Ellenállásos hőmérséklet-érzékelőn alapuló, funkcionálisan biztonságos rendszerek tervezése és minősítése

By Bill Schweber

Contributed By DigiKey's North American Editors

2023-07-24

Az ellenállásos hőmérséklet-érzékelő (RTD), amely egy jelátalakítóból és annak analóg bemeneti (AFE, analog front-end) jelformáló áramköréből áll, széles körben használt, pontos és megbízható eszköz. A kritikus fontosságú és nagy megbízhatóságú készülékek esetében azonban gyakran arra van szükség, hogy az 1S vagy a 2S (Route 1S ill. Route 2S) alkatrész-tanúsítási eljárást követve tervezzenek meg és hozzanak létre egy funkcionális biztonság tekintetében biztonságos rendszert.

Egy rendszer funkcionális biztonsági tanúsítása összetett folyamat, mivel a rendszer összes alkotóelemét felül kell vizsgálni a lehetséges meghibásodási módok és mechanizmusok szempontjából. A hibák diagnosztizálására különböző módszerek léteznek, és a már tanúsított alkatrészek használata megkönnyíti ezt a munkát, valamint a tanúsítási folyamatot.

Megjegyzendő, hogy a „megbízhatóság” összefügg a funkcionális biztonsággal, de nem azonos azzal. A legegyszerűbben fogalmazva a „megbízható” olyan tervezést és megvalósítást jelent, amely a műszaki adatoknak megfelelően, probléma vagy hiba nélkül működik, míg a „funkcionálisan biztonságos” azt jelenti, hogy a tervezés során fel kell ismerni a hibákat. A kritikus készülékek esetében megbízhatóságra és funkcionális biztonságra egyaránt szükség van.

Ez a cikk az ellenállásos hőmérséklet-érzékelők és jelformáló áramköreik alapjait vizsgálja a funkcionális biztonságos tanúsítással összefüggésben. Ezután a megbízhatóság és a hibatűrés tanúsításának különböző szintjeit tárgyalja, valamint azt, hogy mi szükséges ezeknek a két eljárás szerinti teljesítéséhez. A legfontosabb pontok szemléltetésére két többcsatornás RTD AFE IC-t (ellenállásos hőmérséklet-érzékelésre szolgáló analóg bemeneti fokozatként használható integrált áramkört), nevezetesen az Analog Devices AD7124 IC-párosát, valamint egy azokhoz kapcsolódó fejlesztőkártyát használunk.

A funkcionális biztonság szerepe

A funkcionális biztonság szerepe az, hogy egy vagy több automatikus védelmi vagy biztonsági funkció megfelelő végrehajtása révén megóvja az embereket a személyi sérülés vagy egészségkárosodás elfogadhatatlan kockázatától. Egyúttal biztosítja azt is, hogy a termék, eszköz vagy rendszer meghibásodás esetén továbbra is biztonságosan működjön. Az ipar és a kereskedelem számos területén és még néhány fogyasztói felhasználási területen is szükség van rá, ilyenek például az alábbiak:

  • önvezető járművek
  • gépbiztonság és robotika
  • ipari vezérlőrendszerek (ICS, industrial control systems)
  • okosotthonokba szánt fogyasztói termékek
  • intelligens gyárak és ellátási láncok
  • biztonsági berendezésekkel felszerelt rendszerek és veszélyes helyeken működő vezérlő- és szabályozórendszerek

Egy funkcionálisan biztonságos kialakításban például a főkapcsoló kapcsoló funkciójának akkor is lehetővé kell tennie az áramellátás lekapcsolását, ha a rendszer más alkatrészei meghibásodtak (1. ábra).

Vészleállító gomb képe1. ábra: Egy funkcionálisan biztonságos rendszerben nem lehet kétség vagy kétértelműség afelől, hogy ez a kapcsoló megteszi azt, amire tervezték (kép: Pilla, a City Electric Supply Co. képtárából)

Alapvető tudnivalók az ellenállásos hőmérséklet-érzékelőkről

Miért van szükség a hőmérséklet és a funkcionális biztonság együttes vizsgálatára? Ennek egyik jó oka, hogy a hőmérséklet az egyik leggyakrabban mért fizikai paraméter. Gyakran kapcsolódik biztonsági vagy kritikus berendezésekhez, és a jelátalakítók széles választékát használják a mérésére. Ezek közé tartoznak az ellenállásos hőmérséklet-érzékelők, amelyek működési elve egyszerű: kihasználják a fémek, például a nikkel, a réz és a platina ellenállásának ismert és állandó hőmérsékleti együtthatóját (TCR, temperature coefficient of resistance). A 0 °C-on 100 Ω és 1000 Ω ellenállású platina ellenállásos hőmérséklet-érzékelők a legelterjedtebbek, ezek –200 °C és +850 °C közötti tartományban használhatóak.

