電壓監控如何影響功能安全額定值

進行目標 SIL 或 PL 設計時，請務必考量硬體容錯或安全故障分數，此分數意指設計的備援，以及您在系統中實作電壓監控的方式。採用兩種最常見的標準，定義幾種不同的方式來建立或提升您的功能安全等級。電壓監控是做出此判斷或提升功能安全的重要部分。參閱 圖 1 和 圖 2，其說明使用電壓監控器且支援 SIL 2 的設計。

在 圖 2 中，電壓監控器用作一個單通道，可監控過電壓和欠電壓 (若有需要)。電壓監控器的輸出可中斷超出安全操作範圍的電源供應器，或通知 MCU 發生故障情況。圖 2 和 圖 1 中的電路硬體容錯為 0，可提供安全故障分數或高達 90% 的診斷範圍。因此，圖 1 可提供最高 SIL 2 或 PL d 額定值。

使用此相同邏輯，提升電路配置的硬體容錯度將可增進功能安全等級。圖 3 顯示使用電壓監控時如何提升電路配置硬體容錯的範例。

使用兩個並聯電壓監控器，可提供雙通道監控過電壓或欠電壓情況。由於這些電壓監控器會各自連結將電軌與系統其他部分斷開的專屬方法，因此如果一個電壓監控器發生故障，則在供應電壓移出規格時，另一個仍可正確安全地採取規定步驟，讓您的設計能達到高達 SIL 3 的額定值。

另一種提高電路配置功能安全的方法 (如 圖 3 中所示)，是使用電壓監控器實作方法的多樣性。請考量電壓監控裝置間 IEC61508 標準中所述常見故障原因的實例。若使用兩種不同的電壓監控技術監控相同的供應軌，將可降低發生共模故障的機率。

例如，選擇兩個電壓閾值不同的電壓監控器可增加多樣性。例如，在 圖 3 所示的電路配置中，將 TI 的 TPS3762 用於其中一個電壓監控器功能區塊，而將 TI 的 TPS37 用於另一個功能區塊，也會提供額外的功能多樣性。這是因為這兩種裝置具有兩種不同的設計。

此時您可能會有的一個疑問，在於如果電壓監控方法失敗，或是組成電壓監控電路的元件停止正常運作，則應該怎麼辦。這又是電壓監控器 IC 格外實用的另一種情況。部分電壓監控器 IC 包含 BIST 功能。這些監控器屬於窗型電壓監控器，也具有輸入接腳，使用者可在此要求裝置測試其本身的功能。電壓監控器將根據要求執行內部測試，並提供訊號以表明其仍如預期運作。

圖 4 說明了此實作方式。

提供電壓監控方法本身的診斷範圍 (在此情況下由具備 BIST 功能的電壓監控器 IC 完成)，可將系統的診斷範圍增加至高達 99%，此為非常高的涵蓋範圍。在具適當硬體容錯的電路中實作此高診斷範圍時，可讓您的系統達到 SIL 3 或 PL e 級的功能安全。具有此類整合功能的裝置範例就是 TI 的 TPS3762。

使用電壓監控裝置的另一個優點是可監控高電壓。例如，TPS3762 可監控高達 65V，因此可讓其與具廣泛輸入電壓範圍的類似裝置直接連接電軌，並提供監控和其他診斷功能。舉例來說，部分設計需要超低電壓 (ELV)，而超低電壓是標準 IEC 60449-1 中定義的電壓範圍。ELV 定義現已重複使用，以定義 IEC 62368 標準中的 SELV 定義，其中部分電力能源等級不允許電源供應器輸出的電壓高於特定電壓。例如，電力能源等級 ES1 不允許電源供應器輸出超過 60V。

考慮這點，針對安全超低電壓電源供應器，將安全最大電壓位準設為 60V_DC 最大值，安全電源供應器只能在極短的時間內超過此值，否則將無法符合安全超低電壓標準。60V_DC 是安全標準中極常見的最大電壓，其中包括安全超低電壓和防護超低電壓。因此，TPS3762 等寬輸入電壓裝置具備可監控 65V 的最大輸入電壓。