3 实施移动机器人电机驱动器安全要求

了解系统的安全要求和架构类别后，设计人员必须选择其余器件并实施完整的电机驱动器，以确保满足安全要求。

图 3-1 电机驱动系统方框图

如图 3-1 所示，电机驱动系统通常由 MCU 组成，MCU 是一个可集成模拟前端、编码器和电源的功率级。

在 IEC 61508 中，所需的安全失效分数 (SFF) 取决于器件的类型（可以是 A 类或 B 类）。根据 IEC 61508，A 类子系统具有明确定义的故障模式，其中确定了故障条件下的行为并且有足够的故障数据来声明故障率得以满足。相反，B 类子系统是更复杂的子系统，其中故障模式没有完全定义，故障条件无法完全确定，并且没有足够的数据来支持故障率得以满足。IEC61508 标准的第 7.4.4 节提供了这两种类型的子系统的完整定义。

此外，IEC61508 标准的 CNB-M-11.059 修订版规定，诊断子系统只需达到这样一个安全级别：低于达到最低安全级别所需的系统 SIL 级别。尽管该修订版是 IEC61508 标准的一部分，但在分析诊断子系统时，将其与 ISO 13849-2 机械标准一起使用更符合目前的趋势。

因此，对于这种特定情况，由于需要 SIL 2 系统，因此诊断相关模块必须至少满足 SIL 1 且最低 SFF = 0%，才能满足 SIL 2 系统要求。但是，安全和非诊断功能仍必须满足 SIL 2 要求，且最低 SFF 为 60%。

通过了解哪些子系统是 A 类和 B 类，可以根据可用的安全文档或诊断功能等特性轻松选择器件本身。

由于 MCU 是 B 类器件且用于实现安全功能，因此 MCU 要求最低 SFF = 60%。这意味着，必须使用诊断功能对器件使用的每个子系统进行监控，以达到所需的 60% 覆盖率。

第一步，需要选择需使用的器件功能以及每项功能所需的诊断覆盖率。一旦定义，安全文档就成为关键，旨在证明是否有足够的诊断可用于每个预期功能或是否需要外部诊断器件。

TI 全新的 C2000™ 实时控制器在设计时将功能安全考虑在内。通过利用所提供的安全特性和文档，可以简化和加速安全评估。 C2000™ 实时微控制器的工业功能安全产品概述中介绍了一些主要的 C2000™ 安全特性和器件。

此外，对于不太复杂的器件，具有安全文档也很重要。如前所述，考虑采用 A 类器件的条件之一是必须明确定义器件功能和故障模式。为此，TI 安全文档结果有利于证明采用相应器件类型的合理性，以及因此满足所需的最低 SFF 要求。

TI 多通道 IC (PMIC) 器件十分有助于缩减电机控制模块的总体 BOM 和尺寸，同时确保满足安全要求。凭借内置 LDO、监控器、BIST、看门狗和直流/直流稳压器等集成功能，这些 IC 有助于简化设计，同时提供监控 MCU 和需要的电源轨所需的诊断功能。

根据 ISO 13849 第 6.1 节，鉴于无法定期执行安全功能，诊断和安全功能无法在同一个 IC 中，因而无法实现这一 60% 的诊断覆盖率。ISO 13849 认为，IC 中的单一故障会导致该 IC 的功能完全丧失，对于类别 2，应通过诊断功能来检测这类功能丧失问题。因此，为确保这一功能丧失不会导致诊断功能丧失，不可能在同一 IC 内使用电压监控和看门狗问答。在本例中，使用了外部电压监控器和 PMIC 器件的内部问答 (Q&A) 看门狗。监控器和复位 IC 电源管理文件夹详细介绍了 TI 广泛的支持功能安全的电压监控器产品系列。

图 3-2 显示了可用于实现 SIL 2 的一些诊断功能的
高度简化示例。

图 3-2 包含安全特性的简化电机驱动系统

一旦在系统级定义了安全功能，就需要进行块级分析，以证明每个子系统都满足所需的安全要求。

在这种情况下，安全子系统划分为安全功能和诊断功能。诊断功能用于确保安全功能符合依据子系统类型定义的最低 SFF。表 3-1 总结了详细信息。

通过正确定义和证明每个预期功能均可达到所需的最小诊断覆盖率，这表明系统能够达到所需的 PL 和 SIL 并可获得安全认证。