Ezeknek a ellenállásos hőmérséklet-érzékelőknek ebben a hőmérséklet-tartományban rendkívül lineáris az ellenállás–hőmérséklet összefüggése. A rendkívül nagy pontosságot igénylő helyzetekre korrekciós és kompenzációs táblázatok és tényezők alkalmazhatók. A 100 Ω névleges ellenállású platina ellenállásos hőmérséklet-érzékelő (PT100) jellemző ellenállása –200 °C-on 18 Ω, +850 °C-on pedig 390,4 Ω.

Egy ellenállásos hőmérséklet-érzékelő használata megköveteli, hogy ismert erősségű árammal legyen gerjesztve, amelyet az önmelegedés minimálisra csökkentése érdekében általában 1 mA körül tartanak. A ellenállásos hőmérséklet-érzékelő névleges ellenállásától függően más áramerősség-értékek is használhatók.

A ellenállásos hőmérséklet-érzékelőn mért feszültségesést szinte minden esetben egyidejűleg és együtt mérik egy állítható erősítésű erősítőt (PGA, programmable-gain amplifier) tartalmazó analóg bemeneti fokozattal és egy mikrovezérlő egységhez (MCU) kapcsolt analóg-digitális átalakítóval (A/D átalakító, ADC) (2. ábra).

A hőmérséklet mérésére szolgáló ellenállásos hőmérséklet-érzékelő használatát szemléltető ábra2. ábra: Az ellenállásos hőmérséklet-érzékelő hőmérséklet-mérésre történő használatához ismert erősségű áramot kell keresztülvezetni az ellenállásos hőmérséklet-érzékelőn, és meg kell mérni az azon fellépő feszültségesést, majd alkalmazni kell Ohm törvényét (ábra: Digi-Key)

Ennek az alapsémának az áramköri kapcsolása megegyezik a terhelésen átfolyó áram erősségének meghatározására szolgáló érzékelő ellenállás kapcsolásával, de itt az ismert és ismeretlen változók fel vannak cserélve. Az áramerősség-mérésnél az ellenállás ismert, míg az áramerősség ismeretlen, így a számításhoz használt képlet: I = V/R. A ellenállásos hőmérséklet-érzékelők esetében az áramerősség ismert, de az ellenállás nem, így a számításhoz használt képlet: R = V/I.

Az állítható erősítésű erősítőre a jelépség fenntartásához és a dinamikus tartomány maximálisra növeléséhez van szükség, mert az ellenállásos hőmérséklet-érzékelőn mért feszültségszintek az ellenállásos hőmérséklet-érzékelő típusától és a hőmérséklettől függően néhányszor tíz millivolt és több száz millivolt között változhatnak.

A gerjesztőforrás, a ellenállásos hőmérséklet-érzékelő és az állítható erősítésű erősítő közötti fizikai kapcsolat lehet két-, három- vagy négyvezetékes összeköttetés. Bár elvileg elegendő két vezeték, a csatlakozó vezetékekben az IR-csökkenés (az áramerősség és ellenállás szorzatának csökkenése) és különféle zajok is problémát jelentenek. Ha három- vagy négyvezetékes elrendezéseket használunk korszerűbb Kelvin-kapcsolásokban, az pontosabb és következetesebb működést eredményez, bár növeli a vezetékezési költségeket (3. ábra).

Az ellenállásos hőmérséklet-érzékelő kapcsolási rajza: az érzékelő megoldható mindössze két vezetékkel (gerjesztés és érzékelés, balra), de három (középen) vagy akár négy vezeték (jobbra, Kelvin-kapcsolás) használatára is van mód.3. ábra: Az ellenállásos hőmérséklet-érzékelő megoldható mindössze két vezetékkel (gerjesztés és érzékelés, balra), de három (középen) vagy akár négy vezeték (jobbra, Kelvin-kapcsolás) használatára is van mód, mely utóbbiak lehetővé teszik a vezetékekből eredő különböző hibaforrások kiküszöbölését (ábra: Analog Devices)

Kezdjük a terminológiával és a szabványokkal

Mint sok más szakterületnek, a funkcionális biztonságnak is számos egyedi kifejezése, adatkészlete és rövidítése van, amelyeket széles körben használnak a kapcsolódó témakörök kifejtése során. Ezek közé tartoznak a következők:

  • Adott idő alatti meghibásodások száma (FIT, failures in time): a készülék egymilliárd (109) órányi működése során várható meghibásodások száma.
  • A meghibásodások módjainak és azok hatásainak elemzése (FMEA, failure modes and effects analysis): a lehető legtöbb alkatrész, részegység és alrendszer áttekintése a rendszer lehetséges meghibásodási módjainak, valamint azok okainak és hatásainak azonosítása érdekében.
  • A meghibásodási módok, hatásaik és a diagnosztika elemzése (FMEDA, failure modes effects and diagnostic analyses): az alrendszer- és termékszintű meghibásodások arányainak, a meghibásodási módoknak és a diagnosztikai képességeknek a megállapítására szolgáló szisztematikus elemzési módszer.

