摘要
在设计安全相关系统(SRS)时使用符合功能安全(FS)的组件能够带来诸多优势,但大多数设计仍然依赖于标准IC,即未按照FS标准开发的IC。从系统级角度来看,通过使用标准部件进行功能安全设计,设计人员便能够始终实现合规性,尤其是目前仅有少数IC达到FS等级。为此,本系列的第3部分将深入探讨在选择监控电路时,值得关注的FS关键特性,以帮助设计人员在众多标准解决方案中做出更明智的选择。
简介
在本系列的第1部分中,我们阐释了诊断功能如何充当功能安全(FS)合规性的支柱,主要强调了在安全相关系统(SRS)中,起到诊断作用的监控电路如何通过三个关键要求——系统能力、可靠性预测和架构约束——来提高FS合规性。系统能力评估的是在从概念化到退役的整个产品或服务生命周期中,质量管理的有效性。它强调通过严格的开发过程来避免发生系统失效的目标,同时指出需要借助诊断功能来控制此类失效。另一方面,可靠性预测则用于评估随着时间推移,SRS发生故障的可能性。此外,架构约束揭示了硬件容错(HFT)、失效容忍能力和安全失效比率(SFF)之间的权衡关系,即安全功能在安全状态下失效的倾向性,而诊断功能正是这一架构中的重要组成部分。
之后,本系列的第2部分介绍了使用符合FS的诊断功能改进SRS设计的方法,并总结了该方法的多项优势,包括:
- 本身包含失效模式、影响和诊断分析(FMEDA)功能。
- 集成了多种安全特性,涵盖多个诊断功能。
- 内置了诊断功能来检测片内随机硬件失效。
- 满足即将发布的IEC 61508修订版本的要求。
- 兼容其他国家/地区的安全标准和指令。
- 有助于简化FS评估。
尽管存在上述优势,系统设计人员可能仍会选择使用非FS标准的组件,例如支持FS且经过FS评估的ADI部件1。然而,由于市场上提供的监控电路解决方案众多,设计人员可能很难选出正确的解决方案。因此,无论组件是否符合FS,都必须明确对FS至关重要的诊断功能特性。出于这个原因,本系列的第3部分列举了设计SRS时较适合诊断功能的四个安全关键特性,并分析了这些特性对FS合规性的影响。
电源监控
基本FS标准IEC 61508:2010(特别是第2部分)提出了两个与电源相 关的要求2。第一个要求与表A.1和表A.9中的诊断覆盖率(DC)和SFF有关,表A.1指定了在量化随机硬件失效的影响时要假设的故障或失效类型,或在计算SFF时要考虑的故障或失效类型,表A.9则针对诊断测试措施和最大可实现DC提出了建议。第二个要求针对每个安全完整性等级(SIL)推荐了用于控制系统失效的技术和措施,如表A.15至表A.17所示。例如,表A.16列出的诊断措施是关于防范电压击穿、变化、过压(OV)、下压(UV)等问题所采取的措施。
根据IEC 61508-2表A.1,如果在量化随机硬件失效的影响时假设存在固定电平故障,则可以达到60%的诊断覆盖率(低);而如果假设存在DC故障模型和/或漂移和振荡,则可达到99%的诊断覆盖率(高)。固定电平故障是指元件引脚上连续出现零(低信号)或一(高信号)的故障。DC故障模型包括固定电平故障、常开故障、开路或高阻抗输出以及信号线之间的短路等失效模式。
在IEC 61508-2的表A.9中,为检测或承受因电源缺陷引起的失效,提供了一系列诊断措施建议,包括结合过压保护、安全关断或切换到备用电源的技术来实现低DC;通过结合断电保护、安全关断或切换到备用电源的技术来实现高DC,如表1所示。
| 诊断措施 | 认为可实现的 最大诊断覆盖率 |
| 通过安全关断实现OV保护 | 低 |
| 电压控制(二次) | 高 |
| 通过安全关断实现断电 | 高 |
这些推荐的诊断措施强调使用适当的电源监控器,该监控器必须能够在所需时间内正确检测OV和/或UV状态,并提供信号,以便通过断电程序或切换到备用电源来触发系统的安全关断。
监控精度
设计OV/UV检测机制时,电源监控器的首要参数与容差窗口和阈值精度有关。窗口电源监控器的容差(或称容差窗口)以相对于标称值的百分比设置UV和OV阈值。例如,对于标称电压值为1 V、容差窗口为±3%的窗口电压监控器,UV阈值设置为1 V × 0.97,OV阈值设置为1 V × 1.03。然而,监控器容差窗口中的这些UV和OV阈值本身也有其容差规范,即阈值精度。阈值精度是指与监控器偏离其标称或理想阈值的能力相关的监控器规范。相关参数如图1.3所示。
