【導讀】合理的功能安全設計離不開(kāi)嚴謹的態(tài)度和大量的文檔參考,也需要投入一定的時(shí)間。無(wú)論您從事工廠(chǎng)車(chē)間還是公路方面的設計,此白皮書(shū)中 TI 的集成電路 (IC) 設計方法都會(huì )為您提供所需的資源,從而簡(jiǎn)化功能安全設計。隨著(zhù)工業(yè)和汽車(chē)領(lǐng)域自動(dòng)化的出現,人們對功能安全的需求有增無(wú)減。
合理的功能安全設計離不開(kāi)嚴謹的態(tài)度和大量的文檔參考,也需要投入一定的時(shí)間。無(wú)論您從事工廠(chǎng)車(chē)間還是公路方面的設計,此白皮書(shū)中 TI 的集成電路 (IC) 設計方法都會(huì )為您提供所需的資源,從而簡(jiǎn)化功能安全設計。隨著(zhù)工業(yè)和汽車(chē)領(lǐng)域自動(dòng)化的出現,人們對功能安全的需求有增無(wú)減。所有的工業(yè)應用都有功能安全要求,尤其是在工廠(chǎng)自動(dòng)化和控制系統中。
在汽車(chē)行業(yè),盡管安全氣囊和制動(dòng)系統在多年前就具備了功能安全性,但隨著(zhù)電氣化水平的提高和自動(dòng)駕駛功能的出現,系統需要控制電池管理、傳感器融合和車(chē)輛操作,進(jìn)而增加了對功能安全設計的需求。無(wú)論是設計工廠(chǎng)機器人系統、家用電器還是未來(lái)的汽車(chē),人們對設計工程師提出了更高的要求,即交付的項目應符合應用相關(guān)的功能安全標準。在不要求遵循標準的應用中,設計更安全的系統是在同類(lèi)競爭產(chǎn)品中脫穎而出的關(guān)鍵因素。
功能安全標準
功能安全是系統整體安全性的一部分,是對某些輸入或故障狀態(tài)做出預測性響應。功能安全標準認為危險總是存在的,因此,所有系統都有一個(gè)固有故障率。功能安全標準對如何開(kāi)發(fā)系統作出了規定,從而將故障率降低到可容忍水平。包含功能安全的系統設計必須能降低由操作不當引發(fā)故障的風(fēng)險,還能檢測故障并充分降低故障造成的影響。為實(shí)現功能安全合規性,工程師必須:
• 預測并定義危險狀況。
• 確定能應對危險狀況的安全功能。
• 評估安全功能的風(fēng)險降低等級。
• 確保安全功能符合設計初衷。
功能安全標準是由標準組織以及相關(guān)行業(yè)企業(yè)共同制定的,它通過(guò)定義系統中的安全功能和建立安全等級評定規范,為設計人員提供了指導。德州儀器(TI) 加入標準組織,有助于確保其產(chǎn)品開(kāi)發(fā)從始至終都符合功能安全要求。常見(jiàn)的安全標準包括國際電工委員會(huì ) (IEC) 的61508 標準(針對工業(yè)應用)、國際標準化組織(ISO) 的 26262 標準(針對汽車(chē)應用)以及 IEC60730 標準(針對家用電器)。各類(lèi)安全標準都規定了風(fēng)險降低等級和安全完整性等級 (SIL)。例如,IEC 61508 標準將 SIL 劃分為SIL 1 至 SIL 4 四個(gè)等級,其中 SIL 4 的要求最高。SIL 1 要求安全可用性為 90% 至 99%,平均要求失效率 (PFDavg) 為 0.1 至 0.01,風(fēng)險降低因子 (RRF) 為 10 至 100。SIL 4 要求安全可用性>99.99%,PFDavg 為 0.0001 至 0.00001,RRF為 10,000 至 100,000。
