ZHCY197A October   2023  – March 2024 RM57L843

 

  1.   1
  2.   概述
  3.   内容概览
  4.   定义功能安全合规性
  5.   功能安全系统设计的两个属性
  6.   设计功能安全电机控制和驱动系统的推荐方法
  7.   TI 如何帮助您设计功能安全系统

功能安全系统设计的两个属性

功能安全标准假设所有系统都将发生故障(不是会不会发生故障,而是何时发生故障),不存在零风险的情况。

功能安全系统设计的两个属性分别是:开发一个系统来提供预期功能,以及开发同一个系统来满足特定 SIL 或汽车 SIL (ASIL) 等安全功能要求。

设计人员经常以不同的方式或按顺序处理这两个方面。为大容量应用设计功能安全的系统,同时保持设计预算要求是一项挑战。表 1 概述了控制和驱动应用中预期功能和安全功能的示例。

为了更好地理解此概念,请查看表 1 中的电梯电机示例。

电梯的预期功能是根据用户输入上下运送乘客。如果您按下到达五楼的按钮,电梯应该会停在五楼。

电梯的安全功能则更进一步,可能包括:

  • 将您从一个楼层平稳地运送到另一个楼层。
  • 停在与每层楼平台齐平的位置。
  • 如果电梯超过安全速度,则自动应用制动器。
表 1 控制和驱动应用中的预期和安全功能示例。
功能安全应用 预期功能示例 安全功能示例(以及相应的 SIL 或 ASIL 目标)
工业:电梯电机 根据用户请求上下移动电梯
  • 安全启动或停止电梯(避免急冲)(SIL 2)
  • 电梯行驶速度过快时应用自动制动 (SIL 3)
汽车:电动汽车 (EV) 牵引电机 通过加速器或制动器,根据驾驶员指令前后移动电动汽车
  • 防止加速时扭矩不足或过大 (ASIL C)
  • 防止制动过猛(避免追尾)(ASIL D)
工业:钢压机 控制伺服驱动系统,该系统可在不降低工厂生产率的情况下操作钢压机
  • 安全扭矩关闭 (STO) 会在发生超扭矩或超速度时切断驱动控制器的电源 (SIL 3)
  • 安全限速 (SLS) 可在操作人员接近时将电机转速保持在可接受的限值内 (SIL 2)
  • 如果 SLS 超出界限检查的范畴,则触发 STO(用以平衡生产力和安全性,从而实现更高的 SIL,例如 SIL-3)

为了更好地理解预期功能和安全功能如何协同工作,假设一栋建筑物中有 20 个楼层,里面的电梯有一个按钮电路(请参阅图 1),电梯电机控制器将故障解释为让电梯抵达第 25 或第 30 层(即,建筑物内不存在的楼层)。界限检查会尽早发现故障,以免其导致错误或最终导致失效。这是功能安全方面的公认进展:“故障”会导致“错误”,而某些错误可能会导致“失效”。

GUID-20231002-SS0I-VSB2-SB3Z-XQTDFBSSGRGN-low.svg 图 1 现代电梯按钮示例。

我们来回顾一下预期功能设计和安全功能设计的流程。

在电机驱动器的预期功能设计流程中,系统工程师选择微控制器 (MCU) 来满足预期功能的要求。随后,他们分配检测功能(例如集成模数转换器 (ADC) 通道),以监控转子位置、线路电流、相电压和系统温度。然后,系统工程师继续使用 MCU 的可用处理能力(例如 CPU 的每秒百万条指令 (MIPS))来运行电机控制算法,以及可用的驱动外设(例如脉宽调制器 (PWM))来驱动电机驱动器电路。此过程通常需要几个月,还涉及设计印刷电路板 (PCB)、开发电机控制算法以及开发和调试所有嵌入式软件。

在由一个独立的、有些孤立的团队负责处理安全功能设计流程的组织中,会有一名单独的功能安全专家负责检查系统工程师最初选择的 MCU 的功能安全手册。在某些情况下,功能安全专家可能会发现独立安全元素 (SEooC) 安全概念需要使用软件测试功能,包括错误测试、硬件冗余、数模转换器 (DAC) 至 ADC 环回检查或通过增强型捕捉监控增强型 PWM。回顾之前的电梯示例,可能有必要使用多个 ADC 通道来监控每个楼层上的水平传感器,以防止 MCU ADC 中出现“卡住”故障。

如果 ADC 和 PWM 通道不足或 CPU MIPS 不足,无法实现功能安全,可能需要返回到制图板并选择另一个 MCU 来实现功能安全系统,这可能会使独立系统设计团队迄今为止完成的工作付诸东流。

即使设计步骤不是按顺序进行,它们也经常在独立的组织孤岛中进行;也就是说,系统工程师通常不具备任何功能安全专业知识,而功能安全专家也不是系统工程师。这种孤立的方法最终会带来同样的问题:系统成本增加和面市时间延误数月。