כיצד לתכנן ולהסמיך מערכות מבוססות RTD בטוחות פונקציונלית

מאת ‎ביל שוובר

באדיבות ‎DigiKey's North American Editors

2023-07-24

גלאי טמפרטורה התנגדותי (RTD), הכולל מתמר (Transducer) ומעגל אכשור אות קצה-קדמי אנלוגי (AFE) שלו, הוא מדויק, אמין ונמצא בשימוש נרחב. עם זאת, עבור יישומי אמינות-גבוהה וקריטיים-למשימה, דרוש לעתים קרובות לתכנן ולהבטיח מערכת בטוחה פונקציונלית באמצעות תהליך הסמכת רכיב Route 1S או Route 2S.

הסמכת מערכת לבטיחות פונקציונלית (functional safety) היא‏ תהליך מורכב, מאחר וכל הרכיבים במערכת חייבים להיבדק מבחינת מצבי ומנגנוני כשל פוטנציאליים. ישנן שיטות שונות לאבחן כשלים, ושימוש בחלקים שכבר מוסמכים מקל על עומס עבודה זה ועל תהליך ההסמכה.

שים לב ש“אמינות” קשורה אך לא זהה לבטיחות פונקציונלית. במונחים הפשוטים ביותר שלה, אמין מתייחס לתכן ומימוש העובד בהתאם למפרט ללא בעיות או כשל, בעוד “בטוח פונקציונלית” פירושו שכל הכשלים חייבים להתגלות על ידי התכן. אמינות כמו גם בטיחות פונקציונלית הן דרושות עבור יישומים קריטיים.

מאמר זה יביט על מושגי היסוד של גלאי RTD ומעגלי אכשור האות שלהם בהקשר של הסמכת אבטחה פונקציונלית. אחר כך ידון ברמות השונות של אמינות והסמכות כשל, ומה נדרש כדי לעמוד בהן בשני המסלולים. שני מעגלים-משולבים RTD AFE רב-ערוציים, זוג ה-AD7124 מבית Analog Devices‏, יחד עם סידור לוח הערכה נלווה, ישמשו להדגים את נקודות המפתח.

התפקיד של בטיחות פונקציונלית

התפקיד של בטיחות פונקציונלית הוא לספק חופש‏ מסיכון בלתי קביל של פציעה או נזק לבריאות של בני-אדם באמצעות המימוש הנכון של אחת או יותר מפונקציות ההגנה/האבטחה האוטומטיות. היא מבטיחה שהמוצר, ההתקן או המערכת תמשיך לתפקד בבטחה במקרה של‏ תקלה. זה דרוש במגוון רחב של יישומים תעשייתיים, מסחריים ואפילו צרכניים מסוימים, כגון:‏

  • כלי רכב אוטונומיים
  • בטיחות מכונות ורובוטיקה 
  • מערכות בקרה תעשייתית (ICS)
  • מוצרי בית חכם צרכניים
  • מפעלים חכמים ושרשראות אספקה
  • מערכות מכשור-בטיחות ומערכות בקרה במקומות מסוכנים

לדוגמה, בתכן בטוח פונקציונלית, הפעולה של מפסק חשמל הפעלה/כיבוי מרכזי עדיין‏ תתמוך בניתוק החשמל, אפילו אם רכיבים אחרים במערכת כשלו (איור 1).

תמונה של כפתור עצירת חירוםאיור 1‏: במערכת בטוחה‏ פונקציונלית, לא יכול להיות ספק או אי-בהירות שמפסק זה יעשה מה שהוא מתוכנן לעשות. (מקור תמונה: .Pilla via City Electric Supply Co)

יסודות גלאי RTD

מדוע להסתכל על טמפרטורה ובטיחות פונקציונלית? סיבה אחת טובה היא שטמפרטורה היא הפרמטר הפיזיקלי הנמדד ביותר. לרוב היא קשורה לבטיחות או יישומים קריטיים, והיא נתמכת על ידי מבחר רחב של מתמרים (Transducers). בין אלה נמצאים גלאי RTD, שהם פשוטים מבחינה קונספטואלית: הם ממנפים את מקדם הטמפרטורה של ההתנגדות (TCR‏) הידוע והעקבי של מתכות כמו ניקל, נחושת ופלטינה. גלאי RTD פלטינה עם התנגדות של 100 אוהם ‏(Ω‏) ו-‎1000 Ω‏ ב-‏‎0°C‏ הם הנפוצים ביותר בשימוש וניתנים לשימוש בתחום של 200‎°C- עד ‎850°C+.

