避免電機控制設計流程中的功能安全 合規性缺陷

系統設計和功能安全合規性不應該依次進(jìn)行。遺憾的是，傳統設計方法以及許多組織都將設計流程中的這些步驟視為單獨的孤立活動(dòng)，這往往會(huì )導致設計成本增加和產(chǎn)品面市延誤。

內容概覽

1. 定義功能安全合規性

功能安全標準的目標是管理和緩解系統故障，同時(shí)還能夠檢測和防止隨機硬件故障，或至少確保排除其風(fēng)險。

2. 功能安全系統設計的兩個(gè)屬性

功能安全涉及開(kāi)發(fā)能提供預期功能并符合安全完整性等級的系統。

3. 設計功能安全電機控制和驅動(dòng)系統的推薦方法

設計功能安全系統的系統工程師應在設計流程開(kāi)始時(shí)就著(zhù)手處理功能安全合規性，而不是在事后才考慮。

在設計功能安全的電機控制應用時(shí)，您是否應該從一開(kāi)始就將功能安全合規性作為初始設計要求？或者，您是否應該將功能安全視為融入設計最終階段的附加功能？

功能安全應納入初始設計要求中，與電機驅動(dòng)器的預期功能交織在一起。這并不是準則，因為傳統的系統設計工作流程不會(huì )協(xié)同處理安全合規性。但是，如果不一開(kāi)始就考慮如何滿(mǎn)足安全完整性合規要求，則可能會(huì )導致將系統推向市場(chǎng)時(shí)出現延誤，而這種延誤成本高昂。

隨著(zhù)工業(yè) 4.0 的興起以及車(chē)輛電氣化和連接技術(shù)的發(fā)展，我們需要改變功能安全合規性方法。簡(jiǎn)而言之，現在我們在更多的應用中擁有更多的電機系統，并且在符合功能安全標準方面達到了很高的水準。

定義功能安全合規性

諸如國際電工委員會(huì ) (IEC) 61508 和國際標準化組織 (ISO)26262 等功能安全標準的目標是管理和緩解系統故障，同時(shí)還能夠檢測和防止隨機硬件故障，或至少確保排除其風(fēng)險。

采用具有獨立驗證和確認的嚴格開(kāi)發(fā)流程有助于針對系統故障進(jìn)行管理。

可以通過(guò)以下方式檢測、防止隨機硬件故障或排除其風(fēng)險：

? 全面了解所控制的設備。

? 分析情境性風(fēng)險的可能來(lái)源及其屬性，例如發(fā)生概率、影響的嚴重性和事件的可控性。

然后，將安全機制與情境性風(fēng)險配對，有助于設計人員滿(mǎn)足 IEC 61508 所要求的量化指標，例如安全失效分數(SFF) 和每小時(shí)故障概率 (PFH)。例如，安全完整性等級(SIL) 為 2 的系統在超過(guò) 10 億小時(shí)的運行中必須滿(mǎn)足SFF≥90% 且 PFH ≤100 時(shí)基故障。

功能安全系統設計的兩個(gè)屬性

功能安全標準假設所有系統都將發(fā)生故障（不是會(huì )不會(huì )發(fā)生故障，而是何時(shí)發(fā)生故障），不存在零風(fēng)險的情況。

功能安全系統設計的兩個(gè)屬性分別是：開(kāi)發(fā)一個(gè)系統來(lái)提供預期功能，以及開(kāi)發(fā)同一個(gè)系統來(lái)滿(mǎn)足特定 SIL 或汽車(chē)SIL (ASIL) 等安全功能要求。

設計人員經(jīng)常以不同的方式或按順序處理這兩個(gè)方面。為大容量應用設計功能安全的系統，同時(shí)保持設計預算要求是一項挑戰。表 1 概述了控制和驅動(dòng)應用中預期功能和安全功能的示例。

