如何設(shè)計(jì)和認(rèn)證功能安全的電阻溫度檢測器系統(tǒng)

作者：Mary McCarthy 和 Wasim Shaikh

本文將討論功能安全系統(tǒng)的電阻溫度檢測器（RTD）電路設(shè)計(jì)以及Route 2S組件認(rèn)證流程。認(rèn)證系統(tǒng)是一個(gè)漫長的過程，因?yàn)楸仨殭z查系統(tǒng)中的所有組件是否存在潛在的故障機(jī)制，并且有多種方法可以診斷故障。使用已認(rèn)證的部件可以減輕此工作量以及認(rèn)證過程。

介紹

溫度是過程控制系統(tǒng)中的關(guān)鍵測量值。它可以是直接測量，測量化學(xué)反應(yīng)的溫度。它也可以是補(bǔ)償測量，例如，壓力傳感器的溫度補(bǔ)償。對于任何系統(tǒng)設(shè)計(jì)，這種測量的準(zhǔn)確性、可靠性和魯棒性都是至關(guān)重要的。對于某些最終設(shè)計(jì)，檢測系統(tǒng)故障至關(guān)重要，如果系統(tǒng)發(fā)生故障，它將轉(zhuǎn)換為安全狀態(tài)。在這些環(huán)境中使用功能安全設(shè)計(jì)。認(rèn)證級別表示設(shè)計(jì)中包含的診斷覆蓋級別。

什么是功能安全

在功能安全的設(shè)計(jì)中，系統(tǒng)需要檢測任何故障。想想一個(gè)正在加滿油箱的煉油廠。如果液位傳感器發(fā)生故障，重要的是檢測到該故障，以便可以主動(dòng)關(guān)閉罐體的閥門。這將防止儲罐溢出并避免潛在的危險(xiǎn)爆炸。或者，可以使用冗余。這是可以在設(shè)計(jì)中使用兩個(gè)電平傳感器的地方，以便在第一級傳感器發(fā)生故障時(shí)，系統(tǒng)可以使用第二級傳感器繼續(xù)運(yùn)行。當(dāng)設(shè)計(jì)獲得認(rèn)證時(shí)，會給予其 SIL 評級。此評級表示設(shè)計(jì)提供的診斷覆蓋范圍。SIL 等級越高，解決方案就越堅(jiān)固。SIL 2 等級表示可以診斷系統(tǒng)中 90% 以上的故障。為了認(rèn)證設(shè)計(jì)，系統(tǒng)設(shè)計(jì)人員必須向認(rèn)證機(jī)構(gòu)提供有關(guān)潛在故障的證據(jù)，無論這些故障是安全故障還是危險(xiǎn)故障，以及如何診斷故障。需要FIT等數(shù)據(jù)以及系統(tǒng)中不同組件的故障模式影響和診斷分析（FMEDA）。

設(shè)計(jì)溫度系統(tǒng)

在本文中，我們將重點(diǎn)介紹 RTD。然而，有許多不同類型的溫度傳感器——RTD、熱敏電阻和熱電偶。設(shè)計(jì)中使用的傳感器取決于所需的精度和被測溫度范圍。每種傳感器類型都有自己的要求：

熱電偶偏置

激勵(lì)RTD的激勵(lì)電流

熱電偶和熱敏電阻的絕對基準(zhǔn)

因此，除了ADC之外，還需要其他構(gòu)建模塊來激勵(lì)傳感器并調(diào)節(jié)前端的傳感器。為了功能安全，所有這些模塊都必須可靠且堅(jiān)固。此外，必須檢測到不同塊的任何故障。傳統(tǒng)上，系統(tǒng)設(shè)計(jì)人員使用重復(fù)信號鏈，因此將使用兩個(gè)信號鏈，每個(gè)信號鏈檢查另一個(gè)信號鏈，以確保：

傳感器已連接

沒有開口或短褲

引用處于正確的級別

PGA仍在運(yùn)作

認(rèn)證過程需要文檔來證明設(shè)計(jì)是穩(wěn)健的。這是一個(gè)耗時(shí)的過程，有時(shí)很難從IC制造商那里獲得某些信息。

但是，AD7124-4/AD7124-8集成模擬前端現(xiàn)在包括RTD設(shè)計(jì)所需的所有構(gòu)建模塊。此外，嵌入式診斷功能消除了出于診斷目的而重復(fù)信號鏈的需要。除了芯片增強(qiáng)功能外，ADI公司還提供文檔，其中包括認(rèn)證機(jī)構(gòu)所需的所有信息（FIT引腳FMEDA、芯片F(xiàn)MEDA）。這簡化了功能安全的認(rèn)證過程。

IEC 61508 是功能安全設(shè)計(jì)的規(guī)范。本規(guī)范記錄了開發(fā) SIL 認(rèn)證部件所需的設(shè)計(jì)流程。需要為每個(gè)步驟生成文檔，從概念、定義、設(shè)計(jì)、布局、制造、組裝和測試。這被稱為 1S 號公路。另一種選擇是使用 Route 2S 流。這是一種經(jīng)過驗(yàn)證的使用路線，因此，當(dāng)大量產(chǎn)品被設(shè)計(jì)到最終客戶的系統(tǒng)中并在現(xiàn)場使用1000小時(shí)時(shí)，產(chǎn)品仍可以通過向認(rèn)證機(jī)構(gòu)提供以下證據(jù)來認(rèn)證：

