Projektowanie i certyfikacja funkcjonalnie bezpiecznych systemów opartych na rezystancyjnych czujnikach temperatury (RTD)

Rezystancyjne czujniki temperatury (RTD) składające się z przetwornika i obwodu kondycjonowania sygnału z analogowym układem front-end (AFE), są powszechnie stosowane, dokładne i niezawodne. Jednakże w przypadku zastosowań o krytycznym znaczeniu dla powodzenia przedsięwzięcia oraz zastosowań wymagających wysokiej niezawodności, często konieczne jest zaprojektowanie i zapewnienie funkcjonalnie bezpiecznego systemu poprzez przejście procesów certyfikacji komponentów Route 1S lub Route 2S.

Certyfikacja systemu w zakresie bezpieczeństwa funkcjonalnego jest procesem złożonym, ponieważ wszystkie komponenty systemu muszą zostać poddane analizie pod kątem potencjalnych typów i mechanizmów awarii. Istnieją różne metody diagnozowania awarii, a używanie części, które posiadają już certyfikat zmniejsza niezbędne nakłady pracy oraz upraszcza cały proces certyfikacji.

Należy zauważyć, że choć niezawodność jest związana z bezpieczeństwem funkcjonalnym, to nie są to pojęcia tożsame. W najprostszym ujęciu przymiotnik „niezawodny” odnosi się do projektu i jego wdrożenia, gdy projektowany element działa zgodnie ze specyfikacją, bez problemów lub awarii, podczas gdy „funkcjonalnie bezpieczny” oznacza, że wszelkie awarie muszą być wykrywane. W zastosowaniach krytycznych potrzebne są zarówno niezawodność, jak i bezpieczeństwo funkcjonalne.

Niniejszy artykuł przedstawia podstawy rezystancyjnych czujników temperatury (RTD) i ich układów kondycjonowania sygnału w kontekście certyfikacji bezpieczeństwa funkcjonalnego. W dalszej jego części omówiono różne poziomy certyfikacji pod kątem niezawodności i odporności na awarie oraz ich wymagania w odniesieniu do obu procesów certyfikacji. Dla zilustrowania kluczowych punktów wykorzystano parę wielokanałowych układów scalonych AD7124 firmy Analog Devices z analogowym układem front-end (AFE) i rezystancyjnym czujnikiem temperatury (RTD), wraz z towarzyszącą płytką ewaluacyjną.

Rola bezpieczeństwa funkcjonalnego

Rolą bezpieczeństwa funkcjonalnego jest wykluczenie niedopuszczalnego ryzyka powstania obrażeń ciała lub uszczerbku na zdrowiu u ludzi poprzez właściwe wdrożenie jednej lub większej liczby funkcji automatycznej ochrony/bezpieczeństwa. Zapewnia ono bezpieczne działanie produktu, urządzenia lub systemu w przypadku wystąpienia usterki. Jest to niezbędne w szerokim zakresie zastosowań przemysłowych, handlowych, a nawet niektórych zastosowań konsumenckich, takich jak:

• Pojazdy autonomiczne
• Bezpieczeństwo maszyn i robotyka
• Przemysłowe systemy sterowania (ICS)
• Konsumenckie produkty do domów inteligentnych
• Fabryki inteligentne i łańcuchy dostaw
• Systemy zabezpieczające i systemy kontroli lokalizacji niebezpiecznych

Na przykład w funkcjonalnie bezpiecznej konstrukcji główny wyłącznik zasilania nadal miałby zapewnione podtrzymanie funkcji wyłączania zasilania, nawet gdyby inne komponenty systemu uległy awarii (ilustracja 1).

Ilustracja 1: w funkcjonalnie bezpiecznym systemie nie mogą występować żadne wątpliwości ani niejednoznaczności co do prawidłowego zadziałania wyłącznika. (Źródło ilustracji: Pilla via City Electric Supply Co.)

Podstawy rezystancyjnych czujników temperatury (RTD)

Dlaczego warto przyjrzeć się temperaturze i bezpieczeństwu funkcjonalnemu? Jednym z dobrych powodów jest to, że temperatura jest najczęściej mierzonym parametrem fizycznym. Często wiąże się ona z zastosowaniami dotyczącymi bezpieczeństwa i zastosowaniami krytycznymi, a do jej pomiaru służy szeroka gama przetworników. Należą do nich rezystancyjne czujniki temperatury (RTD), których koncepcja działania jest prosta: wykorzystują znany i powtarzalny współczynnik temperaturowy rezystancji (TCR) metali takich jak nikiel, miedź i platyna. Najczęściej stosowane są platynowe rezystancyjne czujniki temperatury (RTD) o rezystancji 100Ω i 1000Ω w temperaturze 0°C, a ich zakres temperatur roboczych wynosi od -200°C do +850°C.

