浪涌抑制器IC简化了危险环境中电子设备的本质安全势垒设计

转 http://www.eefocus.com/article/10-08/2052331282212833.html?sort=1929_1931_1933_0

作者：凌力尔特公司  混合信号产品  产品市场经理  Alison Steer

Hach公司  电子工程师  Murphy Pickard

引言
随着电子仪器应用的激增，越来越多的应用要求设备足够安全，以在危险环境中运行。化工厂、提炼厂、油/气井、煤炭和纺织作业区都是采用电子仪表的潜在爆炸环境实例。为了在这类环境中安全运行，仪器必须是防爆炸的。

向这些市场供应仪器的公司必须将保护功能集成到设计中。考虑可获得的安全措施并以最低成本和对正常电路运行影响最小的方式实施这些措施，这成为了电子设计师的责任。从设计角度来看，这是一个令人望而却步的任务，此外，为了满足全球或国内市场需求而必须符合的危险环境标准数量之多，使这个任务甚至更难以完成。尽管各种不同的标准正在缓慢地趋于一致，但是在有些情况下，它们仍然自己或相互矛盾。

本文探讨安全标准的根本要求以及满足这些要求的方法。尤其是，凌力尔特公司的 LT4356 系列过压/过流保护器件提供了一种高效率和简练建立电子仪器保护势垒的方法。为了充分理解这些要求和解决方案，必须适度了解标准本身以及执行这些标准的机构。

危险环境的本质安全和分类 
简单地说，在危险环境中，设计师的任务是防止火源遇到易爆空气。实现这一目标有几种方法，本文重点探讨称为本质安全 (IS) 设计的设计准则。图1示出了点火三角形，由图可见，发生爆炸必须同时具备三个条件，即燃料、氧化剂和点火源。一些方法简单地防止存在的火源接触易爆空气，而本质安全设计实际上消除了火源。主要保护方法在表 1 中列出。

 图 1：点火三角形

表1：已确立的保护方法

 
隔离方法适用于很多应用，但是需要特殊的密封方法和密封材料，因此常常要建立一个永久性势垒，从而不可能进行修理或维护。而结构化方法是机械方法，也需要特殊材料。

只有本质安全方法允许采用通常的仪器制造方法和材料，而且不需要异乎寻常的结构或包装。此外，本质安全电路可以在电源存在时提供服务，而且这种方法获得认证证书的费用是最低的。此外，只有经过本质安全认证的设备才允许在 ATEX Zone 0区域使用 (Directive 94/9/EC ATEX “Atmosphères Explosibles”)。这是符合事实的，因为这种仪器设计确保不存在足以成为火源的电 (火花) 或热能。确切地说，一个本质安全的电路是：在这种电路中，在最重要的标准 (IEC 60079-2006) 明确规定的条件 (包括正常工作和规定故障条件) 下产生的任何火花或热效应都不能在给定爆燃性气体环境中引起点火。

有几个机构对标准的遵守情况进行监督，并向制造商发放认证证书。在北美，FM、UL 和 CAS 管理 IEC-79 系列标准认证，而欧盟的 ATEX 标准兼容主要由 DEMKO 认证。所需的保护级别取决于仪器将在其中运行的环境。国际标准和实践准则 (International Standards and Codes of Practice) 按照爆炸风险对环境分类。所存在气体/蒸气/灰尘的类型和不稳定性以及其存在的可能性决定这类风险。视管辖范围的不同而不同，该分类系统由 Class/Division (北美) 或 Zone (欧盟) 表示。这些系统一般是兼容的，为本文起见，我们着重讨论 Class/Division 系统，因为很多国家采用 IEC79 系列标准，在所有现存标准中，这一系列标准得到了最充分的使用，而且一致性最高。