ISO 26262 標準的 ASIL 等級與 SIL 類(lèi)似,即從ASIL A 至 ASIL D,其中 ASIL D 的要求最高。功能安全流程在功能安全開(kāi)發(fā)流程中,通常需要先確定各種危險情況和功能安全目標。然后,工程師開(kāi)始檢查系統架構、模塊和 IC。之后,將 IC 作為符合功能安全標準系統的主要構建塊進(jìn)行開(kāi)發(fā)。為預測系統可能出現的行為,工程師必須量化和預測模塊的運行情況。為此,工程師必須在開(kāi)發(fā)流程中對系統進(jìn)行結構化安全定性分析,從而找出各種失效模式、失效原因及其影響。功能安全標準規定了工程師需要了解的 IC 相關(guān)信息,便于工程師獨立進(jìn)行失效模式、影響和診斷分析 (FMEDA)。由于 IC 的復雜度不同,系統安全分析可能需要有關(guān)設計、芯片和封裝的信息。
在此過(guò)程中,請務(wù)必從可靠的供應商處選擇合適的器件。無(wú)論是用于功能安全設計,還是用于實(shí)現差異化競爭的較安全系統中,TI 都能讓工程師更輕松地找到并使用合適的產(chǎn)品。
借助功能安全類(lèi)別簡(jiǎn)化器件的選擇
典型的工業(yè)和汽車(chē)應用需要復雜度迥異的大量 IC,如一個(gè)或多個(gè)傳感器和傳動(dòng)器,處理傳感器數據的微控制器 (MCU) 或處理器,模擬多路復用器,運算或儀表放大器,可能與或未與處理器集成的模數轉換器 (ADC) 和數模轉換器,直流/直流轉換器,低壓降穩壓器或電源管理 IC (PMIC),以及 LED 驅動(dòng)器、電機驅動(dòng)器、電磁閥驅動(dòng)器、場(chǎng)效應晶體管(FET) 和絕緣柵雙極晶體管柵極驅動(dòng)器等驅動(dòng)器元件,電源開(kāi)關(guān)和負載開(kāi)關(guān)。另外,應用還包括各類(lèi)通信接口,如 RS-485、控制器區域網(wǎng) (CAN)、以太網(wǎng)、FPD-Link 和外圍組件快速互連 (PCIe) 接口。表 1 所示是 TI 為功能安全設計提供的產(chǎn)品類(lèi)別,這也表明了基于標準的 IC 復雜度分類(lèi)依據。這些類(lèi)別包括 TI 功能安全型、TI 功能安全質(zhì)量管理型、TI 功能安全合規型。
功能安全合規型產(chǎn)品
這類(lèi)產(chǎn)品通常都是系統中相當復雜的器件,如MCU、處理器或模擬電機驅動(dòng)器,可能具有集成的安全功能。TI 使用經(jīng) Technischer Überwachungsverein (TÜV)SÜD 等機構認證的功能安全開(kāi)發(fā)流程,開(kāi)發(fā)了這類(lèi)產(chǎn)品。這類(lèi)認證可確保這一類(lèi)別的產(chǎn)品是按照功能安全標準(ISO26262 和 IEC61508)規定的規格開(kāi)發(fā)的。
以下列復雜的功能安全合規型器件為例:
• 用于高級駕駛輔助系統、符合汽車(chē)電子委員會(huì ) (AEC)-100 標準的 Jacinto™ TDAx 片上系統,集成了定點(diǎn)和浮點(diǎn) TMS320C66x 數字信號處理器 (DSP) 內核、Vision AccelerationPac嵌入式視覺(jué)引擎和雙核 ARM® Cortex®-M4 處理器,以及用于低壓差分信令環(huán)視系統、顯示、CAN 和千兆位以太網(wǎng)音頻視頻橋接的多攝像頭接口等外設。這些器件滿(mǎn)足廣泛的功能安全系統要求,包括具有錯誤校正碼 (ECC) 保護機制的 M4、具有 ECC 保護機制的 32 位雙倍數據速率接口、適用于中央處理單元 (CPU)的專(zhuān)用內存管理單元、內存保護單元、溫度監測傳感器,以及用于系統監控的八通道 ADC。
• TPS6594-Q1多軌電源管理集成電路(PMIC)支持汽車(chē)和工業(yè)市場(chǎng)采用的TI Jacinto TDAx片上系統。PMIC精度高、靈活性強,適合要求功能安全的汽車(chē)和工業(yè)應用,并會(huì )提供功能安全文檔。TPS6594-Q1為主域和MCU域提供可擴展的電源管理解決方案,并支持ASIL-D/SIL-3級別的功能安全
