工業(yè)控制系統(tǒng)的電氣設(shè)計(jì)要求非常嚴(yán)苛，需要設(shè)備在最具挑戰(zhàn)性的條件下保證耐用性、可靠性，以便盡可能地延長(zhǎng)其使用時(shí)間，減少宕機(jī)。同時(shí)，在某些特殊應(yīng)用場(chǎng)合，即使在惡劣的工作環(huán)境中，控制系統(tǒng)也應(yīng)該萬(wàn)無(wú)一失，準(zhǔn)確無(wú)誤地完成控制任務(wù)，如功能安全關(guān)鍵應(yīng)用中，例如高度機(jī)器人化的工作環(huán)境、發(fā)電廠或航空運(yùn)輸，在這些環(huán)境中，如果出現(xiàn)問(wèn)題，可能會(huì)給操作人員、企業(yè)財(cái)產(chǎn)甚至整個(gè)生態(tài)系統(tǒng)帶來(lái)嚴(yán)重風(fēng)險(xiǎn)。

功能安全是工業(yè)自動(dòng)化領(lǐng)域內(nèi)的一門高級(jí)技術(shù)學(xué)科，并且得到了國(guó)際認(rèn)證機(jī)構(gòu)（主要是IEC 61508）的廣泛認(rèn)可。然而，在本文中，我們將不分析其復(fù)雜的理論形式，而是關(guān)注有趣的技術(shù)挑戰(zhàn)和特定的應(yīng)用場(chǎng)景，這些環(huán)節(jié)是我們?cè)谠O(shè)計(jì)過(guò)程中要十分注意的。我們將以一個(gè)雙通道功能安全數(shù)字I/O評(píng)估板（STEVAL-FSM01M1）為參考，分析功能安全I(xiàn)/O系統(tǒng)的架構(gòu)及其原理。我們還將指出該板上嵌入的一些創(chuàng)新功能。本文討論了每個(gè)自動(dòng)化工程師在開(kāi)始下一個(gè)項(xiàng)目之前應(yīng)了解的技術(shù)挑戰(zhàn)。

功能安全和冗余

功能安全系統(tǒng)的基本包括系統(tǒng)冗余概念和診斷功能（在操作期間監(jiān)控系統(tǒng)的完整性）。在功能安全的世界中，安全狀態(tài)通常被認(rèn)為是設(shè)備處于被動(dòng)狀態(tài)（去除使能、關(guān)閉開(kāi)關(guān)、邏輯處于零態(tài)等）。因此，在任何條件下（包括出現(xiàn)可能的了故障）控制系統(tǒng)都可以進(jìn)入這個(gè)安全狀態(tài)是功能安全的基本原則。圖1中展示了一個(gè)安全數(shù)字I/O模塊的功能框圖。

插圖1：安全數(shù)字I/O系統(tǒng)架構(gòu)插圖2：緊湊型雙通道數(shù)字I/O評(píng)估板（STEVAL-FSM01M1）

這個(gè)模塊有兩個(gè)輸入通道（IN1和IN2，互為冗余）及兩個(gè)輸出通道（OUT1和OUT2，互為冗余）。此外，每個(gè)PNP型輸出通道實(shí)際上是通過(guò)一個(gè)智能高邊開(kāi)關(guān)（IPS）與一個(gè)被控制的P通道功率MOSFET（STL42P6LLF6）串聯(lián)在一起而實(shí)現(xiàn)的。最重要的是，為了消除故障情況下可能發(fā)生的跨通道一致性，每個(gè)輸出通道的控制信號(hào)都通過(guò)獨(dú)立的數(shù)字隔離器（STISO621）傳導(dǎo)。

