作為模擬輸入時，增益可以從1更改為2，4，...128. 每次增加增益時，轉(zhuǎn)換結(jié)果將按 2 倍縮放，這確認增益級正常工作。

X 多路復用在檢查卡住位時也很有用。它允許交換AIN+和AIN-引腳。然后反轉(zhuǎn)轉(zhuǎn)換結(jié)果。因此，使用20 mV和x多路復用允許用戶檢查卡住的位。

為 AIN+ 和 AIN– 選擇相同的模擬輸入引腳并偏置此內(nèi)部短路，可以檢查 ADC 噪聲，以確保其工作在規(guī)格范圍內(nèi)。嵌入式基準電壓源（+2.5 V）可在內(nèi)部選擇作為ADC的輸入，因此再次應用+V裁判和 –V裁判有助于確認信號鏈是否正常工作。

可編程的燒毀電流對于檢查傳感器連接非常有用。PT100 的電阻通常在 –200°C 時為 18 Ω，在 +850°C 時具有 390.4 Ω。 啟用燒毀電流后，可以執(zhí)行轉(zhuǎn)換。如果RTD短路，將獲得接近0的轉(zhuǎn)換結(jié)果。AIN+ 和 AIN– 之間的開路將導致接近 0xFFFFFF 的轉(zhuǎn)換。正確連接RTD后，不應獲得接近0或全部1的代碼。

最后，AD7124-4/AD7124-8具有過壓和欠壓檢測功能。正在轉(zhuǎn)換的AIN+和AIN-引腳上的絕對電壓通過比較器持續(xù)監(jiān)控。當 AIN+ 或 AIN– 上的電壓超出電源軌 （AVDD和視聽黨衛(wèi)軍).

這種高度集成減少了執(zhí)行測量和提供診斷范圍所需的物料清單 （BOM）。減少了設(shè)計時間和設(shè)計復雜性。

轉(zhuǎn)換/校準

AD7124-4/AD7124-8上的轉(zhuǎn)換也受到監(jiān)控。如果 （AIN+ – AIN–）/增益大于 +滿量程或小于 –滿量程，則設(shè)置一個標志。ADC的轉(zhuǎn)換變?yōu)槿?（模擬輸入過高）或全部0（模擬輸入太低），因此客戶知道故障已發(fā)生。

來自調(diào)制器的比特流受到監(jiān)控，以確保調(diào)制器不會飽和。如果發(fā)生飽和（調(diào)制器連續(xù) 20 個 1 或 20 個 0 輸出），則設(shè)置一個標志。

AD7124-4/AD7124-8包括內(nèi)部失調(diào)和再次校準以及系統(tǒng)失調(diào)和增益校準。如果校準失敗，則會向用戶標記。請注意，如果校準失敗，失調(diào)和增益寄存器不會更新。

電源

除了前面討論的電源檢查外，AD7124-4/AD7124-8還包括連續(xù)監(jiān)控內(nèi)部LDO穩(wěn)壓器的比較器。因此，如果來自這些LDO穩(wěn)壓器的電壓低于跳變點，則會立即報告錯誤。

這些LDO穩(wěn)壓器需要一個外部電容器。也可以檢查該電容器的存在。

MCLK 柜臺

濾波器配置文件和輸出數(shù)據(jù)速率與MCLK直接相關(guān)。當主時鐘為614.4 kHz時，數(shù)據(jù)手冊中列出的輸出數(shù)據(jù)速率是正確的。如果主時鐘改變頻率，輸出數(shù)據(jù)速率和濾波器陷波也會改變。例如，如果濾波器陷波用于抑制50 Hz或60 Hz，則變化的時鐘會降低獲得的衰減。因此，了解時鐘頻率對于確保獲得最佳抑制非常重要。AD7124-4/AD7124-8內(nèi)置MCLK計數(shù)器寄存器。該寄存器每 131 個 MCLK 周期遞增 1。為了測量MCLK頻率，處理器中需要一個定時器。寄存器可以在時間 0 讀取，然后在計時器超時后讀取。利用這些信息，可以確定主時鐘的頻率。

