工業(yè)控制系統(tǒng)的電氣設(shè)計要求非常嚴(yán)苛，需要設(shè)備在最具挑戰(zhàn)性的條件下保證耐用性、可靠性，以便盡可能地延長其使用時間，減少宕機。同時，在某些特殊應(yīng)用場合，即使在惡劣的工作環(huán)境中，控制系統(tǒng)也應(yīng)該萬無一失，準(zhǔn)確無誤地完成控制任務(wù)，如功能安全關(guān)鍵應(yīng)用中，例如高度機器人化的工作環(huán)境、發(fā)電廠或航空運輸，在這些環(huán)境中，如果出現(xiàn)問題，可能會給操作人員、企業(yè)財產(chǎn)甚至整個生態(tài)系統(tǒng)帶來嚴(yán)重風(fēng)險。

功能安全是工業(yè)自動化領(lǐng)域內(nèi)的一門高級技術(shù)學(xué)科，并且得到了國際認(rèn)證機構(gòu)（主要是IEC 61508）的廣泛認(rèn)可。然而，在本文中，我們將不分析其復(fù)雜的理論形式，而是關(guān)注有趣的技術(shù)挑戰(zhàn)和特定的應(yīng)用場景，這些環(huán)節(jié)是我們在設(shè)計過程中要十分注意的。我們將以一個雙通道功能安全數(shù)字I/O評估板（STEVAL-FSM01M1）為參考，分析功能安全I/O系統(tǒng)的架構(gòu)及其原理。我們還將指出該板上嵌入的一些創(chuàng)新功能。本文討論了每個自動化工程師在開始下一個項目之前應(yīng)了解的技術(shù)挑戰(zhàn)。

功能安全和冗余

功能安全系統(tǒng)的基本包括系統(tǒng)冗余概念和診斷功能（在操作期間監(jiān)控系統(tǒng)的完整性）。在功能安全的世界中，安全狀態(tài)通常被認(rèn)為是設(shè)備處于被動狀態(tài)（去除使能、關(guān)閉開關(guān)、邏輯處于零態(tài)等）。因此，在任何條件下（包括出現(xiàn)可能的了故障）控制系統(tǒng)都可以進入這個安全狀態(tài)是功能安全的基本原則。圖1中展示了一個安全數(shù)字I/O模塊的功能框圖。

這個模塊有兩個輸入通道（IN1和IN2，互為冗余）及兩個輸出通道（OUT1和OUT2，互為冗余）。此外，每個PNP型輸出通道實際上是通過一個智能高邊開關(guān)（IPS）與一個被控制的P通道功率MOSFET（STL42P6LLF6）串聯(lián)在一起而實現(xiàn)的。最重要的是，為了消除故障情況下可能發(fā)生的跨通道一致性，每個輸出通道的控制信號都通過獨立的數(shù)字隔離器（STISO621）傳導(dǎo)。

數(shù)字量輸入部分

I/O模塊中實現(xiàn)數(shù)字輸入功能用來接入工業(yè)傳感器信號，將0V/24V過程信號轉(zhuǎn)換為較低電壓的邏輯電平，并通過數(shù)字隔離器被微控制器或ASIC所識別。IO模塊的外殼內(nèi)空間較小，內(nèi)部的電路板需要在EMC干擾的情況下提供穩(wěn)定的性能，同時最好盡量減少功耗，提高效率及可靠性。在這樣的要求下，分立元器件所搭建的傳統(tǒng)方案很難實現(xiàn)，這對設(shè)計工作帶來不可避免地負(fù)面影響。

一種更快捷和方便的解決辦法是使用行業(yè)認(rèn)可的方案——一款雙通道數(shù)字輸入電流限制器（CLT03-2Q3），它在單個超緊湊封裝芯片中容納了兩個獨立的輸入通道（圖3）。除了數(shù)字輸入功能外，CLT03還提供了其他專門為功能安全所設(shè)計的有用功能，例如能夠無需額外供電即可作為輸入信號電流傳感器，或可在操作期間自行監(jiān)控其工作狀態(tài)是否正常的獨特診斷機制。這顆芯片內(nèi)部的每個通道都配備了一個測試脈沖（TP）發(fā)生器，當(dāng)連接的輸入信號處于高電平（24V）時，它可以在輸出信號路徑中疊加心跳脈沖。