当电气设备和易燃材料同时存在时，必须对设备和爆燃性空气进行分类。所提供的保护等级必须完全符合或高于相关标准针对此类使用环境所要求的级别。环境或“工厂”根据类型 (Class 和 Group) 以及爆燃性空气的存在概率 (Division) 来分类。设备则根据暴露于危险空气中设备的任何元件的最大表面温度 (温度代码)、以及它在发火花过程中所能产生或释放的最大能量值 (仪器组) 来分类。需要了解的是：在表面温度和引燃某种特定气体所需的火花点火能量之间并没有关系，这一点很重要。表 2 总结了这些限制。

表2：危险环境分类系统

电子设计在本质安全中的作用 
一个本质安全的电路在 IEC79-11 标准中定义如下：
本质安全的电路是这样一个电路：“在这个国际标准规定的条件下，包括正常运行和规定的故障条件，这个电路中产生的任何火花或热效应都不会在给定的爆燃性气体环境中引起点火。”

因此，一个电路必须含有安全组件，该安全组件能够防止火花或足够的热能以在故障条件下引起爆炸。在设计中纳入这些保护性组件，同时仍然保持正确的电路运行，这是电路设计师的责任。这是非常不容易完成的任务。

为在危险环境中使用而设计的任何设备都可以分为简单或非简单类。无需仔细研究细节，如果一个仪器只含有无源组件，不产生或不存储显著高于 1.5V、100mA 和 25mW 的高能量，这个简单仪器就不需要机构认证。简单仪器的例子包括含有电阻器、二极管、LED、光电管、热电耦、开关、接线盒以及类似组件的设备。显然地，我们不详细讨论这类设备。

从电子仪器设计师的角度来看，非简单的本质安全仪器分为 Ex ib 或 Ex ia 类，Ex ib 可以有一个可数故障，而 Ex ia 可以有两个可数故障。可数故障指的是，检查者为分析热和火花点火故障的保护效用而强加的任意故障。不可数故障不是因组件故障而发生，而是由于电路间隔问题，如距离/空隙、不恰当的组件电压/电流/功率额定值或元件构造。确保所选择的组件和电路布局不含有任何不可数故障是设计师的责任，否则单是由于这些问题，设计师就有可能拿不到认证证书。

在检查对标准的符合情况时，评估者可以使一个 (Ex ib) 或两个 (Ex ia) 保护组件出故障，并探究这些故障对安全性的可能影响。如果这些故障不降低该电路的安全特性，那么就授予该仪器适于在危险环境使用的认证证书。参见表 2，一个 Class I、Division 1、Group IIC、T6 认证证书允许仪器在任何危险环境中运行，包括 ATEX Zone 0 区域。显然，Ex ia 是最难获得的认证证书，制造商应该在为此安排费用前，先决定是否必须有这种级别的保护。大多数应用仅需要 Class I/Div 1 或 2 (Zone 1) 认证证书。

势垒的概念
用于将功率/电压/电流限制于适合特定环境安全水平的势垒必须减少危险地点和非危险地点之间的任何功率或信号流动。此类势垒在上述标准中被称为“关联仪器”。一个含有保护元件的本质安全 (IS) 势垒位于非危险区域中，并向位于危险区域中给经过IS鉴定的设备 (包括“简单仪器”) 输送功率，认识到这一点是很重要的。这两部设备均必须符合IS规则。这就是说：对于一个本质安全型防护 (防爆标志：Ex ia) 认证，两部设备均必须通过双重故障的检验，并保持免于点火的安全性 (如图2所示)。设备的正确或商业化运作与审查者无关，只要它是安全的就行。

图 2：隔离/保护势垒位置

在获得符合性的过程中，势垒的概念是一种功能强大的工具。显然，图2中的非危险区域势垒必须对提供至危险区域中的IS设备的总可用功率加以限制。然而，在危险区域设备的内部也可以存在多个势垒。内部势垒可用于进一步限制输送至设备内部分支电路的功率，以防止施加多个可数故障。

广义而言，保护性元件要么是串联型，要么是并联型。限流电阻器是最常用的串联保护元件，而限压齐纳二极管则是最常用的并联保护元件。当组合起来使用以限制功率时，保护性元件被称为势垒。在其内部保持了真正电流隔离的势垒被称为“隔离器”。隔离器的实例包括变压器、容性耦合器和光耦合器。然而，隔离器并不提供DC功率或传输DC信号，且与本文所进行的讨论无关。有关采用电阻器或二极管来隔离储能元件 (以提供火花点火防护) 方面的内容，我们将不做深入研究。不过，相关标准中对此有具体描述，而且它是一个与电流隔离器截然不同的概念。
 