為了更好地理解此概念，請查看表 1 中的電梯電機示例。

電梯的預期功能是根據用戶(hù)輸入上下運送乘客。如果您按下到達五樓的按鈕，電梯應該會(huì )停在五樓。

電梯的安全功能則更進(jìn)一步，可能包括：

? 將您從一個(gè)樓層平穩地運送到另一個(gè)樓層。

? 停在與每層樓平臺齊平的位置。

? 如果電梯超過(guò)安全速度，則自動(dòng)應用制動(dòng)器。

表 1.控制和驅動(dòng)應用中的預期和安全功能示例。

為了更好地理解預期功能和安全功能如何協(xié)同工作，假設一棟建筑物中有 20 個(gè)樓層，里面的電梯有一個(gè)按鈕電路（請參閱圖 1），電梯電機控制器將故障解釋為讓電梯抵達第 25 或第 30 層（即，建筑物內不存在的樓層）。界限檢查會(huì )盡早發(fā)現故障，以免其導致錯誤或最終導致失效。這是功能安全方面的公認進(jìn)展：“故障”會(huì )導致“錯誤”，而某些錯誤可能會(huì )導致“失效”。

圖 1.現代電梯按鈕示例。
我們來(lái)回顧一下預期功能設計和安全功能設計的流程。

在電機驅動(dòng)器的預期功能設計流程中，系統工程師選擇微控制器 (MCU) 來(lái)滿(mǎn)足預期功能的要求。隨后，他們分配檢測功能（例如集成模數轉換器 (ADC) 通道），以監控轉子位置、線(xiàn)路電流、相電壓和系統溫度。然后，系統工程師繼續使用 MCU 的可用處理能力（例如 CPU 的每秒百萬(wàn)條指令 (MIPS)）來(lái)運行電機控制算法，以及可用的驅動(dòng)外設（例如脈寬調制器 (PWM)）來(lái)驅動(dòng)電機驅動(dòng)器電路。此過(guò)程通常需要幾個(gè)月，還涉及設計印刷電路板 (PCB)、開(kāi)發(fā)電機控制算法以及開(kāi)發(fā)和調試所有嵌入式軟件。

在由一個(gè)獨立的、有些孤立的團隊負責處理安全功能設計流程的組織中，會(huì )有一名單獨的功能安全專(zhuān)家負責檢查系統工程師最初選擇的 MCU 的功能安全手冊。在某些情況下，功能安全專(zhuān)家可能會(huì )發(fā)現獨立安全元素 (SEooC) 安全概念需要使用軟件測試功能，包括錯誤測試、硬件冗余、數模轉換器 (DAC) 至 ADC 環(huán)回檢查或通過(guò)增強型捕捉監控增強型 PWM?；仡欀暗碾娞菔纠?，可能有必要使用多個(gè) ADC 通道來(lái)監控每個(gè)樓層上的水平傳感器，以防止MCU ADC 中出現“卡住”故障。

如果 ADC 和 PWM 通道不足或 CPU MIPS 不足，無(wú)法實(shí)現功能安全，可能需要返回到制圖板并選擇另一個(gè) MCU來(lái)實(shí)現功能安全系統，這可能會(huì )使獨立系統設計團隊迄今為止完成的工作付諸東流。

即使設計步驟不是按順序進(jìn)行，它們也經(jīng)常在獨立的組織孤島中進(jìn)行；也就是說(shuō)，系統工程師通常不具備任何功能安全專(zhuān)業(yè)知識，而功能安全專(zhuān)家也不是系統工程師。這種孤立的方法最終會(huì )帶來(lái)同樣的問(wèn)題：系統成本增加和面市時(shí)間延誤數月。

設計功能安全電機控制和驅動(dòng)系統的推薦方法

設計功能安全系統的系統工程師的最終目標是在設計流程的一開(kāi)始就著(zhù)手處理功能安全合規性。

設計和提供符合設計預算的功能安全系統需要對安全合規性和預期功能進(jìn)行協(xié)同分析。獨立或依次處理工程可能會(huì )帶來(lái)挑戰，甚至無(wú)法滿(mǎn)足系統設計目標?？紤]到之前的由團隊管理安全功能設計流程的示例，盡早開(kāi)展協(xié)作或許可以避免選擇新 MCU 和重新配置 PCB。