A teljes elemzéshez az adott idő alatti meghibásodási adatokra, valamint a rendszert alkotó különböző alkatrészek meghibásodási módjainak, azok hatásainak és a diagnosztikai képességeknek az elemzésére van szükség. A meghibásodások módjainak és azok hatásainak elemzése (FMEA) csak a minőségre vonatkozó adatokat kínál, míg a meghibásodási módok, hatásaik és a diagnosztika elemzése (FMEDA) a minőségre és a mennyiségre vonatkozó adatokat is, lehetővé téve a felhasználók számára a meghibásodási módok kritikussági szintjének mérését és fontosság szerinti sorrendbe állítását. A meghibásodási módok, hatásaik és a diagnosztika elemzése a kockázatok, a meghibásodási módok, azok hatásai és a diagnosztikai elemzések, valamint a megbízhatósági információk körét egészíti ki.

  • Biztonságjósági szint (SIL, Safety Integrity Level): a biztonságjóságnak négy különálló jósági szintje van: SIL 1, SIL 2, SIL 3 és SIL 4. Minél magasabb a biztonságjósági szint, annál magasabb a kapcsolódó biztonsági szint, és annál kisebb annak a valószínűsége, hogy a rendszer nem működik megfelelően.

A SIL 2 minősítés azt jelenti, hogy a rendszerben fellépő hibák több mint 90%-a diagnosztizálható. A berendezés tanúsításának elnyeréséhez a rendszer tervezőjének bizonyítékot kell szolgáltatnia a tanúsító hatóság részére a lehetséges hibákról, arról, hogy ezek biztonságos vagy veszélyes hibák-e, és arról, hogy a hibákat hogyan lehet diagnosztizálni.

  • Az IEC 61508, hivatalos nevén „A biztonsággal kapcsolatos villamos/elektronikus/programozható elektronikus rendszerek funkcionális biztonsága” (nem hivatalosan csak „elektronikus funkcionális biztonság”), a funkcionálisan biztonságos berendezésekre vonatkozó szabvány. A szabvány a SIL minősítésű alkatrészek kifejlesztéséhez szükséges tervezési folyamatot dokumentálja. Dokumentációt kell készíteni minden egyes lépésről, az elvi elgondolástól és a meghatározástól kezdve a tervezésen, elrendezésen, gyártáson és összeszerelésen át a tesztelésig.

Ez a folyamat 1S eljárás (Route 1S) néven ismert, és bonyolult. Az 1S eljárásnak van azonban egy alternatívája, az úgynevezett 2S eljárás (Route 2S). Ez „a használat során bevált” eljárás, és akkor alkalmazható, ha a terméket nagy mennyiségben tervezték a végtermékekbe és rendszerekbe, és azokat a felhasználási helyszíneken együttesen összesen több ezer órája használják.

A 2S eljárás alapján a termék akkor is kaphat tanúsítást, ha a tanúsító hatóságnak bizonyítják a következőket:

  • a felhasználási helyszíneken használt mennyiségek
  • a felhasználási helyszínekről visszaküldött termékek elemzése és annak részletes bemutatása, hogy a visszaküldések nem az alkatrészen belüli hibákból adódtak
  • biztonsági adatlap, amely részletesen ismerteti a diagnosztikát és azt, hogy a diagnosztika mit fed le
  • a lábak és a félvezetőszelet meghibásodási módjainak, azok hatásainak és diagnosztikájának elemzése

Az ellenállásos hőmérséklet-érzékelők illesztőfelületeinek egyesítése a SIL 2S eljárás során

Egy rendszer tanúsítása hosszadalmas folyamat, mivel a rendszer összes összetevőjét át kell vizsgálni lehetséges meghibásodási mechanizmusokat keresve, és a hibák diagnosztizálására különböző módszerek állnak rendelkezésre. A már tanúsított alkatrészek használata csökkenti a szükséges erőfeszítéseket, és lerövidíti a tanúsítási folyamatot.

A nagy integráltsági fokú, kiforrott ellenállásos hőmérséklet-érzékelők által kínált illesztőfelület kulcsfontosságú a 2S eljárás szerinti minősítés megszerzésének megkönnyítéséhez, mert egy teljes megoldáscsomagot határoz meg, és így teljes mértékben jellemezhető a helyszíni használathoz és a meghibásodásokhoz kapcsolódó adatokkal. Ez ellentétben áll a több kisebb építőkockaként szolgáló IC-k használatával, ahol az adott összekapcsolási összeállításhoz tartozó különböző illesztőfelületeket és kölcsönhatásokat kell elemezni.

Jó példa erre a négycsatornás AD7124-4 (4. ábra) és az ahhoz hasonló nyolccsatornás AD7124-8 (a cikk a továbbiakban együttesen AD7124 néven hivatkozik rájuk, amikor a számos közös jellemzőjüket ismerteti). Ezek az alkatrészek jól illeszkednek a 2S eljáráshoz a beágyazott önellenőrzési és diagnosztikai funkcióiknak, valamint a felhasználási helyszíneken róluk rögzített adatoknak köszönhetően.