גלאי RTD אלה הם בעלי התנגדות ליניארית במידה רבה ביחס לטמפרטורה בתחום טמפרטורות זה; עבור מצבי דיוק אולטרה-גבוה, ישנן טבלאות תיקון וקיזוז וגורמים שניתנים ליישם. לגלאי ה-RTD פלטינה עם‏ התנגדות נומינלית של Ω‏ 100‏ (מצוין כ-PT100) יש התנגדות אופיינית של ‎18 Ω‏ ב-‎200°C- ו-390.4‎ Ω ‏ב-850‎°C+.

שימוש בגלאי RTD דורש את ערורו בזרם‏ ידוע שמוחזק בדרך כלל סביב 1 מילי-אמפר (mA‏‏) כדי להקטין למינימום חימום-עצמי. ערכי זרם נוספים נמצאים גם כן בשימוש, תלוי בהתנגדות הנומינלית של גלאי ה-RTD.

מפל המתח על ה-RTD נמדד בו-זמנית דרך AFE הכולל מגבר הגבר-ניתן-לתכנות (PGA), וכמעט בכל המקרים, ממיר אנלוגי-לדיגיטלי (ADC) בשיתוף עם יחידת מיקרו-בקר (MCU) (איור 2‏).

תרשים של שימוש בגלאי RTD כדי למדוד טמפרטורהאיור 2‏: שימוש בגלאי RTD כדי למדוד טמפרטורה דורש דחיפת זרם ידוע דרך ה-RTD ומדידת מפל המתח עליו, אחר כך יישום חוק אוהם (Ohm). (מקור תמונה: Digi-Key)

טופולוגיית המעגל של תרשים בסיסי זה זהה לשימוש בנגד חישה כדי לקבוע זרם דרך עומס, אך כאן המשתנה הידוע והמשתנה הלא ידוע מתחלפים. עבור חישת זרם, ההתנגדות ידועה בעוד הזרם לא ידוע, כך שהחישוב הוא I = V/R. במקרה של גלאי RTD, הזרם ידוע, אך ההתנגדות לא ידועה, כך שהחישוב הוא R = V/I.

מגבר ה-PGA נחוץ כדי לשמור על שלמות אות (Signal Integrity) ולמקסם תחום דינמי, כשרמות המתח על ה-RTD יכולות לנוע מעשרות מילי-וולט עד מאות מילי-וולט, תלוי בסוג ה-RTD ובטמפרטורה.

החיבור הפיזי בין מקור העירור, ה-RTD וה-PGA יכול להיות ממשק של שניים, שלושה או ארבעה חוטים.‏ בעוד שני חוטי מוליך מספיקים באופן עקרוני, ישנן סוגיות הקשורות למפל IR בחוטים המוליכים המקשרים, יחד עם תוצאות לוואי אחרות. על ידי שימוש בטופולוגיות של שלושה וארבעה חוטים בחיבור‏ Kelvin‏ יותר מתקדם מקבלים ביצועים יותר מדויקים ועקביים, אפילו שהדבר מעלה את עלויות החיווט (איור 3‏).

תרשים של גלאי RTD הניתן לדחיפה וחישה באמצעות שני חוטים מוליכים בלבד (שמאל), שלושה חוטים מוליכים (מרכז) ואפילו ארבעה חוטים מוליכים (ימין, חיבור Kelvin‏)איור 3: גלאי ה-RTD ניתן לדחיפה וחישה באמצעות שני חוטים מוליכים בלבד (שמאל), אך השימוש בשלושה חוטים מוליכים (מרכז) ואפילו ארבעה חוטים מוליכים (ימין, חיבור Kelvin‏) מאפשר מניעת מקורות שגיאה שונים בשל החוטים. (מקור תמונה: Analog Devices)

נתחיל במונחים ותקנים

כמו בתחומי מומחיות רבים, לבטיחות פונקציונלית יש מונחים ייחודיים רבים, קבוצות נתונים וראשי תיבות הנמצאים בשימוש נרחב בדיונים קשורים. בין אלה ניתן למצוא:

  • כשלים בזמן (Failures in time‏ (FIT)): מספר הכשלים שניתן לצפות במיליארד (‎109) שעות של פעולת התקן.
  • מצבי כשל וניתוח אפקטים (Failure modes and effects analysis‏ (FMEA)): התהליך של בחינת כמה שיותר רכיבים, מכלולים ותתי-מערכות כדי לזהות מצבי כשל אפשריים במערכת, הסיבות וההשפעות שלהם.
  • מצבי כשל, אפקטים וניתוחי אבחון (Failure modes effects and diagnostic analyses‏ (FMEDA)): ‏טכניקת ניתוח שיטתית כדי לקבל קצבי כשל ברמת מוצר/תת-מערכת, מצבי כשל ויכולת אבחון.