每通道配置

AD7124-4/AD7124-8允許每通道配置;也就是說，它們支持八種不同的設(shè)置，一種設(shè)置由基準電壓源、增益設(shè)置、輸出數(shù)據(jù)速率和濾波器類型組成。當用戶配置通道時，會將八個設(shè)置中的一個分配給該通道。請注意，通道可以是模擬輸入或診斷，例如測量電源（AVDD-AV黨衛(wèi)軍).因此，客戶可以設(shè)計一個由模擬輸入和診斷組成的序列。每通道配置允許診斷以與模擬輸入轉(zhuǎn)換不同的輸出數(shù)據(jù)速率運行。由于診斷不需要與主要測量相同的精度，因此客戶可以將診斷與測量交錯，并以更高的輸出數(shù)據(jù)速率運行診斷。因此，這些嵌入式功能減少了處理器的工作量。

圖4.將設(shè)置分配給通道

其他功能

AD7124-4/AD7124-8內(nèi)置溫度傳感器，也可用于監(jiān)控管芯溫度。兩款器件的ESD額定值均為4 kV，可提供穩(wěn)健的解決方案。兩款器件均采用 5 × 5 mm LFCSP 封裝，適用于本質(zhì)安全設(shè)計。

根據(jù)IEC 61508，使用這些設(shè)備的典型溫度應用的FMEDA顯示安全故障分數(shù)（SFF）大于90%。通常需要兩個傳統(tǒng)的ADC來提供這種級別的覆蓋范圍。

內(nèi)置診斷的其他優(yōu)勢

除了節(jié)省BOM和成本外，診斷還可以在避免設(shè)計復雜性，減少資源使用和加快客戶上市時間方面節(jié)省成本。讓我們借助以下示例來理解這一點：

AD7124-4/AD7124-8內(nèi)置MCLK計數(shù)器，用于測量主時鐘頻率并捕獲主時鐘中的任何不一致。主時鐘計數(shù)器是一個 8 位寄存器，每 131 個 MCLK 周期遞增一次。SPI主機讀取該寄存器，以確定內(nèi)部/外部614.4 kHz時鐘的頻率。

如果我必須在AD7124-4/AD7124-8外部實現(xiàn)MCLK頻率檢查，該怎么辦？它將需要以下硬件資源：

帶外圍設(shè)備的微控制器，如計數(shù)器和外部
中斷控制器

施密特觸發(fā)電路

另請注意，存儲和運行包含中斷服務(wù)例程的代碼需要內(nèi)存?？傮w而言，該方案如圖 5 所示。

圖5.由微控制器實現(xiàn)的MCLK頻率監(jiān)視器

此外，我們必須確保代碼經(jīng)過檢查并符合編碼準則和限制。因此，總體而言，實施單獨的診斷部分將產(chǎn)生大量開銷;因此，內(nèi)置診斷功能帶來了額外的好處：

節(jié)省空間和 BOM

提高系統(tǒng)可靠性;更少的組件 = 更高的可靠性

加快上市時間

軟件開發(fā) — 開發(fā)和運行診斷例程

硬件測試

系統(tǒng)測試

節(jié)省微控制器內(nèi)存

運行診斷不需要代碼

編碼指南要求進行大量雙內(nèi)存代碼檢查

即用型安全文檔可節(jié)省系統(tǒng)評估時間

輔助功能安全設(shè)計

AD7124-4/AD7124-8沒有SIL額定值，這意味著它們不是按照IEC 61508標準設(shè)計和開發(fā)的。但是，通過了解各種診斷的最終應用和用途，可以評估AD7124-4/AD7124-8在SIL額定設(shè)計中的應用。

功能安全術(shù)語

讓我們回顧一下對認證之旅很重要的一些概念：

故障：系統(tǒng)性和隨機性

診斷覆蓋范圍

硬件容錯

零星水平

故障：系統(tǒng)性和隨機性

系統(tǒng)故障是某種原因造成的確定性（非隨機）故障，可以通過修改設(shè)計或制造過程、操作程序、文檔或其他相關(guān)因素來消除。例如，由于外部中斷引腳上缺少濾波，系統(tǒng)出現(xiàn)嘈雜中斷。

另一方面，隨機故障是由于物理原因造成的，這些原因適用于系統(tǒng)中的硬件組件。這種類型的故障是由腐蝕、熱應力和磨損等影響引起的，不可能通過系統(tǒng)的過程來捕獲此類故障。

為了處理隨機故障，我們可以使用可靠性、診斷和冗余等方法。

在可靠性方面，我們確保使用可靠的組件，而通過診斷，我們確?？梢詸z測和糾正這些故障。確?？煽啃缘牧硪环N方法是增加冗余以降低故障概率，但隨后會增加系統(tǒng)成本和空間。