W tym przedziale temperatur wspomniane rezystancyjne czujniki temperatury (RTD) charakteryzują się wysoce liniowym stosunkiem rezystancji do temperatury. W sytuacjach wymagających bardzo wysokiej dokładności dostępne są tabele korekt i kompensacji oraz współczynników, które można zastosować. Platynowy rezystancyjny czujnik temperatury (RTD) o nominalnej rezystancji 100Ω (posiadający oznaczenie PT100) charakteryzuje się typową rezystancją 18Ω w temperaturze -200°C oraz 390,4Ω w temperaturze +850°C.

Korzystanie z rezystancyjnego czujnika temperatury (RTD) wymaga jego wzbudzania przy użyciu prądu o znanym natężeniu, zwykle na poziomie ok. 1mA, aby zminimalizować samonagrzewanie. Stosuje się również inne wartości prądu, w zależności od nominalnej rezystancji rezystancyjnego czujnika temperatury (RTD).

Spadek napięcia na rezystancyjnym czujniku temperatury (RTD) mierzy się równocześnie za pomocą analogowego układu front-end (AFE), składającego się ze wzmacniacza z programowanym wzmocnieniem (PGA) oraz, w niemal wszystkich przypadkach, przetwornika analogowo-cyfrowego (ADC) sprzężonego z mikrokontrolerem MCU (ilustracja 2).

Ilustracja 2: wykorzystanie rezystancyjnego czujnika temperatury (RTD) do pomiaru temperatury wymaga przyłożenia do czujnika prądu o znanym natężeniu oraz pomiaru spadku napięcia na nim, a następnie zastosowania prawa Ohma. (Źródło ilustracji: Digi-Key)

Topologia obwodu tego podstawowego schematu jest identyczna z topologią obwodu, gdzie do określania prądu na podstawie obciążenia wykorzystuje się rezystor pomiarowy, z tą różnicą, że w tym drugim przypadku są znane i nieznane inne zmienne. Na potrzeby pomiaru prądu znana jest rezystancja, natomiast prąd jest nieznany, więc równanie wygląda tak: I = V/R. W przypadku rezystancyjnych czujników temperatury (RTD) prąd jest znany, ale rezystancja nie, więc równanie wygląda tak: R = V/I.

Do utrzymania integralności sygnału i maksymalizacji zakresu dynamicznego potrzebny jest wzmacniacz z programowanym wzmocnieniem (PGA), ponieważ poziomy napięcia na rezystancyjnym czujniku temperatury (RTD) mogą wahać się w zakresie od dziesiątek do setek miliwoltów, w zależności od jego typu i temperatury.

Fizyczne połączenie między źródłem wzbudzenia, rezystancyjnym czujnikiem temperatury (RTD) i wzmacniaczem z programowanym wzmocnieniem (PGA) może mieć postać interfejsu dwu-, trzy- lub czteroprzewodowego. Zasadniczo wystarczające są dwa przewody, jednak czasami na przewodach połączeniowych - oprócz innych artefaktów - pojawiają się problemy związane ze spadkiem napięcia spowodowanym przepływem prądu przez rezystancję. Wykorzystanie topologii trójprzewodowej i czteroprzewodowej w bardziej zaawansowanym połączeniu Kelvina zapewnia dokładniejsze i bardziej spójne parametry działania, mimo że zwiększa koszty oprzewodowania (ilustracja 3).