現(xiàn)場使用的卷

分析來自現(xiàn)場的任何回報(bào)，并詳細(xì)說明返回不是
由于組件本身的故障造成的

安全數(shù)據(jù)表詳細(xì)介紹了診斷及其提供的覆蓋范圍

引腳和模具 FMEDA

3線RTD設(shè)計(jì)

即時(shí)熱飲器

RTD 可用于測量 –200°C 至 +850°C 范圍內(nèi)的溫度，并在此溫度范圍內(nèi)具有近乎線性的響應(yīng)。用于RTD的典型元素是鎳，銅和鉑，其中100 Ω和1000 Ω鉑RTD是最常見的。RTD 由兩線、三線或四線組成，其中 3 線和 4 線是最常用的。這些是無源傳感器，需要激勵(lì)電流來產(chǎn)生輸出電壓。此類 RTD 的輸出電壓電平從 10 毫伏到 100 毫伏不等，具體取決于所選的 RTD。

熱電阻設(shè)計(jì)

圖1所示為3線RTD系統(tǒng)。AD7124-4/AD7124-8是一款用于RTD測量的集成解決方案，包括系統(tǒng)所需的所有構(gòu)建模塊。為了充分優(yōu)化該系統(tǒng)，需要兩個(gè)相同匹配的電流源。這兩個(gè)電流源用于消除RL1產(chǎn)生的引線電阻誤差。一個(gè)激勵(lì)電流流過兩個(gè)精密基準(zhǔn)電阻 R裁判和 RTD。第二個(gè)電流流過引線電阻RL2并產(chǎn)生一個(gè)電壓，以抵消RL1兩端的壓降。精密基準(zhǔn)電阻兩端產(chǎn)生的電壓用作ADC的基準(zhǔn)電壓REFIN1（±）。由于使用一個(gè)激勵(lì)電流來產(chǎn)生基準(zhǔn)電壓和RTD兩端的電壓，因此電流源精度、失配和失配漂移對整個(gè)ADC傳遞函數(shù)的影響最小。AD7124-4/AD7124-8提供激勵(lì)電流值選擇，允許用戶調(diào)整系統(tǒng)，以便使用大部分ADC輸入范圍，從而提高性能。

圖1.3線RTD溫度系統(tǒng)。

RTD的低電平輸出電壓需要放大，以便使用ADC的大部分輸入范圍。AD7124-4/AD7124-8的PGA可在1至128的增益范圍內(nèi)進(jìn)行編程，允許客戶在激勵(lì)電流值與增益和性能之間進(jìn)行權(quán)衡。傳感器和ADC之間需要進(jìn)行濾波，以實(shí)現(xiàn)抗混疊和EMC目的。參考緩沖器允許濾波器的R和C分量具有無限的值;也就是說，這些組件不會影響測量的準(zhǔn)確性。

系統(tǒng)中還需要校準(zhǔn)以消除增益和失調(diào)誤差。圖1顯示了該3線B類RTD在內(nèi)部零電平和滿量程校準(zhǔn)后測得的溫度誤差，總誤差遠(yuǎn)小于±1°C。

模數(shù)轉(zhuǎn)換器要求

對于溫度系統(tǒng)，測量主要是低速（通常每秒最多 100 個(gè)樣本）。因此，需要低帶寬ADC。但是，ADC必須具有高分辨率。Σ-Δ型ADC適用于這些應(yīng)用，因?yàn)榭梢允褂忙?Δ架構(gòu)開發(fā)低帶寬、高分辨率ADC。

使用Σ-Δ轉(zhuǎn)換器時(shí)，模擬輸入被連續(xù)采樣，采樣頻率遠(yuǎn)高于目標(biāo)頻段。它們還使用噪聲整形，將噪聲從目標(biāo)頻帶推到轉(zhuǎn)換過程未使用的區(qū)域，從而進(jìn)一步降低目標(biāo)頻帶中的噪聲。數(shù)字濾波器衰減目標(biāo)頻帶外的任何信號。

數(shù)字濾波器確實(shí)具有采樣頻率和采樣頻率倍數(shù)的圖像。因此，需要一些外部抗混疊濾波器。然而，由于過采樣，一個(gè)簡單的一階RC濾波器足以滿足大多數(shù)應(yīng)用的需求。Σ-Δ架構(gòu)允許開發(fā)p-p分辨率高達(dá)21.7位的24位ADC（21.7個(gè)穩(wěn)定位或無閃爍位）。Σ-Δ 架構(gòu)的其他優(yōu)點(diǎn)包括：

