來源：Digikey
作者：Bill Schweber

(資料圖)

電阻溫度檢測器 (RTD) 由傳感器及其模擬前端 (AFE) 信號調節電路組成，應用廣泛、準確而可靠。然而，對于任務關鍵型和高可靠性應用，通常需要通過 Route 1S 或 Route 2S 元器件認證流程來設計和確保實現功能安全系統。

由于必須審查系統中所有元器件的潛在故障模式和機理，因此對系統進行功能安全認證是一個復雜的過程。診斷故障的方法有很多種，使用已通過認證的元器件可減輕工作量并簡化認證過程。

請注意，“可靠性”與功能安全相關，但并不相同。最簡單地說，“可靠”是指設計和實現符合規格要求，不會出現問題或故障，而“功能安全”則是指設計必須能檢測到任何故障。對于關鍵應用而言，可靠性和功能安全都必不可少。

本文將結合功能安全認證介紹 RTD 及其信號調節電路的基礎知識，然后討論不同等級的可靠性和故障認證，以及通過上述兩種途徑達到這些要求所需的條件。我們將使用兩款多通道 RTD AFE IC（Analog Devices 的一對 AD7124 器件）以及相關的評估板配置來說明要點。

功能安全的作用

功能安全的作用是通過正確實施一個或多個自動保護/安全功能，使人免于遭受無法承受的傷害或健康損害風險。如果出現故障，功能安全將確保產品、設備或系統繼續安全運行。各種工業、商業，甚至一些消費應用都需要功能安全，例如：

· 自主駕駛車輛
· 機器安全和機器人
· 工業控制系統 (ICS)
· 智能家居消費產品
· 智能工廠和供應鏈
· 安全儀表系統和危險場所控制系統

例如，在功能安全設計中，即使系統中的其他組件失效，主電源開關的功能仍可支持關閉電源（圖 1）。

1.jpg

RTD 基礎知識

為什么要關注溫度和功能安全？一個很好的理由是，溫度是最常測量的物理參數。溫度常與安全或關鍵應用有關，并且有各種傳感器支持，其中包括 RTD，其概念較為簡單：利用鎳、銅、鉑等金屬的已知且可重復的電阻溫度系數 (TCR)。0°C 時電阻值為 100 Ω 和 1000 Ω 的鉑 RTD 應用最為廣泛，可在 -200°C 至 +850°C 范圍內使用。

在此溫度范圍內，這些 RTD 的電阻與溫度之間具有高度線性的關系；對于超高精度場景，可以應用校正和補償表及系數。標稱電阻為 100 Ω 的鉑 RTD（命名為 PT100）在 -200°C 時的典型電阻為 18 Ω，在 +850°C 時的典型電阻為 390.4 Ω。

使用 RTD 需要用已知電流激勵，該電流通常保持在 1 mA 左右，以盡量減少自發熱。根據 RTD 的標稱電阻，也可使用其他電流值。

RTD 兩端的電壓降由 AFE 同步測量，該 AFE 包括一個可編程增益放大器 (PGA)，并且在幾乎所有情況下，還包括模數轉換器 (ADC) 與微控制器單元 (MCU) 的組合（圖 2）。

2.jpg

這種基本方案的電路拓撲結構與使用檢測電阻來測定通過負載的電流相同，但在這里，已知變量與未知變量發生互換。對于電流感測，電阻是已知的，而電流是未知的，因此計算公式為 I = V/R。對于 RTD，電流是已知的，但電阻不是，因此計算公式為 R = V/I。

需要使用 PGA 來保持信號完整性并最大限度地提高動態范圍，因為 RTD 兩端的電壓電平從幾十毫伏到幾百毫伏不等，具體取決于 RTD 類型和溫度。

激勵源、RTD 和 PGA 之間的物理連接可以是雙線、三線或四線接口。雖然原則上兩根引線就足夠了，但存在與連接引線中的 IR 壓降相關的問題以及其他偽影。在更先進的開爾文連接中，使用三線和四線拓撲可以獲得更加精確和一致的性能，不過這會增加布線成本（圖 3）。

3.jpg

從術語和標準入手

同許多專業領域一樣，功能安全也有許多獨特的術語、數據集和縮寫詞，它們在相關討論中被廣泛使用。其中包括：

· 失效率 (FIT)：設備運行 10 億 (109) 小時期間預計發生的失效次數。
· 故障模式和影響分析 (FMEA)：盡可能多地審查元器件、組件和子系統，以確定系統中潛在的故障模式及其原因和影響的過程。
· 故障模式影響和診斷分析 (FMEDA)：用于獲得子系統/產品級故障率、故障模式和診斷能力的系統分析技術。