Kapcsolási rajz: az Analog Devices AD7124-4 egy az érzékelő és a processzor közötti teljes funkciójú jelláncként használható ellenállásos hőmérséklet-érzékelőt4. ábra: A négycsatornás AD7124-4 egy az érzékelő és a processzor közötti teljes funkciójú ellenállásos hőmérséklet-érzékelő jellánc (ábra: Analog Devices)

Ezek az IC-k kész megoldások a többcsatornás ellenállásos hőmérséklet-érzékelős méréshez, és tartalmazzák az összes szükséges összetevőt az érzékelőtől a digitalizált kimenetig és a kapcsolódó mikrovezérlővel való kommunikációhoz szükséges csatlakozóig. Ezek közé tartozik a többcsatornás multiplexer, az állítható erősítésű erősítő, a 24 bites szigma-delta A/D átalakító, az ellenállásos hőmérséklet-érzékelők gerjesztő áramforrásai, a belső működéshez szükséges referenciafeszültségek, a rendszeróra, az analóg és digitális szűrés, valamint a három- vagy négyvezetékes soros csatlakozók az SPI-, QSPI-, MICROWIRE- és DSP-kompatibilis kapcsolatok lehetővé tételéhez.

Ezeknek a funkcióknak a megléte azonban önmagában nem elegendő alap a SIL 2S eljárás szerinti minősítéshez. A funkcionálisan biztonságos kialakításhoz beágyazott diagnosztikai eszközökre van szükség az ellenállásos hőmérséklet-érzékelő rendszert alkotó számos funkció ellenőrzéséhez. Az AD7124 többszörös beágyazott diagnosztikája minimálisra csökkenti mind a tervezés bonyolultságát, mind a tervezési időt, és megszünteti a jellánc a diagnosztikai lefedettség érdekében történő megkettőzésének szükségességét.

Ezek a diagnosztikák többek között a következőkre terjednek ki: az áramellátás, a referenciafeszültség és az analóg bemenőjel ellenőrzése, az ellenállásos hőmérséklet-érzékelőkhöz menő vezetékek szakadásának észlelése, az átalakítási és kalibrálási jellemzők ellenőrzése, a jellánc működésének ellenőrzése, az olvasási/írási funkciók ellenőrzése és a regiszter tartalmának ellenőrzése.

Hogyan lehet ezeket a „magas szintű” utasításokat lefordítani az IC-n elhelyezendő szükséges diagnosztikára? A válasznak számos aspektusa van, többek között a következők:

SPI-diagnosztika: A processzor minden egyes AD7124-be történő íráshoz egy ciklikus redundancia-ellenőrzési (CRC) értéket állít elő, amelyet az A/D átalakítónak küldött adatokhoz csatol. Az A/D átalakító ezután a kapott adatokból létrehozza a saját CRC-értékét, és összehasonlítja azt a processzortól kapott CRC-értékkel. Ha a két érték megegyezik, akkor az adatok sértetlenek, és az IC-ben lévő megfelelő regiszterekbe íródnak.

Ha az értékek nem egyeznek, az azt jelenti, hogy az átvitel során valamilyen hiba következett be, és az IC egy hibajelzőt állít be, amely jelzi, hogy adatsérülés történt. Az AD7124 önmagát is védi azáltal, hogy nem írja be a hibás adatokat a regiszterekbe.

Hasonló CRC-eljárást használ a rendszer, amikor az AD7124-ből a rendszerprocesszorba olvas be adatokat. Végül az illesztőfelület az órajelimpulzusokat is számolja, ezzel ügyelve arra, hogy minden olvasási vagy írási adatkeretnél csak nyolc ilyen impulzus legyen, így biztosítva, hogy nem történt órajelhiba.

Memória-ellenőrzés: A regiszterek tartalmának érvényesítésére is CRC-t használnak bekapcsoláskor, vagy amikor az IC-ben lévő regiszterek tartalmát módosítják (például az erősítés megváltoztatásakor). A CRC-eljárást rendszeres időközönként végrehajtják annak biztosítására is, hogy a memóriában lévő bitek ne „váltsanak át” ellenkező értékre zaj vagy más okok miatt. Ha valami megváltozik, és a processzor ezt követően jelzi, hogy a regiszterbeállítások sérültek, akkor nullázhatja az A/D átalakítót, és újra feltöltheti a regisztereket.

Jelzőlánc-ellenőrzések: Az A/D átalakítón keresztül ellenőrizhető az összes kritikus statikus feszültség, beleértve az áramellátó síneket, a kis feszültségkülönbségű (LDO, low-dropout) feszültségszabályozók kimenőfeszültségét és a referenciafeszültségeket, és ellenőrizhető a kis feszültségkülönbségű feszültségszabályozó külső kondenzátorának megléte vagy hiánya is. Emellett az A/D átalakító bemenetére egy ismert feszültséget lehet kapcsolni az A/D átalakító és az erősítési funkció beállításainak ellenőrzésére. Ezenkívül ismert erősségű áramokat lehet az analóg bemenetekre adni, hogy ellenőrizni lehessen, nem szakadt vagy zárlatos-e az ellenállásos hőmérséklet-érzékelő.

