運用高效能電壓監控電路提升工業功能安全合規性—第3部分:安全關鍵特性
運用高效能電壓監控電路提升工業功能安全合規性—第3部分:安全關鍵特性
作者:ADI 資深產品應用工程師 Bryan Angelo Borres 及 Christopher Macatangay
摘要
在設計安全相關系統(SRS)時使用符合功能安全(FS)的元件能夠帶來許多優勢,但大多數設計仍然依賴於標準IC,即未按照FS標準開發的IC。從系統級角度來看,透過使用標準零組件進行功能安全設計,設計人員便能夠始終實現合規性,尤其是目前僅有少數IC達到FS等級。為此,本系列的第3部分將深入探討在選擇監控電路時,值得關注的FS關鍵特性,以協助設計人員在眾多標準解決方案中做出更明智的選擇。
簡介
在本系列的第1部分中我們闡釋了診斷功能如何成為功能安全(FS)合規性的支柱,主要強調在安全相關系統(SRS)中,產生診斷作用的監控電路如何透過三個關鍵要求——系統能力、可靠性預測和架構約束——來提高FS合規性。系統能力評估的是在從概念化到退役的整個產品或服務生命週期中,品質管制的有效性。其強調透過嚴格的開發過程來避免發生系統失效的目標,同時指出需要藉由診斷功能來控制此類失效。另一方面,可靠性預測則用於評估隨著時間推移,SRS發生故障的可能性。此外,架構約束揭示了硬體容錯(HFT)、失效容忍能力和安全失效比率(SFF)之間的權衡關係,即安全功能在安全狀態下失效的傾向性,而診斷功能正是此一架構中的重要組成部分。
之後,本系列的第2部分介紹了使用符合FS的診斷功能改進SRS設計的方法,並總結該方法的多項優勢,包括:
- 本身包含失效模式、影響和診斷分析(FMEDA)功能。
- 整合多種安全特性,涵蓋多個診斷功能。
- 內建診斷功能來檢測晶片隨機硬體失效。
- 滿足IEC 61508修訂版本的要求。
- 相容其他國家/地區的安全標準和指令。
- 有助於簡化FS評估。
儘管存在上述優勢,系統設計人員可能仍會選擇使用非FS標準的元件,例如支援FS且經過FS評估的ADI零組件1。然而,由於市面上提供的監控電路解決方案眾多,設計人員可能很難選出正確的解決方案。因此,無論元件是否符合FS,都必須明確對FS非常重要的診斷功能特性。出於這個原因,本系列的第3部分列舉了設計SRS時較適合診斷功能的四個安全關鍵特性,並分析了這些特性對FS合規性的影響。
電源監控
基本FS標準IEC 61508:2010(特別是第2部分)提出了兩個與電源相關的要求2。第一個要求與表A.1和表A.9中的診斷覆蓋率(DC)和SFF有關,表A.1指定了在量化隨機硬體失效的影響時要假設的故障或失效類型,或在計算SFF時要考慮的故障或失效類型,表A.9則針對診斷測試措施和最大可實現DC提出了建議。第二個要求針對每個安全完整性等級(SIL)推薦了用於控制系統失效的技術和措施,如表A.15至表A.17所示。例如,表A.16列出的診斷措施是關於防範電壓擊穿、變化、過壓(OV)、下壓(UV)等問題所採取的措施。
根據IEC 61508-2表A.1,如果在量化隨機硬體失效的影響時假設存在固定位準故障,則可以達到60%的診斷覆蓋率(低);而如果假設存在DC故障模型和/或漂移和振盪,則可達到99%的診斷覆蓋率(高)。固定位準故障是指元件接腳上連續出現零(低訊號)或一(高訊號)的故障。DC故障模型包括固定位準故障、常開故障、開路或高阻抗輸出以及訊號線之間的短路等失效模式。
在IEC 61508-2的表A.9中,為檢測或承受因電源缺陷引起的失效,提供了一系列診斷措施建議,包括結合過壓保護、安全關斷或切換到備用電源的技術來實現低DC;透過結合斷電保護、安全關斷或切換到備用電源的技術來實現高DC,如表1所示。
| 診斷措施 | 認為可實現的最大診斷覆蓋率 |
| 透過安全關斷實現OV保護 | 低 |
| 電壓控制(二次) | 高 |
| 透過安全關斷實現斷電 | 高 |
這些推薦的診斷措施強調使用適當的電源監控器,該監控器必須能夠在所需時間內正確檢測OV和/或UV狀態,並提供訊號,以便透過斷電程式或切換到備用電源來觸發系統的安全關斷。
監控精度
設計OV/UV檢測機制時,電源監控器的首要參數與容差視窗和閾值精度有關。視窗電源監控器的容差(或稱容差視窗)以相對於標稱值的百分比設定UV和OV閾值。例如,對於標稱電壓值為1 V、容差視窗為±3%的視窗電壓監控器,UV閾值設定為1 V × 0.97,OV閾值設定為1 V × 1.03。然而,監控器容差視窗中的這些UV和OV閾值本身也有其容差規範,即閾值精度。閾值精度是指與監控器偏離其標稱或理想閾值的能力相關的監控器規範。相關參數如圖1.3所示。
