设计出 100% 安全可靠的电路是不可能的,但您可以采取多种措施来大幅降低系统故障的可能性,从而降低对机器和/或用户的潜在伤害。
常见的保护方法包括用于减少电磁干扰的铁氧体、ESD 二极管、瞬态抑制器、用于高功率负载的互锁过程,当然还有用于在故障条件下限制电流的保险丝。安全可以极大地增加这些保护措施的重要性,同时还需要其他保护措施。本文将深入探讨电子设计的各种常见保护和安全措施,以及这些措施的驱动因素。事实证明,保护不仅有助于提高产品的整体可靠性和安全性,而且可能是认证和基于应用的产品分销所必需的。
找到正确的平衡
让我们从一个非常基本的问题开始:您如何在保护电路和成本效益之间找到平衡?对于一个不需要特定安全措施的产品,设计师如何知道何时应该增加保护层?答案可能很复杂,但通常应由产品用户/设计要求的最终结果来驱动,简单地说,就是由设计师和相关团队的最佳判断来决定。
在电路中加入保护措施时,通常需要权衡成本和收益,通常可以通过估计相对风险来管理。保险丝可能很贵,但通常是应对环境变量或基于负载的组件可能导致的电流浪涌的第一道防线。这里的好处是保护保险丝下游的一切,这当然非常重要。但是其他更小的保护形式呢?铁氧体怎么样?常见的情况是,在板外传输的敏感信号上集成小型铁氧体,以帮助减轻 EMI 和高频噪声,或者用于稳压器或处理元件的输入,以帮助清洁电压轨。如果风险足够高,他们提供的“保险”政策可能值得支付额外的费用。这里的风险可以认为是故障的严重程度和故障发生的预期概率的组合。
如何以及何时解决安全问题
考虑到安全性时,一切都变得更加简单明了。成本的优先级通常会降低,而可靠性和冗余成为主要目标(在认证和产品测试过程中可能需要)。对于在某些故障模式下可能对人造成任何伤害(无论是直接还是间接)的产品,必须进行风险评估,以涵盖尽可能多的合理场景。
例如,在医疗保健行业,这是医疗设备所必需的,并且变得更加复杂,需要一个涵盖每个合理危险的表格(如图 1 所示),包含对其事件/情况的描述,可能造成的伤害,以及其概率/严重性评级。然后由指定的人(或小组)对每种危险进行评估,通过引入旨在解决每种危险(被认为不可接受的危险)的附加设计要求而使危险变得“受控”,并完成重新评级和验收。虽然对于其他应用(如航空航天)来说,对话可能有点不同,但核心原则在许多行业都是相同的。对每种风险进行严重性和概率评级,然后通过行动计划进行控制,这是识别电子(或任何类型)设计中需要安全和保护的领域的关键。
图 1:医疗器械风险管理的危害可追溯性矩阵
但是如何量化和评定这些概率和严重性呢?通常情况下,这是通过一个非常详细的表格来实现的,该表格解释了每个数字值之间具体应用的差异。图 2 展示了一些频率和严重性定义的示例,为团队评定危险或事件提供指导。等级范围/值将根据应用和所需的解决办法而变化。
图 2:严重性等级定义(上)和概率等级定义(下)表
最后,通常会有一个表格将两者结合起来,并可以用颜色进行编码(如图 3 所示),以便于直观地了解潜在危险是否需要通过设计规范和变更来解决。通常,中(黄色)和高(红色)需要采取某种形式的行动。因此产生了安全电路需求。
图 3:风险矩阵计算表
到目前为止,所描述的一切在可能拥有关键操作功能的产品或系统的行业中都很常见;但是,并非所有应用都需要。很多时候,简单地根据使用情况和潜在的损害或伤害使用最佳判断即可。
大多数电气产品需要在技术生产、分销和销售之前获得某种合规认证。认证流程不仅包括电气合规性,还包括安全合规性。这是一个灰色地带,有时,产品通过安全合规性需要什么并不明确。监管机构通常会在整个过程中提供一些支持,最好在设计阶段就让他们参与进来。
真实示例
以下是利用激光进行成像的应用示例。激光对人眼非常有害,即使是杂散光(从另一个表面进行反射)也足以造成伤害甚至失明。虽然使用特殊的护目镜会有所帮助,但通常要求机器具有一些额外的电子保护,以防止误操作和意外的杂散光。联锁门和可移动面板的电路直接连接到激光电源(或管理激光电源的联锁/继电器)通常是最佳选择,但即使这些措施也需要冗余。该术语的正式名称是“故障保护”。如果安全电路失效(即,任何内部开关),则需要在安全条件下失效,以便不伤害用户或设备,并且这可能导致需要备份、冗余电路。
图 4 展示了一个联锁图,其中包括一个传输经过机器上的几个门/盖的信号(有足够的功率供继电器中的线圈使用),以及一个增加了手动步骤来接通和断开激光电源(可选)的钥匙锁。电路需要冗余,因此每个接入点需要双磁簧开关,每个其他组件也需要双开关。如果组件内部的一个内部开关在“闭合状态”下失效,它仍然被认为是安全的,因为另一个内部开关(与第一个开关连线)很可能是断开的,这仍然会切断激光模块的电源。
图 4:描述激光安全电路的电路图示例
另一个例子是用于人体皮肤的加热医疗设备。在这种应用中,如果发生失控或错误校准故障,加热器有可能灼伤皮肤。虽然不会危及生命,但考虑造成的潜在后果,仍然需要采用一些故障安全/冗余功能。
图 5 是这方面的一个例子。即使在这个非常简单的控制电路中,也有几个潜在的故障点。该系统不仅包含一个用于温度检测的次级热敏电阻(在一个热敏电阻损坏的情况下),而且在 MOSFET 闭合失败或处理器内部 ADC 损坏或校准错误的情况下,需要多个控制点。在这种配置中,有一个非常简单的小型次级处理器,用于温度监测和加热器功率控制,并且独立于主处理器运行。
图 5:显示加热元件冗余的电路图示例
图 6 显示了各种保护电路,可以使设备更加安全可靠。“A”显示了一个风扇控制电路,该电路在出现故障时会发出指示,同时还有带保险丝的电源轨和用于抑制 EMI 的额外铁氧体。“B”包括一个用于伺服电机的带保险丝的电源轨,以及一个电流监控装置,以便处理器可以验证运动/电源情况。“C”是一个用于充电的 USB 连接器示例,为其 VBUS 轨(ESD 和保险丝)提供额外保护。“D”是用于 3.7 V 电池连接器的简单反向电压保护电路。
图 6:各种保护电路
结论
应始终考虑使用保护和安全电路,但实际上,根据具体应用,这可能是必需的。对于更严重的情况,努力明确合理的、潜在的危险并指定数字评级是成功的一半。另一半则需要一个具有一系列详细要求的行动计划,以及一些良好的老式设计技巧和“最佳实践”。对于所有情况和应用,考虑电路故障如何导致有害或破坏性后果。
