功能安全是與電氣和電子系統正常運行相關的安全分支。變速驅動器現在在實現功能安全方面發揮著重要作用。以前，電機控制應用的功能安全是使用驅動器外部的安全繼電器和接觸器實現的。但是，通過將安全性集成到驅動器安全功能（如 STO 和 SLS）中，它可以在驅動器內實施，從而提高工廠車間的生產率。集成安全需要使用集成電路，但解釋變速驅動器中使用的集成電路的功能安全要求具有挑戰性。理想情況下，所有此類IC都將按照IEC 61508進行評估，但這將是昂貴的，并且標準沒有要求。本文將嘗試總結在變速驅動器設計中使用的集成電路可用的指南。本文的目標之一是在不使用行話的情況下提供主題的概述。

功能安全三大關鍵要求

功能安全有三個關鍵要求：

要求 1 - 使用可靠的組件。這意味著具有足夠低FIT速率的IC。FIT率通常根據IEC 62380或SN 29500等標準計算，這些標準的結果基于現場對各種類型的組件的平均故障率。或者，數據可以基于加速壽命測試，例如在 analog.com/ReliabilityData 發現的測試。一個重要的考慮因素是，IEC 61508和類似標準中給出的PFH（每小時危險故障概率）數字適用于整個安全功能，而不僅僅是單個IC。因此，PFH的數字為10-7h-1對于SIL 3安全功能（100 FIT），給定IC的誤差預算可能僅為1 FIT。還值得注意的是，術語PFH實際上意味著每小時發生危險故障的概率。可以說，至少有50%的故障是安全的，IC的可靠性極限可以加倍。

要求 2 - 實施過去已證明的一系列措施，以設計具有高安全性的產品。這被稱為系統完整性的標準。與隨機硬件故障不同，系統故障內置于系統中，只有設計更改才能消除它們。軟件錯誤既是系統性故障，也是 EMC 故障的示例。

要求 3 - 容錯并接受由于隨機硬件故障而導致的故障，否則無論組件多么可靠或遵循的開發過程多么好，都會發生系統故障。處理故障的兩種方法是通過診斷和冗余。診斷程序檢測故障并使系統進入安全狀態。對于電機控制，安全狀態通常是使用安全子功能（如IEC 61800-5-2中的STO）使電機停止。另一種替代方法是實現冗余，以便有兩個或多個項目，其中一個可以檢測到不安全狀態，并在需要時使系統進入安全狀態。標準通常允許在診斷和冗余之間進行權衡。有效性的衡量標準包括IEC 61508的SFF，ISO 13849的診斷覆蓋率（DC）和ISO 26262的單點故障指標。

IEC 61800-5-2

IEC 61800-5-2 是 C 類標準。這意味著該標準規定了特定機器類別的要求，在本例中為變速驅動器。擁有C類標準非常有價值，因為它解釋了該設備類型的通用標準IEC 61508，并且只保留與該機器相關的標準。通用標準本質上必須應對許多不同類型的設備和情況，這意味著它包含許多與特定設計無關的信息和要求。IEC 61800-5-2 宣稱，“通過應用 IEC 61800 系列這一部分的要求，滿足了 IEC 61508 中 PDS （SR） 所需的相應要求。但是，如果存在C類標準（例如IEC 61800-5-2）未提供指導的主題，則IEC 61508是后備。

在IEC 61800-5-2中，定義了安全子功能，例如STO（安全扭矩關閉）和SLS（安全限速），并概述了功能安全生命周期。

圖1.STO安全功能。

通過STO安全子功能，可以通過防止向電機提供產生力的動力來實現安全狀態。通常，當防護裝置斷開時，這將在柵極驅動器上使用脈沖阻斷或電源消除來完成。由于驅動器的總功率未斷開，因此在防護裝置關閉后可以快速重新啟動。

通過SLS安全子功能，可以監控電機的速度，如果超過設定水平，驅動器會將電機帶到安全狀態，最常見的是STO。此安全子功能的典型用途可能是在清潔滾筒期間與三位夾持開關配合使用。圖 2 顯示了 SLS 在 t 處嚙合1并在 T 處脫離2.紅色塊表示速度區域（如果輸入）將導致驅動器進入安全狀態。

圖2.安全限速。

雖然IEC 61800-5-2沒有強制要求2通道安全，但大多數驅動器制造商也希望根據ISO 13849要求性能水平，因此，兩個通道是常見的。

ISO 13849 認證

ISO 13849是基于現在冗余的EN954標準的機械標準。與IEC 61800-5-2，IEC 61508和IEC 62061相比，它使用性能等級（PL）而不是SIL等級。級別為 PLa 到 PLe。ISO 13849 還明確偏愛 2 通道系統以獲得更高的性能水平，必須使用三類或四類系統。ISO 13849使用DC（診斷覆蓋率）作為診斷有效性的指標，而不是其他標準的SFF。假設故障是 50% 安全/50% 危險 SFF 和直流使用以下公式相關。

