功能安全指與電氣和電子系統正常運行相關的安全性 能。目前，變速驅動器在實現功能安全方面發揮著重要作用。以前，面向電機控制應用的功能安全是通過驅動 器外部的安全繼電器和接觸器來實現的。但隨著安全特 性被集成到驅動器當中，STO、SLS等安全功能可以集成 到驅動器上，從而提高工廠的生產效率。集成安全要求 采用集成電路，但是，解讀變速驅動器中所用集成電路 的功能安全要求并非易事。理想情況下，所有此類IC均應 符合IEC 61508規范，但其成本高昂，因此各項標準并未予 以要求。本文將嘗試總結相關指導方針，以便在變速驅 動器的設計中選用正確的集成電路。本文的目標之一是 不使用術語概括各個主題。

功能安全有三個關鍵要求：

要求1—使用可靠組件。這是指FIT率足夠低的IC。FIT率通常依 照IEC 62380或SN 29500等標準進行計算，其結果基于各類組件 在現場的平均故障率。此外，數據可能基于加速壽命測試， 例如analog.com/ReliabilityData上提供的數據。一個重要的考慮因 素是，IEC 61508和類似標準中給出的PFH (每小時發生危險故障 的概率)數字是針對整個安全功能，而不僅僅針對一個IC。因 此，SIL 3安全功能(100 FIT)的PFH數字10-7 h-1可能會給出錯誤的預 算，即給定的IC只有1 FIT。另外還需要注意的是，PFH實際上是 指每小時發生危險故障的概率。可以說，至少50%的故障是安 全的，并且IC的可靠性限制可以翻倍。

要求 2—實施過去已證明能夠設計高安全性產品的一系列措施。 這是指稱為系統完整性的標準。不同于隨機的硬件故障，系統 故障內置于系統中，只需要更改設計就能消除它們。軟件缺陷 便是系統故障和EMC故障的例子。

要求 2—容忍缺陷和接受缺陷，因為無論組件多么可靠或者多 么遵循開發流程，都會出現隨機硬件故障或系統故障。應對故 障的兩種方法是診斷和冗余。診斷可以檢測故障，并使系統處 于安全狀態。對于電機控制，安全狀態通常會使電機利用安全 子功能停止，如IEC 61800-5-2的STO。另一個替代方法是實現冗 余，這樣會有兩個或兩個以上的項目，任意一個項目可以檢測 到不安全的狀態，并在必要時使系統處于安全狀態。標準通常 允許在診斷和冗余之間進行權衡。提高有效性的措施包括IEC 61508中的SFF、ISO 13849中的診斷覆蓋率(DC)和ISO 26262中的單 點故障指標。

IEC 61800-5-2

IEC 61800-5-2是C類標準。這意味著此標準提出了特定機器類別 的要求，在這種情況下是指變速驅動器。采用C類標準是非常 有價值的，因為它解釋了這種設備類型的通用標準IEC 61508， 并且只保留了與該機器相關的內容。通用標準本質上必須能夠 應對許多不同類型的設備和情況，這意味著它包含很多與特定 設計不相關的信息和要求。IEC 61800-5-2聲稱，“通過采用IEC 61800系列的這一部分要求，可以滿足PDS (SR)所需要的IEC 61508 相應要求。”然而，對于C類標準(如IEC 61800-5-2)沒有提供指導 的主題，則可以參考IEC 61508。

IEC 61800-5-2中定義了STO (安全轉矩關閉)和SLS (安全限制速度) 等安全子功能，并概括了功能安全生命周期。

圖1. STO安全功能。

借助STO安全子功能，通過防止為電機提供發電的力，可以達到安全狀態。通常，當防護裝置打開時，可以通過在柵極驅動器阻塞脈沖或切斷電源來完成。由于驅動器的總電源切斷了，當防護裝置關閉時，有助于快速重啟。

借助SLS安全子功能，可以監控電機的速度，如果超過了設定的水平，驅動器會使電機進入安全狀態，通常是STO。這個安全子功能通常用于滾軸的清洗過程中，并與三位控制開關配合使用。圖2顯示了SLS在t12處脫開。紅色方塊表示(如果進入)將導致驅動器進入安全狀態的速度區域。

圖2. 安全限制速度。

雖然IEC 61800-5-2不強制要求雙通道安全，但大多數驅動器制造 商也希望宣稱符合ISO 13849的性能水平，因此雙通道非常常見。

ISO 13849

ISO 13849是基于目前冗余的EN954標準的機器標準。與IEC 61800-5-2、IEC 61508和IEC 62061相比，它采用了性能水平(PL)，而不是SIL水平。水平為PLa至PLe。ISO 13849也明顯偏好用雙通道系統來實現更高的性能水平，因此必須使用三類或四類系統。ISO 13849使用DC (診斷覆蓋率)作為診斷有效性的指標，而其他標準使用SFF作為指標。假設缺陷是50%安全/50%危險，則SFF和DC的關系可以用下面的方程式表示。