隨機故障有四種類型，即安全檢測、安全未檢測、危險檢測和危險未檢測。

例如，考慮一個系統(tǒng)，其安全功能是在溫度讀數(shù)較高時為機器打開電源開關(guān)。任何不影響安全功能的隨機故障，即打開電源開關(guān)，稱為安全檢測到或安全未檢測到的故障。影響安全功能的其他故障是危險的故障。對我們來說，最重要的一個是危險的未被發(fā)現(xiàn)的故障。此故障類型不在診斷范圍內(nèi)，因此我們的目標是增加診斷，以將未檢測到的危險故障降至最低。

圖6.隨機故障類型。

診斷覆蓋范圍

隨機故障可以通過軟件或硬件形式的各種內(nèi)置檢測機制來檢測。例如，MOSFET開關(guān)中的故障可以通過回讀輸出來檢測，或者可以通過定期運行CRC存儲器檢查來檢測隨機存儲器位翻轉(zhuǎn)。

診斷覆蓋率是系統(tǒng)檢測危險故障的能力，數(shù)學上定義為檢測到的危險故障與危險故障的比率。

硬件容錯

考慮一個可編程邏輯控制器（PLC）系統(tǒng)，如圖7所示，其安全功能是在輸入超過特定值時打開開關(guān)以停止機器。在HFT = 0圖中，如果存在單個隨機故障（X），則系統(tǒng)將發(fā)生故障，機器將不會停止。

圖7.一個PLC系統(tǒng)。

現(xiàn)在，如果我們有一個冗余路徑，如HFT = 1圖所示，那么單個隨機故障將不再導致故障，我們將能夠停止機器。

因此，通過添加冗余路徑，可以容忍單個故障;該系統(tǒng)稱為HFT 1系統(tǒng)，它表示一次故障不會導致系統(tǒng)故障。HFT 0 表示一個故障可能導致系統(tǒng)故障。硬件容錯是組件或子系統(tǒng)在存在一個或多個危險故障時執(zhí)行安全功能的能力。

HFT 可以從 1oo1、1oo2、2oo3 等架構(gòu)中計算出來。如果架構(gòu)表示為 MooN，則高頻交易計算為 N – M。換句話說，2oo4 架構(gòu)的 HFT 為 2。這意味著它可以容忍兩次故障并且仍然可以工作，因此它是一個具有冗余的架構(gòu)。

SIL 級別覆蓋范圍

表 1 繪制了 SFF（即診斷覆蓋量）和硬件容錯（表示冗余）。

元件的安全失效分數(shù)	硬件容錯
	0	1	2
<60%	不允許	SIL 1	SIL 2
60% 至 <90%	SIL 1	SIL 2	SIL 3
90% 至 <99%	SIL 2	SIL 3	SIL 4
≥99%	SIL 3	SIL 4	SIL 4

行顯示診斷覆蓋率，而列顯示硬件容錯。HFT為0意味著如果系統(tǒng)中存在一個故障，安全功能將丟失（見表1）。

如果我們添加冗余以實現(xiàn)HFT 1，如圖7所示，系統(tǒng)可以容忍一次故障，而不會使系統(tǒng)停機。因此，目前通過冗余實現(xiàn) SIL 3 的客戶如果使用具有更高診斷覆蓋范圍的部件，則可以在沒有冗余的情況下達到 SIL 3 等級。

因此，通過更高級別的診斷，我們可以減少所需的系統(tǒng)冗余量，或者我們以相同的冗余級別改進解決方案的 SIL 級別（下移至表 1）。

現(xiàn)在，讓我們回顧一下AD7124-4/AD7124-8中的診斷功能，它們支持各種內(nèi)置機制，如電源/基準電壓/AIN監(jiān)控、開路檢測、轉(zhuǎn)換/校準檢查、信號鏈功能檢查、讀/寫監(jiān)控、寄存器內(nèi)容監(jiān)控等，從而擴大AD7124-4/AD7124-8系統(tǒng)的診斷范圍。如果沒有這些診斷，則需要兩個ADC才能達到相同的理想電平。

因此，一個AD7124-4或AD7124-8提供相同級別的覆蓋范圍，其診斷范圍和特性支持功能安全系統(tǒng)的設(shè)計。這樣可以節(jié)省 50% 的 BOM 和印刷電路板空間。