Ilustracja 3: w rezystancyjnym czujniku temperatury (RTD) zasilanie i sygnał pomiarowy mogą być przesyłane zaledwie dwoma przewodami (po lewej), ale użycie trzech (po środku), a nawet czterech (po prawej, połączenie Kelvina) pozwala wyeliminować różne źródła błędów występujących na przewodach. (Źródło ilustracji: Analog Devices)

Zacznijmy od terminologii i norm

Podobnie jak w przypadku wielu innych specjalistycznych zagadnień, w dyskusjach dotyczących bezpieczeństwa funkcjonalnego często przytacza się wiele unikalnych terminów, zbiorów danych i akronimów. Są to między innymi:

• Awarie w czasie (FIT): liczba awarii, których można się spodziewać w czasie jednego miliarda (10 ⁹) godzin pracy urządzenia.
• Analiza typów awarii i ich skutków (FMEA): proces analizy możliwie największej liczby komponentów, zespołów i podsystemów w celu zidentyfikowania potencjalnych typów awarii w systemie oraz ich przyczyn i skutków.
• Analizy skutków poszczególnych typów awarii oraz analizy diagnostyczne (FMEDA): systematyczna technika analizy, której celem jest uzyskanie danych o wskaźnikach awarii poziomu podsystemu/produktu, typach awarii i możliwościach diagnostycznych.

Do pełnej analizy potrzebne są dane o liczbie awarii w czasie (FIT) wraz z analizami skutków poszczególnych typów awarii oraz analizami diagnostycznymi (FMEDA) różnych komponentów systemu. Analiza typów awarii i ich skutków (FMEA) oferuje jedynie informacje jakościowe, natomiast analizy skutków poszczególnych typów awarii oraz analizy diagnostyczne (FMEDA) zapewniają zarówno informacje jakościowe, jak i ilościowe. Pozwala to użytkownikom na mierzenie poziomu krytyczności danego typu awarii oraz porządkowanie ich według istotności. Analizy skutków poszczególnych typów awarii oraz analizy diagnostyczne (FMEDA) obejmują informacje o ryzyku, typach awarii, ich skutkach, informacje diagnostyczne oraz o niezawodności.

• Poziom nienaruszalności bezpieczeństwa SIL: istnieją cztery poziomy nienaruszalności dyskretnej związane z SIL: SIL 1, SIL 2, SIL 3 oraz SIL 4. Im wyższy poziom SIL, tym wyższy związany z nim poziom bezpieczeństwa i mniejsze prawdopodobieństwo, że system nie będzie działał prawidłowo.

Poziom nienaruszalności bezpieczeństwa SIL 2 wskazuje, że istnieje możliwość zdiagnozowania ponad 90% awarii w systemie. W celu certyfikacji projektu projektant systemu musi przedstawić firmie certyfikującej dowody dotyczące potencjalnych awarii, wskazując czy są to awarie bezpieczne, czy niebezpieczne, oraz określić sposoby ich diagnozowania.

• Norma IEC 61508 o oficjalnym brzmieniu „Bezpieczeństwo funkcjonalne elektrycznych/elektronicznych/programowalnych elektronicznych systemów związanych z bezpieczeństwem” (zwana nieformalnie „normą o elektronicznym bezpieczeństwie funkcjonalnym”), jest specyfikacją dla projektów funkcjonalnie bezpiecznych. Dokumentuje ona organizację prac projektowych potrzebną do opracowania części, która uzyska certyfikat SIL. Dokumentacja musi być generowana dla każdego etapu, od koncepcji i definicji, przez projektowanie, rozmieszczanie komponentów, po produkcję, montaż i testy.

Proces ten - znany jako Route 1S - jest skomplikowany. Istnieje jednak alternatywa dla Route 1S, zwana procesem Route 2S. Jest to proces obejmujący weryfikację działania w rzeczywistych zastosowaniach i używa się go, gdy produkt końcowy i system są zbudowane z mnóstwa produktów oraz przepracowały „w terenie” łącznie tysiące godzin.

W ramach procesu Route 2S produkt może uzyskać certyfikat po dostarczeniu organowi certyfikującemu następującej dokumentacji:

• Ilość produktów w rzeczywistej eksploatacji
• Analiza wszystkich przypadków wycofania z eksploatacji oraz szczegółowe informacje potwierdzające, że wycofania te nie były spowodowane awariami samego komponentu
• Arkusz danych dot. bezpieczeństwa zawierający szczegółowe informacje na temat diagnostyki i jej zakresu
• Analizy skutków poszczególnych typów awarii oraz analizy diagnostyczne (FMEDA) dla wtyków i struktur

Dopasowywanie interfejsów rezystancyjnych czujników temperatury (RTD) do procesu certyfikacji SIL Route 2S

Certyfikacja systemu jest procesem długotrwałym, ponieważ wszystkie komponenty systemu muszą zostać poddane przeglądowi pod kątem potencjalnych mechanizmów awarii, a sposobów diagnostyki awarii jest wiele. Korzystanie z części już posiadających certyfikat zmniejsza wymagane nakłady i skraca proces certyfikacji.