數(shù)字量輸入部分

I/O模塊中實(shí)現(xiàn)數(shù)字輸入功能用來(lái)接入工業(yè)傳感器信號(hào)，將0V/24V過(guò)程信號(hào)轉(zhuǎn)換為較低電壓的邏輯電平，并通過(guò)數(shù)字隔離器被微控制器或ASIC所識(shí)別。IO模塊的外殼內(nèi)空間較小，內(nèi)部的電路板需要在EMC干擾的情況下提供穩(wěn)定的性能，同時(shí)最好盡量減少功耗，提高效率及可靠性。在這樣的要求下，分立元器件所搭建的傳統(tǒng)方案很難實(shí)現(xiàn)，這對(duì)設(shè)計(jì)工作帶來(lái)不可避免地負(fù)面影響。

 插圖3：帶CLT03的數(shù)字輸入電路

一種更快捷和方便的解決辦法是使用行業(yè)認(rèn)可的方案——一款雙通道數(shù)字輸入電流限制器（CLT03-2Q3），它在單個(gè)超緊湊封裝芯片中容納了兩個(gè)獨(dú)立的輸入通道（圖3）。除了數(shù)字輸入功能外，CLT03還提供了其他專門為功能安全所設(shè)計(jì)的有用功能，例如能夠無(wú)需額外供電即可作為輸入信號(hào)電流傳感器，或可在操作期間自行監(jiān)控其工作狀態(tài)是否正常的獨(dú)特診斷機(jī)制。這顆芯片內(nèi)部的每個(gè)通道都配備了一個(gè)測(cè)試脈沖（TP）發(fā)生器，當(dāng)連接的輸入信號(hào)處于高電平（24V）時(shí)，它可以在輸出信號(hào)路徑中疊加心跳脈沖。

在STEVAL-FSM01M1評(píng)估板上，可以使用一個(gè)小信號(hào)晶體管在操作期間主動(dòng)控制此功能，如波形采集（圖4）所示。脈沖寬度（和頻率）可以根據(jù)測(cè)試脈沖電容（CTP ）在較寬范圍內(nèi)調(diào)整。使用這種機(jī)制，微控制器可以動(dòng)態(tài)監(jiān)控輸入前端IC的是否工作正常。因此，這個(gè)獨(dú)特的功能提供了一個(gè)額外的選項(xiàng)來(lái)擴(kuò)展系統(tǒng)安全性和診斷覆蓋范圍。插圖4：使用CLT03-2Q3的主動(dòng)測(cè)試脈沖控制

數(shù)字量輸出部分

現(xiàn)在讓我們關(guān)注數(shù)字量輸出部分并更詳細(xì)地分析它（見(jiàn)圖5）。

插圖5：數(shù)字輸出通道電路

過(guò)壓和反極性保護(hù)

在模塊的24V電源連接器附近，有一個(gè)雙向瞬態(tài)電壓抑制器（TVS1）與電源直接連接，與電容C1并聯(lián)，用于電源保護(hù)。實(shí)際上，連接瞬態(tài)電壓抑制器的PCB路徑長(zhǎng)度必須盡可能短，以最小化寄生電感。否則，它可能在EMC過(guò)應(yīng)力期間引起電壓瞬變，使電路暴露于顯著高于其鉗位額定值的電壓。TVS1的尺寸應(yīng)該盡可能的小，其鉗位電壓應(yīng)不高于36V，同時(shí)其在吸收EMC浪涌電流時(shí)要通過(guò)較大能量。在參考板上這些要求是通過(guò)一個(gè)瞬態(tài)電壓抑制器（SMC30J36CA）得到滿足，其鉗位電壓36V，其峰值功率高達(dá)3000 W （10/1000 μs）、40 kW（符合IEC 61000-4-5的8/20 μs脈沖）。過(guò)電壓保護(hù)部分后面的電路設(shè)計(jì)用于防止電源電壓的反極性。在實(shí)踐中，這種錯(cuò)誤可能由于接線錯(cuò)誤而頻繁地發(fā)生，但負(fù)過(guò)電壓脈沖也是EMC典型測(cè)試的強(qiáng)制部分。反向電流阻斷電路基于一個(gè)被動(dòng)偏置的60V P通道晶體管Q1（STL42P6LLF6）。

