了解了初始安全要求以及要實(shí)施的架構(gòu)后，就需要進(jìn)行器件選擇。作為一個(gè)常見的起點(diǎn)，MCU 或處理器的選擇優(yōu)先于其他器件，而安全特性或處理能力等方面是選擇過程中的關(guān)鍵結(jié)果。

在安全標(biāo)準(zhǔn)中，ISO 13849-1 描述不同的時(shí)序要求，以確保系統(tǒng)能夠檢測(cè)到故障并在規(guī)定的過程安全時(shí)間內(nèi)達(dá)到安全狀態(tài)。圖 2-3 顯示了用于定義時(shí)間間隔的典型命名規(guī)則。

圖 2-3 與功能安全相關(guān)的時(shí)序注意事項(xiàng)

診斷時(shí)間間隔包括可用于執(zhí)行診斷功能和處理從這些功能接收到的輸入的時(shí)間量。在給定定義的診斷時(shí)間間隔時(shí)，診斷覆蓋率越高，則意味著需要功能越強(qiáng)大的處理器。

由于危害的不可預(yù)測(cè)性，在 AMR 中，診斷需要持續(xù)運(yùn)行。通過持續(xù)運(yùn)行，可瞬時(shí)檢測(cè)到故障，并可在所需的過程安全時(shí)間內(nèi)使器件進(jìn)入安全狀態(tài)。

此外，ISO 3691-4 還通過根據(jù)與物體的距離定義 AMR 的最大速度，進(jìn)一步限制了此測(cè)試時(shí)間間隔。通過考慮最壞的情況，設(shè)計(jì)人員必須計(jì)算規(guī)避風(fēng)險(xiǎn)所需的過程安全時(shí)間，并確保在物體碰撞之前達(dá)到安全狀態(tài)。

根據(jù) ISO 3691-4 表 A.1 中規(guī)定的最大速度以及與物體的距離，估計(jì)安全過程時(shí)間需要小于 415ms。在此時(shí)序內(nèi)，必須完成 MCU 的診斷功能，如果檢測(cè)到故障，則必須達(dá)到安全狀態(tài)。為了留出足夠的反應(yīng)時(shí)間，診斷時(shí)間間隔必須小于整個(gè)過程安全時(shí)間的 10%。這意味著，在系統(tǒng)功能運(yùn)行期間，允許進(jìn)行完整診斷掃描的最長(zhǎng)時(shí)間為 41.5ms。

由于這些時(shí)序限制和 2 類架構(gòu)選擇，務(wù)必?fù)碛泄δ軓?qiáng)大的實(shí)時(shí) MCU 以及集成的安全機(jī)制，此類機(jī)制可以同時(shí)滿足電機(jī)控制和安全要求。TI C2000 實(shí)時(shí)控制器和 PMIC 器件是確保同時(shí)滿足過程安全時(shí)間和診斷覆蓋率的理想之選，可實(shí)現(xiàn) PLd。