模擬輸入的寬共模范圍

基準(zhǔn)輸入的寬共模范圍

能夠支持比率配置

圖2.頻率響應(yīng)，后置濾波器，25 SPS：（a） 直流至 600 Hz 和 （b） 40 Hz 至 70 Hz。

濾波（50 Hz/60 Hz 抑制）

除了如前所述抑制噪聲外，數(shù)字濾波器還可用于提供50 Hz/60 Hz抑制。當(dāng)系統(tǒng)由主電源運(yùn)行時(shí)，干擾發(fā)生在 50 Hz 或 60 Hz 時(shí)。在歐洲，有 50 Hz 及其倍數(shù)的電源生成頻率，在美國有 60 Hz 及其倍數(shù)的電源生成頻率。低帶寬ADC主要使用sinc濾波器，可以將其編程為將陷波設(shè)置為50 Hz和/或60 Hz以及50 Hz和60 Hz的倍數(shù)，從而提供50 Hz/60 Hz及其倍數(shù)的抑制。使用建立時(shí)間短的濾波方法提供50 Hz/60 Hz抑制的需求越來越高。在多通道系統(tǒng)中，ADC通過所有使能通道進(jìn)行時(shí)序控制，在每個(gè)通道上生成轉(zhuǎn)換。選擇通道時(shí)，需要濾波器建立時(shí)間才能生成有效的轉(zhuǎn)換。如果建立時(shí)間縮短，則在給定時(shí)間段內(nèi)轉(zhuǎn)換的通道數(shù)會增加。AD7124-4/AD7124-8內(nèi)置后置濾波器或FIR濾波器，與sinc3或sinc4濾波器相比，可在更短的建立時(shí)間內(nèi)提供50 Hz/60 Hz同步抑制。圖3顯示了一個(gè)數(shù)字濾波器選項(xiàng)：該后置濾波器的建立時(shí)間為41.53 ms，同時(shí)提供50 Hz/60 Hz的62 dB抑制。

圖3.每通道配置

診斷

為了實(shí)現(xiàn)功能安全的設(shè)計(jì)，需要對構(gòu)成RTD系統(tǒng)的所有功能進(jìn)行診斷。由于AD7124-4/AD7124-8具有多個(gè)嵌入式診斷功能，因此簡化了設(shè)計(jì)復(fù)雜性和設(shè)計(jì)時(shí)間。它還消除了復(fù)制信號鏈以實(shí)現(xiàn)診斷覆蓋的需要。

典型的診斷要求是：

電源/基準(zhǔn)電壓/模擬輸入監(jiān)控

開路檢測

轉(zhuǎn)換/校準(zhǔn)檢查

信號鏈功能檢查

讀/寫監(jiān)控

注冊內(nèi)容監(jiān)控

讓我們更詳細(xì)地看一下嵌入式診斷。

SPI 診斷

CRC在AD7124-4/AD7124-8上提供。啟用后，所有讀取和寫入操作都包括 CRC 計(jì)算。校驗(yàn)和為 8 位寬，是使用多項(xiàng)式生成的。

因此，每次寫入AD7124-4/AD7124-8時(shí)，處理器都會生成一個(gè)CRC值，該值附加到發(fā)送到ADC的信息中。ADC根據(jù)接收到的信息生成自己的CRC值，并將其與從處理器接收的CRC值進(jìn)行比較。如果兩個(gè)值一致，這將確保信息完好無損，并將寫入相關(guān)的片上寄存器。如果CRC值不匹配，則表示傳輸中發(fā)生了位損壞。在這種情況下，AD7124-4/AD7124-8設(shè)置一個(gè)錯(cuò)誤標(biāo)志，指示發(fā)生了數(shù)據(jù)損壞。他們還通過不將損壞的信息寫入登記冊來自我保護(hù)。同樣，當(dāng)從AD7124-4/AD7124-8讀取信息時(shí)，它們將生成一個(gè)CRC值以伴隨信息。處理器將處理此 CRC 值以確定傳輸是有效還是損壞。

AD7124-4/AD7124-8數(shù)據(jù)手冊列出了客戶可以訪問的寄存器（用戶寄存器）。AD7124-4/AD7124-8檢查正在訪問的寄存器地址。如果用戶嘗試讀取或?qū)懭霐?shù)據(jù)手冊中未記錄的寄存器，則會設(shè)置一個(gè)錯(cuò)誤標(biāo)志，指示處理器正在嘗試訪問非用戶寄存器。同樣，此寄存器訪問附帶的任何信息都不適用于寄存器。

AD7124-4/AD7124-8還具有SCLK計(jì)數(shù)器。所有讀取和寫入操作都是 8 的倍數(shù)。當(dāng) CS 用于幀讀取和寫入操作時(shí)，當(dāng) CS 較低時(shí)，SCLK 計(jì)數(shù)器會計(jì)算每個(gè)讀/寫操作中使用的 SCLK 脈沖數(shù)。當(dāng) CS 取高時(shí)，通信中使用的 SCLK 數(shù)量應(yīng)為 8 的倍數(shù)。如果SCLK上發(fā)生毛刺，這將導(dǎo)致SCLK脈沖過多。如果發(fā)生這種情況，AD7124-4/AD7124-8將再次設(shè)置錯(cuò)誤標(biāo)志，并放棄輸入的任何信息。

狀態(tài)寄存器指示正在轉(zhuǎn)換的通道。讀取數(shù)據(jù)寄存器時(shí)，可以將狀態(tài)位附加到轉(zhuǎn)換結(jié)果中。這為處理器/ADC通信增加了另一層魯棒性。

因此，上述所有診斷功能可確保ADC和處理器之間的通信可靠。它們確保AD7124-4/AD7124-8僅接受有效信息。當(dāng) CS 用于幀讀取和寫入操作時(shí)，每次 CS 達(dá)到高電平時(shí)，串行接口都會重置。這可確保所有通信都從已定義或已知狀態(tài)開始。

內(nèi)存檢查

每次改變片內(nèi)寄存器（例如改變增益）時(shí)，都會對寄存器執(zhí)行CRC，并將生成的CRC值臨時(shí)存儲在內(nèi)部。AD7124-4/AD7124-8定期在內(nèi)部對寄存器執(zhí)行額外的CRC檢查。將生成的CRC值與存儲值進(jìn)行比較。如果值由于位翻轉(zhuǎn)而不同，則設(shè)置一個(gè)標(biāo)志。這向處理器指示寄存器設(shè)置已損壞。然后，處理器可以復(fù)位ADC并重新加載寄存器。