實(shí)際上，另一個(gè)示例可能說(shuō)明了建議的方法。人類(lèi)同時(shí)利用左腦（邏輯）和右腦（創(chuàng )造性）來(lái)全面解決問(wèn)題，如圖2 所示。

圖 2.整個(gè)大腦在系統設計和功能安全合規性方面擁有統一的專(zhuān)業(yè)知識。

將大腦想象成一個(gè)組織，其中每一半代表不同的團隊或內部設計資源，能夠在設計流程中提出特定學(xué)科的觀(guān)點(diǎn)。他們可以在設計工作流程中作為一個(gè)單元協(xié)同工作，從專(zhuān)業(yè)角度處理設計，同時(shí)保持清晰持續的溝通。

同樣，有效的設計工程需要系統設計人員和功能安全專(zhuān)家團隊協(xié)同工作來(lái)實(shí)現功能安全系統。為了幫助縮短產(chǎn)品面市時(shí)間，系統工程師需要合適的設計資源。例如，TI 提出了子系統級和系統級功能安全概念，并由第三方獨立評估。

TI 如何幫助您設計功能安全系統

TI 的產(chǎn)品系列種類(lèi)繁多，涵蓋電機驅動(dòng)器和柵極驅動(dòng)器到基于專(zhuān)有 CPU 架構的 MCU，包括基于 C2000? 和基于A(yíng)rm? Cortex? 的 MCU，例如 AM2434BSDFHIALVR。這些產(chǎn)品具有高級診斷功能和片上感應外設，能夠快速檢測故障并對其做出反應，同時(shí)更大限度地減少系統停機時(shí)間（在工業(yè)環(huán)境中，可提高工廠(chǎng)生產(chǎn)力）。

為了幫助您找到更有效的器件來(lái)進(jìn)行功能安全設計，TI 定義了三個(gè)適合在功能安全應用中使用的產(chǎn)品類(lèi)別：TI 功能安全型、TI 功能安全質(zhì)量管理型和 TI 功能安全合規型。（我們的電機驅動(dòng)器、柵極驅動(dòng)器和 MCU 通常是 TI 功能安全合規型產(chǎn)品。）

TI 設計和構建這些產(chǎn)品來(lái)滿(mǎn)足 IEC 61508 和 ISO 26262 的系統功能合規性建議，使您能夠構建安全可靠的電機控制和驅動(dòng)系統。我們?yōu)槊總€(gè)器件提供失效模式、影響和診斷分析 (FMEDA)、功能安全手冊以及（若適用）安全診斷庫，系統和子系統功能安全概念報告可在 TI.com 上找到或通過(guò)申請獲得。TI MCU 的功能安全手冊包括 SEooC 的背景介紹，并概述了示例應用可能的故障組。

我們的設計資源示例包括適用于工業(yè)驅動(dòng)器且經(jīng)過(guò) TüVSüD 評估的 STO 模塊，如適用于工業(yè)驅動(dòng)器且經(jīng)過(guò) TUEV評估的安全轉矩關(guān)閉 (STO)參考設計 (IEC 61800-5-2) 中所述。請訪(fǎng)問(wèn) www.ti.com.cn/zh-cn/technologies/functional-safety.html，詳細了解我們的功能安全產(chǎn)品并查看設計資源。

TI 在符合 ISO 26262 SEooC 和 IEC 61508 標準的部件，以及使用 TI 產(chǎn)品的功能安全型系統的類(lèi)型方面擁有豐富的經(jīng)驗。當然，實(shí)現這些優(yōu)勢需要平衡開(kāi)發(fā)預期功能和安全功能的復雜需求