Hercules™ MCU 集成了足夠多的安全和診斷功能,可讓工程師達到 SIL 3 的目標等級。也就是說(shuō),此 MCU 可實(shí)現約 99% 的故障覆蓋率。例如,在 MCU 上集成兩個(gè)采用鎖步模式的 Cortex-R CPU,可在每個(gè)周期對輸出進(jìn)行比較,如出現錯誤,則會(huì )產(chǎn)生非屏蔽中斷。在工業(yè)應用中,CPU 可在啟動(dòng)時(shí)或時(shí)間片內進(jìn)行自檢。
• DRV3245E-Q1 是一款適用于三相電機驅動(dòng)應用的 FET 柵極驅動(dòng)器 IC。它的三個(gè)半橋驅動(dòng)器可分別驅動(dòng)高側和低側 N 溝道金屬-氧化物-半導體 FET。根據 ISO 26262 的適用要求,該柵極驅動(dòng)器為每個(gè)內部時(shí)鐘集成了診斷和保護功能,還提供了常用系統診斷檢查支持,二者皆可通過(guò)串行外設接口實(shí)現實(shí)例化和故障報告。借助靈活的功能,DRV3245E-Q1 可無(wú)縫集成到各種安全架構中。
• TPS65381A-Q1多軌PMIC采用雙核同步或松散耦合的體系結構,為汽車(chē)和工業(yè)市場(chǎng)上的TIHercules TMS570和C2000™ MCU系列產(chǎn)品提供支持。配備內部FET的異步降壓開(kāi)關(guān)式電源轉換器可將輸入電源(電池)電壓轉換為6-V前置調節器輸出電壓。然后由6-V的前置調節器為其他調節器供電。它的監控和保護模塊,包括電壓檢測、模擬內建自測、時(shí)鐘丟失檢測、接點(diǎn)溫度檢測、電源電流限制和MCU誤差信號監測等,都能提高診斷覆蓋率并降低未檢測到的故障率。
• TI 可提供屬于這一類(lèi)別的多種器件,如 C2000實(shí)時(shí)控制器和具有板載 DSP、MCU 和雷達加速器的 AWR1843、76GHz 至 81GHz 汽車(chē)雷達傳感器。所有這些產(chǎn)品都附有專(zhuān)用的功能安全相關(guān)文檔,以支持系統開(kāi)發(fā)流程:
功能安全質(zhì)量管理型產(chǎn)品第二類(lèi)產(chǎn)品包含內置診斷功能的復雜產(chǎn)品,且專(zhuān)用于有功能安全要求的系統。但是,這一產(chǎn)品類(lèi)別在開(kāi)發(fā)時(shí)沒(méi)有按照適用于功能安全合規型產(chǎn)品類(lèi)別的認證功能安全開(kāi)發(fā)流程,而是使用 TI 的標準質(zhì)量管理開(kāi)發(fā)流程。此類(lèi)別的產(chǎn)品包括但不限于:
TCAN4550-Q1是業(yè)界首創(chuàng )的汽車(chē)系統基礎芯片(SBC),含集成式CAN FD控制器和收發(fā)器。這款高度集成的設備利用現有的SPI端口簡(jiǎn)化CAN FD總線(xiàn)擴展,這樣設計師就可以在升級至更高寬帶CAN FD接口協(xié)議時(shí)維持當前基于微控制器的結構體系。LP87702-Q1是一款雙降壓和5-V升壓轉換器,集成符合ASIL的毫米波雷達系統要求的診斷功能,其中包括視窗監控器和一個(gè)監控其輸出電源的獨立參考電壓、以及兩個(gè)外部電源。
對于功能安全合規型器件,我們提供了各種文檔,可幫助進(jìn)行功能安全系統設計。這些文檔包括功能安全時(shí)基故障率計算、FMEDA 和功能安全手冊。非功能安全合規型器件則不包括無(wú)故障分析或產(chǎn)品認證。功能安全型產(chǎn)品第三類(lèi)產(chǎn)品包含的 IC 較簡(jiǎn)單,開(kāi)發(fā)時(shí)使用 TI 的標準質(zhì)量管理開(kāi)發(fā)流程,與功能安全質(zhì)量管理型產(chǎn)品類(lèi)別類(lèi)似。功能安全型產(chǎn)品通常不具備集成的安全功能,所以通常不會(huì )提供內置的監控和診斷功能,這些功能在TI 其他功能安全產(chǎn)品類(lèi)別的器件中較常見(jiàn)。由于這類(lèi)產(chǎn)品沒(méi)有集成全面的安全功能,它們不具備其他類(lèi)別器件常見(jiàn)的內部監控和診斷功能。
