功能安全指與電氣和電子系統(tǒng)正常運(yùn)行相關(guān)的安全性 能。目前，變速驅(qū)動(dòng)器在實(shí)現(xiàn)功能安全方面發(fā)揮著重要作用。以前，面向電機(jī)控制應(yīng)用的功能安全是通過(guò)驅(qū)動(dòng) 器外部的安全繼電器和接觸器來(lái)實(shí)現(xiàn)的。但隨著安全特 性被集成到驅(qū)動(dòng)器當(dāng)中，STO、SLS等安全功能可以集成 到驅(qū)動(dòng)器上，從而提高工廠的生產(chǎn)效率。集成安全要求 采用集成電路，但是，解讀變速驅(qū)動(dòng)器中所用集成電路 的功能安全要求并非易事。理想情況下，所有此類IC均應(yīng) 符合IEC 61508規(guī)范，但其成本高昂，因此各項(xiàng)標(biāo)準(zhǔn)并未予 以要求。本文將嘗試總結(jié)相關(guān)指導(dǎo)方針，以便在變速驅(qū) 動(dòng)器的設(shè)計(jì)中選用正確的集成電路。本文的目標(biāo)之一是 不使用術(shù)語(yǔ)概括各個(gè)主題。

功能安全有三個(gè)關(guān)鍵要求：

要求1—使用可靠組件。這是指FIT率足夠低的IC。FIT率通常依 照IEC 62380或SN 29500等標(biāo)準(zhǔn)進(jìn)行計(jì)算，其結(jié)果基于各類組件 在現(xiàn)場(chǎng)的平均故障率。此外，數(shù)據(jù)可能基于加速壽命測(cè)試， 例如analog.com/ReliabilityData上提供的數(shù)據(jù)。一個(gè)重要的考慮因 素是，IEC 61508和類似標(biāo)準(zhǔn)中給出的PFH (每小時(shí)發(fā)生危險(xiǎn)故障 的概率)數(shù)字是針對(duì)整個(gè)安全功能，而不僅僅針對(duì)一個(gè)IC。因 此，SIL 3安全功能(100 FIT)的PFH數(shù)字10-7 h-1可能會(huì)給出錯(cuò)誤的預(yù) 算，即給定的IC只有1 FIT。另外還需要注意的是，PFH實(shí)際上是 指每小時(shí)發(fā)生危險(xiǎn)故障的概率。可以說(shuō)，至少50%的故障是安 全的，并且IC的可靠性限制可以翻倍。

要求 2—實(shí)施過(guò)去已證明能夠設(shè)計(jì)高安全性產(chǎn)品的一系列措施。 這是指稱為系統(tǒng)完整性的標(biāo)準(zhǔn)。不同于隨機(jī)的硬件故障，系統(tǒng) 故障內(nèi)置于系統(tǒng)中，只需要更改設(shè)計(jì)就能消除它們。軟件缺陷 便是系統(tǒng)故障和EMC故障的例子。

要求 2—容忍缺陷和接受缺陷，因?yàn)闊o(wú)論組件多么可靠或者多 么遵循開(kāi)發(fā)流程，都會(huì)出現(xiàn)隨機(jī)硬件故障或系統(tǒng)故障。應(yīng)對(duì)故 障的兩種方法是診斷和冗余。診斷可以檢測(cè)故障，并使系統(tǒng)處 于安全狀態(tài)。對(duì)于電機(jī)控制，安全狀態(tài)通常會(huì)使電機(jī)利用安全 子功能停止，如IEC 61800-5-2的STO。另一個(gè)替代方法是實(shí)現(xiàn)冗 余，這樣會(huì)有兩個(gè)或兩個(gè)以上的項(xiàng)目，任意一個(gè)項(xiàng)目可以檢測(cè) 到不安全的狀態(tài)，并在必要時(shí)使系統(tǒng)處于安全狀態(tài)。標(biāo)準(zhǔn)通常 允許在診斷和冗余之間進(jìn)行權(quán)衡。提高有效性的措施包括IEC 61508中的SFF、ISO 13849中的診斷覆蓋率(DC)和ISO 26262中的單 點(diǎn)故障指標(biāo)。

