3 實施移動機器人電機驅(qū)動器安全要求

了解系統(tǒng)的安全要求和架構(gòu)類別后，設(shè)計人員必須選擇其余器件并實施完整的電機驅(qū)動器，以確保滿足安全要求。

圖 3-1 電機驅(qū)動系統(tǒng)方框圖

如圖 3-1 所示，電機驅(qū)動系統(tǒng)通常由 MCU 組成，MCU 是一個可集成模擬前端、編碼器和電源的功率級。

在 IEC 61508 中，所需的安全失效分數(shù) (SFF) 取決于器件的類型（可以是 A 類或 B 類）。根據(jù) IEC 61508，A 類子系統(tǒng)具有明確定義的故障模式，其中確定了故障條件下的行為并且有足夠的故障數(shù)據(jù)來聲明故障率得以滿足。相反，B 類子系統(tǒng)是更復(fù)雜的子系統(tǒng)，其中故障模式?jīng)]有完全定義，故障條件無法完全確定，并且沒有足夠的數(shù)據(jù)來支持故障率得以滿足。IEC61508 標(biāo)準的第 7.4.4 節(jié)提供了這兩種類型的子系統(tǒng)的完整定義。

此外，IEC61508 標(biāo)準的 CNB-M-11.059 修訂版規(guī)定，診斷子系統(tǒng)只需達到這樣一個安全級別：低于達到最低安全級別所需的系統(tǒng) SIL 級別。盡管該修訂版是 IEC61508 標(biāo)準的一部分，但在分析診斷子系統(tǒng)時，將其與 ISO 13849-2 機械標(biāo)準一起使用更符合目前的趨勢。

因此，對于這種特定情況，由于需要 SIL 2 系統(tǒng)，因此診斷相關(guān)模塊必須至少滿足 SIL 1 且最低 SFF = 0%，才能滿足 SIL 2 系統(tǒng)要求。但是，安全和非診斷功能仍必須滿足 SIL 2 要求，且最低 SFF 為 60%。

通過了解哪些子系統(tǒng)是 A 類和 B 類，可以根據(jù)可用的安全文檔或診斷功能等特性輕松選擇器件本身。

由于 MCU 是 B 類器件且用于實現(xiàn)安全功能，因此 MCU 要求最低 SFF = 60%。這意味著，必須使用診斷功能對器件使用的每個子系統(tǒng)進行監(jiān)控，以達到所需的 60% 覆蓋率。

第一步，需要選擇需使用的器件功能以及每項功能所需的診斷覆蓋率。一旦定義，安全文檔就成為關(guān)鍵，旨在證明是否有足夠的診斷可用于每個預(yù)期功能或是否需要外部診斷器件。

TI 全新的 C2000? 實時控制器在設(shè)計時將功能安全考慮在內(nèi)。通過利用所提供的安全特性和文檔，可以簡化和加速安全評估。 C2000? 實時微控制器的工業(yè)功能安全產(chǎn)品概述中介紹了一些主要的 C2000? 安全特性和器件。

此外，對于不太復(fù)雜的器件，具有安全文檔也很重要。如前所述，考慮采用 A 類器件的條件之一是必須明確定義器件功能和故障模式。為此，TI 安全文檔結(jié)果有利于證明采用相應(yīng)器件類型的合理性，以及因此滿足所需的最低 SFF 要求。

TI 多通道 IC (PMIC) 器件十分有助于縮減電機控制模塊的總體 BOM 和尺寸，同時確保滿足安全要求。憑借內(nèi)置 LDO、監(jiān)控器、BIST、看門狗和直流/直流穩(wěn)壓器等集成功能，這些 IC 有助于簡化設(shè)計，同時提供監(jiān)控 MCU 和需要的電源軌所需的診斷功能。

根據(jù) ISO 13849 第 6.1 節(jié)，鑒于無法定期執(zhí)行安全功能，診斷和安全功能無法在同一個 IC 中，因而無法實現(xiàn)這一 60% 的診斷覆蓋率。ISO 13849 認為，IC 中的單一故障會導(dǎo)致該 IC 的功能完全喪失，對于類別 2，應(yīng)通過診斷功能來檢測這類功能喪失問題。因此，為確保這一功能喪失不會導(dǎo)致診斷功能喪失，不可能在同一 IC 內(nèi)使用電壓監(jiān)控和看門狗問答。在本例中，使用了外部電壓監(jiān)控器和 PMIC 器件的內(nèi)部問答 (Q&A) 看門狗。監(jiān)控器和復(fù)位 IC 電源管理文件夾詳細介紹了 TI 廣泛的支持功能安全的電壓監(jiān)控器產(chǎn)品系列。

圖 3-2 顯示了可用于實現(xiàn) SIL 2 的一些診斷功能的
高度簡化示例。

圖 3-2 包含安全特性的簡化電機驅(qū)動系統(tǒng)

一旦在系統(tǒng)級定義了安全功能，就需要進行塊級分析，以證明每個子系統(tǒng)都滿足所需的安全要求。

在這種情況下，安全子系統(tǒng)劃分為安全功能和診斷功能。診斷功能用于確保安全功能符合依據(jù)子系統(tǒng)類型定義的最低 SFF。表 3-1 總結(jié)了詳細信息。

通過正確定義和證明每個預(yù)期功能均可達到所需的最小診斷覆蓋率，這表明系統(tǒng)能夠達到所需的 PL 和 SIL 并可獲得安全認證。