Átalakítás és kalibrálás: Az A/D átalakító működését folyamatosan ellenőrzi a rendszer, hogy a kimenőfeszültség teljesen nulla értékre vagy a teljes csúcsértékre áll-e be, mert mindkettő hibát jelez. A rendszer figyeli, hogy az A/D átalakító magjában lévő modulátorból érkező bitfolyam nem telítődött-e, és ha telítődés következik be (azaz 20 egymást követő egyes vagy nulla érkezik a modulátorból), hibajelzőt állít be.

Fő órajel-frekvencia: Ennek az órajelnek a frekvenciája nemcsak az átalakítási sebességet szabályozza, hanem az 50/60 Hz-es digitális szűrők lyukszűrési frekvenciáit is meghatározza. Az AD7124 belső regisztere lehetővé teszi, hogy a segédprocesszor időzítse a fő órajelet, és így ellenőrizze annak pontosságát.

További jellemzők: Az AD7124 tartalmaz egy hőmérséklet-érzékelőt, amely a félvezetőszelet hőmérsékletének figyelésére is használható. A hatékony működés érdekében mindkét változat névlegesen 4 kV-os elektrosztatikus kisülés elleni védelmi minősítésű, és mindkettő 5 mm × 5 mm-es LFCSP tokban van elhelyezve, amely alkalmas a gyújtószikramentes készülékekben való használatra.

Az AD7124-4 és az AD7124-8 belső összetettsége, kifinomultsága és fejlett önellenőrzési funkciói miatt érdemes volt egy olyan eszközt megalkotni, amellyel gyakorolni lehet az IC-k használatát, és értékelni lehet az IC-ket.

Ennek érdekében az Analog Devices két egymáshoz kapcsolható kártyát kínál: az EVAL-AD7124-4SDZ fejlesztőkártyát az AD7124-4-hez (5. ábra) és a hozzá tartozó EVAL-SDP-CB1Z SDP (System Demonstration Platform, rendszerbemutató platform) illesztőkártyát (6. ábra). Az előbbi kifejezetten az AD7124-4-hez való, és az utóbbival együtt használható, amely USB-kapcsolaton keresztüli kommunikációt tesz lehetővé a felhasználó számítógépével és kiértékelőszoftverével.

Az Analog Devices AD7124-4 jelű eszközéhez való EVAL-AD7124-4SDZ fejlesztőkártya képe5. ábra: Az EVAL-AD7124-4SDZ az AD7124-4-hez való fejlesztőkártya (ábra: Analog Devices)

Az Analog Devices EVAL-SDP-CB1Z jelű illesztőkártyájának képe6. ábra: Az EVAL-SDP-CB1Z illesztőkártya az EVAL-AD7124-4SDZ fejlesztőkártya kiegészítője, és USB-kapcsolatot tesz lehetővé a gazdaszámítógéppel (ábra: Analog Devices)

A kiértékelő összeállítást az AD7124-4 EVAL+ szoftver támogatja, amellyel teljes mértékben beállítható az AD7124-4 eszközregisztereinek működése, és gyakorolható az IC használata. Ezenkívül időbeli elemzést is kínál az A/D átalakító teljesítményének értékeléséhez hullámforma-grafikonok, hisztogramok és kapcsolódó zajelemzés formájában.

Váltás a funkcionálisan biztonságos berendezésekre

Fontos tisztában lenni azzal, hogy az AD7124-4 és az AD7124-8 nem SIL minősítésű, ami azt jelenti, hogy nem az IEC 61508 szabványban meghatározott fejlesztési irányelvek szerint tervezték és fejlesztették ki őket. A végfelhasználás megértésével és a különböző diagnosztikák megfelelő használatával azonban fel lehet őket használni SIL minősítésű készülékekben.

Az 1S eljárás szerinti minősítés során több szempontot is figyelembe kell venni a hibák elemzéséhez és kezeléséhez, amelyek lehetnek rendszerszintűek vagy véletlenszerűek. A rendszerszintű hibák a tervezés vagy a gyártás hiányosságaiból adódnak, ilyen például a zajos megszakítás a külső megszakítólábon való szűrés hiánya vagy a valamelyik jelhez elégtelen tartalék miatt. Ezzel szemben a véletlenszerű meghibásodások fizikai okokra, például korrózióra, hőterhelésre vagy kopásra vezethetők vissza.

Aggodalomra okot adó fontos tényező a fel nem fedezett veszélyes hiba, amelyet többféle módon kezelnek. A véletlenszerű hibák minimálisra csökkentése érdekében a tervezők az alábbi három taktika közül alkalmaznak egyet vagy többet:

  • Megbízhatóbb, kevésbé igénybe vett alkatrészek.
  • Hardveres vagy szoftveres beépített észlelési mechanizmusokra épülő diagnosztika.
  • Hibatűrés redundáns áramkörökkel. Egyetlen hiba tolerálható egy redundáns útvonal hozzáadásával. Ezt a rendszert 1 hardverhibát tűrő (HFT 1, Hardware Fault Tolerance 1) rendszernek nevezik, ami azt jelenti, hogy egy hiba nem okozhatja a rendszer meghibásodását.