安全组件与势垒设计
根据用来设计势垒的组件，势垒可以分为无源的或有源的。无源势垒有概念简单、易于设计和市场上有现成供货的优势。不过，受保护区域的仪器必须承受势垒强加的电压负担并仍然正常工作。无源势垒能效不高，而且笨重。如果必须向现场设备传送任何显著超过几毫瓦的大功率，那么安全组件就变得非常大。

有源势垒在效率和组件尺寸上有极大的优势，但是设计一般较困难，而且生产也可能较昂贵。此外，这样的势垒一般是不容易重用的定制设计。有源势垒最大的劣势不在于概念，而在于官僚主义。分析这种势垒设计的检查者对常见的无源设计极其熟悉，也许在认可有源设计之前要求真实的火花测试 (由你付费)。不过，正如我们将看到的那样，LT4356 系列浪涌抑制器 IC 可以用来设计有源势垒，而且该有源势垒的参数可以非常容易地改变，以快速提供定制势垒。因为一旦一个有源设计获得认可而基本电路拓扑不改变太多，当仅改变其组件值时，它就可以更轻而易举地获得认可。如果本质安全仪器供应商在采用几个本质安全势垒设计，那么将极大地提高能效、减小势垒尺寸并降低成本。

在一种用于关联仪器 (势垒) 的无源设计中 (向该现场仪器提供 DC 功率) 运用 3 个经过实用验证的无源器件来实现保护：保险丝、电阻器和齐纳二极管。给这些器件的参数加上 1.5 或 1.7 的安全系数。此外，对于 “ia” 保护级别的双重故障保护来说，多个冗余组件是必要的。图 3 显示了最常见的无源势垒设计的一个例子。

图 3：简单的无源组件势垒

只有齐纳二极管可以限制开路电压，只有电阻器和保险丝可以限制电流。保险丝由于反应时间慢，因此不被看作是一个火花点火能量限制器件。在所有情况下，这些器件都消耗功率，必须正确规定其额定值。实际上，齐纳二极管即使没有完全接通，也的确吸收一些反向泄漏电流。

检查者假定，齐纳二极管电压在其容限高端出现约 5% 的凸起。齐纳二极管的额定值必须规定为最大势垒功率的 1.5 倍，电阻器的额定值必须规定为最大功率的 1.5 倍，保险丝假定超过其额定电流的 1.7 倍。电阻器假定在其容限范围的低端。所有有源和无源器件的绝对最大击穿电压规格还必须为正常或故障条件下遇到的最大工作电压的 1.5 倍。强加这些假定以达到最差的势垒性能，从而总是超安全的。

当现场仪器阻抗等于势垒源阻抗，即达到最大功率传送点时，假定势垒超过 VOC • ISC = PMAX/2 的最大功率。 就这个分析而言，电阻器值假定为 (R - % 容限)，VOC 假定为 (Vz + % 容限)。该现场仪器中的任何组件都必须能够承受 PMAX/2，除非在更低值时受到第二个方法保护。如果我们假定，该现场仪器就是一个 LED，那么该 LED 必须能够消耗 PMAX/2，而不会超过该仪器的表面温度规定，例如对于一个规定为 T6 的产品来说是 85°C。

