電壓監(jiān)控如何影響功能安全等級

在設(shè)計滿足目標 SIL 或 PL 時，需要重點考慮硬件容錯或安全失效分數(shù)。這些參數(shù)反映了設(shè)計的冗余程度以及系統(tǒng)中電壓監(jiān)控功能的實現(xiàn)方式。這兩種最常見的標準提供了多種方法來確定或提升功能安全等級，而電壓監(jiān)控在此過程中起到了關(guān)鍵作用。請參見圖 1 和圖 2，了解如何利用電壓監(jiān)控實現(xiàn)具有 SIL 2 功能的設(shè)計。

在圖 2 中，電壓監(jiān)控器用作一個通道，可以監(jiān)控過壓和欠壓（如果該功能也是設(shè)計目標）。電壓監(jiān)控器的輸出可以在電源工作超出安全范圍時斷開電源，或者向 MCU 發(fā)送故障通知信號。在 圖 1 和 圖 2 中，電路的硬件故障容錯為 0，但可以提供高達 90% 的安全失效分數(shù)或診斷覆蓋率。因此，圖 1能夠滿足 SIL 2 或 PL d 等級的安全要求。

基于相同的邏輯，增加電路配置的硬件容錯能力可以進一步提高功能安全的等級。圖 3 展示了如何在電路配置中結(jié)合電壓監(jiān)控來增加硬件故障容錯，從而提升功能安全性。

并聯(lián)使用兩個電壓監(jiān)控器可提供兩個通道來監(jiān)控過壓或欠壓情況。由于每個電壓監(jiān)控器都連接到各自獨立的電源斷開機制，即使一個電壓監(jiān)控器發(fā)生故障，另一個仍可在電源電壓超出規(guī)格時采取正確且安全的措施，從而使設(shè)計達到 SIL 3 等級的要求。

另一種提升電路配置功能安全性的方法是通過采用不同的電壓監(jiān)控器實現(xiàn)技術(shù)，以實現(xiàn)多樣性設(shè)計，如圖 3 所示。例如，IEC 61508 標準中提到的常見原因故障可能影響使用相同技術(shù)的電壓監(jiān)控器設(shè)備。如果在同一電源軌上使用兩種不同技術(shù)的電壓監(jiān)控器，可顯著降低發(fā)生共模故障的概率。

例如，選擇具有不同電壓閾值的兩種電壓監(jiān)控器，可以增加系統(tǒng)的多樣性。再例如，在某些電路配置中，如圖 3 所示，可使用 TI 的 TPS3762 作為一個電壓監(jiān)控功能模塊，同時使用 TI 的 TPS37 作為另一個監(jiān)控模塊。這兩款設(shè)備采用不同的設(shè)計。

在此過程中，可能會產(chǎn)生一個問題：如果電壓監(jiān)控方法失效，或者電壓監(jiān)控電路的組成元件失效，該怎么辦？這正是電壓監(jiān)控 IC 顯示其獨特價值的場景之一。某些電壓監(jiān)控 IC 內(nèi)置 BIST 功能。這些監(jiān)控器是窗口電壓監(jiān)控器，且?guī)в幸粋€輸入引腳，用戶可通過該引腳請求設(shè)備對其自身功能進行測試。收到請求后，電壓監(jiān)控器會執(zhí)行內(nèi)部測試，并提供一個信號，確認其仍然正常運行。

圖 4 展示了此類實現(xiàn)方案。

通過采用具有內(nèi)置 BIST 功能的電壓監(jiān)控 IC，可以對電壓監(jiān)控方法本身提供診斷覆蓋率。使用這種方法，系統(tǒng)的診斷覆蓋率可以提升至高達 99%，這是一個非常高的覆蓋水平。如此高的診斷覆蓋率，配合適當?shù)挠布收先蒎e設(shè)計，可以使系統(tǒng)達到 SIL 3 或 PL e 等級的功能安全要求。TI 的 TPS3762 就是一款集成了此類功能的器件。

此外，使用電壓監(jiān)控器的另一個優(yōu)勢是可以監(jiān)控高電壓。例如，TPS3762 可以監(jiān)控高達 65V 的電壓。此類具有寬輸入電壓范圍的器件可以直接連接到電源軌，同時提供監(jiān)控和其他診斷功能。某些設(shè)計需要超低電壓 (ELV)，這是一種在 IEC 60449-1 標準中定義的電壓范圍。ELV 的定義也被重用于 IEC 62368 標準中的 SELV 定義，該標準要求某些電能源等級在電源輸出端的電壓不得超過特定限制。例如，ES1 級不允許電源輸出端電壓超過 60V。

考慮到這一點，在安全超低電壓電源中，60V_DC 被設(shè)定為安全的最大電壓水平，且安全電源僅允許在短時間內(nèi)超過該值，否則將不符合安全超低電壓標準。60V_DC 是許多安全標準中一個常見的最大電壓限制，包括安全超低電壓和保護性超低電壓。因此，像 TPS3762 這樣具有寬輸入電壓范圍的器件，其最高可監(jiān)控電壓為 65V。