A SIL szintű lefedettség megértésének egyik eszköze egy olyan mátrix, amely a biztonságos meghibásodási hányadot (SFF, safe failure fraction) (a diagnosztikai lefedettség mértékét) és a hardveres hibatűrést (a redundanciát) ábrázolja (7. ábra).

Egy elem biztonságos meghibásodási hányada Hardveres hibatűrés
0 1 2
< 60% Nincs megengedve SIL 1 SIL 2
60% – < 90% SIL 1 SIL 2 SIL 3
90% – < 99% SIL 2 SIL 3 SIL 4
≥ 99% SIL 3 SIL 4 SIL 4

7. ábra: Ez a mátrix a biztonságos meghibásodási hányadot (SFF) mutatja a hardveres hibatűréssel (HFT) összevetve, és megmutatja a SIL-lefedettséget (táblázat: Analog Devices)

A sorok a diagnosztikai lefedettség mértékét, míg az oszlopok a hardveres hibatűrést mutatják. A 0 HFT azt jelenti, hogy ha a rendszerben akár csak egy hiba is fellép, a biztonsági funkció megszűnik. A magasabb szintű diagnosztika csökkenti a szükséges rendszerredundancia mértékét, vagy azonos szintű redundancia mellett növeli a megoldás SIL-szintjét (a mátrixban lejjebb haladva).

Megjegyzendő, hogy egy jellegzetes hőmérsékletmérő készülék meghibásodási módjainak, azok hatásainak és a diagnosztika elemzésének (FMEDA) értéke az IEC 61508 szabvány szerint 90%-nál nagyobb biztonságos meghibásodási hányadot (SFF) mutat. Normális esetben két hagyományos A/D átalakítóra lenne szükség ahhoz, hogy a redundancia révén ilyen szintű lefedettség jöjjön létre, de az AD4172 csak egyetlen A/D átalakítót igényel, így jelentős megtakarítást kínál az anyagköltségek és a nyomtatott áramköri lapon elfoglalt terület tekintetében.

Dokumentáció a SIL minősítésű berendezésekhez

A minősítés 1S eljárással való megszerzéséhez kiterjedt dokumentációra van szükség. A szükséges forrásdokumentumok közé tartoznak az alábbiak:

  • biztonsági adatlap (a SIL minősítésű alkatrész biztonsági kézikönyve)
  • a lábak és a félvezetőszelet meghibásodási módjainak, azok hatásainak és diagnosztikájának elemzése a meghibásodási módokkal, azok hatásaival és elemzésével mindkettőre vonatkozóan
  • az F. melléklet szerinti ellenőrző lista (az IEC 61508 szerint)

Ez a dokumentáció viszont számos forrásból származik (8. ábra):

  • Az adatlapon szereplő diagnosztikai adatok az alkatrészben rendelkezésre álló összes diagnosztikai funkciót tartalmazzák.
  • A készülék adatai a belső adatokra vonatkoznak. Ilyen például az alkatrész minden egyes belső blokkjának a félvezetőszeleten elfoglalt területe és hatása.
  • Az adott idő alatti meghibásodások száma a különböző összetevőkre vonatkozó értékekkel együtt, ezek az adatnaplóban érhetők el.
  • A hibabeszúrási teszteket olyan blokkok esetében végzik el, amelyek nem elemezhetőek a tervezési és diagnosztikai adatok alapján. Ezeket a teszteket a használati követelmények alapján tervezik meg, és a hibabeszúrási tesztek eredményét a meghibásodási módoknak, azok hatásainak és diagnosztikájának elemzését, valamint a meghibásodási módoknak és azok hatásainak elemzését tartalmazó dokumentumok megerősítésére használják.

A különböző dokumentációs forrásokat mutató ábra8. ábra: A különböző dokumentációs forrásokat összesítik és kiegészítik, hogy a SIL minősítéshez szükséges teljes információs csomagot megkapják (ábra: Analog Devices)

Részletesebben megvizsgálva a fenti három tényezőt:

  • A biztonsági kézikönyv vagy a biztonsági adatlap az összes összeállított adatot felhasználja az AD7124-4 vagy AD7124-8 beépítésének lehetővé tételéhez szükséges követelmények elérhetővé tételére. Ezen az adatlapon összegyűjtve megtalálható a különböző dokumentumokból és adatkészletekből származó összes diagnózis és elemzés.
  • Az AD7124-4 és az AD7124-8 esetében a félvezetőszelet meghibásodási módjainak, azok hatásainak és diagnosztikájának elemzése tartalmazza a felhasználási séma fő blokkjainak elemzését, azonosítja a meghibásodási módokat és azok hatásait, valamint ellenőrzi az egy adott biztonsági funkcióra vonatkozó diagnózist és elemzéseket. Például az óramodul elemzése megmutatja a meghibásodási módokat, az egyes hibák hatását a kimenőjelre, a diagnosztikai lefedettség mértékét és a hatás elemzését (9. ábra).
Meghibásodási mód Hatás Diagnosztikai lefedettség Elemzés
A kimenőjel magas szinten ragadt Az A/D átalakító átalakítási eredményei befagyasztva 99 MCLK órajelszámláló (A.11. táblázat) „felügyeletidőzítő (watchdog) külön időbázissal és időablakkal”
A kimenőjel alacsony szinten ragadt Az A/D átalakító átalakítási eredményei befagyasztva 99 MCLK órajelszámláló (A.11. táblázat) „felügyeletidőzítő (watchdog) külön időbázissal és időablakkal”
Nagy impedanciájú kimenet Az A/D átalakító átalakítási eredményei befagyasztva 99 MCLK órajelszámláló (A.11. táblázat) „felügyeletidőzítő (watchdog) külön időbázissal és időablakkal”
Kimenőjel-elvándorlás ±10% Az A/D átalakító átalakítási eredményei sérültek, az 50/60 Hz-es lyukszűrők nem hatékonyak 99 MCLK órajelszámláló (A.11. táblázat) „felügyeletidőzítő (watchdog) külön időbázissal és időablakkal”
Vibráló kimenőjel Az A/D átalakító átalakítási eredményei sérültek vagy zajosak 99 A 0, ±FS (A.13. táblázat) „referencia-érzékelő” átalakítása, az eredmények valószínűségének ellenőrzései