感性負(fù)載退磁電路

許多執(zhí)行器具有感性特性（例如電磁閥、閥門、繼電器等）。這意味著在其關(guān)斷時(shí)，負(fù)載的磁場(chǎng)能量會(huì)轉(zhuǎn)化為電能，被數(shù)字輸出的電路吸收。為此，IPS16xHF系列智能高邊開(kāi)關(guān)內(nèi)部具有快速退磁電路，在輸出關(guān)斷時(shí)輸出針腳的電壓不會(huì)維持在0V，而會(huì)保持相對(duì)于VCC 一定的壓降。在使用IPS16xHF的情況下，這個(gè)壓降值為VDEMAG ≈ 70V（見(jiàn)圖6）。

插圖6：感性負(fù)載去磁

有時(shí)，當(dāng)需要優(yōu)化高感性負(fù)載的去磁能量時(shí)，方便的做法是通過(guò)連接在輸出和地之間的外部瞬態(tài)電壓抑制器（圖5中的TVS2）實(shí)現(xiàn)退磁。接地連接的原因是瞬態(tài)電壓抑制器在永久性擊穿之前可視為短路。這樣，在故障情況下保持系統(tǒng)鈍化的安全原則得以維持。外置輸出瞬態(tài)電壓抑制器的選擇應(yīng)設(shè)計(jì)為其性能可以完全替代高邊開(kāi)關(guān)內(nèi)部集成的去磁性能：

 VTVS,CL,max < |VCC,max – VDEMAG,min |

其中， VTVS,CL,max 是外部瞬態(tài)電壓抑制器的最大鉗位電壓，

VCC,max 是最大允許的供電電源電壓，

VDEMAG,min 是高邊開(kāi)關(guān)的最小去磁電壓（在數(shù)據(jù)表中規(guī)定）。

在這里，我們需要進(jìn)一步認(rèn)識(shí)到瞬態(tài)電壓抑制器的鉗位電壓隨溫度而浮動(dòng)，并且必須選擇具有一定鉗位裕度的組件。在評(píng)估板上，去磁瞬態(tài)電壓抑制器（SM6T33CA）滿足這些要求。

診斷

持續(xù)監(jiān)控系統(tǒng)的正確操作是安全I(xiàn)/O的關(guān)鍵部分。該評(píng)估板上有幾種機(jī)制可用于此目的。首先，IPS具有自己的診斷功能，具體取決于其配置，在過(guò)載情況下向微控制器報(bào)警以顯示過(guò)流或芯片的過(guò)熱關(guān)斷。還有用于電源的電壓監(jiān)控和每個(gè)輸出通道上的輸出反饋。這部分電路通過(guò)保護(hù)二極管D3串聯(lián)的分壓器R6和R7的組合來(lái)實(shí)現(xiàn)，如圖5中所示。這用于保護(hù)后續(xù)的A/D轉(zhuǎn)換器（ADC120）免受負(fù)過(guò)電壓的影響，例如在EMC干擾或去磁期間。這些診斷電路實(shí)時(shí)監(jiān)控系統(tǒng)的完整性和操作條件。

過(guò)流及短路保護(hù)

智能高邊開(kāi)關(guān)（IPS）的除了負(fù)責(zé)控制輸出外，其還提供多種保護(hù)功能，如防止過(guò)流和過(guò)熱保護(hù)。在發(fā)生輸出短路或任何其他導(dǎo)致過(guò)電流的過(guò)載情況下，IPS將其輸出電流限制在預(yù)定的水平ILIM （IPS161HF上的典型值為1.2 A，或IPS160HF上的典型值為3.3 A）。