Wysoce zintegrowany, sprawdzony interfejs rezystancyjnego czujnika temperatury (RTD) jest kluczem do uproszczenia procesu certyfikacji Route 2S, ponieważ stanowi on kompletny zestaw rozwiązań. Tym samym możemy określić jego pełną charakterystykę, z uwzględnieniem danych dotyczących zastosowania i awarii. Inaczej jest, gdy stosuje się wiele mniejszych układów scalonych stanowiących elementy składowe całości, gdzie na potrzeby konkretnej konfiguracji połączeniowej należy przeanalizować ich różne interfejsy i wzajemne powiązania.

Przykładem jest czterokanałowy układ AD7124-4 (ilustracja 4) oraz podobny ośmiokanałowy układ AD7124-8 (w dalszej części określane zbiorczo jako „AD7124” przy omawianiu ich wspólnych cech). Komponenty te są dobrze dopasowane do procesu Route 2S ze względu na wbudowane funkcje autotestu i diagnostyki, a także dane historyczne w rzeczywistych zastosowaniach.

Ilustracja 4: AD7124-4 to funkcjonalnie kompletny czterokanałowy łańcuch sygnałowy łączący rezystancyjne czujniki temperatury (RTD) z procesorami. (Źródło ilustracji: Analog Devices)

Przedstawione układy scalone stanowią kompletne rozwiązania do wielokanałowego pomiaru z wykorzystaniem rezystancyjnych czujników temperatury (RTD) i zawierają wszystkie elementy potrzebne do konwersji sygnału z czujnika na wyjściowy sygnał cyfrowy oraz do komunikacji z powiązanym mikrokontrolerem. Zawierają one multiplekser wielokanałowy, wzmacniacz z programowanym wzmocnieniem (PGA), 24-bitowy przetwornik analogowo-cyfrowy (ADC) sigma-delta, źródła zasilania dla rezystancyjnego czujnika temperatury (RTD), źródła napięcia referencyjnego na potrzeby wewnętrzne, zegar systemowy, filtry analogowe i cyfrowe oraz trójprzewodowe lub czteroprzewodowe interfejsy z możliwością podłączania komponentów zgodnych z interfejsem urządzeń peryferyjnych (SPI), poczwórnym szeregowym interfejsem urządzeń peryferyjnych (QSPI), interfejsem MICROWIRE oraz DSP.

Jednak samo występowanie tych funkcji nie stanowi podstawy do uzyskania kwalifikacji SIL w procesie Route 2S. Aby można było mówić o funkcjonalnie bezpiecznym projekcie, wymagana jest kompleksowa wbudowana diagnostyka dla wielu funkcji realizowanych przez system z rezystancyjnym czujnikiem temperatury (RTD). Liczne wbudowane funkcje diagnostyczne urządzenia AD7124 minimalizują zarówno złożoność projektu, jak i czas projektowania oraz pozwalają uniknąć konieczności powielania łańcucha sygnałowego w celu zapewnienia odpowiedniego zakresu diagnostyki.

Wspomniane funkcje diagnostyczne to m.in. monitorowanie zasilania, źródeł napięcia referencyjnego i analogowego sygnału wejściowego, a także wykrywanie przerwania ciągłości przewodu łączącego z rezystancyjnym czujnikiem temperatury, sprawdzanie parametrów konwersji i kalibracji; sprawdzanie działania łańcucha sygnałowego, monitorowanie funkcji odczytu/zapisu i monitorowanie zawartości rejestru.

W jaki sposób wspomniane kontrole „wysokiego poziomu” przekładają się na niezbędną diagnostykę w mikroukładzie? Odpowiedź jest wielowymiarowa:

Diagnostyka przez szeregowy interfejs urządzeń peryferyjnych (SPI): dla każdej operacji zapisu do układu AD7124 procesor generuje wartość cyklicznej kontroli nadmiarowej (CRC) dołączoną do informacji wysyłanych do przetwornika analogowo-cyfrowego (ADC). Następnie na podstawie odebranych informacji, przetwornik analogowo-cyfrowy (ADC) generuje własną wartość cyklicznej kontroli nadmiarowej (CRC) i dokonuje ich porównania. Jeśli wartości się ze sobą zgadzają, to informacje są nienaruszone i zostaną zapisane w odpowiednim rejestrze mikroukładu.