9. ábra: Ez a táblázat a fő órablokk meghibásodási módját, annak hatásait, diagnosztikáját és ezek elemzését tartalmazza (táblázat: Analog Devices)

A félvezetőszelet meghibásodási módjainak, azok hatásainak és diagnosztikájának ezen elemzése a biztonságos meghibásodások, a veszélyes észlelt meghibásodások és a veszélyes nem észlelt meghibásodások hibaarányainak mennyiségi megjelenítése. Mindezeket a biztonságos meghibásodási hányad kiszámításához használják.

A lábak meghibásodási módjainak, azok hatásainak és diagnosztikájának elemzése más szemszögből vizsgálja a hibákat. Elemzi az AD7124-4 és az AD7124-8 lábain fellépő különböző típusú hibákat és azok eredményét az ellenállásos hőmérséklet-érzékelő készülék szempontjából. Az eljárás ezt minden egyes lábra vonatkozóan elvégzi, és leírja az eredményt arra az esetre, ha a láb szakadást szenved, test- vagy tápzárlatos lesz, vagy rövidre záródik valamelyik szomszédos lábbal.

Az F melléklet ellenőrző listája egy tervezési intézkedésekre vonatkozó ellenőrző lista a rendszerhibák elkerülésére. Ez a következőkre terjed ki:

  • a termék áttekintése
  • a használatra vonatkozó adatok
  • biztonsági elgondolások
  • az élettartamra vonatkozó előrejelzések
  • adott idő alatti meghibásodások száma
  • a meghibásodási módoknak, azok hatásainak és diagnosztikájának elemzésére vonatkozó számítások – biztonságos meghibásodási hányad (SFF) és diagnosztikai lefedettség (DC, diagnostic coverage)
  • hardveres biztonsági mechanizmusok
  • a diagnosztika leírása
  • az elektromágneses összeférhetőség mértéke
  • működés redundáns összeállításokban
  • mellékletek és dokumentumjegyzék

Összefoglalva: egy újonnan bevezetett alkatrész funkcionális biztonsági minősítése az 1S eljárást használva hosszú, bonyolult, időigényes, sokrétű és átfogó folyamat. Szerencsére a fentebb említett alternatív megközelítés, az 2S eljárás egyes alkatrészek esetében teljesen életképes megoldás.

2S eljárás: az alternatív megoldás

A 2S eljárásként ismert megoldás a felhasználási helyszíneken szerzett tapasztalatokkal és adatokkal rendelkező, korábban már forgalomba hozott alkatrészek esetében használható, és „a használat során bevált” minősítést jelent. Ez az ügyfelek által visszaküldött eszközök és a leszállított készülékek számának elemzésén alapul. Nem használható olyan új alkatrészekhez, amelyekkel kapcsolatban nincs vagy csak kevés a tényleges használat során szerzett tapasztalat.

A 2S eljárás lehetővé teszi a SIL minősítés megszerzését, mintha az alkatrészt az IEC 61508 szabvány szerint teljes mértékben elemezték volna. A modul- és rendszertervezők akkor vehetik igénybe, ha a múltban sikeresen használták a tárgyalt IC-t, és ismerik a felhasználási helyszíneken felvett hibaarányt. A beágyazott tesztelési és ellenőrzési funkciók, valamint a működési adatok miatt az AD7214-4 és az AD7214-8 jó jelölt a 2S eljárással szerzett minősítésre.

A 2S eljárás kezdeményezéséhez részletes és statisztikailag jelentős adatokra van szükség a felhasználási helyszínekről visszaküldött termékekről és a meghibásodásokról. Ezt a követelményt az IC-gyártóknak sokkal nehezebb teljesíteniük, mint a nyomtatottáramkörilap- vagy modulgyártóknak. Ennek az az oka, hogy az előbbiek általában nem rendelkeznek elegendő ismerettel a végső felhasználásról, illetve arról, hogy a felhasználási helyszínekről származó hibás egységek hány százaléka kerül vissza hozzájuk elemzésre.