插圖7：IPS16x過(guò)載管理模式

在電流限制期間，功率開(kāi)關(guān)以線性模式運(yùn)行，這導(dǎo)致功率耗散增加。一旦IC內(nèi)部溫度達(dá)到約170oC，芯片內(nèi)部集成的熱關(guān)斷保護(hù)將被觸發(fā)，自動(dòng)禁用輸出以進(jìn)行部分冷卻，具有15oC的滯后。這種保護(hù)性熱關(guān)斷由IC的診斷引腳報(bào)警。電流形狀在圖7左側(cè)波形采集中顯示。

插圖8：Cut-off限制

IPS160HF和IPS161HF 芯片提供了一種被稱為Cut-off的額外電流保護(hù)機(jī)制，允許在過(guò)載情況下最小化功率耗散（圖8）。在這種模式下，IPS周期性地激活輸出并保持一段預(yù)設(shè)時(shí)間，然后關(guān)閉以防止過(guò)熱。Cut-off持續(xù)時(shí)間由外部電容器決定（圖8CCOD）。這允許降低芯片的功耗及熱量，如我們?cè)趫D7中分別比較兩種操作模式下的電流波形（綠色）時(shí)清楚看到的那樣，左圖是未激活Cut-off功能，右圖是激活了Cut-off功能。這在具有多個(gè)通道和有限內(nèi)部功率預(yù)算的高密度輸出模塊中特別重要。需要注意的是，Cut-off激活后，可能無(wú)法驅(qū)動(dòng)啟動(dòng)電流較大的負(fù)載（例如，電容負(fù)載和燈），在此情況下，Cut-off功能可能在負(fù)載完全充電之前觸發(fā)保護(hù)。考慮到這一點(diǎn)，應(yīng)該根據(jù)實(shí)際應(yīng)用條件來(lái)設(shè)置Cut-off保護(hù)時(shí)間或禁用Cut-off功能。

 插圖9：主動(dòng)Cut-off控制

這種主動(dòng)Cut-off控制功能在評(píng)估板（STEVAL-FSM01M1）上是可靈活設(shè)置的。圖9說(shuō)明了所謂的“反應(yīng)性Cut-off”，其中默認(rèn)情況下禁用Cut-off功能，以便允許電容負(fù)載的平滑充電；但它也最終作為對(duì)長(zhǎng)期過(guò)載或故障情況下的熱關(guān)斷事件發(fā)生后及時(shí)介入并提供保護(hù)。

總結(jié)

工業(yè)安全適用于所有類型的應(yīng)用和行業(yè)，包括自動(dòng)化制造、運(yùn)輸、智能建筑或海事和航空系統(tǒng)。確保人類、設(shè)備甚至我們的環(huán)境的安全符合適用的工業(yè)安全標(biāo)準(zhǔn)是至關(guān)重要的。

在意法半導(dǎo)體，我們?cè)谙到y(tǒng)設(shè)計(jì)方面的長(zhǎng)期工程專業(yè)知識(shí)和安全認(rèn)證過(guò)程的豐富經(jīng)驗(yàn)使我們能夠?yàn)橛布O(shè)計(jì)人員提供不僅是最先進(jìn)的集成電路，還有準(zhǔn)確的知識(shí)和技術(shù)支持。

在這篇白皮書中，我們討論了功能安全自動(dòng)化的數(shù)字量I/O系統(tǒng)設(shè)計(jì)。在查看安全數(shù)字量I/O模塊的結(jié)構(gòu)后，我們通過(guò)使用安全雙通道數(shù)字I/O評(píng)估板（STEVAL-FSM01M1）的示例，探討了其電氣實(shí)現(xiàn)的特定設(shè)計(jì)方面。所采用器件的堅(jiān)固性和可靠性能不僅通過(guò)我們實(shí)驗(yàn)室的徹底驗(yàn)證得到保證——它還通過(guò)全球無(wú)數(shù)工業(yè)系統(tǒng)的24/7不間斷運(yùn)行每天得到證明，同時(shí)所采用的器件都是經(jīng)過(guò)嚴(yán)格測(cè)試并驗(yàn)證的，可以提供可靠性報(bào)告，其可用于功能安全認(rèn)證所需的FMEDA計(jì)算。