為了進行全面分析，需要 FIT 數據以及系統中不同元器件的故障模式影響和診斷分析 (FMEDA)。FMEA 只提供定性信息，而 FMEDA 同時提供定性和定量信息，允許用戶衡量故障模式的關鍵程度，并根據重要性對其進行排序。FMEDA 增加了風險、故障模式、影響和診斷分析以及可靠性信息。

· 安全完整性等級 (SIL)：與 SIL 相關的離散完整性等級有四個：SIL 1、SIL 2、SIL 3 和 SIL 4。SIL 等級越高，關聯的安全等級就越高，系統無法正常運行的概率就越低。

SIL 2 等級表明，可以診斷出系統內 90% 以上的故障。要對設計進行認證，系統設計人員必須向認證機構提供證據，說明潛在的故障，這些故障是安全故障還是危險故障，以及如何診斷故障。

· IEC 61508 標準正式名稱為“電氣/電子/可編程電子安全相關系統的功能安全”（非正式名稱為“電子功能安全”），是功能安全設計的規范。其規定了開發 SIL 認證元器件所需的設計流程。從概念和定義到設計、布局、制造、裝配和測試，每個步驟都需要生成文檔。

這一過程被稱為 Route 1S，非常復雜。不過，除了 Route 1S 之外，還有一種替代流程，即 Route 2S。這是一種“經使用驗證”途徑，適用于大量產品已設計成最終產品和系統，并在現場使用，累積運行數千小時的情況。

在 Route 2S 流程下，仍可通過向認證機構提供以下證據而獲得產品認證：

· 現場使用的產品數量
· 現場任何退貨的分析，詳細說明退貨非由元器件本身的故障造成
· 安全規格書，詳細介紹產品提供的診斷功能和覆蓋范圍
· 引腳和芯片 FMEDA
· 合并 RTD 接口與 SIL Route 2S 流程

系統認證是一個漫長的過程，因為必須審查系統中所有元器件的潛在故障機理，并且診斷故障的方法多種多樣。使用已通過認證的元器件可減少所需的工作量，縮短認證過程。

高度集成、成熟的 RTD 接口元器件是簡化 Route 2S 認證的關鍵，因為其定義了完整的解決方案包，因而可以通過與現場使用和故障相關的數據對其進行全面鑒定。這與使用多個較小的構建塊 IC 不同，后者必須針對所使用的特定互連配置分析其各種接口和相互作用。

其中一個例子是四通道 AD7124-4（圖 4）和類似的八通道 AD7124-8（下文在討論它們的許多共同特性時，將其統稱為“AD7124”）。這些元器件具有嵌入式自檢和診斷特性，而且在現場“表現良好”，因此非常適合 Route 2S 流程。

4.jpg

這些 IC 是完整的多通道 RTD 測量解決方案，包含從傳感器到數字化輸出以及與相關微控制器通信所需的全部構件。其中包括：多通道多路復用器、PGA、24 位三角積分 ADC、RTD 電流源、用于內部操作的電壓基準、系統時鐘、模擬和數字濾波，以及用于 SPI、QSPI、MICROWIRE 和 DSP 兼容互連的三線或四線串行接口。

但是，這些功能的存在本身并不能為 SIL Route 2S 資格認證提供基礎。為了實現功能安全設計，構成 RTD 系統的許多功能需要一系列的嵌入式診斷程序。AD7124 中的多種嵌入式診斷程序最大程度地降低了設計復雜性，縮短了設計時間，并且無需復制信號鏈以實現診斷覆蓋。

這些診斷程序包括但不限于：監測電源、基準電壓和模擬輸入；檢測 RTD 開路；檢查轉換和校準性能；檢查信號鏈的功能；監測讀/寫功能；以及監測寄存器內容。

這些“高級”說明如何轉化為必要的片上診斷？答案涉及許多方面，包括：

SPI 診斷：每次寫入 AD7124 時，處理器都會生成一個循環冗余校驗 (CRC) 值，該值附加到發送至 ADC 的信息中。然后，ADC 根據接收到的信息生成自己的 CRC 值，并將其與從處理器接收到的 CRC 值進行比較。如果兩個值一致，則信息完好無損，將被寫入相關的片上寄存器。