IEC 61800-5-2

IEC 61800-5-2是C類標(biāo)準(zhǔn)。這意味著此標(biāo)準(zhǔn)提出了特定機(jī)器類別 的要求，在這種情況下是指變速驅(qū)動(dòng)器。采用C類標(biāo)準(zhǔn)是非常 有價(jià)值的，因?yàn)樗忉屃诉@種設(shè)備類型的通用標(biāo)準(zhǔn)IEC 61508， 并且只保留了與該機(jī)器相關(guān)的內(nèi)容。通用標(biāo)準(zhǔn)本質(zhì)上必須能夠 應(yīng)對(duì)許多不同類型的設(shè)備和情況，這意味著它包含很多與特定 設(shè)計(jì)不相關(guān)的信息和要求。IEC 61800-5-2聲稱，“通過(guò)采用IEC 61800系列的這一部分要求，可以滿足PDS (SR)所需要的IEC 61508 相應(yīng)要求。”然而，對(duì)于C類標(biāo)準(zhǔn)(如IEC 61800-5-2)沒(méi)有提供指導(dǎo) 的主題，則可以參考IEC 61508。

IEC 61800-5-2中定義了STO (安全轉(zhuǎn)矩關(guān)閉)和SLS (安全限制速度) 等安全子功能，并概括了功能安全生命周期。

圖1. STO安全功能。

借助STO安全子功能，通過(guò)防止為電機(jī)提供發(fā)電的力，可以達(dá)到安全狀態(tài)。通常，當(dāng)防護(hù)裝置打開(kāi)時(shí)，可以通過(guò)在柵極驅(qū)動(dòng)器阻塞脈沖或切斷電源來(lái)完成。由于驅(qū)動(dòng)器的總電源切斷了，當(dāng)防護(hù)裝置關(guān)閉時(shí)，有助于快速重啟。

借助SLS安全子功能，可以監(jiān)控電機(jī)的速度，如果超過(guò)了設(shè)定的水平，驅(qū)動(dòng)器會(huì)使電機(jī)進(jìn)入安全狀態(tài)，通常是STO。這個(gè)安全子功能通常用于滾軸的清洗過(guò)程中，并與三位控制開(kāi)關(guān)配合使用。圖2顯示了SLS在t12處脫開(kāi)。紅色方塊表示(如果進(jìn)入)將導(dǎo)致驅(qū)動(dòng)器進(jìn)入安全狀態(tài)的速度區(qū)域。

圖2. 安全限制速度。

雖然IEC 61800-5-2不強(qiáng)制要求雙通道安全，但大多數(shù)驅(qū)動(dòng)器制造 商也希望宣稱符合ISO 13849的性能水平，因此雙通道非常常見(jiàn)。

ISO 13849

ISO 13849是基于目前冗余的EN954標(biāo)準(zhǔn)的機(jī)器標(biāo)準(zhǔn)。與IEC 61800-5-2、IEC 61508和IEC 62061相比，它采用了性能水平(PL)，而不是SIL水平。水平為PLa至PLe。ISO 13849也明顯偏好用雙通道系統(tǒng)來(lái)實(shí)現(xiàn)更高的性能水平，因此必須使用三類或四類系統(tǒng)。ISO 13849使用DC (診斷覆蓋率)作為診斷有效性的指標(biāo)，而其他標(biāo)準(zhǔn)使用SFF作為指標(biāo)。假設(shè)缺陷是50%安全/50%危險(xiǎn)，則SFF和DC的關(guān)系可以用下面的方程式表示。

IEC 62061

IEC 62061是IEC 61508的機(jī)器解讀。它實(shí)際上是ISO 13849的平行標(biāo)準(zhǔn) — 事實(shí)上，ISO/IEC 17305將這兩個(gè)機(jī)器標(biāo)準(zhǔn)結(jié)合在了一起。

在IEC 62061的范圍中，它指出，“在此標(biāo)準(zhǔn)中，可以推測(cè)出復(fù)雜可編程電子子系統(tǒng)或子系統(tǒng)元件的設(shè)計(jì)符合IEC 61508的相關(guān)要求。此標(biāo)準(zhǔn)提供了SRECS的此類子系統(tǒng)和子系統(tǒng)元件的使用方法，而不是開(kāi)發(fā)方法。”