Jeśli wartości się nie zgadzają ze sobą, to w transmisji wystąpiło przekłamanie, a układ scalony oflagowuje to jako uszkodzenie danych. Układ AD7124 wyposażono też w funkcję autoochrony poprzez niezapisywanie uszkodzonych informacji do rejestru.

Podobna procedura cyklicznej kontroli nadmiarowej (CRC) jest używana podczas odczytywania informacji z urządzenia AD7124 do procesora systemowego. Wreszcie interfejs zlicza również impulsy zegarowe, sprawdzając, czy w każdej ramce danych odczytu i zapisu istnieje ich tylko osiem oraz zapewniając tym samym, że nie doszło do usterki zegara.

Kontrole pamięci: cykliczna kontrola nadmiarowa (CRC) służy również do walidacji zawartości rejestru w momencie włączania zasilania lub każdorazowo przy zmianie rejestrów mikroukładu (np. przy zmianie wzmocnienia). Proces cyklicznej kontroli nadmiarowej (CRC) jest również wykonywany okresowo w celu zapewnienia, że żaden bit pamięci nie zmienił swojej wartości z powodu zakłóceń lub innych przyczyn. Jeśli zmiana wystąpi i procesor zostanie poinformowany o uszkodzeniu ustawień rejestru, może on zresetować przetwornik analogowo-cyfrowy (ADC) i ponownie wczytać rejestry.

Kontrole łańcucha sygnałowego: wszystkie krytyczne napięcia statyczne można sprawdzić za pośrednictwem przetwornika analogowo-cyfrowego (ADC) Dotyczy to również szyn zasilających, wyjść regulatorów o niskim spadku (LDO) i napięć referencyjnych. Sprawdzać można także, czy w regulatorze napięcia o niskim spadku (LDO) występuje kondensator zewnętrzny. Ponadto w celu sprawdzenia przetwornika analogowo-cyfrowego (ADC) oraz ustawień funkcji wzmocnienia, na jego wejściu można przyłożyć znane napięcie. Oprócz tego na wejściach analogowych można ustawiać znane wartości natężenia prądu w celu kontroli pod kątem przerwania ciągłości połączenia z rezystancyjnym czujnikiem temperatury (RTD) lub jego zwarcia.

Konwersja i kalibracja: rezultaty konwersji przetwornikiem analogowo-cyfrowym (ADC) są stale sprawdzane pod kątem tego, czy wartość nie jest całkowicie zerowa lub pełnoskalowa - każdy z tych scenariuszy oznacza problem. Strumień bitów z modulatora w rdzeniu przetwornika analogowo-cyfrowego (ADC) jest monitorowany w celu zapewnienia, że nie wystąpiło nasycenie. W przypadku nasycenia (co wymaga pojawienia się 20 następujących po sobie jedynek lub zer z modulatora), ustawiana jest flaga błędu.

Częstotliwość zegara głównego: częstotliwość tego zegara nie tylko kontroluje współczynniki konwersji, ale także wyznacza częstotliwości środkowozaporowe filtrów cyfrowych 50/60Hz. Dzięki rejestrowi wewnętrznemu w urządzeniu AD7124, towarzyszący procesor może wykonywać synchronizację czasową zegara głównego, a tym samym weryfikować jego dokładność.

Funkcje dodatkowe: urządzenie AD7124 zawiera czujnik temperatury, który może być również używany do monitorowania temperatury struktury. Obie wersje posiadają ochronę przed wyładowaniami elektrostatycznymi (ESD) na poziomie 4kV, zapewniającą dobre parametry działania i są umieszczone w obudowie CSP (chip scale package) z ramką wyprowadzeniową o wymiarach 5 × 5mm, która jest odpowiednia do projektów samoistnie bezpiecznych.

Ze względu na wewnętrzną złożoność, wyrafinowanie i zaawansowane funkcje autotestowania urządzeń AD7124-4 i AD7124-8, warto zastosować środki pozwalające na testowanie i ewaluację wspomnianych układów scalonych.

W tym celu firma Analog Devices oferuje parę połączonych płytek: płytka ewaluacyjna EVAL-AD7124-4SDZ dla układu AD7124-4 (ilustracja 5) oraz towarzysząca jej płytka interfejsu EAL-SDP-CB1Z SDP (platforma demonstracyjna systemu) (ilustracja 6). Pierwsza z nich jest przeznaczona dla urządzeń AD7124-4 i działa w połączeniu z drugą płytką, która zapewnia komunikację z komputerem i oprogramowaniem ewaluacyjnym użytkownika za pomocą łącza USB.