支持 SIL 等級設(shè)計的文檔

輔助終端系統(tǒng) SIL 認證所需的文檔包括：

安全數(shù)據(jù)表（安全手冊適用于 SIL 額定部件）

引腳 FMEDA（失效模式、影響和分析）和芯片 FMEDA（失效
模式、效應和診斷分析）

附件F核對表

這些文檔由輸入組成，主要來自四個數(shù)據(jù)源，如圖 8 所示。這些數(shù)據(jù)是診斷數(shù)據(jù)、設(shè)計數(shù)據(jù)、FIT 速率和故障插入測試數(shù)據(jù)。

數(shù)據(jù)手冊中的診斷數(shù)據(jù)捕獲了器件中可用的所有診斷功能
。

設(shè)計數(shù)據(jù)是指內(nèi)部數(shù)據(jù)，例如，模具面積和零件每個內(nèi)部塊的影響。

各種組件的FIT或及時故障率可從數(shù)據(jù)手冊中獲得。一個流行的例子是西門子數(shù)據(jù)手冊SN 29500。

故障插入測試是針對模塊進行的，無法使用設(shè)計和診斷數(shù)據(jù)分析。這些測試是根據(jù)所需的應用進行規(guī)劃的，故障插入測試的結(jié)果用于加強 FMEDA 和 FMEA 文檔。

圖8.功能安全文檔信息流。

Die FMEDA

AD7124-4/AD7124-8 FMEDA分析應用原理圖中的主要模塊，識別故障模式和影響，并檢查特定安全功能的診斷和分析。讓我們看一下圖 9 來了解其機制。

對于RTD型系統(tǒng)，安全功能是以±x度的精度測量溫度;應用原理圖如圖9所示。

圖9.RTD 應用示意圖。

我們將危險故障定義為可能導致ADC輸出或SPI通信錯誤的故障，如果輸出中的誤差很大，則可能導致危險故障。

安全狀態(tài)定義為：

輸出上的數(shù)據(jù)表示根據(jù)安全功能的輸入

設(shè)置了錯誤狀態(tài)位

ADC輸出轉(zhuǎn)換結(jié)果為全零或全1

無 SPI 通信

AD7124-4/AD7124-8根據(jù)IEC 61508被確定為B型系統(tǒng)。

為了解釋 FMEDA，讓我們以時鐘模塊為例并分析其故障模式。

表2顯示了當時鐘塊面臨第一列中描述的故障模式時會發(fā)生什么，它對輸出的影響，診斷覆蓋率的數(shù)量，最后是分析。

故障模式	影響	診斷覆蓋范圍	分析
輸出卡在高電平	ADC轉(zhuǎn)換結(jié)果凍結(jié)	99	MCLK 時鐘計數(shù)器 - 表 A.11 - “具有單獨時基和時間窗口的看門狗”
輸出卡在低電平	ADC轉(zhuǎn)換結(jié)果凍結(jié)	99	MCLK 時鐘計數(shù)器 - 表 A.11 - “具有單獨時基和時間窗口的看門狗”
輸出高阻抗	ADC轉(zhuǎn)換結(jié)果凍結(jié)	99	MCLK 時鐘計數(shù)器 — 表 A.11 — “具有單獨時基和時間窗口的看門狗”
輸出漂移 ±10%	ADC 轉(zhuǎn)換結(jié)果損壞，50 Hz/60 Hz 陷波無效	99	MCLK 時鐘計數(shù)器 - 表 A.11 - “具有單獨時基和時間窗口的看門狗”
輸出抖動	ADC轉(zhuǎn)換結(jié)果損壞或有噪聲	99	轉(zhuǎn)換 0， ±FS - 表 A.13 “參考傳感器”，對結(jié)果進行合理性檢查

同樣，我們分析AD7124-4/AD7124-8中的其余模塊。

請注意，可能存在一些可能不會影響安全功能的故障;例如，AIN0引腳上的故障不會引起溫度測量問題，因此可以排除在安全計算之外。

FMEDA 的結(jié)果將是安全故障、危險檢測到的故障和危險的未檢測到故障的故障率，這些故障用于計算 SFF。

別針 莫梅達

FMEDA引腳分析AD7124-4/AD7124-8引腳上的各種類型的故障及其針對此RTD應用的結(jié)果。我們逐步獲取每個單獨的引腳并分析結(jié)果，以防引腳斷開或短路至電源/接地或短路至相鄰引腳。