片上ROM保存默認(rèn)寄存器值。上電或復(fù)位后，ROM內(nèi)容將應(yīng)用于用戶寄存器。在最終的生產(chǎn)測試中，計(jì)算ROM內(nèi)容的CRC，并將生成的CRC值存儲在ROM中。在上電或復(fù)位時(shí)，再次對ROM內(nèi)容執(zhí)行CRC，并將所得CRC值與保存的值進(jìn)行比較。如果值不同，則表示默認(rèn)寄存器設(shè)置將不符合預(yù)期。需要電源循環(huán)或復(fù)位。

信號鏈檢查

包括許多信號鏈檢查。電源軌 （AVDD、影視黨衛(wèi)軍和 IOVDD） 可以施加到 ADC 輸入，從而允許監(jiān)視電源軌。AD7124-4/AD7124-8內(nèi)部內(nèi)置一個(gè)模擬和數(shù)字低壓差（LDO）穩(wěn)壓器。這些也可以應(yīng)用于ADC并進(jìn)行監(jiān)控。AD7124-4/AD7124-8內(nèi)置x多路復(fù)用功能。此外，AV黨衛(wèi)軍可以在內(nèi)部用作 AIN-。這允許檢查模擬輸入引腳上的絕對電壓。因此，客戶可以探測輸出激勵(lì)電流的引腳，并探測AIN+和AIN-引腳。這將檢查連接性并確保各種引腳上的電壓處于正確的水平。

為了檢查基準(zhǔn)電壓，基準(zhǔn)檢測功能將指示基準(zhǔn)電壓過低?？蛻暨€可以選擇內(nèi)部基準(zhǔn)作為模擬輸入，以便用于監(jiān)視外部基準(zhǔn)電阻兩端產(chǎn)生的電壓。這假設(shè)基準(zhǔn)電阻兩端的電壓略高于2.5 V（內(nèi)部基準(zhǔn)電壓源的幅度）。

AD7124-4/AD7124-8還包括一個(gè)20 mV內(nèi)部電壓。這對于檢查增益級很有用。例如，使用20 mV作為模擬輸入時(shí)，增益可以從1更改為2，4，...128. 每次增加增益時(shí)，轉(zhuǎn)換結(jié)果將按 2 倍縮放，這確認(rèn)增益級正常工作。

X 多路復(fù)用在檢查卡住位時(shí)也很有用。它允許交換AIN+和AIN-引腳。然后反轉(zhuǎn)轉(zhuǎn)換結(jié)果。因此，使用20 mV和x多路復(fù)用允許用戶檢查卡住的位。

為 AIN+ 和 AIN– 選擇相同的模擬輸入引腳并偏置此內(nèi)部短路，可以檢查 ADC 噪聲，以確保其工作在規(guī)格范圍內(nèi)。嵌入式基準(zhǔn)電壓源（+2.5 V）可在內(nèi)部選擇作為ADC的輸入，因此再次應(yīng)用+V裁判和 –V裁判有助于確認(rèn)信號鏈?zhǔn)欠裾９ぷ鳌?/p>

可編程的燒毀電流對于檢查傳感器連接非常有用。PT100 的電阻通常在 –200°C 時(shí)為 18 Ω，在 +850°C 時(shí)具有 390.4 Ω。 啟用燒毀電流后，可以執(zhí)行轉(zhuǎn)換。如果RTD短路，將獲得接近0的轉(zhuǎn)換結(jié)果。AIN+ 和 AIN– 之間的開路將導(dǎo)致接近 0xFFFFFF 的轉(zhuǎn)換。正確連接RTD后，不應(yīng)獲得接近0或全部1的代碼。

最后，AD7124-4/AD7124-8具有過壓和欠壓檢測功能。正在轉(zhuǎn)換的AIN+和AIN-引腳上的絕對電壓通過比較器持續(xù)監(jiān)控。當(dāng) AIN+ 或 AIN– 上的電壓超出電源軌 （AVDD和視聽黨衛(wèi)軍).

這種高度集成減少了執(zhí)行測量和提供診斷范圍所需的物料清單 （BOM）。減少了設(shè)計(jì)時(shí)間和設(shè)計(jì)復(fù)雜性。

轉(zhuǎn)換/校準(zhǔn)

AD7124-4/AD7124-8上的轉(zhuǎn)換也受到監(jiān)控。如果 （AIN+ – AIN–）/增益大于 +滿量程或小于 –滿量程，則設(shè)置一個(gè)標(biāo)志。ADC的轉(zhuǎn)換變?yōu)槿?（模擬輸入過高）或全部0（模擬輸入太低），因此客戶知道故障已發(fā)生。

來自調(diào)制器的比特流受到監(jiān)控，以確保調(diào)制器不會飽和。如果發(fā)生飽和（調(diào)制器連續(xù) 20 個(gè) 1 或 20 個(gè) 0 輸出），則設(shè)置一個(gè)標(biāo)志。

AD7124-4/AD7124-8包括內(nèi)部失調(diào)和再次校準(zhǔn)以及系統(tǒng)失調(diào)和增益校準(zhǔn)。如果校準(zhǔn)失敗，則會向用戶標(biāo)記。請注意，如果校準(zhǔn)失敗，失調(diào)和增益寄存器不會更新。