Ilustracja 5: płytka ewaluacyjna EVAL-AD7124-4SDZ przeznaczona dla urządzenia AD7124-4. (Źródło ilustracji: Analog Devices)

Ilustracja 6: płytka interfejsu EVAL-SDP-CB1Z/ jest produktem powiązanym z płytką ewaluacyjną EVAL-AD7124-4SDZ i zapewnia połączenie USB z komputerem hosta PC. (Źródło ilustracji: Analog Devices)

Układ ewaluacyjny obsługuje oprogramowanie AD7124-4 EVAL +, które w pełni konfiguruje funkcje rejestru urządzenia AD7124-4 i odpowiada za wykonywanie operacji układu scalonego. Zapewnia również analizę w dziedzinie czasu w postaci wykresów przebiegów, histogramów i związanej z nimi analizy szumów na potrzeby ewaluacji parametrów przetwornika analogowo-cyfrowego (ADC).

Przejście na projekt funkcjonalnie bezpieczny

Ważne jest, aby zdawać sobie sprawę, że urządzenia AD7124-4 i AD7124-8 nie gwarantują poziomu nienaruszalności bezpieczeństwa (SIL), co oznacza, że nie są projektowane i opracowywane zgodnie z wytycznymi dotyczącymi określonymi w normie IEC 61508. Jednak dzięki zrozumieniu końcowego zastosowania i właściwemu wykorzystaniu różnych metod diagnostycznych, można dokonać ich oceny na potrzeby użycia w projektach o wyznaczonym poziomie nienaruszalności bezpieczeństwa (SIL).

W przypadku certyfikacji w procesie Route 1S istnieje mnóstwo wymagających uwagi kwestii dotyczących analizy i usuwania awarii natury systemowej lub losowej. Awarie systemowe wynikają z niedociągnięć projektowych lub wykonania, takich jak przerwanie sygnału z powodu zakłóceń na skutek braku filtrowania zewnętrznego wtyku przerwań lub niewystarczającego zapasu dla sygnału. Z kolei awarie losowe wynikają z przyczyn fizycznych, takich jak korozja, naprężenia termiczne czy zużycie.

Ważnym problemem są tzw. niewykryte awarie niebezpieczne, z którymi można sobie poradzić wieloma technikami. Aby zminimalizować awarie przypadkowe, projektanci stosują co najmniej jedną z poniższych trzech taktyk:

• Bardziej niezawodne, mniej podatne na naprężenia komponenty.
• Diagnostyka polegająca na wbudowanych mechanizmach wykrywania zaimplementowanych w formie sprzętu lub oprogramowania.
• Tolerancja na usterki poprzez redundancję obwodów. Dodanie jednej redundantnej ścieżki zapewnia tolerancję pojedynczej awarii. Nazywa się to systemem o tolerancji na usterki sprzętowe 1 (HFT 1), co oznacza, że jedna awaria nie może spowodować awarii całego systemu.

Jednym z narzędzi pozwalającym zrozumieć poziomy nienaruszalności bezpieczeństwa (SIL) jest tabela wskazująca odsetek awarii bezpiecznych (SFF) (poziom zakresu diagnostyki) i tolerancję na usterki sprzętowe (redundancję) (ilustracja 7).

Ilustracja 7: tabela charakteryzuje odsetek awarii bezpiecznych (SFF) w odniesieniu do tolerancji na usterki sprzętowe (HFT) oraz daje wgląd w odpowiadające im poziomy nienaruszalności bezpieczeństwa (SIL). (Źródło ilustracji: Analog Devices)

W wierszach przedstawiono zakres diagnostyki, natomiast kolumny ukazują tolerancję na usterki sprzętowe. Tolerancja na usterki sprzętowe (HFT) równa 0 oznacza, że jeśli w systemie wystąpi jedna awaria, stan bezpieczeństwa zostanie utracony. Im wyższy poziom diagnostyki, tym niższy wymagany stopień redundancji systemu.Jeśli założymy brak zmiany stopnia redundancji (na tabeli przesuwamy się w dół), to poziom nienaruszalności bezpieczeństwa (SIL) danego rozwiązania wzrasta.