在STEVAL-FSM01M1評估板上，可以使用一個小信號晶體管在操作期間主動控制此功能，如波形采集（圖4）所示。脈沖寬度（和頻率）可以根據(jù)測試脈沖電容（CTP ）在較寬范圍內(nèi)調(diào)整。使用這種機制，微控制器可以動態(tài)監(jiān)控輸入前端IC的是否工作正常。因此，這個獨特的功能提供了一個額外的選項來擴展系統(tǒng)安全性和診斷覆蓋范圍。圖片 4.png插圖4：使用CLT03-2Q3的主動測試脈沖控制

數(shù)字量輸出部分

過壓和反極性保護

在模塊的24V電源連接器附近，有一個雙向瞬態(tài)電壓抑制器（TVS1）與電源直接連接，與電容C1并聯(lián)，用于電源保護。實際上，連接瞬態(tài)電壓抑制器的PCB路徑長度必須盡可能短，以最小化寄生電感。否則，它可能在EMC過應(yīng)力期間引起電壓瞬變，使電路暴露于顯著高于其鉗位額定值的電壓。TVS1的尺寸應(yīng)該盡可能的小，其鉗位電壓應(yīng)不高于36V，同時其在吸收EMC浪涌電流時要通過較大能量。在參考板上這些要求是通過一個瞬態(tài)電壓抑制器（SMC30J36CA）得到滿足，其鉗位電壓36V，其峰值功率高達3000 W （10/1000 μs）、40 kW（符合IEC 61000-4-5的8/20 μs脈沖）。過電壓保護部分后面的電路設(shè)計用于防止電源電壓的反極性。在實踐中，這種錯誤可能由于接線錯誤而頻繁地發(fā)生，但負(fù)過電壓脈沖也是EMC典型測試的強制部分。反向電流阻斷電路基于一個被動偏置的60V P通道晶體管Q1（STL42P6LLF6）。

感性負(fù)載退磁電路

許多執(zhí)行器具有感性特性（例如電磁閥、閥門、繼電器等）。這意味著在其關(guān)斷時，負(fù)載的磁場能量會轉(zhuǎn)化為電能，被數(shù)字輸出的電路吸收。為此，IPS16xHF系列智能高邊開關(guān)內(nèi)部具有快速退磁電路，在輸出關(guān)斷時輸出針腳的電壓不會維持在0V，而會保持相對于VCC 一定的壓降。在使用IPS16xHF的情況下，這個壓降值為VDEMAG ≈ 70V（見圖6）

有時，當(dāng)需要優(yōu)化高感性負(fù)載的去磁能量時，方便的做法是通過連接在輸出和地之間的外部瞬態(tài)電壓抑制器（圖5中的TVS2）實現(xiàn)退磁。接地連接的原因是瞬態(tài)電壓抑制器在永久性擊穿之前可視為短路。這樣，在故障情況下保持系統(tǒng)鈍化的安全原則得以維持。外置輸出瞬態(tài)電壓抑制器的選擇應(yīng)設(shè)計為其性能可以完全替代高邊開關(guān)內(nèi)部集成的去磁性能：

VTVS,CL,max < |VCC,max – VDEMAG,min |

其中， VTVS,CL,max 是外部瞬態(tài)電壓抑制器的最大鉗位電壓，

VCC,max 是最大允許的供電電源電壓，

VDEMAG,min 是高邊開關(guān)的最小去磁電壓（在數(shù)據(jù)表中規(guī)定）。

在這里，我們需要進一步認(rèn)識到瞬態(tài)電壓抑制器的鉗位電壓隨溫度而浮動，并且必須選擇具有一定鉗位裕度的組件。在評估板上，去磁瞬態(tài)電壓抑制器（SM6T33CA）滿足這些要求。