IEC 62061

IEC 62061是IEC 61508的機器解讀。它實際上是ISO 13849的平行標準 — 事實上，ISO/IEC 17305將這兩個機器標準結合在了一起。

在IEC 62061的范圍中，它指出，“在此標準中，可以推測出復雜可編程電子子系統或子系統元件的設計符合IEC 61508的相關要求。此標準提供了SRECS的此類子系統和子系統元件的使用方法，而不是開發方法。”

IEC 61508

IEC 61508-2:2010包含了重要的IC要求，但是如果隨意閱讀或閱讀 部分標準，很容易漏掉這些要求。這些要求包括一個ASIC開發V模型，請參見IEC 61508-2:2010圖3。V模型針對數字ASIC，它引用合成位置和路由以及最后的編碼，但用一點想象力就可以把V模型解讀為模擬或混合信號ASIC。

圖3. ADuM4135隔離式柵極驅動器。

標題為“ASIC的技術和措施—避免系統故障”的附錄F介紹了數字ASIC的首選項，并且注釋1中指出，“以下技術和措施僅與數字ASIC和用戶可編程IC相關。對于混合模式和模擬ASIC，目前沒有提供通用技術和措施”。盡管存在限制，但是仍然可以完成混合信號ASIC的數字部分的檢查清單，以及不適用于純模擬IC的一些用途。

附錄E的標題為“具有芯片冗余的集成電路(IC)的特殊架構要求。”同樣，該附錄說明了數字限制，它在E.1中指出，“下列要求僅與數字IC相關。對于混合模式和模擬IC，目前沒有提供通用要求”。當其他標準中引用附錄E時，往往忽視了關于附錄E的另一個限制，即“此標準中使用的芯片冗余是指功能單元的成倍重復(或三倍重復)，以便實現大于零的硬件容錯。”“重復”一詞意味著相同的冗余，并且本文作者認為，其目標是可能使用同步技術的雙核微指令。雖然大多數技術是有用的，但是當應用于各種冗余模塊之間或一個模塊與另一個芯片模塊(用于對第一個模塊進行診斷)之間的分離時，它們可能是多余的。復制的模塊可能出現常見原因引起的故障，例如溫度、ESD、電源故障和其他不太可能在同一時間以相同方式影響不同模塊的因素。在ISO 13849-2:2012的D.2.4部分，可以找到引用附錄E的 方式，其指出，“因此，如果使用單個集成電路，不大可能實現滿足2類、3類或4類的容錯和/或檢測要求所需要的多通道功能，除非它滿足IEC 61508-2:2010附錄E中的特殊架構要求。”IEC 61800-5-2 FDIS (2015年秋季)允許根據IEC 61508-2:2010附錄E的要求，排除芯片短路，但是通過查看附錄E您會發現，只有第f)和g)條直接指向芯片短路。第f)條要求獨立模塊之間的間距至少是流程最低設計規定的10倍，而第g)條僅討論了相鄰行的獨立物理模塊。

圖4. 雙通道概念架構，用于使用ADSP-CM419 (/8/7/6) DSP內核實施IEC 61800-5-2的SLS安全子功能。

圖5. SLS解讀的可靠性模塊圖。

IEC 61508-2:2010的表A.1給出了計算SFF時假設的缺陷或故障。表A.2至A.14給出了典型診斷覆蓋率的示例，可宣稱為典型診斷，但是這些表有時需要解讀為集成電路。IEC 62380的附錄H和UL 1998的相關附錄A更為詳細，尤其是對數字微控制器和類似產品。

對于計算集成電路的FIT率，則引用了IEC 62380和SN29500以及其他來源。

該標準的2010年修訂版中添加了考慮軟錯誤的要求，并暗示了為易失性存儲器(如RAM)添加ECC和奇偶校驗，以便檢測和控制尤其影響RAM的軟錯誤。

ISO 26262要求

ISO 26262是IEC 61508派生出的汽車版本標準。它與IEC 61508的 第2版同時開發，包含IEC 61508未提供的一些集成電路相關要 求，并澄清了IEC 61508中的一些項目，但省略了其他要求。例如，ISO 26262-10:2012包含IEC 61508-2:2010的附錄F和ISO 26262-5:2011的表D.1的汽車版本，它澄清了關于如何考慮汽車上的芯片短路的位置，“這里并不需要進行詳盡的分析，例如并不需要對橋接故障進行詳盡的分析，而橋接故障可能會影響微控制器或復雜PCB中的任何信號的任何理論組合。分析主要針對通過布局級別分析識別的重要信號或高度耦合的互連。”