電源

除了前面討論的電源檢查外，AD7124-4/AD7124-8還包括連續(xù)監(jiān)控內(nèi)部LDO穩(wěn)壓器的比較器。因此，如果來自這些LDO穩(wěn)壓器的電壓低于跳變點(diǎn)，則會立即報(bào)告錯(cuò)誤。

這些LDO穩(wěn)壓器需要一個(gè)外部電容器。也可以檢查該電容器的存在。

MCLK 柜臺

濾波器配置文件和輸出數(shù)據(jù)速率與MCLK直接相關(guān)。當(dāng)主時(shí)鐘為614.4 kHz時(shí)，數(shù)據(jù)手冊中列出的輸出數(shù)據(jù)速率是正確的。如果主時(shí)鐘改變頻率，輸出數(shù)據(jù)速率和濾波器陷波也會改變。例如，如果濾波器陷波用于抑制50 Hz或60 Hz，則變化的時(shí)鐘會降低獲得的衰減。因此，了解時(shí)鐘頻率對于確保獲得最佳抑制非常重要。AD7124-4/AD7124-8內(nèi)置MCLK計(jì)數(shù)器寄存器。該寄存器每 131 個(gè) MCLK 周期遞增 1。為了測量MCLK頻率，處理器中需要一個(gè)定時(shí)器。寄存器可以在時(shí)間 0 讀取，然后在計(jì)時(shí)器超時(shí)后讀取。利用這些信息，可以確定主時(shí)鐘的頻率。

每通道配置

AD7124-4/AD7124-8允許每通道配置;也就是說，它們支持八種不同的設(shè)置，一種設(shè)置由基準(zhǔn)電壓源、增益設(shè)置、輸出數(shù)據(jù)速率和濾波器類型組成。當(dāng)用戶配置通道時(shí)，會將八個(gè)設(shè)置中的一個(gè)分配給該通道。請注意，通道可以是模擬輸入或診斷，例如測量電源（AVDD-AV黨衛(wèi)軍).因此，客戶可以設(shè)計(jì)一個(gè)由模擬輸入和診斷組成的序列。每通道配置允許診斷以與模擬輸入轉(zhuǎn)換不同的輸出數(shù)據(jù)速率運(yùn)行。由于診斷不需要與主要測量相同的精度，因此客戶可以將診斷與測量交錯(cuò)，并以更高的輸出數(shù)據(jù)速率運(yùn)行診斷。因此，這些嵌入式功能減少了處理器的工作量。

圖4.將設(shè)置分配給通道

其他功能

AD7124-4/AD7124-8內(nèi)置溫度傳感器，也可用于監(jiān)控管芯溫度。兩款器件的ESD額定值均為4 kV，可提供穩(wěn)健的解決方案。兩款器件均采用 5 × 5 mm LFCSP 封裝，適用于本質(zhì)安全設(shè)計(jì)。

根據(jù)IEC 61508，使用這些設(shè)備的典型溫度應(yīng)用的FMEDA顯示安全故障分?jǐn)?shù)（SFF）大于90%。通常需要兩個(gè)傳統(tǒng)的ADC來提供這種級別的覆蓋范圍。

內(nèi)置診斷的其他優(yōu)勢

除了節(jié)省BOM和成本外，診斷還可以在避免設(shè)計(jì)復(fù)雜性，減少資源使用和加快客戶上市時(shí)間方面節(jié)省成本。讓我們借助以下示例來理解這一點(diǎn)：

AD7124-4/AD7124-8內(nèi)置MCLK計(jì)數(shù)器，用于測量主時(shí)鐘頻率并捕獲主時(shí)鐘中的任何不一致。主時(shí)鐘計(jì)數(shù)器是一個(gè) 8 位寄存器，每 131 個(gè) MCLK 周期遞增一次。SPI主機(jī)讀取該寄存器，以確定內(nèi)部/外部614.4 kHz時(shí)鐘的頻率。

如果我必須在AD7124-4/AD7124-8外部實(shí)現(xiàn)MCLK頻率檢查，該怎么辦？它將需要以下硬件資源：

帶外圍設(shè)備的微控制器，如計(jì)數(shù)器和外部
中斷控制器

施密特觸發(fā)電路

另請注意，存儲和運(yùn)行包含中斷服務(wù)例程的代碼需要內(nèi)存?？傮w而言，該方案如圖 5 所示。

圖5.由微控制器實(shí)現(xiàn)的MCLK頻率監(jiān)視器

此外，我們必須確保代碼經(jīng)過檢查并符合編碼準(zhǔn)則和限制。因此，總體而言，實(shí)施單獨(dú)的診斷部分將產(chǎn)生大量開銷;因此，內(nèi)置診斷功能帶來了額外的好處：

節(jié)省空間和 BOM

提高系統(tǒng)可靠性;更少的組件 = 更高的可靠性

加快上市時(shí)間

軟件開發(fā) — 開發(fā)和運(yùn)行診斷例程

硬件測試

系統(tǒng)測試

節(jié)省微控制器內(nèi)存

運(yùn)行診斷不需要代碼

編碼指南要求進(jìn)行大量雙內(nèi)存代碼檢查

即用型安全文檔可節(jié)省系統(tǒng)評估時(shí)間

輔助功能安全設(shè)計(jì)

