24小時聯系電話:18217114652、13661815404
中文
技術專題
設計高完整性系統
不久之后,第一批電氣設備就被認為是在可能會導致災難性后果的情況下使用它們的。這可能會給用戶帶來致命的電擊,或者無法在超速行駛的車輛上踩剎車;電氣設備無處不在,幾乎用于所有可能的目的。現在,通常將醫療設備嵌入患者體內以調節他們的心跳。機動車輛現在具有電控轉向,制動和加速功能。如果沒有計算機控制,某些現代飛機將無法飛行。如果控制它們的電氣設備發生故障,那么所有這些示例都有一個共同點,那就是可能會發生事故,從而導致生命損失。高完整性系統還有其他一些例子,其中失敗的后果更加微妙。家用供暖系統可能會使您在冬天的深處感到寒冷。電信設備可能會使您的基于Internet的業務與整個世界斷開連接。如果發生災難性的錯誤,管理全球資金流的財務計劃可能會錯位客戶的終身儲蓄,甚至可能使整個國家破產。
設計過程
高完整性系統的設計過程遵循一系列步驟。第一步是查找由設備引起的所有可信危害,并將其消除。例如,假設計劃是將該設備連接到市電并包括一個電源模塊,以生成組件所需的低電壓。但是,存在可信的危險,即設備可能會被弄濕并觸電。一種解決方案是將設備封閉在防水外殼中,以保持高壓和水的隔離。另一種選擇是將主電源替換為使用位于主電源插座上的電源適配器產生的低壓電源。電擊危險現在已消除了由于設備受潮而導致的故障。如果設備被淋濕,它還會帶來其他影響,但它們超出了該假設示例的范圍。
第二步是采取無法消除的危害,并將其發生的可能性降低到可接受的水平。例如,您的設備可能包括一個互鎖裝置,以防止操作員在打開檢修門時打開檢修門。這可能是為了阻止操作員暴露在危險電壓下,或者可能是設備內有激光器在運行,其功率足以造成眼睛傷害。繼電器將處于故障模式,在該模式下,設備已打開,但繼電器發生了故障,檢修門已解鎖。這種故障模式將有發生的可能性,例如,每萬年一次。聽起來這將永遠不會發生,但是機會并不是那么簡單。通常對于安全性至關重要的應用,導致生命損失或嚴重傷害的危害應在幾百萬年左右的范圍內,具體取決于適用的法規和規章。在這里,我們需要提高安全聯鎖的可靠性,以使危險可以接受。將需要進行設計更改,包括對互鎖機制進行冗余或添加第二個獨立的互鎖。作為最后的手段,可以添加手動步驟以確保設備打開時永遠不會打開檢修門。人類是設計上不可靠的生物,因此技術解決方案應始終是第一,第二甚至第三道防線。包括將冗余添加到聯鎖機制中或添加第二個獨立聯鎖。作為最后的手段,可以添加手動步驟以確保設備打開時永遠不會打開檢修門。人類是設計上不可靠的生物,因此技術解決方案應始終是第一,第二甚至第三道防線。包括將冗余添加到聯鎖機制中或添加第二個獨立聯鎖。作為最后的手段,可以添加手動步驟以確保設備打開時永遠不會打開檢修門。人類是設計上不可靠的生物,因此技術解決方案應始終是第一,第二甚至第三道防線。
最后一步是添加控制機制以限制任何故障的影響,從而使設備具有容錯能力。隔離技術可以防止一個組件塊發生故障,從而在連接的組件塊中引起連鎖故障。例如,如果電源模塊出現故障,則如果電源模塊的故障導致電源輸出電壓急劇上升,則不應導致該模塊上的所有組件發生故障。從高完整性的觀點來看,這種在電源下游的故障的級聯不僅是不希望的,而且還可能使任何維修在經濟上都不可行。
處理失敗
一種常見的方法是假設您的設備在某個時候會發生故障,并實施控制措施以最安全的方式管理該故障。
故障安全還是故障安全?
