KOKY045A October   2023  – March 2024 RM57L843

 

  1.   1
  2.   개요
  3.   한눈에 보기
  4.   기능 안전 준수 정의
  5.   기능 안전 시스템 설계의 두 가지 속성
  6.   기능적으로 안전한 모터 제어 및 구동 시스템을 설계하는 권장 접근 방식
  7.   TI가 기능적으로 안전한 시스템을 설계하는 데 도움을 주는 방법

기능 안전 시스템 설계의 두 가지 속성

기능 안전 표준은 모든 시스템이 고장날 것이며(발생 여부의 문제가 아닌 시기의 문제일 뿐) 절대적 안전성은 없다고 가정합니다.

기능 안전 시스템 설계의 두 가지 속성은 의도된 기능을 제공하는 시스템을 개발하는 것과 특정 SIL 또는 차량용 SIL(ASIL)과 같은 안전 기능을 충족하는 동일한 시스템을 개발하는 것입니다.

설계자는 종종 두 가지 측면에 개별적으로 또는 순차적으로 접근합니다. 설계 예산 요구 사항을 유지하면서 대용량 애플리케이션을 위한 기능적으로 안전한 시스템을 설계하는 것은 어렵습니다. 표 1에서는 제어 및 구동 애플리케이션의 의도된 기능 및 안전 기능의 예를 설명합니다.

이 개념에 대해 더 잘 설명하려면 표 1의 엘리베이터 모터 예시를 살펴보십시오.

엘리베이터의 의도된 기능은 사용자 입력에 따라 사람을 위아래로 이동시키는 것입니다. 5층으로 가기 위해 버튼을 누르면 엘리베이터가 5층으로 이동합니다.

엘리베이터의 안전 기능은 한 단계 더 나아가 다음을 포함할 수 있습니다.

  • 한 층에서 다른 층으로 부드럽게 이동합니다.
  • 각 층의 층계참과 수평으로 정지합니다.
  • 엘리베이터가 안전 속도를 초과할 경우 자동으로 브레이크를 작동합니다.
표 1 제어 및 구동 애플리케이션의 의도된 안전 기능의 예입니다.
기능 안전 애플리케이션 의도된 기능의 예 안전 기능의 예(및 해당 SIL 또는 ASIL 대상)
산업용: 엘리베이터 모터 사용자 요청에 따라 엘리베이터를 위아래로 이동
  • 엘리베이터를 안전하게 시작 또는 정지(저크 방지)(SIL 2)
  • 엘리베이터가 너무 빨리 주행하는 경우 자동 브레이크 적용(SIL 3)
차량용: 전기차(EV) 트랙션 모터 액셀 또는 브레이크를 통해 운전자의 명령에 따라 EV를 앞뒤로 이동
  • 가속 시 불충분하거나 과도한 토크 방지(ASIL C)
  • 너무 강한 제동 방지(후방 추돌 방지)(ASIL D)
산업용: 스틸 프레스 공장 생산성 저하 없이 스틸 프레스를 작동하는 서보 드라이브 시스템 제어
  • 과토크 또는 과속도가 발생할 경우 STO(Safe-Torque-Off)에서 드라이브 컨트롤러의 전원 차단(SIL 3)
  • 작업자가 가까이 있는 경우 SLS(Safe-Limited-Speed)에서 모터 속도를 허용 범위 내로 유지(SIL 2)
  • SLS가 범위 검사를 초과하는 경우 STO를 트리거(SIL-3과 같이 더 높은 SIL을 유도하는 생산성과 안전성 간의 균형을 맞추기 위해)

의도된 기능과 안전 기능이 함께 작동하는 방식을 더 잘 이해하기 위해, 20층으로 된 건물의 엘리베이터에 누름 버튼 회로(그림 1 참조)가 있으며 이 회로에는 엘리베이터 모터 컨트롤러가 엘리베이터를 25층 또는 30층(즉, 건물에 존재하지 않는 층)으로 보내는 것으로 해석하는 오류가 있다고 가정하겠습니다. 범위 검사는 오류가 발생하거나 결국 고장이 나기 전에 결함을 포착합니다. 이는 기능적 안전에서 허용되는 진행 과정입니다. '결함'은 '오류'로 이어지지만, 일부 오류는 '고장'으로 이어질 수 있습니다.

GUID-20231002-SS0I-VSB2-SB3Z-XQTDFBSSGRGN-low.svg 그림 1 현대식 엘리베이터 누름 버튼의 예.

의도된 기능 설계 및 안전 기능 설계를 위한 프로세스를 살펴보겠습니다.

모터 드라이브의 의도된 기능 설계 프로세스에서 시스템 엔지니어는 의도된 기능의 요구 사항을 충족하는 마이크로컨트롤러(MCU)를 선택합니다. 그런 다음 통합 ADC(아날로그-디지털 컨버터) 채널과 같은 감지 기능을 할당하여 로터 위치, 라인 전류, 위상 전압 및 시스템 온도를 모니터링합니다. 그런 다음 시스템 엔지니어는 CPU의 MIPS(초당 수백만 건의 명령어)와 같은 MCU의 사용 가능한 처리 기능을 계속 사용하여 모터 제어 알고리즘을 실행하고 PWM(펄스 폭 모듈레이터)과 같은 사용 가능한 작동 주변 장치를 구동하여 모터 드라이버 회로를 구동합니다. 이 프로세스에는 일반적으로 몇 달이 소요되며, PCB(인쇄 회로 기판) 설계, 모터 제어 알고리즘 개발, 모든 임베디드 소프트웨어를 개발하고 디버깅하는 과정도 포함됩니다.

별도의 다소 사일로화된 팀에서 안전 기능 설계 프로세스를 처리하는 조직의 경우 별도의 기능 안전 전문가가 함께 와서 시스템 엔지니어가 원래 선택한 MCU의 기능 안전 매뉴얼을 검토합니다. 경우에 따라 기능 안전 전문가가 SEooC(컨텍스트와 무관한 안전 요소) 안전 개념에 오류 테스트, 하드웨어 중복성, DAC(디지털-아날로그 컨버터)-ADC 루프백 검사 또는 향상된 캡처를 통한 향상된 PWM 모니터링을 비롯한 기능의 SW 테스트 사용이 필요하다는 사실을 발견할 수 있습니다. 이전의 엘리베이터 예를 떠올려 보면 MCU의 ADC에서 '고착' 결함으로부터 보호하기 위해 여러 ADC 채널을 사용하여 각 층의 레벨 센서를 모니터링해야 할 수도 있습니다.

ADC 및 PWM 채널이 충분하지 않거나 CPU MIPS가 충분하지 않아서 기능 안전을 달성하지 못하는 경우 기능적으로 안전한 시스템을 구현하기 위해 처음으로 돌아가서 다른 MCU를 선택해야 할 수도 있습니다. 이 경우 별도의 시스템 설계 팀이 지금까지 완료한 작업을 취소할 수 있습니다.

설계 단계가 순차적으로 발생하지 않더라도 별도의 조직 사일로에서 자주 발생합니다. 즉, 시스템 엔지니어는 일반적으로 기능 안전 전문 지식이 없으며 기능 안전 전문가는 시스템 엔지니어가 아닙니다. 이러한 사일로화된 접근 방식은 궁극적으로 시스템 비용 증가 및 수개월의 출시 지연 등 동일한 문제를 초래합니다.