如果值不一致，則意味著信息在傳輸過程中發生了損壞，IC 會設置一個錯誤標志，表明發生了數據損壞。AD7124 還具有自我保護功能，不會將損壞的信息寫入寄存器。

系統處理器從 AD7124 讀取信息時，也會使用類似的 CRC 過程。最后，接口還會對時鐘脈沖進行計數，以確保每個讀取或寫入數據幀中只有 8 個這樣的脈沖，從而確保不會出現時鐘毛刺。

存儲器檢查：當上電時或片上寄存器發生變化時（如更改增益時），也會使用 CRC 驗證寄存器內容。此外，還會定期執行 CRC 過程，以確保沒有存儲器位因噪聲或其他原因而“翻轉”。如果發生了變化，并且處理器隨后被標記為寄存器設置已損壞，則可以復位 ADC 并重新加載寄存器。

信號鏈檢查：所有關鍵靜態電壓都可以通過 ADC 檢查，包括電源軌、低壓差 (LDO) 穩壓器輸出和基準電壓；還可以檢查 LDO 兩端是否存在外部電容器。此外，還可以對 ADC 輸入端施加一個已知電壓，以檢查 ADC 和增益功能設置。另外，可以在模擬輸入上注入已知電流，以檢查開路或短路 RTD。

轉換和校準：持續檢查 ADC 轉換的結果，了解其是否為全零值或滿刻度值，這兩種情況都表示存在問題。監測來自 ADC 內核調制器的比特流，確保其未飽和，如果出現飽和（即調制器連續產生 20 個 1 或 0），則會設置一個錯誤標志。

主時鐘頻率：該時鐘頻率不僅控制轉換速率，還決定 50/60 Hz 數字濾波器的陷波頻率。AD7124 的內部寄存器允許協處理器計時，從而檢查主時鐘的精度。

其他特性：AD7124 包括一個溫度傳感器，也可用來監測芯片溫度。兩個版本都有 4 kV 靜電放電 (ESD) 額定值，性能穩健，并且均采用 5 × 5 mm LFCSP 封裝，適用于本質安全設計。

由于 AD7124-4 和 AD7124-8 內部復雜精密，并具有高級自檢特性，因此擁有對 IC 進行測試和評估的一種方法也合情合理。

為此，Analog Devices 提供了一對互連板：用于 AD7124-4 的 EVAL-AD7124-4SDZ 評估板（圖 5）和配套的 EVAL-SDP-CB1Z SDP（系統演示平臺）/接口板（圖 6）。前者專用于 AD7124-4，與后者配合使用，后者通過 USB 鏈路與用戶的 PC 和評估軟件進行通信。

5.jpg

6.jpg

AD7124-4 EVAL+ 軟件支持該評估配置，可全面配置 AD7124-4 器件寄存器功能并對 IC 進行測試。該軟件還以波形圖、直方圖和相關噪聲分析的形式提供時域分析，用于評估 ADC 性能。

向功能安全設計過渡

必須認識到，AD7124-4 和 AD7124-8 沒有 SIL 等級，這意味著二者的設計和開發均未遵照 IEC 61508 標準定義的開發準則。但是，通過了解最終應用并適當使用各種診斷，可以評估它們是否可在 SIL 等級設計中使用。

Route 1S 認證途徑在分析和處理故障時需要考慮多個因素，這些故障可能是系統性的或隨機的。系統性故障由設計或制造缺陷造成，例如外部中斷引腳缺乏濾波導致的噪聲中斷，或信號裕量不足等。而隨機故障是由于腐蝕、熱應力或磨損等物理原因造成的。

一個重要問題是所謂“未檢測到的危險故障”，有多種技術可以解決這個問題。為了盡量減少隨機故障，設計人員會使用三種策略中的一種或全部：

· 更可靠、應力更小的元器件。
· 依賴內置檢測機制的診斷，這些機制通過硬件或軟件實現。
· 通過冗余電路實現容錯。增加冗余路徑可以使系統不受單一故障影響。這就是所謂的硬件容錯 1 (HFT 1) 系統，即一個故障不會導致系統失效。

用于了解 SIL 等級覆蓋率的一種工具是羅列安全失效比例（SFF，診斷覆蓋率）和硬件容錯性（冗余度）的矩陣（圖 7）。

7.jpg

行顯示診斷覆蓋率，列顯示硬件容錯性。HFT 為 0 意味著，如果系統出現一個故障，安全功能就會喪失。診斷級別越高，所需的系統冗余量就越少，或者在冗余量相同的情況下，解決方案的 SIL 等級就越高（沿著矩陣下移）。