圖1所示為電源監控器的閾值精度如何影響SRS設計的示例。例如,現場可程式化閘陣列(FPGA)的核心電源電壓(VCORE)設計為採用1.07 V至1.13 V電源供電,以確保正常工作。採用1.1 V的電源輸出電壓為FPGA的VCORE供電時,電源監控器需要在核心電源電壓超出規範(低於1.07 V或高於1.13 V)之前啟動重定訊號。如圖1所示,電源監控器的OV和UV閾值設定為±2.4%容差視窗。由於MAX16193的閾值精度規範為±0.3%,監控器可以在電壓達到1.1231 V (OV)或電壓降至1.0769 V (UV)時觸發斷路。另一方面,如果監控器精度較差(例如±1%),監控器可能會在更早的位準時斷路,例如1.1151% (OV)或1.0843% (UV)。如此的設計不僅需要更準確的電源,還會造成雜散跳變。因此,提升監控器閾值精度不僅可以放寬所需的電源規範,還能顯著減少誤觸發。
輸出機制
檢測到OV和UV狀態後,下一步就要考慮電源監控器的輸出回應。如圖2所示,輸出回應可能包括提供訊號以觸發系統的安全關斷,例如啟動狀態訊號以啟動斷電程式或切換到備用電源,或者甚至透過驅動電晶體開關的閘極來斷開後續的關鍵安全電路。TUV SUD建議,在OV事件發生後,不宜立即重設微控制器單元(MCU)。只有在UV事件結束後且不再持續時,方可復位MCU4。這是因為OV事件可能會對MCU的零組件造成不易察覺的損壞。因此,建議採取額外的措施來因應OV事件,例如透過關斷電源或擴大工作範圍等方式來確保系統安全。
故障狀態訊號
輸出機制的第一個例子是故障狀態訊號,該訊號用於傳達被監控電源或訊號的狀態。舉個例子,從圖2可以看出,在12 V輸入中檢測到異常時,POK訊號將被啟動。該有效訊號會向MCU發送訊號,表示檢測到異常,要求MCU復位。
閘極驅動
輸出機制的另一個例子是閘極驅動,其用於控制電晶體開關以實現保護和隔離功能。此類閘極驅動輸出透過向電晶體發送訊號,指示在正常條件下將主電源輸入連接到下游電路,或在發生OV事件時斷開連接以保護後面的電路,進而協助系統進入安全狀態,如圖2所示。因此,要想實現卓越的性能,選擇合適的MOSFET5與設計閘極驅動參數6同樣重要。
輸出操作
針對FS進行設計時,輸出操作也是一個關鍵因素,因為這會影響系統在發生故障時的響應方式。輸出操作主要分為兩種類型:鎖存操作和非鎖存操作。在鎖存模式下,除非像MAX16126完成週期供電,或者像其他監控電路一樣觸發清除鎖存訊號,否則輸出將永久保持啟動狀態。相較之下,非鎖存模式(即始終自動重試模式)將在故障消失後自動解除系統啟動。
其他考慮因素
不同的選項會帶來不同的操作效果,所以輸出拓撲和極性對FS也十分重要。例如,故障狀態訊號的開漏拓撲可將後面的電路與電壓監控器的輸入電源隔離開來。就極性而言,為安全關鍵功能(即制動和緊急停止功能)選擇低位準有效重定訊號,可以確保在控制訊號失效時,系統預設進入安全狀態。相較之下,高位準有效極性在電源故障時可能會導致系統失效。
晶片內部診斷
晶片內部診斷是指允許IC內部用於檢測自身故障的功能。這可以透過IC的內部安全機制來實現,例如內建自測功能(BIST)7、8、9 該功能可用於進行自測和定期測試。例如,MAX16138支援在上電或正常工作期間啟動的BIST功能。此時,BIST讓元件可以自動檢查其內部比較器或數位電路,以減少發生隨機硬體失效的可能性,降低裝置的危險故障概率8。
基本FS標準(IEC 61508-2)建議採用可測性設計(DFT)技術,以防止在SRS的設計和開發過程中引入故障。作為DFT的一種類型,BIST是硬體結構,能夠產生測試資料,將資料應用於被測電路(CUT),收集輸出回應,並驗證輸出是否正確9。這一點可以從圖3看出sup>7。IEC 62566、IEC 60987、IEEE 379、IEEE 7-4.3.2和NUREG/CR-7006等其他業界標準也要求採取類似的可測試性措施。值得一提的是,NUREG/CR-7006建議整合BIST來監測FPGA系統的健康狀況,因為儀器儀錶和控制系統中的BIST邏輯可以用於監測所有功能,例如匯流排活動、是否出現錯誤資料和超時電路等9。
晶片內部診斷也可以透過RAM測試、快閃記憶體CRC檢查或輸出測試的形式進行。在每次系統啟動時執行這些測試時,其可以發揮重要作用,例如可以用於支援診斷措施的論證,或在安全分析中用於確定故障檢測時間4。因此,安全手冊中應指定與操作此類診斷措施相關的任何資訊。
所以,具有BIST等晶片內部診斷功能的元件不僅能夠優化元件級和系統級的實現,還能顯著增強FS合規性。
看門狗計時器架構
隨著微控制器在電源和SRS中普及,看門狗計時器(WDT)特性成為了高性能電壓監控器應用中另一個值得關注的安全特性。歷史經驗顯示,當所有其他措施均失效時,尤其是在安全關鍵應用中使用MCU時,WDT可作為系統的故障安全功能或最後一道防線。