IEC 61508

IEC 61508-2:2010包含了重要的IC要求，但是如果隨意閱讀或閱讀 部分標(biāo)準(zhǔn)，很容易漏掉這些要求。這些要求包括一個(gè)ASIC開(kāi)發(fā)V模型，請(qǐng)參見(jiàn)IEC 61508-2:2010圖3。V模型針對(duì)數(shù)字ASIC，它引用合成位置和路由以及最后的編碼，但用一點(diǎn)想象力就可以把V模型解讀為模擬或混合信號(hào)ASIC。

圖3. ADuM4135隔離式柵極驅(qū)動(dòng)器。

標(biāo)題為“ASIC的技術(shù)和措施—避免系統(tǒng)故障”的附錄F介紹了數(shù)字ASIC的首選項(xiàng)，并且注釋1中指出，“以下技術(shù)和措施僅與數(shù)字ASIC和用戶可編程IC相關(guān)。對(duì)于混合模式和模擬ASIC，目前沒(méi)有提供通用技術(shù)和措施”。盡管存在限制，但是仍然可以完成混合信號(hào)ASIC的數(shù)字部分的檢查清單，以及不適用于純模擬IC的一些用途。

附錄E的標(biāo)題為“具有芯片冗余的集成電路(IC)的特殊架構(gòu)要求。”同樣，該附錄說(shuō)明了數(shù)字限制，它在E.1中指出，“下列要求僅與數(shù)字IC相關(guān)。對(duì)于混合模式和模擬IC，目前沒(méi)有提供通用要求”。當(dāng)其他標(biāo)準(zhǔn)中引用附錄E時(shí)，往往忽視了關(guān)于附錄E的另一個(gè)限制，即“此標(biāo)準(zhǔn)中使用的芯片冗余是指功能單元的成倍重復(fù)(或三倍重復(fù))，以便實(shí)現(xiàn)大于零的硬件容錯(cuò)。”“重復(fù)”一詞意味著相同的冗余，并且本文作者認(rèn)為，其目標(biāo)是可能使用同步技術(shù)的雙核微指令。雖然大多數(shù)技術(shù)是有用的，但是當(dāng)應(yīng)用于各種冗余模塊之間或一個(gè)模塊與另一個(gè)芯片模塊(用于對(duì)第一個(gè)模塊進(jìn)行診斷)之間的分離時(shí)，它們可能是多余的。復(fù)制的模塊可能出現(xiàn)常見(jiàn)原因引起的故障，例如溫度、ESD、電源故障和其他不太可能在同一時(shí)間以相同方式影響不同模塊的因素。在ISO 13849-2:2012的D.2.4部分，可以找到引用附錄E的 方式，其指出，“因此，如果使用單個(gè)集成電路，不大可能實(shí)現(xiàn)滿足2類、3類或4類的容錯(cuò)和/或檢測(cè)要求所需要的多通道功能，除非它滿足IEC 61508-2:2010附錄E中的特殊架構(gòu)要求。”IEC 61800-5-2 FDIS (2015年秋季)允許根據(jù)IEC 61508-2:2010附錄E的要求，排除芯片短路，但是通過(guò)查看附錄E您會(huì)發(fā)現(xiàn)，只有第f)和g)條直接指向芯片短路。第f)條要求獨(dú)立模塊之間的間距至少是流程最低設(shè)計(jì)規(guī)定的10倍，而第g)條僅討論了相鄰行的獨(dú)立物理模塊。

圖4. 雙通道概念架構(gòu)，用于使用ADSP-CM419 (/8/7/6) DSP內(nèi)核實(shí)施IEC 61800-5-2的SLS安全子功能。

圖5. SLS解讀的可靠性模塊圖。

IEC 61508-2:2010的表A.1給出了計(jì)算SFF時(shí)假設(shè)的缺陷或故障。表A.2至A.14給出了典型診斷覆蓋率的示例，可宣稱為典型診斷，但是這些表有時(shí)需要解讀為集成電路。IEC 62380的附錄H和UL 1998的相關(guān)附錄A更為詳細(xì)，尤其是對(duì)數(shù)字微控制器和類似產(chǎn)品。