图1所示为电源监控器的阈值精度如何影响SRS设计的示例。例如,现场可编程门阵列(FPGA)的核心电源电压(VCORE)设计为采用1.07 V至1.13 V电源供电,以确保正常工作。采用1.1 V的电源输出电压为FPGA的VCORE供电时,电源监控器需要在核心电源电压超出规范 (低于1.07 V或高于1.13 V)之前置位复位信号。如图1所示,电源监控器的OV和UV阈值设置为±2.4%容差窗口。由于 MAX16193的阈值精度规范为±0.3%,监控器可以在电压达到1.1231 V (OV)或电压降至1.0769 V (UV)时触发断路。另一方面,如果监控器精度较差(例如±1%),监控器可能会在更早的电平时断路,比如1.1151% (OV)或1.0843% (UV)。这样的设计不仅需要更准确的电源,还会造成杂散跳变。因此,提高监控器阈值精度不仅可以放宽所需的电源规范,还能显著减少误触发。
输出机制
检测到OV和UV状态后,下一步就要考虑电源监控器的输出响应。如图2所示,输出响应可能包括提供信号以触发系统的安全关断,例如置位状态信号以启动断电程序或切换到备用电源,或者甚至通过驱动晶体管开关的栅极来断开后续的关键安全电路。TUV SUD建议,在OV事件发生后,不宜立即复位微控制器单元(MCU)。只有在UV事件结束后且不再持续时,方可复位MCU4。这是因为OV事件可能会对MCU的部件造成不易察觉的损坏。因此,建议采取额外的措施来应对OV事件,例如通过关断电源或扩大工作范围等方式来确保系统安全。
故障状态信号
输出机制的第一个例子是故障状态信号,该信号用于传达被监控电源或信号的状态。举个例子,从图2可以看出,在12 V输入中检测到异常时,POK信号将被置位。该置位会向MCU发送信号,表示检测到异常,要求MCU复位。
栅极驱动
输出机制的另一个例子是是栅极驱动,它用于控制晶体管开关以实现保护和隔离功能。此类栅极驱动输出通过向晶体管发送信号,指示在正常条件下将主电源输入连接到下游电路,或在发生OV事件时断开连接以保护后面的电路,从而帮助系统进入安全状态,如图2所示。因此,要想实现出色的性能,选择合适的MOSFET5与设计栅极驱动参数6同样重要。
输出操作
针对FS进行设计时,输出操作也是一个关键因素,因为这会影 响系统在发生故障时的响应方式。输出操作主要分为两种类 型:锁存操作和非锁存操作。在锁存模式下,除非像 MAX16126中那样完成周期供电,或者像其他监控电路一样触发清除锁存 信号,否则输出将永久保持置位状态。相比之下,非锁存模式(即始终自动重试模式)将在故障消失后自动解除系统置位。
其他考虑因素
不同的选项会带来不同的操作效果,所以输出拓扑和极性对FS也十分重要。例如,故障状态信号的开漏拓扑可将后面的电路与电压监控器的输入电源隔离开来。就极性而言,为安全关键功能(即制动和紧急停止功能)选择低电平有效复位信号,可 以确保在控制信号失效时,系统默认进入安全状态。相比之下,高电平有效极性在电源故障时可能会导致系统失效。
片内诊断
片内诊断是指允许IC内部用于检测自身故障的功能。这可以通 过IC的内部安全机制来实现,比如内置自测功能(BIST)7,8,9 ,该功 能可用于进行自测和定期测试。例如,MAX16138 支持在上电或正常工作期间启动的BIST功能。此时,BIST让组件可以自动检查其内部比较器或数字电路,以减少发生随机硬件失效的可能性,降低设备的危险故障概率8。
基本FS标准(IEC 61508-2)建议采用可测性设计(DFT)技术,以防止在SRS的设计和开发过程中引入故障。作为DFT的一种类型,BIST是硬件结构,能够生成测试数据,将数据应用于被测电路(CUT),收集输出响应,并验证输出是否正确9。这一点可以从图3看出7。IEC 62566、IEC 60987、IEEE 379、IEEE 7-4.3.2和NUREG/CR-7006等其他行业标准也要求采取类似的可测试性措施。值得一提的是,NUREG/CR-7006建议集成BIST来监测FPGA系统的健康状况,因为仪器仪表和控制系统中的BIST逻辑可以用于监测所有功能,比如总线活动、是否出现错误数据和超时电路等9。
片内诊断也可以通过RAM测试、闪存CRC检查或输出测试的形式进行。在每次系统启动时执行这些测试时,它们可以发挥重要作用,比如可以用作支持诊断措施的论证,或在安全分析中用于确定故障检测时间4。因此,安全手册中应指定与操作此类诊断措施相关的任何信息。
所以,具有BIST等片内诊断功能的组件不仅能够优化组件级和系统级的实现,还能显著增强FS合规性。
看门狗定时器架构
随着微控制器在电源和SRS中普及,看门狗定时器(WDT)特性成为了高性能电压监控器应用中另一个值得关注的安全特性。历史表明,当所有其他措施均失效时,尤其是在安全关键应用中使用MCU时,WDT可作为系统的故障安全功能或最后一道防线。
看门狗定时器符合基本FS标准IEC 61508对程序序列监测的要求,可作为诊断措施来控制因硬件设计和环境压力或影响引起的系统失效。这一点也体现在IEC 61508-2:2010表A.15和表A.16里,表中提到,无论安全完整性等级和诊断覆盖率如何,都强烈推荐使用WDT。