Należy zauważyć, że analizy skutków poszczególnych typów awarii oraz analizy diagnostyczne (FMEDA) dla typowego rozwiązania do pomiaru temperatury wykorzystującego omawiane urządzenia wykazują odsetek awarii bezpiecznych (SFF) wyższy od 90%, zgodnie z normą IEC 61508. Zwykle do zapewnienia tego poziomu poprzez redundancję wymagane byłyby dwa tradycyjne przetworniki analogowo-cyfrowe (ADC), ale układ AD4172 wymaga tylko jednego, co tym samym oferuje znaczne oszczędności finansowe dzięki skróceniu wykazu materiałów (BOM) oraz oszczędność miejsca na płytce.

Dokumentacja dla projektów o określonym poziomie nienaruszalności bezpieczeństwa (SIL)

Do przejścia certyfikacji w ramach procesu Route 1S potrzebna jest obszerna dokumentacja. Do niezbędnych dokumentów źródłowych należą:

• Arkusz danych dot. bezpieczeństwa (instrukcja bezpieczeństwa dla części, dla której określany jest poziom SIL)
• Analiza skutków poszczególnych typów awarii oraz analizy diagnostyczne (FMEDA) ze wskazaniem typów awarii oraz ich skutków
• Załącznik F - lista kontrolna (określona w normie IEC 61508)

Dokumentacja ta pochodzi z różnych źródeł (ilustracja 8):

• Dane diagnostyczne z arkusza danych opisują wszystkie funkcje diagnostyczne dostępne w danej części.
• Dane projektowe odnoszą się do danych wewnętrznych. Na przykład obszar struktury i wpływ poszczególnych wewnętrznych bloków części.
• W księdze specyfikacji podane są wskaźniki liczby awarii w czasie (FIT) dla różnych komponentów.
• Na blokach, których nie da się przeanalizować pod kątem danych projektowych i diagnostycznych przeprowadzane są próby polegające na wymuszaniu usterek. Są one planowane w oparciu o wymagania konkretnego zastosowania, a ich wyniki są wykorzystywane do wzbogacenia analiz FMEDA i FMEA.

Ilustracja 8: w celu dostarczenia kompletnego pakietu informacji niezbędnego do certyfikacji poziomu nienaruszalności bezpieczeństwa (SIL) wymagane jest zebranie i zestawienie dokumentacji z różnych źródeł. (Źródło ilustracji: Analog Devices)

Bliżej przyglądając się szczegółom:

• W celu spełnienia niezbędnych wymagań umożliwiających integrację urządzenia AD7124-4 lub AD7124-8, wszystkie skompilowane informacje umieszcza się w instrukcji bezpieczeństwa lub w arkuszu danych dot. bezpieczeństwa. Dokument ten stanowi zestawienie całej diagnostyki i wszystkich analiz z różnych dokumentów i zbiorów danych.
• W ramach analiz skutków poszczególnych typów awarii oraz analiz diagnostycznych (FMEDA) struktur urządzeń AD7124-4 i AD7124-8 analizuje się główne bloki schematu zastosowania, identyfikuje się typy i skutki awarii oraz sprawdza się diagnostykę i analizy dla określonej funkcji bezpieczeństwa. Na przykład analiza modułu zegara obejmuje typy awarii, wpływ każdej z nich na dane wyjściowe, zakres diagnostyki oraz analizę wpływu (ilustracja 9).

Ilustracja 9: tabela określa typ awarii głównego bloku zegara, jej skutki, diagnostykę oraz analizę. (Źródło ilustracji: Analog Devices)

Wynikiem analiz skutków poszczególnych typów awarii oraz analiz diagnostycznych (FMEDA) dla struktur jest ilościowa prezentacja wskaźników awarii bezpiecznych, wykrytych awarii niebezpiecznych i niewykrytych awarii niebezpiecznych. Wszystko to służy do obliczania odsetka awarii bezpiecznych (SFF).

W analizach skutków poszczególnych typów awarii oraz analizach diagnostycznych (FMEDA), na awarie patrzy się z innej perspektywy. Tutaj przeprowadza się analizę różnego rodzaju awarii na wtykach urządzeń AD7124-4 i AD7124-8 oraz dokonuje interpretacji ich wyników pod kątem zastosowań z rezystancyjnymi czujnikami temperatury (RTD). Analizy takie robi się dla każdego wtyku indywidualnie, a wynik opisuje w sytuacjach, gdy dojdzie do przerwania ciągłości połączenia z wtykiem, jego zwarcia do źródła zasilania lub masy lub zwarcia do sąsiedniego wtyku.