第10部分特別包含了重點內容，比如“如果一個CPU面積占據了整個微控制器芯片面積的3%，則可以假設它的故障率等于總微控制器故障率的3%。”雖然此類流程是IEC 61508的自定義和實踐部分，但是寫出來也很有用。

ISO 26262的集成電路說明可作為ISO/TC 22/SC32中的ISO/AWI PAS 19451-1使用。

集成電路設計輔助

查看各項標準之后，作者提出了關于IC制造商如何協助驅動器制造商在驅動器中設計集成電路的許多建議。

首先，集成電路安全手冊應該會對集成電路設計人員很有幫助。即使ASIC或設備未按照IEC 61508開發，也可以制作安全手冊。

安全手冊中的項目包括：

* 所使用的開發流程和生命周期模型。* IEC 61508-2:2010的完整附錄F檢查清單。* 假定任務說明。* 根據IEC 62380和SN29500，以合理的平均工作溫度預測FIT率， 例如55°C，在24小時內的熱循環溫度為10°C。* 芯片尺寸、芯片數量、RAM單元數量和晶體管數量，以便設計人員使用SN29500和IEC 62380計算他們自己的FIT率(如果計算已經完成并已給出計算的詳細信息，則會更好)。* 支持芯片分離的證據。* 支持排除任何相關故障的證據。* 芯片診斷的詳細信息。* 假定系統級診斷的詳細信息。* 給出λDU, λDD, λS的引腳FMEA，并針對查看預期封裝故障模式的一組假設診斷計算SFF和DC的結果。* 給出λDU, λDD, λS的引腳FME(D)A，并針對查看預期芯片故障模式的一組假設診斷計算SFF和DC的結果。* 數據手冊上顯示的各種模塊的FIT率，以便驅動器制造商重新進行FME(D)A。* 鑒于數據的性質，安全手冊可能只在簽訂NDA (保密協議)后提供。

與電機控制安全有關的部分，ADI公司目前正在開發安全手冊，包括 AD7403 隔離式ADC和ADuM4135隔離式柵極驅動器。

其次，了解系統級設計的IC制造商可以幫助設計實現功能安全所需要的特性。例如：

* 知道只有一小部分PFH可用于IC，也許只有1%。* 知道雖然一般來說功能安全越簡單越好，但是在芯片上安裝晶體管是非常可靠的，而且如果芯片上* 的晶體管數量增加10倍，則PCB上的組件將會減少，整體PFH將會下降。* 知道芯片上的診斷可以比系統級診斷反應更快，可以幫助預防錯誤的積累。* 知道驅動器的一般生命周期是20年，數據應該證明IC可以在給定的任務下匹配這一生命周期。* 知道添加硬件加速器(如CRC引擎)可以減少軟件負擔。* 第三，一系列建議架構顯示了如何組合使用IC來實施IEC 61800-5-2的安全功能。可能涉及：

關于系統級診斷的建議。關于適用組件的建議。關于滿足不同通道之間的獨立要求的建議。關于安全和非安全軟件之間的軟件獨立性的建議，如果控制和安全可以組合到至少一個處理器上，則可以將所需要的處理器數從三個減少到兩個。如果無法展現足夠的獨立性，則必須將一切事宜視為安全事宜。第四，為了澄清要求，應當引用標準。例如：

為了防止數據損壞，應當對將ADC連接到同一個PCB上的微控制器或DSP的SPI接口采取什么預防措施？IEC 61800-5-2:2006等 標準讓讀者參考IEC 61508，進而參考電軌標準。IEC 61800-5-2的下一個版本添加了一些文本，用于澄清IEC 61784-3的要求不適用于此類接口，但是當作者閱讀新標準中他自己的文字時，澄清并不像他所希望的那樣清晰。EN 50402的最新標準草案做出了更好的澄清，它區分了空間上獨立模塊的信號傳輸與空間上不獨立模塊的信號傳輸。

澄清實施各種冗余的IC芯片獨立要求。

澄清模擬和混合信號IC芯片獨立要求。

第五，從標準中刪除對特定解決方案的引用，因為這會導致一些讀者認為這些是唯一的問題解決方案。例如，眾所周知，光耦合器是實現信號隔離的一種傳統方式，但與較新的數字隔離器相比，在可靠性、功率和速度方面有一些劣勢。編輯ISO 13849和IEC 61800-5-2等標準，并將光耦合器的引用替換為更通 用的術語，如電流隔離器，也將有助于采用更可靠的新型數字隔離器。2015年，IEC 61800-5-2的最新FDIS(終稿)已經這樣做了。