在实际的势垒设计中，要符合标准要求，保护组件冗余是必要的，尤其对于齐纳二极管来说更是这样。规定为 Ex ib 的设备需要两个并联的齐纳二极管，而 Ex ia 保护级别需要 3 个并联齐纳二极管。请注意，齐纳二极管的功耗额定值取决于保险丝的清除。如果保险丝不存在，那么必须提供证据，证明齐纳二极管可以无限地消耗全部势垒功率，而不会出故障或超过仪器的温度额定值。此外，IEC79 标准要求，未含在认可的保险丝座中的所有保险丝都必须密封。对保护电阻器还存在进一步要求：它必须是“绝对可靠的”。如果两个电阻器串联使用，那么每个电阻器都必须具有足够大的值，以在其中之一出现短路故障时限制电流。如果两个电阻器并联使用，那么每个电阻器都必须规定在一个电阻器出现开路故障时，能消耗最大的故障功率。一个绝对可靠的电阻器可以是金属薄膜、陶瓷上釉绕线或厚膜 SMD 型电阻器，具有符合要求的覆盖层，所有都有合适的距离/空隙间隔，以避免非可数的故障。绝对可靠的电阻器被认为只会出现开路故障。检查者可能把这种故障看作为可数的故障，但是除非这种故障揭示出电阻器下游组件故障，否则它对分析没有影响。

尽管无源势垒简单，但是它们在功率损失和尺寸方面需要很高的代价。只有当现场仪器的输入阻抗等于势垒中的限流电阻器的阻值时，传送到现场仪器的功率才最大，而这一最大功率仅是提供给该势垒的功率的一半。如果现场仪器中需要几毫瓦以上的功率，那么势垒电阻器的实际尺寸可能变得很大。这样的电阻器昂贵、阻值范围有限以及难以供货和安装是情理之中的事。如果设计中不包括保险丝，那么齐纳二极管同样变得笨重和昂贵。保险丝必须密封 (7.3 段) 这个事实常常决定了整个势垒是密封的，从而不可能维护，而且制造时难以处理也更昂贵。

决定现场仪器的最大安全功率限制 
可以通过关联仪器势垒传送到现场仪器的实际功率完全由仪器供应商寻求的认证级别决定。而认证级别反过来又完全由现场仪器将遇到的环境决定。

想要的分类和分区等级非常容易决定。不过，易燃气体/灰尘类型是决定仪器分组 (Apparatus Group) 和温度代码 (T code) 的因素。既然氢有相对高的点火温度 (560°C) 和非常低的火花点火能量 (20µJ)，那么寻求认证测试之前，必须仔细考虑这些参数。这里我们将讨论范围限制为 Class I 环境，气体和蒸气在表面流动 (Group II)。要决定在势垒仍然处于安全的开路或短路故障时，在势垒输出端可获得多少功率，我们可以利用标准中公布并通过实验决定的气体点火曲线。这些曲线表明，对于给定的气体分组可允许的最大电压和电流。
标准中公布了针对电阻、感性和容性电路的 3 个图表。图 4 显示了一个简单电阻电路的曲线。为讨论方便起见，假定我们正在处理最差的火花点火环境，乙炔，Group IIA。参见图 4，在 20VOC 时，看来允许高达 400mA 的 ISC 而没有着火的危险。此外，这一功率一定不能允许对应的表面温度上升至足够高温，导致在正常或故障条件下因太热而点燃气体。

 
图 4：电阻电路火花点火曲线

有些机构建议将 VOC 电压降低 10%，ISC 电流降低 33%。在标准 (IEC 60079-11，10.1.4.2) 中安全因素这部分说明了这一点。计算出串联限流电阻器的值仅为 VOC /ISC = 20/0.4 = 5Ω。在电路运行或出故障时，该电阻器必须消耗的功率是 VOC • ISC、 (ISC)2/R 或 (VOC )2/R 中最高的那一项。简单的计算显示，甚至少量的功率也可能需要实际上很大的限流电阻器。最后的注释：标准规定，根据实验和分析数据，T4 (135°C) 温度代码自动给予任何使用 1.3W 或更低功率的电路。

用LT4356 浪涌抑制器作为本质安全势垒
LT4356 系列的过压/过流限制器是以最少组件数目和浪费最少功率的方式设计有源保护势垒的卓越选择。认识到这一事实，凌力尔特公司以 16 引线 SO 封装提供该 IC，该封装引脚间隔足够大，以避免在密封时有不可数的故障，将该设计置于不利地位。对于高达 10V 的电压来说，有些标准要求 1.5mm (59.1 密耳) 的距离间隔，而对于高达 30V 的电压则要求 2.0mm (78.7 密耳)。在 2006 79 系列标准之前，要求该 IC 密封，以满足这些要求，因为 16 引线 SO 封装的引线间隔为 50 密耳 (1.2mm)，不过密封增加了一个优点，即提高了对电路中任何有关组件的热限制。