一種選擇是故障安全系統。如果發生任何錯誤,設備將立即進入安全狀態。它發出操作員警報以采取糾正措施,例如,向患者輸送一定劑量藥物的醫療設備。安全的選擇是停止提供藥物,并警告護士更換設備或手動管理藥物。您想要的最后一件事是該設備錯誤地輸送了過多或過少的藥物,并且沒有人注意到它為時已晚—同一脈絡上的另一種變化,即防盜系統。以自動取款機為例;銀行希望得到的最后一件事是由于故障導致機器發行免費貨幣的故障。更好的選擇是防止任何現金離開設備,如果有任何用戶未能取款,
有時,故障安全和故障安全之間的區別可能會變得模糊,甚至相互排斥。以設施的電控檢修門為例。發生故障時,可以將門鎖上或開鎖。如果門后有任何有價值的東西,則鎖定是故障安全選項,但是如果門在發生火災時提供逃生手段,則解鎖是故障安全選項。盡管我們希望故障安全狀態始終能勝過故障安全狀態,但現在這已成為較關鍵狀態之間的折衷方案。更現實地講,這種情況應促使設計人員重新考慮使故障安全和故障安全條件保持一致的設計。
失敗軟
故障安全和故障安全的替代方法是故障軟原理。在這種情況下,如果發生故障,該設備將以有限的容量繼續運行,以提供不受任何缺陷影響的最低級別的功能。一個很好的例子是現代汽車的li行功能。如果發動機控制器或其許多傳感器中的任何一個發生故障,而不是僅僅停止發動機,它就會進入以降低的功率設置運行的狀態,這意味著汽車可以帶您回家或到達最近的車庫。
最復雜的選擇是設計一個故障操作系統,在該系統中設備的故障不會停止或減少整個系統的操作。以電梯為例。發生故障時,您不希望電梯僅停下來,因為任何乘員都需要被拉走。如果它停在樓層之間,并且乘員是手推車上的住院病人,正好在從手術室返回的途中,這是一個棘手的提議。設計一種系統,使電梯能夠到達可以打開門的安全位置,并且乘員通常可以離開首選位置。
失敗原因
故障可能是由設備內部或外部的多種原因引起的。
組件故障
就組件故障的發生可能性和組件故障的方式而言,它們很容易理解。舉一個簡單的例子,分立電阻器很可能會開路故障,并且在較小程度上可能會導致短路故障或超出容差范圍。盡管設計人員需要考慮設備運行的環境,但制造商可以提供平均故障時間數據。極端溫度,暴露于濕氣,振動和沖擊的影響將影響組件的可靠性和可能的故障模式。例如,在高振動環境中,由于PCB走線,焊點或組件腳的斷裂而引起的開路故障很常見。相反,在高濕度環境中,
但是,組件越復雜,該任務就越困難。穩壓器的故障模式可能更加微妙,難以計劃。它們不僅無法提供正確的電壓。在穩壓輸出上的更細微的影響(例如噪聲或紋波)可能更難追蹤,并且它們的影響將在電路中更遠的其他組件上看到。結果很可能是連接的組件過早發生故障。替換該故障組件而沒有意識到這是后果,而不是設備故障的原因,僅意味著當替換組件掉落時,設備將再次發生故障。
最大的挑戰是擁有最復雜的組件。諸如MCU之類的處理設備可能會以幾乎無數種不同的方式發生故障。并且在制造或組裝過程中可能會引起故障直到出現一組精確的條件時才可能實現,直到設備成功運行數月(甚至數年)后,這種情況才可能發生。閑置的引腳被疏忽地連接的情況并不少見,如果引腳恰巧以與良性狀態匹配的電壓浮動,則不會被發現。但是,它所需要的只是該引腳上的電位差由于外部因素而隨著時間的推移而懸停在相反的狀態,并且突然地,處理器可能會執行一些不必要的操作。如果銷釘在工作臺上并正在被調查時浮回良性狀態,則調試此類故障可能會是一項艱巨的任務。
靜電放電
另一個常見問題是設備暴露于靜電放電(ESD)中當操作設備時或在可能產生高靜態電壓的環境中。在純模擬設備中,ESD的影響往往是短暫的,除非存在的電壓足以損壞組件,否則不會產生持久的影響。但是,如果設備包含數字組件(例如MCU),則效果會更加顯著。盡管數字電路的影響可能會發生很大變化,但仍可能會造成永久性損壞。最壞的情況是設備出現故障。設備的一小部分很可能會損壞,并且只有在使用該部分時才能看到影響。假設這發生在高度完整性的系統中。在這種情況下,您可能會爭辯說,部分數字組件的有限故障可能比完全組件故障更麻煩,因為影響可能更加微妙且難以抵消。在這里,需要設計者的經驗和對電路的仔細分析,以識別可能性并確定控制后果的方法。
電磁干擾
與ESD問題類似的是外部EMI的影響。此處的區別在于外部環境不在設計者的控制范圍之內。他們所能做的就是計劃最壞的EM級別,并包括保護電路以增強對外部EM源的抵抗力。防止EMI的常規技術包括線路濾波,屏蔽外殼和電纜以及精心的布局設計。EMI的常見入口點是通過外部電源連接,尤其是主電源。注意將EMI保護作為設備電源電路的一部分,可以降低設備的整體敏感性。
設計人員參與的關鍵點包括以下內容:
EMI保護需要被視為電路設計過程的一部分,而不是事后才考慮的。任何螺栓連接式保護都無法像完全集成式保護一樣有效。
所有保護電路應盡可能靠近EMI進入電路的位置添加。理想情況下,應在設備外殼的每個連接點處進行保護,并將EMI保持在盒子外面。EMI應直接重定向到機箱的接地連接,并遠離設備內部的任何接地路徑。
設備中任何對EMI敏感的組件都應與可能暴露于EMI的那些組件在物理上和電氣上盡可能地隔離。可以通過屏蔽被屏蔽設備中的敏感組件來提供深度防御。光隔離器也是防止EMI通過外部連接進入內部受保護的圣殿的一種好方法。較便宜的選擇是使用與輸入串聯的二極管/抑制器網絡。與低值電阻串聯的去耦二極管與抑制二極管一起工作可防止大電壓,并提供一定程度的噪聲防護。
設計電路時,請同時考慮共模和差模EMI效應。信號線上的低通濾波器將衰減信號線與地面之間的差模噪聲;它對信號線和地線上的共模噪聲都無濟于事。特別是在數字電路中,信號線和地之間的電容器會增加共模噪聲電平。提供干凈的地面可以解決問題,或者使用共模扼流圈也可以幫助解決問題。