看門狗計時器符合基本FS標準IEC 61508對程式序列監測的要求,可作為診斷措施來控制因硬體設計和環境壓力或影響引起的系統失效。這一點也體現在IEC 61508-2:2010表A.15和表A.16裡,表中提到,無論安全完整性等級和診斷覆蓋率如何,都強烈推薦使用WDT。
相較於微控制器的內建WDT特性,外部或獨立WDT(通常為電源監控器IC的形式)可以消除共因故障,同時確保在MCU發生故障時,仍能觸發安全功能。圖4為SRS中的WDT實現示例。這與TÜV SÜD在討論看門狗和微控制器時的觀點也是一致的4。
表2和表3所示為IEC 61508-2的表A.10和表A.11,其中列出了每種類型的看門狗(具有獨立時間基準,有或沒有時間視窗)分別用於程式序列和時脈時,可實現的最大診斷覆蓋率。這表示在診斷程式序列和時脈失效時,簡單的看門狗計時器的最大DC可達到60%至90%。另一方面,視窗化看門狗在用於程式序列時的最大DC可達到90%到99%,在用於時脈時的最大DC至少可達到99%。DC是安全分析和指標計算的組成部分,因此在進行FMEDA時,此類資料非常有用。
| 診斷技術/措施 | 認為可實現的最大DC |
| 具有獨立時間基準但無時間視窗的看門狗 | 低 |
| 具有獨立時間基準和時間視窗的看門狗 | 中 |
| 程式序列的邏輯監測 | 中 |
| 組合程式序列的時間和邏輯監測 | 高 |
| 時間監測與線上檢查 | 中 |
| 診斷技術/措施 | 認為可實現的最大DC |
| 具有獨立時間基準但無時間視窗的看門狗 | 低 |
| 具有獨立時間基準和時間視窗的看門狗 | 高 |
| 程式序列的邏輯監測 | 中 |
| 程式序列的時間和邏輯監測 | 高 |
| 時間監測與線上檢查 | 中 |
根據表2和表3所示的看門狗計時器架構10及其應用場景,可達到的最大診斷覆蓋率也會有所不同。值得注意的是,相較於簡單的(非窗口化)看門狗計時器,窗口化看門狗定時器具有更高的故障覆蓋率11 ,因此後者可以達到更高的DC。
結論
本文的主要目的是深入探討在設計安全相關系統時需注意的多個電源監控器IC特性。無論IC是否符合FS標準,這些特性都十分重要。本文以FS標準為出發點,從外部評估機構的角度討論了電源監控精度和輸出機制、晶片內部診斷與看門狗架構的重要性。此外,本文還針對SRS設計中所需的各項診斷措施,提供了相應的架構示例和設計考量。
本系列的下一部分(第四部份)則將討論如何將看門狗計時器與程式序列監測相結合,敬請關注。
參考文獻
1Bryan Borres和Rachele Diane Yco。「值得信賴的電源產品:工業功能安全系統的監控電路」。ADI,2024年11月。
2 IEC 61508 All Parts,“Functional Safety of Electrical/Electronic/Programmable Electronic Safety-Related Systems”。國際電子電機委員會,2010年。
3 Noel Tenorio和Camille Bianca Gomez。「利用高精度視窗監控器優化電源性能」。ElectronicDesign,2025年1月。
4 “Top Misunderstandings About Functional Safety”。TÜV SÜD。
5 「針對工業先進輸出應用為MAX14922選擇合適的N通道MOSFET」。ADI,2021年4月。
6 Sanket Sapre。「隔離式閘極驅動器揭秘」,《類比對話》,第52卷,2018年6月。
7 Brian Harrington。「用於Analog Weenies的BIST」。《 類比對話》,第42卷,2008年2月。
8 Lee Harrison。“How to Meet Functional Safety Requirements With Built-In-Self-Test”。 Semiconductor Engineering,2020年6月。
9Zequn Lin、Lingzhi Wang、Yuanfeng Cai、Fanyu Wang和Yichun Wu。“Implementation of a Built-in Self-Test for Nuclear Power Plant FPGA-Based Safety-Critical Control Systems”。《Annals of Nuclear Energy》,第165卷,2022年1月。
10 「視窗化看門狗操作的基礎知識」。ADI,2021年12月。
11 Ashraf M. El-Attar和Gamal Fahmy。“A Study of Fault Coverage of Standard and Windowed Watchdog Timers”。IEEE訊號處理和通訊國際會議,2007年。