然而，当仪器被封入外壳之中以满足侵入防护标准之后，协调标准IEC60079-11的最新版本 (2006年7月第5版) 极大地降低了印刷电路板上的这些距离要求。这些被称为 IP 等级的标准用于防范灰尘或潮气的侵入，并由此来保证一个2级或更低的污染级别。其概念是：电路板所处的环境越清洁、越干燥，则电路板的CTI（比较漏电起痕指数）越低，出现漏电流的可能性就越小。因此，对于Class I环境，79-11标准的附录F仅允许 0.2mm 的距离 (一直到高达50V的电压条件)。由于至少大多数仪表都是封闭式的，所以设计师理应采用具有高IP等级 (IP67或IP68) 的外壳，以避免进行密封处理的需要。除非必需实施密封以满足热限制指标，否则将能够最好地消除其成本和相关问题。

图 5 是 LT4356 IC 的简化方框图。LT4356 连续监视电流和电压，如果发生故障，就迅速断开串联的通路 MOSFET。电流和电压限制都由外部组件设定，因此可以非常容易地改变限制值。电流并联电阻器和电压反馈电阻器应该绝对可靠，以通过认证。通常，反馈电阻器可以任意大，以使输入电源直接短路到反馈电阻器的 MOSFET 故障不会引起大的功耗。

 

图 5：LT4356 的简化方框图

尽管如此，有两个注意事项却是适宜而有效的。第一个注意事项是：有源器件 (可控半导体) 可以在Ex ib场合中使用，以提供功率限制 (热点火) 而不是火花点火保护。请参见上述标准中的7.5.2和7.5.3段落。有些解释可能允许在Zone 0中使用有源势垒，但仅以三重的形式。第二个注意事项是：当采用任何IS势垒时，即使对于Ex ib (单个故障) 应用而言，势垒失效也常常会在势垒的下游导致不可数的热故障失效。因此，为了防止其中的某个势垒发生故障，需要提供冗余度。

LT4356提供了两个串联传输晶体管，通常用于提供反向极性保护。针对极性反转的保护在“有可能发生这种情况”的场合中是必需的。虽然采用单个二极管即被认为可以满足该要求，但使用两个传输晶体管则提供了避免发生可数故障的更佳保护，且不会产生显著的电压降。
 

图 6：冗余通路晶体管

对于 Ex ib 环境来说，检查者可以用单个可数故障从内部短路 IC 上的所有引脚，以分析因此而产生的故障。尽管恰当地规定了额定值的冗余齐纳二极管可以放置在 LT4356 的输出端，以提供电压限制，但是在任何足以认为重要的功率级，与规定这些齐纳二极管的代价和困难相比，简单地复制整个势垒都更有成本效益。请注意，对于 Ex ia 应用，需要三重或两重具有一个绝对可靠串联电阻器的势垒，以满足双重故障分析规则的要求。
从这里开始，我们假定，间隔和热量上升、组件额定值、PCB 焊盘宽度和冗余规则都得到了遵守，而且电路不可能因可数或不可数故障而失效。剩下的问题就是火花点火能量。从这个意义上来说，视应用的不同而不同，可能最终发现 LT4356 是没有用的。
LT4356通过关断传输晶体管来对电流和电压故障做出反应。不过，由于它所执行的关断操作并不是瞬间完成的，因此将有少许能量通过势垒喷出。在上述标准中，这被称为“允通能量”，并且经常采用示波器测量和/或试验室中的实际火花点火测试对之加以评估。如果该能量足以引燃实验对象气体，则势垒没有通过合格性验证。可接受的允通能量汇总于表3。

