功能安全控制系统硬件设计的要点
工业控制系统的电气设计要求非常严苛,需要设备在最具挑战性的条件下保证耐用性、可靠性,以便尽可能地延长其使用时间,减少宕机。同时,在某些特殊应用场合,即使在恶劣的工作环境中,控制系统也应该万无一失,准确无误地完成控制任务,如功能安全关键应用中,例如高度机器人化的工作环境、发电厂或航空运输,在这些环境中,如果出现问题,可能会给操作人员、企业财产甚至整个生态系统带来严重风险。
功能安全是工业自动化领域内的一门高级技术学科,并且得到了国际认证机构(主要是IEC 61508)的广泛认可。然而,在本文中,我们将不分析其复杂的理论形式,而是关注有趣的技术挑战和特定的应用场景,这些环节是我们在设计过程中要十分注意的。我们将以一个双通道功能安全数字I/O评估板(STEVAL-FSM01M1)为参考,分析功能安全I/O系统的架构及其原理。我们还将指出该板上嵌入的一些创新功能。本文讨论了每个自动化工程师在开始下一个项目之前应了解的技术挑战。
功能安全和冗余
功能安全系统的基本包括系统冗余概念和诊断功能(在操作期间监控系统的完整性)。在功能安全的世界中,安全状态通常被认为是设备处于被动状态(去除使能、关闭开关、逻辑处于零态等)。因此,在任何条件下(包括出现可能的了故障)控制系统都可以进入这个安全状态是功能安全的基本原则。图1中展示了一个安全数字I/O模块的功能框图。
插图1:安全数字I/O系统架构插图2:紧凑型双通道数字I/O评估板(STEVAL-FSM01M1)
这个模块有两个输入通道(IN1和IN2,互为冗余)及两个输出通道(OUT1和OUT2,互为冗余)。此外,每个PNP型输出通道实际上是通过一个智能高边开关(IPS)与一个被控制的P通道功率MOSFET(STL42P6LLF6)串联在一起而实现的。最重要的是,为了消除故障情况下可能发生的跨通道一致性,每个输出通道的控制信号都通过独立的数字隔离器(STISO621)传导。
数字量输入部分
I/O模块中实现数字输入功能用来接入工业传感器信号,将0V/24V过程信号转换为较低电压的逻辑电平,并通过数字隔离器被微控制器或ASIC所识别。IO模块的外壳内空间较小,内部的电路板需要在EMC干扰的情况下提供稳定的性能,同时最好尽量减少功耗,提高效率及可靠性。在这样的要求下,分立元器件所搭建的传统方案很难实现,这对设计工作带来不可避免地负面影响。
插图3:带CLT03的数字输入电路
一种更快捷和方便的解决办法是使用行业认可的方案——一款双通道数字输入电流限制器(CLT03-2Q3),它在单个超紧凑封装芯片中容纳了两个独立的输入通道(图3)。除了数字输入功能外,CLT03还提供了其他专门为功能安全所设计的有用功能,例如能够无需额外供电即可作为输入信号电流传感器,或可在操作期间自行监控其工作状态是否正常的独特诊断机制。这颗芯片内部的每个通道都配备了一个测试脉冲(TP)发生器,当连接的输入信号处于高电平(24V)时,它可以在输出信号路径中叠加心跳脉冲。
在STEVAL-FSM01M1评估板上,可以使用一个小信号晶体管在操作期间主动控制此功能,如波形采集(图4)所示。脉冲宽度(和频率)可以根据测试脉冲电容(CTP )在较宽范围内调整。使用这种机制,微控制器可以动态监控输入前端IC的是否工作正常。因此,这个独特的功能提供了一个额外的选项来扩展系统安全性和诊断覆盖范围。插图4:使用CLT03-2Q3的主动测试脉冲控制
数字量输出部分
现在让我们关注数字量输出部分并更详细地分析它(见图5)。
插图5:数字输出通道电路
过压和反极性保护
在模块的24V电源连接器附近,有一个双向瞬态电压抑制器(TVS1)与电源直接连接,与电容C1并联,用于电源保护。实际上,连接瞬态电压抑制器的PCB路径长度必须尽可能短,以最小化寄生电感。否则,它可能在EMC过应力期间引起电压瞬变,使电路暴露于显著高于其钳位额定值的电压。TVS1的尺寸应该尽可能的小,其钳位电压应不高于36V,同时其在吸收EMC浪涌电流时要通过较大能量。在参考板上这些要求是通过一个瞬态电压抑制器(SMC30J36CA)得到满足,其钳位电压36V,其峰值功率高达3000 W (10/1000 μs)、40 kW(符合IEC 61000-4-5的8/20 μs脉冲)。过电压保护部分后面的电路设计用于防止电源电压的反极性。在实践中,这种错误可能由于接线错误而频繁地发生,但负过电压脉冲也是EMC典型测试的强制部分。反向电流阻断电路基于一个被动偏置的60V P通道晶体管Q1(STL42P6LLF6)。
感性负载退磁电路
许多执行器具有感性特性(例如电磁阀、阀门、继电器等)。这意味着在其关断时,负载的磁场能量会转化为电能,被数字输出的电路吸收。为此,IPS16xHF系列智能高边开关内部具有快速退磁电路,在输出关断时输出针脚的电压不会维持在0V,而会保持相对于VCC 一定的压降。在使用IPS16xHF的情况下,这个压降值为VDEMAG ≈ 70V(见图6)。