AD7124-4/AD7124-8沒有SIL額定值，這意味著它們不是按照IEC 61508標(biāo)準(zhǔn)設(shè)計(jì)和開發(fā)的。但是，通過了解各種診斷的最終應(yīng)用和用途，可以評估AD7124-4/AD7124-8在SIL額定設(shè)計(jì)中的應(yīng)用。

功能安全術(shù)語

讓我們回顧一下對認(rèn)證之旅很重要的一些概念：

故障：系統(tǒng)性和隨機(jī)性

診斷覆蓋范圍

硬件容錯(cuò)

零星水平

故障：系統(tǒng)性和隨機(jī)性

系統(tǒng)故障是某種原因造成的確定性（非隨機(jī)）故障，可以通過修改設(shè)計(jì)或制造過程、操作程序、文檔或其他相關(guān)因素來消除。例如，由于外部中斷引腳上缺少濾波，系統(tǒng)出現(xiàn)嘈雜中斷。

另一方面，隨機(jī)故障是由于物理原因造成的，這些原因適用于系統(tǒng)中的硬件組件。這種類型的故障是由腐蝕、熱應(yīng)力和磨損等影響引起的，不可能通過系統(tǒng)的過程來捕獲此類故障。

為了處理隨機(jī)故障，我們可以使用可靠性、診斷和冗余等方法。

在可靠性方面，我們確保使用可靠的組件，而通過診斷，我們確?？梢詸z測和糾正這些故障。確?？煽啃缘牧硪环N方法是增加冗余以降低故障概率，但隨后會增加系統(tǒng)成本和空間。

隨機(jī)故障有四種類型，即安全檢測、安全未檢測、危險(xiǎn)檢測和危險(xiǎn)未檢測。

例如，考慮一個(gè)系統(tǒng)，其安全功能是在溫度讀數(shù)較高時(shí)為機(jī)器打開電源開關(guān)。任何不影響安全功能的隨機(jī)故障，即打開電源開關(guān)，稱為安全檢測到或安全未檢測到的故障。影響安全功能的其他故障是危險(xiǎn)的故障。對我們來說，最重要的一個(gè)是危險(xiǎn)的未被發(fā)現(xiàn)的故障。此故障類型不在診斷范圍內(nèi)，因此我們的目標(biāo)是增加診斷，以將未檢測到的危險(xiǎn)故障降至最低。

圖6.隨機(jī)故障類型。

診斷覆蓋范圍

隨機(jī)故障可以通過軟件或硬件形式的各種內(nèi)置檢測機(jī)制來檢測。例如，MOSFET開關(guān)中的故障可以通過回讀輸出來檢測，或者可以通過定期運(yùn)行CRC存儲器檢查來檢測隨機(jī)存儲器位翻轉(zhuǎn)。

診斷覆蓋率是系統(tǒng)檢測危險(xiǎn)故障的能力，數(shù)學(xué)上定義為檢測到的危險(xiǎn)故障與危險(xiǎn)故障的比率。

硬件容錯(cuò)

考慮一個(gè)可編程邏輯控制器（PLC）系統(tǒng)，如圖7所示，其安全功能是在輸入超過特定值時(shí)打開開關(guān)以停止機(jī)器。在HFT = 0圖中，如果存在單個(gè)隨機(jī)故障（X），則系統(tǒng)將發(fā)生故障，機(jī)器將不會停止。

圖7.一個(gè)PLC系統(tǒng)。

現(xiàn)在，如果我們有一個(gè)冗余路徑，如HFT = 1圖所示，那么單個(gè)隨機(jī)故障將不再導(dǎo)致故障，我們將能夠停止機(jī)器。

因此，通過添加冗余路徑，可以容忍單個(gè)故障;該系統(tǒng)稱為HFT 1系統(tǒng)，它表示一次故障不會導(dǎo)致系統(tǒng)故障。HFT 0 表示一個(gè)故障可能導(dǎo)致系統(tǒng)故障。硬件容錯(cuò)是組件或子系統(tǒng)在存在一個(gè)或多個(gè)危險(xiǎn)故障時(shí)執(zhí)行安全功能的能力。

HFT 可以從 1oo1、1oo2、2oo3 等架構(gòu)中計(jì)算出來。如果架構(gòu)表示為 MooN，則高頻交易計(jì)算為 N – M。換句話說，2oo4 架構(gòu)的 HFT 為 2。這意味著它可以容忍兩次故障并且仍然可以工作，因此它是一個(gè)具有冗余的架構(gòu)。

SIL 級別覆蓋范圍

表 1 繪制了 SFF（即診斷覆蓋量）和硬件容錯(cuò)（表示冗余）。

元件的安全失效分?jǐn)?shù)	硬件容錯(cuò)
	0	1	2
<60%	不允許	SIL 1	SIL 2
60% 至 <90%	SIL 1	SIL 2	SIL 3
90% 至 <99%	SIL 2	SIL 3	SIL 4
≥99%	SIL 3	SIL 4	SIL 4

行顯示診斷覆蓋率，而列顯示硬件容錯(cuò)。HFT為0意味著如果系統(tǒng)中存在一個(gè)故障，安全功能將丟失（見表1）。

如果我們添加冗余以實(shí)現(xiàn)HFT 1，如圖7所示，系統(tǒng)可以容忍一次故障，而不會使系統(tǒng)停機(jī)。因此，目前通過冗余實(shí)現(xiàn) SIL 3 的客戶如果使用具有更高診斷覆蓋范圍的部件，則可以在沒有冗余的情況下達(dá)到 SIL 3 等級。