IEC 62061

IEC 62061 是 IEC 61508 的機械解釋。它實際上是與 ISO 13849 平行的標準——事實上，人們努力將這兩種機械標準結合在 ISO/IEC 17305 中。

在IEC 62061的范圍內，它指出“在本標準中，假定復雜的可編程電子子系統或子系統元件的設計符合IEC 61508的相關要求。該標準為使用而不是開發此類子系統和子系統元素作為SRECS的一部分提供了一種方法。

IEC 61508

IEC 61508-2：2010包含重要的IC要求，但在偶然或不完整的標準閱讀中很容易錯過。要求包括ASIC開發V模型，參見IEC 61508-2：2010圖3。V模型針對數字ASIC，因為它參考了合成布局和路由以及最終編碼，但V模型可以通過一點想象力來解釋模擬或混合信號ASIC。

圖3.ADuM4135隔離式柵極驅動器

對數字ASIC的偏好延續到附件F，該附件標題為“ASIC的技術和措施——避免系統故障”，并在注釋1中指出，“以下技術和措施僅與數字ASIC和用戶可編程IC有關。對于混合模式和模擬ASIC，目前無法給出通用技術和措施。然而，盡管存在這些限制，但完成混合信號ASIC數字部分的清單是完全可行的，并且使用一些甚至不適用于純模擬IC的用途。

附錄E的標題為“具有片上冗余的集成電路（IC）的特殊架構要求”。附件中再次提出了數字限制，因為它在E.1中指出“以下要求僅與數字IC有關。對于混合模式和模擬IC，目前無法給出一般要求。當附件在其他標準中被引用時，似乎被廣泛忽略的另一個限制是“本標準中使用的片上冗余意味著功能單元的重復（或三重），以建立大于零的硬件容錯。重復這個詞意味著相同的冗余，本文的作者認為目標是可能使用鎖步技術的雙核微處理器。雖然大多數技術都很好，但當應用于不同冗余塊之間的分離或一個塊與用作第一個塊診斷的另一個片上塊之間的分離時，它們可能會過多。重復的模塊會受到常見原因故障的影響，例如溫度、ESD、電源故障以及其他不太可能同時以相同方式影響不同模塊的原因。ISO 13849-2：2012 的 D.2.4 節中引用了附錄 E 的示例，其中指出“因此，除非滿足 IEC 61508-2：2010 的特殊架構要求，否則極不可能使用單個集成電路實現類別 2、3 或 4 的容錯和/或檢測要求所需的多通道功能， 附件E.”IEC 61800-5-2 FDIS（2015 年秋季）允許根據 IEC 61508-2：2010 附錄 E 的要求排除片上短路，但檢查附錄 E，您會發現只有 f） 和 g） 項直接涉及片上短路。項目f）要求單獨塊之間的間距至少為10×這是過程的最小設計規則，項目g）僅討論單獨物理塊的相鄰行。

圖4.概念2通道架構，用于使用ADSP-CM419（/8/7/6）DSP內核實現IEC 61800-5-2的SLS安全子功能。

圖5.SLS 解釋的可靠性框圖。

IEC 61508-2：2010的表A.1給出了計算SFF時要假設的故障或故障。表A.2至A.14給出了典型診斷范圍的示例，可以要求對典型診斷進行解釋，但有時可能需要對集成電路進行解釋。IEC 62380 的附錄 H 和 UL 1998 的相關附錄 A 更詳細，特別是針對數字微控制器和類似產品。

在計算集成電路的FIT速率方面，IEC 62380和SN29500都與其他來源一起參考。

在標準的2010年修訂版中增加了考慮軟錯誤的要求，并且對將ECC和奇偶校驗添加到易失性存儲器（如RAM）中具有影響，以便檢測和控制特別影響RAM的軟錯誤。

ISO 26262 要求

ISO 26262 是對 IEC 61508 的汽車解釋。它是與IEC 61508修訂版2并行開發的，包含IEC 61508中未找到的與集成電路相關的一些要求，對IEC 61508中的項目進行了一些澄清，但省略了其他要求。例如，ISO 26262-10：2012 包含汽車版的 IEC 61508-2：2010 附錄 F 和 ISO 26262-5：2011 表 D.1，其中闡明了汽車在如何考慮片上短路方面的立場，“這里并不打算要求進行詳盡的分析，例如要求對橋接故障進行詳盡分析，這些故障可能會影響微控制器或復雜 PCB 內任何信號的任何理論組合。分析側重于主要信號或通過布局級分析確定的非常高度耦合的互連。

特別是第10部分包含諸如“如果CPU面積占整個微控制器芯片面積的3%，則可以假設其故障率等于微控制器總故障率的3%。雖然這樣的過程是IEC 61508的習慣和實踐的一部分，但很高興看到它被寫下來。