對(duì)于計(jì)算集成電路的FIT率，則引用了IEC 62380和SN29500以及其他來(lái)源。

該標(biāo)準(zhǔn)的2010年修訂版中添加了考慮軟錯(cuò)誤的要求，并暗示了為易失性存儲(chǔ)器(如RAM)添加ECC和奇偶校驗(yàn)，以便檢測(cè)和控制尤其影響RAM的軟錯(cuò)誤。

ISO 26262要求

ISO 26262是IEC 61508派生出的汽車版本標(biāo)準(zhǔn)。它與IEC 61508的 第2版同時(shí)開(kāi)發(fā)，包含IEC 61508未提供的一些集成電路相關(guān)要 求，并澄清了IEC 61508中的一些項(xiàng)目，但省略了其他要求。例如，ISO 26262-10:2012包含IEC 61508-2:2010的附錄F和ISO 26262-5:2011的表D.1的汽車版本，它澄清了關(guān)于如何考慮汽車上的芯片短路的位置，“這里并不需要進(jìn)行詳盡的分析，例如并不需要對(duì)橋接故障進(jìn)行詳盡的分析，而橋接故障可能會(huì)影響微控制器或復(fù)雜PCB中的任何信號(hào)的任何理論組合。分析主要針對(duì)通過(guò)布局級(jí)別分析識(shí)別的重要信號(hào)或高度耦合的互連。”

第10部分特別包含了重點(diǎn)內(nèi)容，比如“如果一個(gè)CPU面積占據(jù)了整個(gè)微控制器芯片面積的3%，則可以假設(shè)它的故障率等于總微控制器故障率的3%。”雖然此類流程是IEC 61508的自定義和實(shí)踐部分，但是寫(xiě)出來(lái)也很有用。

ISO 26262的集成電路說(shuō)明可作為ISO/TC 22/SC32中的ISO/AWI PAS 19451-1使用。

集成電路設(shè)計(jì)輔助

查看各項(xiàng)標(biāo)準(zhǔn)之后，作者提出了關(guān)于IC制造商如何協(xié)助驅(qū)動(dòng)器制造商在驅(qū)動(dòng)器中設(shè)計(jì)集成電路的許多建議。

首先，集成電路安全手冊(cè)應(yīng)該會(huì)對(duì)集成電路設(shè)計(jì)人員很有幫助。即使ASIC或設(shè)備未按照IEC 61508開(kāi)發(fā)，也可以制作安全手冊(cè)。

安全手冊(cè)中的項(xiàng)目包括：

* 所使用的開(kāi)發(fā)流程和生命周期模型。* IEC 61508-2:2010的完整附錄F檢查清單。* 假定任務(wù)說(shuō)明。* 根據(jù)IEC 62380和SN29500，以合理的平均工作溫度預(yù)測(cè)FIT率， 例如55°C，在24小時(shí)內(nèi)的熱循環(huán)溫度為10°C。* 芯片尺寸、芯片數(shù)量、RAM單元數(shù)量和晶體管數(shù)量，以便設(shè)計(jì)人員使用SN29500和IEC 62380計(jì)算他們自己的FIT率(如果計(jì)算已經(jīng)完成并已給出計(jì)算的詳細(xì)信息，則會(huì)更好)。* 支持芯片分離的證據(jù)。* 支持排除任何相關(guān)故障的證據(jù)。* 芯片診斷的詳細(xì)信息。* 假定系統(tǒng)級(jí)診斷的詳細(xì)信息。* 給出λDU, λDD, λS的引腳FMEA，并針對(duì)查看預(yù)期封裝故障模式的一組假設(shè)診斷計(jì)算SFF和DC的結(jié)果。* 給出λDU, λDD, λS的引腳FME(D)A，并針對(duì)查看預(yù)期芯片故障模式的一組假設(shè)診斷計(jì)算SFF和DC的結(jié)果。* 數(shù)據(jù)手冊(cè)上顯示的各種模塊的FIT率，以便驅(qū)動(dòng)器制造商重新進(jìn)行FME(D)A。* 鑒于數(shù)據(jù)的性質(zhì)，安全手冊(cè)可能只在簽訂NDA (保密協(xié)議)后提供。