因此，通過更高級別的診斷，我們可以減少所需的系統(tǒng)冗余量，或者我們以相同的冗余級別改進(jìn)解決方案的 SIL 級別（下移至表 1）。

現(xiàn)在，讓我們回顧一下AD7124-4/AD7124-8中的診斷功能，它們支持各種內(nèi)置機(jī)制，如電源/基準(zhǔn)電壓/AIN監(jiān)控、開路檢測、轉(zhuǎn)換/校準(zhǔn)檢查、信號鏈功能檢查、讀/寫監(jiān)控、寄存器內(nèi)容監(jiān)控等，從而擴(kuò)大AD7124-4/AD7124-8系統(tǒng)的診斷范圍。如果沒有這些診斷，則需要兩個(gè)ADC才能達(dá)到相同的理想電平。

因此，一個(gè)AD7124-4或AD7124-8提供相同級別的覆蓋范圍，其診斷范圍和特性支持功能安全系統(tǒng)的設(shè)計(jì)。這樣可以節(jié)省 50% 的 BOM 和印刷電路板空間。

支持 SIL 等級設(shè)計(jì)的文檔

輔助終端系統(tǒng) SIL 認(rèn)證所需的文檔包括：

安全數(shù)據(jù)表（安全手冊適用于 SIL 額定部件）

引腳 FMEDA（失效模式、影響和分析）和芯片 FMEDA（失效
模式、效應(yīng)和診斷分析）

附件F核對表

這些文檔由輸入組成，主要來自四個(gè)數(shù)據(jù)源，如圖 8 所示。這些數(shù)據(jù)是診斷數(shù)據(jù)、設(shè)計(jì)數(shù)據(jù)、FIT 速率和故障插入測試數(shù)據(jù)。

數(shù)據(jù)手冊中的診斷數(shù)據(jù)捕獲了器件中可用的所有診斷功能
。

設(shè)計(jì)數(shù)據(jù)是指內(nèi)部數(shù)據(jù)，例如，模具面積和零件每個(gè)內(nèi)部塊的影響。

各種組件的FIT或及時(shí)故障率可從數(shù)據(jù)手冊中獲得。一個(gè)流行的例子是西門子數(shù)據(jù)手冊SN 29500。

故障插入測試是針對模塊進(jìn)行的，無法使用設(shè)計(jì)和診斷數(shù)據(jù)分析。這些測試是根據(jù)所需的應(yīng)用進(jìn)行規(guī)劃的，故障插入測試的結(jié)果用于加強(qiáng) FMEDA 和 FMEA 文檔。

圖8.功能安全文檔信息流。

Die FMEDA

AD7124-4/AD7124-8 FMEDA分析應(yīng)用原理圖中的主要模塊，識別故障模式和影響，并檢查特定安全功能的診斷和分析。讓我們看一下圖 9 來了解其機(jī)制。

對于RTD型系統(tǒng)，安全功能是以±x度的精度測量溫度;應(yīng)用原理圖如圖9所示。

圖9.RTD 應(yīng)用示意圖。

我們將危險(xiǎn)故障定義為可能導(dǎo)致ADC輸出或SPI通信錯(cuò)誤的故障，如果輸出中的誤差很大，則可能導(dǎo)致危險(xiǎn)故障。

安全狀態(tài)定義為：

輸出上的數(shù)據(jù)表示根據(jù)安全功能的輸入

設(shè)置了錯(cuò)誤狀態(tài)位

ADC輸出轉(zhuǎn)換結(jié)果為全零或全1

無 SPI 通信

AD7124-4/AD7124-8根據(jù)IEC 61508被確定為B型系統(tǒng)。

為了解釋 FMEDA，讓我們以時(shí)鐘模塊為例并分析其故障模式。

表2顯示了當(dāng)時(shí)鐘塊面臨第一列中描述的故障模式時(shí)會發(fā)生什么，它對輸出的影響，診斷覆蓋率的數(shù)量，最后是分析。

故障模式	影響	診斷覆蓋范圍	分析
輸出卡在高電平	ADC轉(zhuǎn)換結(jié)果凍結(jié)	99	MCLK 時(shí)鐘計(jì)數(shù)器 - 表 A.11 - “具有單獨(dú)時(shí)基和時(shí)間窗口的看門狗”
輸出卡在低電平	ADC轉(zhuǎn)換結(jié)果凍結(jié)	99	MCLK 時(shí)鐘計(jì)數(shù)器 - 表 A.11 - “具有單獨(dú)時(shí)基和時(shí)間窗口的看門狗”
輸出高阻抗	ADC轉(zhuǎn)換結(jié)果凍結(jié)	99	MCLK 時(shí)鐘計(jì)數(shù)器 — 表 A.11 — “具有單獨(dú)時(shí)基和時(shí)間窗口的看門狗”
輸出漂移 ±10%	ADC 轉(zhuǎn)換結(jié)果損壞，50 Hz/60 Hz 陷波無效	99	MCLK 時(shí)鐘計(jì)數(shù)器 - 表 A.11 - “具有單獨(dú)時(shí)基和時(shí)間窗口的看門狗”
輸出抖動(dòng)	ADC轉(zhuǎn)換結(jié)果損壞或有噪聲	99	轉(zhuǎn)換 0， ±FS - 表 A.13 “參考傳感器”，對結(jié)果進(jìn)行合理性檢查