表3：IEC/NEC气体组所允许的允通能量

试验台测试表明：即使对于Ex ia热点火应用而言，LT4356也是绰绰有余的。试验台测试是用一个稍作修改的 LT4356 评估版 DC1018A 进行的。配置原理图如图 7 所示。反馈电阻器的选择考虑了特定于本质安全的 9.9V 电压限制，电流检测电阻器的值改变为允许 300mA 电流限制。过压和过流限制性能也进行了测试。电压限制用一个从 0 到 15V 的输入步进变化来评估。而电流限制用如下方法评估：通过一个由 5V 方波驱动的低 RDS(ON) MOSFET 加上一个到输出地的直接短路。
 

图 7：稍作修改的 DC1018A 评估版原理图

该 IC 系列利用故障定时器提供一些故障恢复选项，视应用的不同而不同，本质安全仪器的设计师可以利用这些选项，不过这里不讨论这些选项。评估版上启动的自动故障复位处于启动状态，以进行测试。
图 8 显示的是，当用一个 15V 电源和一个 9.9V 箝位限制给评估版加电时，电压箝位过程的示波器波形。故障复位定时器的运作方式是显而易见的。

 

图 8：过压故障运作方式

更重要的是，图 9 显示了电流故障的运作方式。它显示，当通过接通负载 MOSFET 以加上短路故障时，电压在不到 6us 的时间内箝位到地。通道 1 是触发脉冲，通道 2 是势垒输出电压。尽管没有显示，但是电流也在下降，只是不像电压下降那么快。电流的转换率取决于电源源阻抗、电路电感和 MOSFET 栅极电容以及其它一些变量。总之，设计师应该使用尺寸尽可能小的 MOSFET 芯片，而且，使用一个与势垒输出串联的低值电阻器，以保持低于火花点火门限，这也许是必要的。

 

图 9：过流故障运作方式

为了正确计算允通能量，功率曲线必须由电流曲线和电压曲线得出，然后再随着时间推移集成。火花点火测试只在没有打开仪器机壳时，对可能断开的接头进行，也就是设备势垒本身之外和设备外围的电缆或连接器。检查者也许断开电缆或连接器，以测量火花点火的可能性。在机壳内，只有热点火可能性必须评估。

结论
所有希望向那些有可能存在爆炸性危险的市场和环境出售设备的供应商都必须遵循这样一些设计规则，它们的运用将使得设备在此类环境中的运作具备非易燃性。这就是说：设备绝对不能提供热点火源或火花点火源。目前有几种用于提供此类保护的标准方法，但是对于电子仪表来说，优选和成本最低的方法往往是“本质安全”。用于对工作于爆燃性空气环境中的电气设备进行管制的国际标准繁杂费解，而且在许多场合中对有关实现符合性所需设计方法的描述显得含混不清。在当今这个人们广泛拥有安全意识的世界里，政府和市场都要求对仪器进行与有关标准的相符性认证。认证工作由多家被称为“美国国家认可测试实验室” (Nationally Recognized Test Laboratories) 的管理机构负责实施，在颁发证书之前将进行全面彻底和详尽的分析。
通过恰当的保护势垒设计，能够非常容易地获得适用于本质安全环境的仪器认证证书。尽管无源势垒设计简单，但是当正确运行需要几毫瓦以上的功率时，它们在尺寸和费用上造成了很大的不利。有源势垒可以实现安全运行，同时提供几瓦的能量，但是设计规则更复杂。

如果遵循了基本规则，那么诸如 LT4356 等集成电路使有源势垒设计获得认证容易得多。就限制可能引起热点火的功率而言，LT4356 系列电压/电流箝位的卓越响应时间是满足法规要求的关键。如果也用 LT4356 限制火花点火，那么需要细致的设计，还可能需要更快的箝位。

本文没有叙述包括符合标准要求的势垒设计所需的所有细节，本质安全设计师仍然需要详细研究适用的标准。不过，现在已经可以获得为通过认证做好准备的有源势垒，从而给设计师及其所在公司进入在这之前相对封闭的市场带来了前所未有的机会。