與電機(jī)控制安全有關(guān)的部分，ADI公司目前正在開(kāi)發(fā)安全手冊(cè)，包括 AD7403 隔離式ADC和ADuM4135隔離式柵極驅(qū)動(dòng)器。

其次，了解系統(tǒng)級(jí)設(shè)計(jì)的IC制造商可以幫助設(shè)計(jì)實(shí)現(xiàn)功能安全所需要的特性。例如：

* 知道只有一小部分PFH可用于IC，也許只有1%。* 知道雖然一般來(lái)說(shuō)功能安全越簡(jiǎn)單越好，但是在芯片上安裝晶體管是非常可靠的，而且如果芯片上* 的晶體管數(shù)量增加10倍，則PCB上的組件將會(huì)減少，整體PFH將會(huì)下降。* 知道芯片上的診斷可以比系統(tǒng)級(jí)診斷反應(yīng)更快，可以幫助預(yù)防錯(cuò)誤的積累。* 知道驅(qū)動(dòng)器的一般生命周期是20年，數(shù)據(jù)應(yīng)該證明IC可以在給定的任務(wù)下匹配這一生命周期。* 知道添加硬件加速器(如CRC引擎)可以減少軟件負(fù)擔(dān)。* 第三，一系列建議架構(gòu)顯示了如何組合使用IC來(lái)實(shí)施IEC 61800-5-2的安全功能。可能涉及：

關(guān)于系統(tǒng)級(jí)診斷的建議。關(guān)于適用組件的建議。關(guān)于滿足不同通道之間的獨(dú)立要求的建議。關(guān)于安全和非安全軟件之間的軟件獨(dú)立性的建議，如果控制和安全可以組合到至少一個(gè)處理器上，則可以將所需要的處理器數(shù)從三個(gè)減少到兩個(gè)。如果無(wú)法展現(xiàn)足夠的獨(dú)立性，則必須將一切事宜視為安全事宜。第四，為了澄清要求，應(yīng)當(dāng)引用標(biāo)準(zhǔn)。例如：

為了防止數(shù)據(jù)損壞，應(yīng)當(dāng)對(duì)將ADC連接到同一個(gè)PCB上的微控制器或DSP的SPI接口采取什么預(yù)防措施？IEC 61800-5-2:2006等 標(biāo)準(zhǔn)讓讀者參考IEC 61508，進(jìn)而參考電軌標(biāo)準(zhǔn)。IEC 61800-5-2的下一個(gè)版本添加了一些文本，用于澄清IEC 61784-3的要求不適用于此類接口，但是當(dāng)作者閱讀新標(biāo)準(zhǔn)中他自己的文字時(shí)，澄清并不像他所希望的那樣清晰。EN 50402的最新標(biāo)準(zhǔn)草案做出了更好的澄清，它區(qū)分了空間上獨(dú)立模塊的信號(hào)傳輸與空間上不獨(dú)立模塊的信號(hào)傳輸。

澄清實(shí)施各種冗余的IC芯片獨(dú)立要求。

澄清模擬和混合信號(hào)IC芯片獨(dú)立要求。

第五，從標(biāo)準(zhǔn)中刪除對(duì)特定解決方案的引用，因?yàn)檫@會(huì)導(dǎo)致一些讀者認(rèn)為這些是唯一的問(wèn)題解決方案。例如，眾所周知，光耦合器是實(shí)現(xiàn)信號(hào)隔離的一種傳統(tǒng)方式，但與較新的數(shù)字隔離器相比，在可靠性、功率和速度方面有一些劣勢(shì)。編輯ISO 13849和IEC 61800-5-2等標(biāo)準(zhǔn)，并將光耦合器的引用替換為更通 用的術(shù)語(yǔ)，如電流隔離器，也將有助于采用更可靠的新型數(shù)字隔離器。2015年，IEC 61800-5-2的最新FDIS(終稿)已經(jīng)這樣做了。