与微控制器的内置WDT特性相比,外部或独立WDT(通常为电源监控器IC的形式)可以消除共因故障,同时确保在MCU发生故障时,仍能触发安全功能。图4为SRS中的WDT实现示例。这与TÜV SÜD在讨论看门狗和微控制器时的观点也是一致的4。
表2和表3所示为IEC 61508-2的表A.10和表A.11,其中列出了每种类型的看门狗(具有独立时基,有或没有时间窗口)分别用于程序序列和时钟时,可实现的最大诊断覆盖率。这意味着,在诊断程序序列和时钟失效时,简单的看门狗定时器的最大DC可达到60%至90%。另一方面,窗口化看门狗在用于程序序列时的最大DC可达到90%到99%,在用于时钟时的最大DC至少可达到99%。DC是安全分析和指标计算的组成部分,因此在进行FMEDA时,此类数据非常有用。
| 诊断技术/措施 | 认为可实现的最大DC |
| 具有独立时基但无时间窗口的看门狗 | 低 |
| 具有独立时基和时间窗口的看门狗 | 中 |
| 程序序列的逻辑监测 | 中 |
| 组合程序序列的时间和逻辑监测 | 高 |
| 时间监测与在线检查 | 中 |
| 诊断技术/措施 | 认为可实现的最大DC |
| 具有独立时基但无时间窗口的看门狗 | 低 |
| 具有独立时基和时间窗口的看门狗 | 高 |
| 程序序列的逻辑监测 | 中 |
| 程序序列的时间和逻辑监测 | 高 |
| 时间监测与在线检查 | 中 |
根据表2和表3所示的看门狗定时器架构10及其应用场景,可达 到的最大诊断覆盖率也会有所不同。值得注意的是,与简单的(非窗口化)看门狗定时器相比,窗口化看门狗定时器具有更高的故障覆盖率11,因此后者可以达到更高的DC。
结论
本文的主要目的是深入探讨在设计安全相关系统时需注意的多个电源监控器IC特性。无论IC是否符合FS标准,这些特性都至关重要。本文以FS标准为出发点,从外部评估机构的角度讨论了电源监控精度和输出机制、片内诊断与看门狗架构的重要性。此外,本文还针对SRS设计中所需的各项诊断措施,提供了相应的架构示例和设计考量。
本系列的下一部分将讨论如何将看门狗定时器与程序序列监测相结合,敬请关注。
参考电路
1 Bryan Borres and Rachele Diane Yco。“值得信赖的电源产品:工业功能安全系统的监控电路”。ADI公司,2024年11月。
2 IEC 61508 All Parts,“Functional Safety of Electrical/Electronic/Programmable Electronic Safety-Related Systems”。国际电工委员会,2010年。
3 Noel Tenorio and Camille Bianca Gomez。“利用高精度窗口监控器优 化电源性能”ElectronicDesign,2025年1月。
4 “Top Misunderstandings About Functional Safety.”。TÜV SÜD。
5 “针对工业高端输出应用为MAX14922选择合适的N通道MOSFET”。 ADI公司,2021年4月。
6 Sanket Sapre。“隔离式栅极驱动器揭秘”,《模拟对话》,第52卷,2018年6月。
Brian Harrington。“用于Analog Weenies的BIST”。《模拟对话》,第42卷,2008年2月。
8Lee Harrison。“How to Meet Functional Safety Requirements With Built-In-Self-Test.”。Semiconductor Engineering,2020年6月。
9 Zequn Lin、Lingzhi Wang、Yuanfeng Cai、Fanyu Wang和Yichun Wu。“Implementation of a Built-in Self-Test for Nuclear Power Plant FPGA-Based Safety-Critical Control Systems.”。《Annals of Nuclear Energy》,第165 卷,2022年1月。
10 “窗口化看门狗操作的基础知识”。ADI公司,2021年12月。
11 Ashraf M. El-Attar和Gamal Fahmy。“A Study of Fault Coverage of Standard and Windowed Watchdog Timers.”。IEEE信号处理和通信国际会议,2007年。