插图6:感性负载去磁
有时,当需要优化高感性负载的去磁能量时,方便的做法是通过连接在输出和地之间的外部瞬态电压抑制器(图5中的TVS2)实现退磁。接地连接的原因是瞬态电压抑制器在永久性击穿之前可视为短路。这样,在故障情况下保持系统钝化的安全原则得以维持。外置输出瞬态电压抑制器的选择应设计为其性能可以完全替代高边开关内部集成的去磁性能:
VTVS,CL,max < |VCC,max – VDEMAG,min |
其中, VTVS,CL,max 是外部瞬态电压抑制器的最大钳位电压,
VCC,max 是最大允许的供电电源电压,
VDEMAG,min 是高边开关的最小去磁电压(在数据表中规定)。
在这里,我们需要进一步认识到瞬态电压抑制器的钳位电压随温度而浮动,并且必须选择具有一定钳位裕度的组件。在评估板上,去磁瞬态电压抑制器(SM6T33CA)满足这些要求。
诊断
持续监控系统的正确操作是安全I/O的关键部分。该评估板上有几种机制可用于此目的。首先,IPS具有自己的诊断功能,具体取决于其配置,在过载情况下向微控制器报警以显示过流或芯片的过热关断。还有用于电源的电压监控和每个输出通道上的输出反馈。这部分电路通过保护二极管D3串联的分压器R6和R7的组合来实现,如图5中所示。这用于保护后续的A/D转换器(ADC120)免受负过电压的影响,例如在EMC干扰或去磁期间。这些诊断电路实时监控系统的完整性和操作条件。
过流及短路保护
智能高边开关(IPS)的除了负责控制输出外,其还提供多种保护功能,如防止过流和过热保护。在发生输出短路或任何其他导致过电流的过载情况下,IPS将其输出电流限制在预定的水平ILIM (IPS161HF上的典型值为1.2 A,或IPS160HF上的典型值为3.3 A)。
插图7:IPS16x过载管理模式
在电流限制期间,功率开关以线性模式运行,这导致功率耗散增加。一旦IC内部温度达到约170ºC,芯片内部集成的热关断保护将被触发,自动禁用输出以进行部分冷却,具有15ºC的滞后。这种保护性热关断由IC的诊断引脚报警。电流形状在图7左侧波形采集中显示。
插图8:Cut-off限制
IPS160HF和IPS161HF 芯片提供了一种被称为Cut-off的额外电流保护机制,允许在过载情况下最小化功率耗散(图8)。在这种模式下,IPS周期性地激活输出并保持一段预设时间,然后关闭以防止过热。Cut-off持续时间由外部电容器决定(图8CCOD)。这允许降低芯片的功耗及热量,如我们在图7中分别比较两种操作模式下的电流波形(绿色)时清楚看到的那样,左图是未激活Cut-off功能,右图是激活了Cut-off功能。这在具有多个通道和有限内部功率预算的高密度输出模块中特别重要。需要注意的是,Cut-off激活后,可能无法驱动启动电流较大的负载(例如,电容负载和灯),在此情况下,Cut-off功能可能在负载完全充电之前触发保护。考虑到这一点,应该根据实际应用条件来设置Cut-off保护时间或禁用Cut-off功能。
插图9:主动Cut-off控制
这种主动Cut-off控制功能在评估板(STEVAL-FSM01M1)上是可灵活设置的。图9说明了所谓的“反应性Cut-off”,其中默认情况下禁用Cut-off功能,以便允许电容负载的平滑充电;但它也最终作为对长期过载或故障情况下的热关断事件发生后及时介入并提供保护。
总结
工业安全适用于所有类型的应用和行业,包括自动化制造、运输、智能建筑或海事和航空系统。确保人类、设备甚至我们的环境的安全符合适用的工业安全标准是至关重要的。
在意法半导体,我们在系统设计方面的长期工程专业知识和安全认证过程的丰富经验使我们能够为硬件设计人员提供不仅是最先进的集成电路,还有准确的知识和技术支持。
在这篇白皮书中,我们讨论了功能安全自动化的数字量I/O系统设计。在查看安全数字量I/O模块的结构后,我们通过使用安全双通道数字I/O评估板(STEVAL-FSM01M1)的示例,探讨了其电气实现的特定设计方面。所采用器件的坚固性和可靠性能不仅通过我们实验室的彻底验证得到保证——它还通过全球无数工业系统的24/7不间断运行每天得到证明,同时所采用的器件都是经过严格测试并验证的,可以提供可靠性报告,其可用于功能安全认证所需的FMEDA计算。
提交
IGBT 模块在颇具挑战性的逆变器应用中提供更高能效
新品发布 | Anybus 网关PROFINET耦合器和EtherNet/IP耦合器
赋能行业稳定运行 金士顿CBD行业专供内存
绿色能源革命中的碳化硅技术:英飞凌的领导力与市场洞察
高密度 长寿命!伊顿扣式超级电容器,微型储能优选方案