請注意，根據 IEC 61508 標準，使用這些器件的典型溫度應用的 FMEDA 顯示安全失效比例 (SFF) 大于 90%。通常需要兩個傳統 ADC 以便通過冗余提供此覆蓋率，但 AD4172 只需要一個 ADC，因此可大幅節省物料清單 (BOM) 成本和電路板空間。

SIL 等級設計的文件

獲得 Route 1S 認證需要大量文件。必要的源文件包括：

· 安全規格書（SIL 等級元器件的安全手冊）
· 引腳 FMEDA 和芯片 FMEDA，以及二者的故障模式、影響和分析
· 附件 F 檢查清單（由 IEC 61508 定義）

反過來，這些文件又有多種來源（圖 8）：

· 規格書中的診斷數據反映元器件提供的所有診斷特性。
· 設計數據指的是內部數據。例如，芯片面積和元器件每個內部模塊的影響。
· FIT 以及各組件的失效率可從數據手冊獲取。
· 對于無法使用設計和診斷數據來分析的模塊，則進行故障插入測試。這些測試根據應用要求進行規劃，故障插入測試的結果用于強化 FMEDA 和 FMEA 文件。

8.jpg

更詳細地探究細節：

· 安全手冊或安全規格書使用所有匯編的信息來提供必要的要求，以支持 AD7124-4 或 AD7124-8 的集成。其整理了來自各種文件和數據集的所有診斷和分析。
· AD7124-4 和 AD7124-8 的芯片 FMEDA 分析應用原理圖中的主要模塊，確定故障模式和影響，并檢查用于特定安全功能的診斷和分析。例如，對時鐘模塊的分析顯示了故障模式、每種模式對輸出的影響、診斷覆蓋率以及影響分析（圖 9）。

9.jpg

該芯片 FMEDA 可定量顯示安全故障、已檢測到的危險故障和未檢測到的危險故障的故障率。所有這些都用于計算 SFF。

引腳 FDEMA 從不同角度看待故障。其分析了 AD7124-4 和 AD7124-8 引腳上的各類故障及其對 RTD 應用的影響。它針對每個引腳進行分析，并描述引腳開路、與電源/接地短路或與相鄰引腳短路等情況的結果。

附件 F 檢查清單是一份避免系統性故障的設計措施檢查清單。包括：

· 產品概覽
· 應用信息
· 安全理念
· 壽命預測
· FIT
· FMEDA 計算 - SFF 和 DC
· 硬件安全機制
· 診斷說明
· EMC 魯棒性
· 冗余配置運行
· 附件和文件清單

總之，通過 Route 1S 對新導入的元器件進行功能安全認證是一項漫長、復雜、耗時、緊張的綜合性工作。幸運的是，如上所述，Route 2S 對某些元器件而言是一種可行的替代方法。

Route 2S：替代途徑

Route 2S 適用于有現場應用經驗和數據的已發布元器件，稱為“經使用驗證”的元器件。其基于對器件的客戶退貨情況和發貨數量的分析，不適用于只有很少或根本沒有實際使用記錄的新元器件。

Route 2S 支持 SIL 認證，就像元器件根據 IEC 61508 標準進行了全面分析一樣。如果模塊和系統設計人員過去成功使用過相關 IC，并知道了現場的故障率，就可以使用它。嵌入式測試和驗證特性以及性能數據，使 AD7214-4 和 AD7214-8 成為 Route 2S 的理想候選器件。

使用 Route 2S 需要詳細的、具有統計意義的現場退貨和故障數據。與電路板或模塊供應商相比，IC 供應商滿足這一要求要難得多。原因是后者一般對最終應用情況了解不夠，或者不知道有多少比例的現場故障單元被退回給他們進行分析。

總結

新產品功能安全認證的 Route 1S 路徑非常縝密、全面和詳細。其在技術上也很有挑戰性，而且非常耗時。相比之下，Route 2S 流程允許根據現場經驗、故障和分析數據對已發布產品進行認證。AD7214-4 和 AD7214-8 RTD 接口 IC 具有所需的歷史記錄，因此支持這種非常有用的途徑。同樣重要的是，這些 IC 嵌入了許多診斷和自檢功能及特性，因而是此類認證的合適候選產品。

關鍵詞：