同樣，我們分析AD7124-4/AD7124-8中的其余模塊。

請注意，可能存在一些可能不會影響安全功能的故障;例如，AIN0引腳上的故障不會引起溫度測量問題，因此可以排除在安全計(jì)算之外。

FMEDA 的結(jié)果將是安全故障、危險(xiǎn)檢測到的故障和危險(xiǎn)的未檢測到故障的故障率，這些故障用于計(jì)算 SFF。

別針 莫梅達(dá)

FMEDA引腳分析AD7124-4/AD7124-8引腳上的各種類型的故障及其針對此RTD應(yīng)用的結(jié)果。我們逐步獲取每個(gè)單獨(dú)的引腳并分析結(jié)果，以防引腳斷開或短路至電源/接地或短路至相鄰引腳。

例如，讓我們以圖10中的引腳29（DIN）為例，參考圖9所示的應(yīng)用原理圖，并檢查不同故障的結(jié)果。表 3 顯示了故障模式、影響和檢測。

圖 10.32 引腳 LFCSP 引腳配置。

引腳名稱	潛在故障模式	故障的潛在影響	檢波
喧囂	開放式銷釘	通信丟失	可在系統(tǒng)級別輕松檢測
喧囂	對地短路	通信丟失	可在系統(tǒng)級別輕松檢測
喧囂	短至AVDD或車聯(lián)網(wǎng)DD	失去通訊;可能的損壞	可在系統(tǒng)級別輕松檢測
喧囂	短至相鄰引腳 SCLK	通信丟失	可在系統(tǒng)級別輕松檢測
喧囂	短至相鄰引腳 DOUT/RDY	通信丟失	可在系統(tǒng)級別輕松檢測

請注意，分析與圖9所示的應(yīng)用原理圖有關(guān)，因此對未使用引腳的分析不會影響任何事情。

附件F 核對表

這是ASIC避免系統(tǒng)故障的設(shè)計(jì)措施清單。為了符合要求，需要一份來自IEC 61508-2：2010的完整附件F清單。

安全手冊或數(shù)據(jù)表

整套信息最終流入安全手冊或數(shù)據(jù)手冊，其中提供了集成AD7124-4/AD7124-8的必要要求。

當(dāng)顯示符合IEC 61508功能安全標(biāo)準(zhǔn)時(shí)，安全數(shù)據(jù)表會整理從各種文檔中流入的所有診斷和分析。它將包含所有信息，例如：

產(chǎn)品概述

應(yīng)用信息

安全理念

生命周期預(yù)測

適合

FMEDA 計(jì)算 — SFF 和 DC

硬件安全機(jī)制

診斷說明

電磁兼容穩(wěn)健性

在冗余配置中運(yùn)行

附件和文件清單

路線 2S，也稱為使用驗(yàn)證

我們已經(jīng)討論了第一種評估方法。現(xiàn)在，讓我們討論稱為“已驗(yàn)證使用”或 Route 2S 的替代方法。此方法適用于已發(fā)布的部件，并基于對客戶退貨和發(fā)貨設(shè)備數(shù)量的分析。

這允許SIL認(rèn)證，就好像該部件完全按照IEC 61508標(biāo)準(zhǔn)開發(fā)一樣。

如果模塊/系統(tǒng)設(shè)計(jì)人員過去成功使用過IC，并且知道現(xiàn)場的故障率，則可以使用Route 2S或經(jīng)過驗(yàn)證的使用聲明。

請注意，在 Route 2S 中，我們需要現(xiàn)場返回的全部數(shù)據(jù)，這使得集成電路設(shè)計(jì)人員或制造商更難提出這一要求，因?yàn)樗麄兺ǔψ罱K應(yīng)用或現(xiàn)場返回的故障單元的百分比沒有足夠的了解進(jìn)行分析。

結(jié)論

RTD測量系統(tǒng)的ADC和系統(tǒng)要求非常嚴(yán)格。這些傳感器產(chǎn)生的模擬信號很小。這些信號需要由噪聲較低的增益級放大，以便放大器的噪聲不會淹沒來自傳感器的信號。在放大器之后，需要一個(gè)高分辨率ADC，以便將來自傳感器的低電平信號轉(zhuǎn)換為數(shù)字信息。除了ADC和增益級外，溫度系統(tǒng)還需要激勵(lì)電流等其他元件。同樣，這些必須是低漂移、低噪聲元件，以便系統(tǒng)精度不會降低。初始誤差（如失調(diào)）可以從系統(tǒng)外進(jìn)行校準(zhǔn)，但組件隨溫度的漂移必須較低，以避免引入誤差。因此，集成勵(lì)磁模塊和測量模塊可簡化客戶設(shè)計(jì)。在設(shè)計(jì)功能安全時(shí)，還需要進(jìn)行診斷。通過將診斷與激勵(lì)和測量模塊集成在一起，簡化了整體系統(tǒng)設(shè)計(jì)，減少了BOM、設(shè)計(jì)時(shí)間和上市時(shí)間。

FMEDA 等文檔包含客戶在最終設(shè)計(jì)中認(rèn)證組件所需的所有信息。但是，認(rèn)證組件本身可以進(jìn)一步簡化與認(rèn)證機(jī)構(gòu)的對話。Route 2S 流程允許產(chǎn)品在發(fā)布后進(jìn)行認(rèn)證，因此這是一個(gè)有用的途徑，因?yàn)楫?dāng)前發(fā)布了許多適合功能安全設(shè)計(jì)的設(shè)備。

審核編輯：郭婷