診斷

持續(xù)監(jiān)控系統(tǒng)的正確操作是安全I/O的關(guān)鍵部分。該評估板上有幾種機制可用于此目的。首先，IPS具有自己的診斷功能，具體取決于其配置，在過載情況下向微控制器報警以顯示過流或芯片的過熱關(guān)斷。還有用于電源的電壓監(jiān)控和每個輸出通道上的輸出反饋。這部分電路通過保護二極管D3串聯(lián)的分壓器R6和R7的組合來實現(xiàn)，如圖5中所示。這用于保護后續(xù)的A/D轉(zhuǎn)換器（ADC120）免受負(fù)過電壓的影響，例如在EMC干擾或去磁期間。這些診斷電路實時監(jiān)控系統(tǒng)的完整性和操作條件。

過流及短路保護

智能高邊開關(guān)（IPS）的除了負(fù)責(zé)控制輸出外，其還提供多種保護功能，如防止過流和過熱保護。在發(fā)生輸出短路或任何其他導(dǎo)致過電流的過載情況下，IPS將其輸出電流限制在預(yù)定的水平ILIM （IPS161HF上的典型值為1.2 A，或IPS160HF上的典型值為3.3 A）。

在電流限制期間，功率開關(guān)以線性模式運行，這導(dǎo)致功率耗散增加。一旦IC內(nèi)部溫度達到約170oC，芯片內(nèi)部集成的熱關(guān)斷保護將被觸發(fā)，自動禁用輸出以進行部分冷卻，具有15oC的滯后。這種保護性熱關(guān)斷由IC的診斷引腳報警。電流形狀在圖7左側(cè)波形采集中顯示。

IPS160HF和IPS161HF 芯片提供了一種被稱為Cut-off的額外電流保護機制，允許在過載情況下最小化功率耗散（圖8）。在這種模式下，IPS周期性地激活輸出并保持一段預(yù)設(shè)時間，然后關(guān)閉以防止過熱。Cut-off持續(xù)時間由外部電容器決定（圖8CCOD）。這允許降低芯片的功耗及熱量，如我們在圖7中分別比較兩種操作模式下的電流波形（綠色）時清楚看到的那樣，左圖是未激活Cut-off功能，右圖是激活了Cut-off功能。這在具有多個通道和有限內(nèi)部功率預(yù)算的高密度輸出模塊中特別重要。需要注意的是，Cut-off激活后，可能無法驅(qū)動啟動電流較大的負(fù)載（例如，電容負(fù)載和燈），在此情況下，Cut-off功能可能在負(fù)載完全充電之前觸發(fā)保護?？紤]到這一點，應(yīng)該根據(jù)實際應(yīng)用條件來設(shè)置Cut-off保護時間或禁用Cut-off功能。

這種主動Cut-off控制功能在評估板（STEVAL-FSM01M1）上是可靈活設(shè)置的。圖9說明了所謂的“反應(yīng)性Cut-off”，其中默認(rèn)情況下禁用Cut-off功能，以便允許電容負(fù)載的平滑充電；但它也最終作為對長期過載或故障情況下的熱關(guān)斷事件發(fā)生后及時介入并提供保護。

總結(jié)

工業(yè)安全適用于所有類型的應(yīng)用和行業(yè)，包括自動化制造、運輸、智能建筑或海事和航空系統(tǒng)。確保人類、設(shè)備甚至我們的環(huán)境的安全符合適用的工業(yè)安全標(biāo)準(zhǔn)是至關(guān)重要的。

在意法半導(dǎo)體，我們在系統(tǒng)設(shè)計方面的長期工程專業(yè)知識和安全認(rèn)證過程的豐富經(jīng)驗使我們能夠為硬件設(shè)計人員提供不僅是最先進的集成電路，還有準(zhǔn)確的知識和技術(shù)支持。

在這篇白皮書中，我們討論了功能安全自動化的數(shù)字量I/O系統(tǒng)設(shè)計。在查看安全數(shù)字量I/O模塊的結(jié)構(gòu)后，我們通過使用安全雙通道數(shù)字I/O評估板（STEVAL-FSM01M1）的示例，探討了其電氣實現(xiàn)的特定設(shè)計方面。所采用器件的堅固性和可靠性能不僅通過我們實驗室的徹底驗證得到保證——它還通過全球無數(shù)工業(yè)系統(tǒng)的24/7不間斷運行每天得到證明，同時所采用的器件都是經(jīng)過嚴(yán)格測試并驗證的，可以提供可靠性報告，其可用于功能安全認(rèn)證所需的FMEDA計算。