Összegzés

Az új termékek funkcionálisan biztonságosnak minősítéséhez használt 1S eljárás alapos, átfogó és részletes. Emellett műszakilag komoly feladatot jelent, és határozottan időigényes. Ezzel szemben a 2S eljárás lehetővé teszi, hogy a forgalomba hozott termékek a felhasználási helyszíneken szerzett tapasztalatok, hibák és elemzési adatok alapján kapjanak minősítést. Ez egy hasznos eljárás, amelyre az AD7214-4 és AD7214-8 ellenállásos hőmérséklet-érzékelő illesztő IC-k esetében lehetőség nyílik, mert már megvan a szükséges előéletük. Ugyanilyen fontos, hogy ezek az IC-k számos olyan diagnosztikai és önellenőrzési és egyéb funkciót tartalmaznak, amelyek alkalmassá teszik őket az ilyen minősítés elnyerésére.

Kapcsolódó tartalom

  1. How to Design and Certify Functionally Safe Resistance Temperature Detector (RTD) Systems (Funkcionálisan biztonságos ellenállásos hőmérséklet-érzékelő (RTD) rendszerek tervezése és minősítése)
  2. Simple Realization of a Fully Integrated 4-Wire RTD Temperature Measurement System for High Precision Measurement Applications (Teljesen beépített 4 vezetékes ellenállásos hőmérséklet-érzékelő hőmérőrendszer egyszerű megvalósítása nagy pontosságú mérőkészülékekhez)
  3. RTD Interfacing and Linearization (Ellenállásos hőmérséklet-érzékelők csatolása és linearizálása)
DigiKey logo

Disclaimer: The opinions, beliefs, and viewpoints expressed by the various authors and/or forum participants on this website do not necessarily reflect the opinions, beliefs, and viewpoints of DigiKey or official policies of DigiKey.

Related Product Highlight

Sensor Interface Signal Chains In between a sensor and the output lies the Interface Signal Chain. ADI has the solution to your signal chain problem by ensuring you get the correct output everytime.
Precision ADCs Analog Device’s ADCs have industry leading performance, help optimize system performance, offer speeds up to 10MSPS, and have 8- to 32-bit resolution.
ADMT4000 bekapcsolás után azonnal működő többfordulatos érzékelő Az Analog Devices ADMT4000 anizotróp magnetorezisztív szögérzékelőjének kimenőjele lehetővé teszi, hogy a készülék nagy szögpontossággal jelezze a rendszer helyzetét.

Related Articles and Blogs

IO-Link használata az ellenállásos hőmérséklet-érzékelőknek az okosgyárakhoz való egyszerű illesztésére Használja az IO-Linket kommunikációs szabványként az ipari ellenállásos hőmérséklet-érzékelők és a vezérlőegységek között a beállítások és a diagnosztika végrehajtására és a könnyebb kezelhetőség érdekében.
How to Precisely Determine Motor Angular Position and Velocity With a Resolver Accurately and reliably capture a motor control resolver’s angular position and velocity with a high-resolution resolver-to-digital converter.
Improve Pulse Oximetry Measurements Using Dark Current Compensation Use a second photodiode to increase a pulse oximeter’s dynamic range to 16 bits.

About this author

Image of Bill Schweber

Bill Schweber

Bill Schweber gyengeáramú villamosmérnök (elektronikai mérnök), aki három szakkönyvet, valamint több száz műszaki cikket, véleménycikket és termékismertetőt írt az elektronikus kommunikációs rendszerekről. Korábban dolgozott az EE Times több tematikus weblapjának műszaki weblapfelelőseként, valamint volt az EDN vezető szerkesztője és analóg áramkörökkel foglalkozó rovatának szerkesztője is.

Az Analog Devices, Inc. cégnél (amely az analóg és vegyes jelű IC-k vezető szállítója) a marketingkommunikáció (közönségkapcsolatok) területén tevékenykedett, és ennek eredményeként a műszaki közönségkapcsolati (PR-) tevékenység mindkét oldalán megfordult: a vállalat termékeit, történeteit és üzeneteit mutatta be a médiának, és volt ezek célközönsége is.

Az Analog Devices cégnél betöltött marketingkommunikációs beosztását megelőzően az Analog elismert műszaki folyóiratának segédszerkesztője volt, és dolgozott a termékreklámozó és a berendezésmérnöki csoportban is. Ezeket a beosztásokat megelőzően az Instron Corp. cégnél állt alkalmazásban, ahol anyagvizsgáló gépek vezérléséhez szánt analóg és tápáramkörök tervezésével és rendszerbe illesztésével foglalkozott.

A Massachusettsi Egyetemen MSEE, a Columbia Egyetemen BSEE diplomát szerzett, regisztrált hivatásos mérnök, és Advanced Class (haladó szintű) rádióamatőr-engedélye is van. Emellett különböző műszaki témákról, többek között a MOSFET-ek alapjairól, az analóg-digitális átalakítók (ADC-k) kiválasztásának szempontjairól és a LED-ek meghajtásáról tervezett, írt és tartott internetes tanfolyamokat.

About this publisher

DigiKey's North American Editors