变速驱动器中所用集成电路的功能安全.doc
《变速驱动器中所用集成电路的功能安全.doc》由会员分享,可在线阅读,更多相关《变速驱动器中所用集成电路的功能安全.doc(7页珍藏版)》请在三一文库上搜索。
1、变速驱动器中所用集成电路的功能安全功能安全指与电气和电子系统正常运行相关的安全性能。目前,变速驱动器在实现功能安全方面发挥着重要作用。以前,面向电机控制应用的功能安全是通过驱动器外部的安全继电器和接触器来实现的。但随着安全特性被集成到驱动器当中,STO、SLS等安全功能可以集成到驱动器上,从而提高工厂的生产效率。集成安全要求采用集成电路,但是,解读变速驱动器中所用集成电路的功能安全要求并非易事。理想情况下,所有此类IC均应符合IEC 61508规范,但其成本高昂,因此各项标准并未予以要求。本文将尝试总结相关指导方针,以便在变速驱动器的设计中选用正确的集成电路。本文的目标之一是不使用术语概括各个
2、主题。功能安全的三个关键要求功能安全有三个关键要求:要求1使用可靠组件。这是指FIT率足够低的IC。FIT率通常依照IEC 62380或SN 29500等标准进行计算,其结果基于各类组件在现场的平均故障率。此外,数据可能基于加速寿命测试,例如analog/ReliabilityData上提供的数据。一个重要的考虑因素是,IEC 61508和类似标准中给出的PFH (每小时发生危险故障的概率)数字是针对整个安全功能,而不仅仅针对一个IC。因此,SIL 3安全功能(100 FIT)的PFH数字10-7 h-1可能会给出错误的预算,即给定的IC只有1 FIT。另外还需要注意的是,PFH实际上是指每小
3、时发生危险故障的概率。可以说,至少50%的故障是安全的,并且IC的可靠性限制可以翻倍。要求 2实施过去已证明能够设计高安全性产品的一系列措施。这是指称为系统完整性的标准。不同于随机的硬件故障,系统故障内置于系统中,只需要更改设计就能消除它们。软件缺陷便是系统故障和EMC故障的例子。要求 2容忍缺陷和接受缺陷,因为无论组件多么可靠或者多么遵循开发流程,都会出现随机硬件故障或系统故障。应对故障的两种方法是诊断和冗余。诊断可以检测故障,并使系统处于安全状态。对于电机控制,安全状态通常会使电机利用安全子功能停止,如IEC 61800-5-2的STO。另一个替代方法是实现冗余,这样会有两个或两个以上的项
4、目,任意一个项目可以检测到不安全的状态,并在必要时使系统处于安全状态。标准通常允许在诊断和冗余之间进行权衡。提高有效性的措施包括IEC61508中的SFF、ISO 13849中的诊断覆盖率(DC)和ISO 26262中的单点故障指标。IEC 61800-5-2IEC 61800-5-2是C类标准。这意味着此标准提出了特定机器类别的要求,在这种情况下是指变速驱动器。采用C类标准是非常有价值的,因为它解释了这种设备类型的通用标准IEC 61508,并且只保留了与该机器相关的内容。通用标准本质上必须能够应对许多不同类型的设备和情况,这意味着它包含很多与特定设计不相关的信息和要求。IEC 61800-
5、5-2声称,“通过采用IEC61800系列的这一部分要求,可以满足PDS (SR)所需要的IEC 61508相应要求。”然而,对于C类标准(如IEC 61800-5-2)没有提供指导的主题,则可以参考IEC 61508。IEC 61800-5-2中定义了STO (安全转矩关闭)和SLS (安全限制速度)等安全子功能,并概括了功能安全生命周期。借助STO安全子功能,通过防止为电机提供发电的力,可以达到安全状态。通常,当防护装置打开时,可以通过在栅极驱动器阻塞脉冲或切断电源来完成。由于驱动器的总电源切断了,当防护装置关闭时,有助于快速重启。借助SLS安全子功能,可以监控电机的速度,如果超过了设定的
6、水平,驱动器会使电机进入安全状态,通常是STO。这个安全子功能通常用于滚轴的清洗过程中,并与三位控制开关配合使用。图2显示了SLS在t12处脱开。红色方块表示(如果进入)将导致驱动器进入安全状态的速度区域。虽然IEC 61800-5-2不强制要求双通道安全,但大多数驱动器制造商也希望宣称符合ISO 13849的性能水平,因此双通道非常常见。ISO 13849ISO 13849是基于目前冗余的EN954标准的机器标准。与IEC 61800-5-2、IEC 61508和IEC 62061相比,它采用了性能水平(PL),而不是SIL水平。水平为PLa至PLe。ISO 13849也明显偏好用双通道系统
7、来实现更高的性能水平,因此必须使用三类或四类系统。ISO 13849使用DC (诊断覆盖率)作为诊断有效性的指标,而其他标准使用SFF作为指标。假设缺陷是50%安全/50%危险,则SFF和DC的关系可以用下面的方程式表示。IEC 62061IEC 62061是IEC 61508的机器解读。它实际上是ISO 13849的平行标准 事实上,ISO/IEC 17305将这两个机器标准结合在了一起。在IEC 62061的范围中,它指出,“在此标准中,可以推测出复杂可编程电子子系统或子系统元件的设计符合IEC 61508的相关要求。此标准提供了SRECS的此类子系统和子系统元件的使用方法,而不是开发方法
8、。”IEC 61508IEC 61508-2:2010包含了重要的IC要求,但是如果随意阅读或阅读部分标准,很容易漏掉这些要求。这些要求包括一个ASIC开发V模型,请参见IEC 61508-2:2010图3。V模型针对数字ASIC,它引用合成位置和路由以及最后的编码,但用一点想象力就可以把V模型解读为模拟或混合信号ASIC。标题为“ASIC的技术和措施避免系统故障”的附录F介绍了数字ASIC的首选项,并且注释1中指出,“以下技术和措施仅与数字ASIC和用户可编程IC相关。对于混合模式和模拟ASIC,目前没有提供通用技术和措施”。尽管存在限制,但是仍然可以完成混合信号ASIC的数字部分的检查清单
9、,以及不适用于纯模拟IC的一些用途。附录E的标题为“具有芯片冗余的集成电路(IC)的特殊架构要求。”同样,该附录说明了数字限制,它在E.1中指出,“下列要求仅与数字IC相关。对于混合模式和模拟IC,目前没有提供通用要求”。当其他标准中引用附录E时,往往忽视了关于附录E的另一个限制,即“此标准中使用的芯片冗余是指功能单元的成倍重复(或三倍重复),以便实现大于零的硬件容错。”“重复”一词意味着相同的冗余,并且本文作者认为,其目标是可能使用同步技术的双核微指令。虽然大多数技术是有用的,但是当应用于各种冗余模块之间或一个模块与另一个芯片模块(用于对第一个模块进行诊断)之间的分离时,它们可能是多余的。复
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 变速 驱动器 所用 集成电路 功能 安全
链接地址:https://www.31doc.com/p-3399588.html