例如，讓我們以圖10中的引腳29（DIN）為例，參考圖9所示的應用原理圖，并檢查不同故障的結(jié)果。表 3 顯示了故障模式、影響和檢測。

圖 10.32 引腳 LFCSP 引腳配置。

引腳名稱	潛在故障模式	故障的潛在影響	檢波
喧囂	開放式銷釘	通信丟失	可在系統(tǒng)級別輕松檢測
喧囂	對地短路	通信丟失	可在系統(tǒng)級別輕松檢測
喧囂	短至AVDD或車聯(lián)網(wǎng)DD	失去通訊;可能的損壞	可在系統(tǒng)級別輕松檢測
喧囂	短至相鄰引腳 SCLK	通信丟失	可在系統(tǒng)級別輕松檢測
喧囂	短至相鄰引腳 DOUT/RDY	通信丟失	可在系統(tǒng)級別輕松檢測

請注意，分析與圖9所示的應用原理圖有關(guān)，因此對未使用引腳的分析不會影響任何事情。

附件F 核對表

這是ASIC避免系統(tǒng)故障的設(shè)計措施清單。為了符合要求，需要一份來自IEC 61508-2：2010的完整附件F清單。

安全手冊或數(shù)據(jù)表

整套信息最終流入安全手冊或數(shù)據(jù)手冊，其中提供了集成AD7124-4/AD7124-8的必要要求。

當顯示符合IEC 61508功能安全標準時，安全數(shù)據(jù)表會整理從各種文檔中流入的所有診斷和分析。它將包含所有信息，例如：

產(chǎn)品概述

應用信息

安全理念

生命周期預測

適合

FMEDA 計算 — SFF 和 DC

硬件安全機制

診斷說明

電磁兼容穩(wěn)健性

在冗余配置中運行

附件和文件清單

路線 2S，也稱為使用驗證

我們已經(jīng)討論了第一種評估方法。現(xiàn)在，讓我們討論稱為“已驗證使用”或 Route 2S 的替代方法。此方法適用于已發(fā)布的部件，并基于對客戶退貨和發(fā)貨設(shè)備數(shù)量的分析。

這允許SIL認證，就好像該部件完全按照IEC 61508標準開發(fā)一樣。

如果模塊/系統(tǒng)設(shè)計人員過去成功使用過IC，并且知道現(xiàn)場的故障率，則可以使用Route 2S或經(jīng)過驗證的使用聲明。

請注意，在 Route 2S 中，我們需要現(xiàn)場返回的全部數(shù)據(jù)，這使得集成電路設(shè)計人員或制造商更難提出這一要求，因為他們通常對最終應用或現(xiàn)場返回的故障單元的百分比沒有足夠的了解進行分析。

結(jié)論

RTD測量系統(tǒng)的ADC和系統(tǒng)要求非常嚴格。這些傳感器產(chǎn)生的模擬信號很小。這些信號需要由噪聲較低的增益級放大，以便放大器的噪聲不會淹沒來自傳感器的信號。在放大器之后，需要一個高分辨率ADC，以便將來自傳感器的低電平信號轉(zhuǎn)換為數(shù)字信息。除了ADC和增益級外，溫度系統(tǒng)還需要激勵電流等其他元件。同樣，這些必須是低漂移、低噪聲元件，以便系統(tǒng)精度不會降低。初始誤差（如失調(diào)）可以從系統(tǒng)外進行校準，但組件隨溫度的漂移必須較低，以避免引入誤差。因此，集成勵磁模塊和測量模塊可簡化客戶設(shè)計。在設(shè)計功能安全時，還需要進行診斷。通過將診斷與激勵和測量模塊集成在一起，簡化了整體系統(tǒng)設(shè)計，減少了BOM、設(shè)計時間和上市時間。

FMEDA 等文檔包含客戶在最終設(shè)計中認證組件所需的所有信息。但是，認證組件本身可以進一步簡化與認證機構(gòu)的對話。Route 2S 流程允許產(chǎn)品在發(fā)布后進行認證，因此這是一個有用的途徑，因為當前發(fā)布了許多適合功能安全設(shè)計的設(shè)備。

審核編輯：郭婷