但它們仍是功能安全系統中的重要構建塊,因此,TI 會(huì )提供功能安全時(shí)基故障率和 FMD 等重要信息,供設計人員在安全分析中使用。此類(lèi)別的產(chǎn)品包括但不限于:
• 小巧的線(xiàn)性熱敏電阻TMP61-Q1因長(cháng)期傳感器漂移小于1%且精度優(yōu)于傳統熱敏電阻而頗受青睞。我們的熱敏電阻替代產(chǎn)品TMP235-Q1是一款精密溫度傳感器集成電路,無(wú)需校準即可達到±1.5°C。
• TPS3840-Q1 電壓監控器或復位 IC。這款符合 AEC-Q100 標準的器件可提供 1.5V 至10V 的寬電壓范圍,電源電流典型值僅為350nA,最大值為 700nA。
• 符合 AEC-Q100 標準的 TPS7A16A-Q160V、5μA 靜態(tài)電流、100mA 低壓降穩壓器,專(zhuān)為需要超低靜態(tài)電流的連續或斷續(備用電源)電池供電應用而設計。此器件非常適合通過(guò)多節電池解決方案(如高電池節數電動(dòng)工具組和汽車(chē)應用)生成低電壓電源。TPS7A16A-Q1 不僅能提供一個(gè)良好穩壓的電壓軌,還能承受瞬態(tài)電壓并在電壓瞬態(tài)期間保持穩壓狀態(tài)。
TI 開(kāi)發(fā)流程
由于功能安全開(kāi)發(fā)流程較復雜,除 TÜV SÜD 認證外,您可能需要了解更多有關(guān)公司安全文化和流程的信息。這也是 TI 為管理系統失效和隨機失效而創(chuàng )建開(kāi)發(fā)流程的原因所在(見(jiàn)表 2)。我們的所有產(chǎn)品都遵循質(zhì)量管理開(kāi)發(fā)流程,從而降低系統失效率。圖 1 所示的標準開(kāi)發(fā)流程具有管理系統失效所需的很多要素。此外,這些產(chǎn)品的文檔和報告可用于幫助遵循針對最終應用(包括汽車(chē)和工業(yè)系統)的各種標準(例如 ISO 26262-4 或IEC 61508-2)。該流程將開(kāi)發(fā)分為以下幾個(gè)階段:
• 評估。
• 計劃。
• 創(chuàng )建。
• 驗證。
TI 的功能安全開(kāi)發(fā)流程是根據 ISO 26262 和 IEC61508 制定的。我們向新產(chǎn)品標準開(kāi)發(fā)流程的每個(gè)階段都添加了幾項特定的功能安全活動(dòng),從而劃分出三個(gè)基于標準的 IC 復雜度類(lèi)別。
如 ISO 26262-2:2018 附件 A 所述,TI 的開(kāi)發(fā)流程有利于真正實(shí)現功能安全。該開(kāi)發(fā)流程可促進(jìn)在所有產(chǎn)品開(kāi)發(fā)團隊之間共享功能安全類(lèi)信息。TI 團隊根據適當的標準維護特定組織的功能安全規則,而且其各個(gè)流程可確保解決發(fā)現的安全異常情況。TI 根據通用標準維護可滿(mǎn)足功能安全要求的質(zhì)量管理系統,從而為客戶(hù)提供支持。
不斷提供功能安全產(chǎn)品系列
功能安全設計側重在概念階段就對各類(lèi)危險、失效和緩解措施作出詳盡的計劃。這涉及根據標準分析各類(lèi)系統失效以及所實(shí)施診斷方案的有效性。在此期間,需要反復研究用于構建系統的各個(gè)器件相關(guān)的數據。
(來(lái)源:TI工業(yè)系統工廠(chǎng)自動(dòng)化與控制總經(jīng)理Miro Adzan; TI汽車(chē)系統車(chē)身電子與照明總經(jīng)理Arun)
免責聲明:本文為轉載文章,轉載此文目的在于傳遞更多信息,版權歸原作者所有。本文所用視頻、圖片、文字如涉及作品版權問(wèn)題,請電話(huà)或者郵箱聯(lián)系小編進(jìn)行侵刪。