ISO 26262的集成電路解釋正在ISO/TC 22/SC32下作為ISO/AWI PAS 19451-1進行。

協助設計集成電路

在審查了這些標準之后，作者就IC制造商如何幫助驅動器制造商在其驅動器中設計集成電路提出了許多建議。

首先，集成電路安全手冊應該有利于驅動設計人員。即使 ASIC 或設備未按照 IEC 61508 開發，也可以生成。

安全手冊中提供的項目可能包括：

使用的開發過程和生命周期模型。

IEC 61508-2：2010 中完整的附錄 F 清單。

假定的任務配置文件。

根據 IEC 62380 和 SN29500 在合理的平均工作溫度下預測 FIT 速率，例如 55°C，24 小時內熱循環為 10°C。

芯片尺寸、芯片數量、RAM 單元數量和晶體管數量，允許驅動器設計人員使用 SN29500 和 IEC 62380 計算自己的 FIT 速率（如果計算已經完成并給出計算細節，那就更好了）。

支持片上分離主張的證據。

支持任何相關故障排除主張的證據。

片上診斷的詳細信息。

假定的系統級診斷的詳細信息。

引腳FMEA給出λ的結果都3 DDD3 DS，并計算了一組假定診斷的 SFF 和 DC，以查看預期的封裝故障模式。

FME（D）A 給出 λ 的結果都3 DDD3 DS，并計算了一組假設診斷的 SFF 和 DC，以查看預期的芯片故障模式。

數據表上顯示的各種模塊的FIT速率，允許驅動器制造商重做FME（D）A。

鑒于數據的性質，安全手冊可能僅在NDA（保密協議）下提供。

ADI公司目前正在開發安全手冊的電機控制安全相關器件包括隔離式ADCAD7403和隔離式柵極驅動器ADuM4135。

其次，了解系統級設計的IC制造商可以幫助設計功能安全所需的特性。例如：

知道只有PFH的一小部分，也許只有1%可用于IC。

知道雖然一般來說功能安全，越簡單越好，但芯片上的晶體管非常可靠，如果將芯片上的晶體管數量增加 10 倍會導致 PCB 上的組件減少，則整體 PFH 將下降。

知道片上診斷的反應速度比系統級診斷快得多，并且有助于防止錯誤累積。

知道驅動器的典型壽命為 20 年，并且應該有數據來證明 IC 在給定的任務配置文件下可以匹配此壽命。

知道添加CRC引擎等硬件加速器可以減輕軟件負擔。

第三，一組推薦的架構，展示了如何組合IC以實現IEC 61800-5-2中的安全功能。這可能涉及：

有關系統級診斷的建議。

關于合適組件的建議。

關于滿足不同渠道之間獨立性要求的建議。

關于安全軟件和非安全軟件之間的軟件獨立性的建議，如果控制和安全可以在至少一個處理器中組合在一起，則可以將所需處理器的數量從三個減少到兩個。如果不能表現出足夠的獨立性，那么一切都必須被視為與安全有關。

第四，應影響標準以明確要求。例如：

在將ADC連接到同一PCB上的微控制器或DSP的SPI接口上，應該提供哪些防止數據損壞的保護？IEC 61800-5-2：2006 等標準將讀者引回 IEC 61508，而 IEC 61508 又指鐵路標準。下一版本的IEC 61800-5-2增加了文字，以澄清IEC 61784-3的要求不適用于此類接口，但是當作者在新標準中讀到自己的話時，澄清并不像他希望的那樣清晰。EN 50402的新標準草案中包含更好的澄清，其中區分了空間分離模塊的信號傳輸和未空間分離模塊之間的信號傳輸。

闡明實現多樣化冗余的IC的片上分離要求。

闡明模擬和混合信號 ICS 的片上分離要求。

第五，從標準中刪除對特定解決方案的引用，這導致一些讀者認為這些是解決問題的唯一解決方案。例如，光耦合器是實現信號隔離的一種古老且眾所周知的方法，但與新型數字隔離器相比，在可靠性、功耗和速度方面存在許多缺點。編輯ISO 13849和IEC 61800-5-2等標準，用電流隔離器等更通用的術語替換對光耦合器的引用，也將有助于采用更新、更可靠的數字隔離器。這已在2015年IEC 61800-5-2的最新FDIS（最終草案）中完成。

結論

本文特別回顧了與機器和變速驅動器相關的主要功能安全標準。從這次審查中，得出了與集成電路相關的要求的結論。一個結論是，為了幫助滿足功能安全IC的要求，制造商可以提供額外的信息和功能。本文列出了該信息的一些最重要的要點。第二個結論是，半導體制造商需要更多地了解系統級要求，ADI公司已經開始分析自己的非功能性安全、電機控制演示系統設計。目標是揭示如何修改該架構以滿足功能安全的要求，并發現缺少哪些信息，以使我們的客戶能夠將我們的產品設計成具有功能安全要求的驅動器。

審核編輯：郭婷