Lista kontrolna stanowiąca załącznik F umożliwia kontrolę środków projektowych pozwalających uniknąć powtarzających się awarii. Obejmuje ona następujące punkty:

• Omówienie produktu
• Informacje o zastosowaniu
• Koncepcja bezpieczeństwa
• Przewidywany okres użytkowania
• Liczba awarii w czasie (FIT)
• Obliczenia na potrzeby analiz skutków poszczególnych typów awarii oraz analiz diagnostycznych (FMEDA) - odsetek awarii bezpiecznych (SFF) i zakres diagnostyczny (DC)
• Mechanizmy bezpieczeństwa sprzętu
• Opis diagnostyki
• Odporność i kompatybilność elektromagnetyczna (EMC)
• Praca w konfiguracjach redundantnych
• Załączniki i wykaz dokumentów

Podsumowując, certyfikacja bezpieczeństwa funkcjonalnego dla nowo wprowadzanego komponentu w procesie Route 1S jest długa, złożona, czasochłonna, pracochłonna i kompleksowa. Na szczęście, jak wspomniano powyżej, istnieje proces Route 2S, będący alternatywnym rozwiązaniem, które jest opłacalne dla niektórych komponentów.

Route 2S: alternatywna droga

Proces znany jako Route 2S ma zastosowanie do dopuszczonych części, które posiadają historię wykorzystania w rzeczywistych zastosowaniach oraz powiązane z tym dane, a także posiadają status sprawdzonych w praktyce. Opiera się on na analizie dokonywanych przez klientów zwrotów oraz liczbie wysyłanych urządzeń. Nie można go stosować dla nowych części, które mają krótką historię wykorzystania w rzeczywistych zastosowaniach lub nie mają jej wcale.

Proces Route 2S umożliwia certyfikację pod kątem poziomu nienaruszalności bezpieczeństwa (SIL) tak, jakby część została poddana pełnej analizie według wymagań normy IEC 61508. Jest on dostępny dla projektantów modułów i systemów, którzy z powodzeniem wykorzystywali dany układ scalony w przeszłości i z doświadczenia znają jego wskaźnik awarii. Wbudowane funkcje testowania i weryfikacji, wraz z danymi dotyczącymi parametrów działania, sprawiają, że urządzenia AD7214-4 i AD7214-8 są dobrymi kandydatami do certyfikacji w procesie Route 2S.

Przeprowadzenie procesu Route 2S wymaga szczegółowych i statystycznie istotnych danych dotyczących zwrotów oraz awarii. Wymaganie to jest znacznie trudniej spełnić dostawcom układów scalonych niż dostawcom płytek i modułów. Jest tak dlatego, że ci pierwsi zazwyczaj nie mają wystarczającej wiedzy na temat wykorzystania produktów w praktyce, czy tego, jaki procent uszkodzonych urządzeń jest zwracanych do analizy.

Podsumowanie

Proces Route 1S realizowany na potrzeby certyfikacji bezpieczeństwa funkcjonalnego nowych produktów jest dokładny, kompleksowy i szczegółowy. Stwarza on również wyzwania techniczne i jest zdecydowanie czasochłonny. Natomiast proces Route 2S pozwala na certyfikację opracowanych produktów w oparciu o dane o eksploatacji w praktyce, awariach oraz dane analityczne. Jest to użyteczny proces, który można zastosować dla układów scalonych interfejsów rezystancyjnych czujników temperatury (RTD) AD7214-4 i AD7214-8, jako, że interfejsy te posiadają wymaganą historię. Równie ważne jest to, że omawiane układy scalone zawierają wiele funkcji diagnostycznych, autotestu oraz funkcji, dzięki którym są one odpowiednimi kandydatami do takiej certyfikacji.

Powiązane treści

1. Projektowanie i certyfikacja funkcjonalnie bezpiecznych systemów opartych na rezystancyjnych czujnikach temperatury (RTD)
2. Prosta realizacja w pełni zintegrowanego 4-przewodowego systemu pomiaru temperatury z rezystancyjnym czujnikiem temperatury (RTD) do zastosowań wymagających pomiaru o wysokiej precyzji
3. Interfejsy i linearyzacja rezystancyjnych czujników temperatury (RTD)