工业功能安全电源设计— 第2部分:打造安全电源设计
Read other articles in this series.
摘要
本系列的第2部分详细说明了可能阻碍安全相关系统达到安全状态的系统性故障和随机故障之间的关键区别,并强调了安全电源设计符合IEC 61508等标准的必要性。系统性故障是确定性的,包括硬件故障和软件故障,必须通过主动设计修改来消除,例如实施器件降额、稳健的过压保护和适当的电源监控。随机硬件故障则相反,其源于器件退化机制,须通过诊断措施和架构设计来控制,并且主要通过故障模式、影响与诊断分析(FMEDA)进行量化。有效管理两种故障类型,即消除系统性缺陷并控制随机硬件故障,对于达到所需的安全完整性等级(SIL)至关重要。
引言
本系列的 第1部分介绍了IEC 61508对电源实现功能安全的要求,第2部分将深入探讨如何应用基本功能安全标准的原则来消除系统性故障并控制随机硬件故障,从而确保电源设计安全。
IEC 61508:回顾
除了掌握功能安全标准的要求之外,了解哪些类型的故障会在安全相关系统启动时阻碍其达到安全状态也很重要,而这正是安全电源设计的核心课题。
安全功能既可通过主动干预来规避危险,也可通过阻止可能导致危险的操作来维持安全状态。就故障而言,安全功能可能出现系统性故障或随机故障,如图1所示。系统性故障包括硬件故障和软件故障。这些故障是由于某种特定原因而确定性地发生的,可通过修改设计和其他措施来消除。例如,IEC 61508提出了避免和控制系统性故障的规范化技术与措施。
另一方面,随机故障只发生在硬件中。这类故障通常由硬件中一种或多种可能的退化机制在随机时间触发所导致。因此,随机硬件故障只能通过诊断措施和合理的架构设计来控制。
控制系统性故障
无论何种安全完整性等级(SIL),都要求采取措施来防止电压击穿和其他与电源相关的危险故障,以控制系统性故障。相关措施包括被动措施和主动措施。采用被动保护手段(如熔断器和齐纳二极管)、对器件实施适当的降额、分配足够的运行裕量等,属于被动措施。主动措施可表现为电源诊断措施,例如增加过压保护、窗口式电源监控、次级电压控制、限流和其他主动保护电路。在以符合特定SIL为目标的电源设计中,实施这些控制系统性故障的措施非常重要。
除了满足电气、热、机械、电磁兼容性、产品安全及其他相关标准所规定的性能要求外,还有以下一些问题值得思考。
- 是否所有电压都得到适当监控,以确保电源时序正确?设置电源监控器的过压(OV)和欠压(UV)阈值以支持无缝时序控制和诊断时,应考虑影响电源输出精度的各种因素,如图2所示。
- 是否采取了充分的保护措施(如浪涌保护等)或其他措施来提高电磁抗扰度?考虑采取保护措施,例如MAX6399具备的OV/UV保护、LTC4364采用的浪涌抑制器,以及反向输入保护、反向电流保护和限流,如图3所示。
- 经过充分验证的器件是否按照其技术规格使用,并保证了足够的降额,例如控制在负载条件的67%以内?4充分的降额不仅要确保器件始终运行在安全工作区内,还需要预留额外的运行裕量,如图4所示。以额定温度为125°C的器件为例,若其在55°C的环境温度下运行,即便结温升至85°C,其降额幅度依然足够。4,5,6
- 还有哪些系统性故障模式需要应对?
- 反电动势,可能损坏输入电路7
- 时序/脉冲宽度问题,可能导致交叉导通
- 热点问题,可能导致热失控,如图5所示。
控制随机硬件故障
故障模式、影响与诊断分析(FMEDA)文件用于分析和量化随机硬件故障对安全相关系统性能的影响。FMEDA的输入信息包括故障率、应用和硬件设计信息。同时,FMEDA的输出会显示模块故障模式和影响、故障率(λSD、λSU、λDD和λDU)、每种故障模式的诊断覆盖率以及SIL指标。FMEDA的构成如图6所示。
使用FMEDA分析产品时,还有其他要求。
- 分析用于实现安全功能的器件的故障模式。
- 采用额外的安全(诊断)措施/内置自测(BIST)来防止未检测到的危险故障,从而提升SIL指标。
- 反复迭代,直至达到所需的安全失效比率(SFF)和危险失效概率(PFH/PFDavg)指标。
- 其他考量包括:使用符合功能安全标准的器件,9这会带来多 种好处;或者使用ADI公司支持FS特性的器件,这些器件的安全事项应用笔记10提供了IC的故障率信息、故障模式分布(FMD)以及引脚故障模式与影响分析(FMEA)信息,可帮助加快系统FMEDA分析。
结语
总之,严格按照IEC 61508规定实施故障管理是稳健安全电源设计的基础。解决系统性故障至关重要。必须通过主动设计选择来消除确定性故障,例如实施窗口式电压监控、采用足够的器件降额、集成浪涌保护等。通过在开发周期的早期阶段采取被动和主动措施,工程师可以减轻热失控和电压击穿等风险,确保电源系统即使在压力下也能处于规定的安全工作区内。
此外,设计还必须考虑到随机硬件故障的不可预测性。虽然这类故障无法仅通过设计来消除,但可通过FMEDA来量化风险,从而加以有效管理。通过仔细分析故障率并纳入BIST等诊断覆盖率,设计人员可以控制硬件退化的影响,进而满足严格的SIL要求。最终,消除系统性缺陷与控制随机硬件故障相辅相成,共同确保电源不仅仅发挥供电作用,更成为功能安全系统的可靠支柱。
参考文献
1Frederik Dostal,“Determining Voltage Accuracy of Switch-Mode Power Supplies.”,ElectronicDesign,2025年10月。
2Bryan Borres和Christopher Macatangay,“利用高性能监控电路提高工业功能安全合规性:安全关键特性—第3部分”,《模拟对话》,第59卷,2025年6月。
3Noel Tenorio和Anthony Serquiña,“高性能电压监控器详解—第1部分”,《模拟对话》,第58卷,2024年4月。
4 IEC 61508全文,“Functional Safety of Electrical/Electronic/ Programmable Electronic Safety-Related Systems”,国际电工委员会(IEC),2010年。
5Tom Meany,“De-rating: Advice from NASA & Irish Legend”,2019年1月。
6Dan Eddleman,“MOSFET Safe Operating Area and Hot Swap Circuits”, LT Journal of Analog Innovation,2017年4月。
7"借助StallGuard和CoolStep技术打造更好的步进电机系统,ADI公司。
8Christian Cruz、Gary Sapia和Marvin Neil Cabueñas,“实现不间断能源的智能备用电池第一部分:电气和机械设计”,《模拟对 话》,第57卷,2023年12月。
9Bryan Borres,“ 利用高性能监控电路提高工业功能安全合规性:使用SIL级器件—第二部分”,ADI公司,2025年3月。
10 Bryan Borres,“了解安全事项应用笔记—第2部分:失效模式分布”,《模拟对话》,第59卷,2025年10月。