עבור ניתוח מלא דרושים נתוני FIT ביחד עם מצבי כשל, אפקטים וניתוחי אבחון (FMEDAs) של רכיבים שונים במערכת. FMEA מציע מידע איכותי בלבד, בעוד FMEDA מציע מידע איכותי כמו גם כמותי, דבר המאפשר למשתמשים למדוד רמה של קריטיות למצבי כשל וסידורם בהתאם לחשיבות. FMEDA מוסיף מידע על סיכון, מצבי כשל, השפעות וניתוח אבחון ואמינות.

  • רמת תקינות בטיחות (Safety Integrity Level‏ (SIL‏)): ישנן ארבע רמות תקינות בדידות קשורות עם SIL‏: SIL 1,‏ SIL 2,‏ SIL 3 ו-SIL 4. ככל שרמת ה-SIL גבוהה יותר, כך גבוהה יותר ‏רמת הבטיחות, ונמוכה יותר ההסתברות שמערכת תיכשל לתפקד כהלכה.

דרוג‏ SIL 2 מצביע על כך שניתן לאבחן מעל 90% של כשלים במערכת. כדי לקבל הסמכה של תכן, מתכנן המערכת חייב לספק הוכחה לארגון המסמיך על הכשלים הפוטנציאליים, באם אלה כשלים בטוחים או כשלים מסוכנים, וכיצד ניתן לאבחן את הכשלים.

  • IEC 61508, הנקרא פורמלית “בטיחות פונקציונלית של מערכות קשורות-בטיחות חשמליות/אלקטרוניות/אלקטרוניות ניתנות-לתכנות" (“Functional Safety of Electrical/Electronic/Programmable Electronic Safety-related Systems”) (ולא פורמלית נקרא "בטיחות פונקציונלית אלקטרונית" ( “Electronic Functional Safety”)), הוא המפרט עבור תכנים בטוחים פונקציונלית. הוא מתעד את תזרים התכנון הדרוש כדי לפתח חלק מוסמך-SIL‏. חייבים להפיק תיעוד עבור כל צעד, מקונספט והגדרה עד תכנון, מתווה, ייצור, הרכבה ובדיקה.

תהליך זה ידוע כ-Route 1S והוא מסובך. עם זאת, ישנה חלופה ל-Route 1S הנקראת תזרים Route 2S. זהו נתיב “מוכח בשימוש” (“proven in use”) והוא ישים כשנפחים גדולים של המוצר תוכננו כמוצרים סופיים ומערכות ומשמשים בשדה עם אלפי שעות עבודה מצטברות.

תחת תזרים Route 2S,‏ מוצר עדיין יכול להיות מוסמך על ידי אספקת הוכחה לרשות ההסמכה של:

  • נפחים הנמצאים בשימוש בשדה
  • ניתוח של החזרות כלשהן מהשדה ופרטים שההחזרות לא נבעו מכשלים בתוך הרכיב עצמו
  • גיליון נתוני בטיחות המפרט את בדיקות האבחון והכיסוי שהן מספקות
  • FMEDA של הפינים ופיסת-הסיליקון

מיזוג ממשקי RTD עם תזרים SIL Route 2S

הסמכת מערכת היא תהליך ארוך, מאחר וכל הרכיבים במערכת חייבים להיבחן מבחינת מנגנוני כשל פוטנציאליים, וישנן שיטות שונות לאבחן כשלים. שימוש בחלקים שכבר מוסמכים מפחית את המאמץ הדרוש ומקצר את תהליך ההסמכה.

רכיב ממשק RTD בוגר, משולב במידה רבה, הוא מפתח להסמכת Route 2S קלה, מאחר והוא מגדיר חבילת פתרונות שלמה ובכך ניתן לאפיון מלא עם נתונים הקשורים לשימוש בשדה וכשלים. זה שונה מהשימוש במעגלים-משולבים (ICs) מרובים שהם אבני-יסוד קטנים יותר, היכן שיש לנתח את האינטראקציות והממשקים השונים שלהם עבור תצורת החברור הספציפית בה משתמשים.

דוגמה לכך היא ה-AD7124-4 ארבעה-ערוצים (איור 4‏), וה-AD7124-8 שמונה-ערוצים הדומה (התיחסות קולקטיבית בהמשך כ-“AD7124” כשנדון במאפיינים המשותפים הרבים שיש להם). רכיבים אלה הם התאמה‏ טובה לתזרים ה-Route 2S הודות לבדיקה-העצמית ומאפייני האבחון המשובצים שלהם, כמו גם “רקורד הביצועים” שלהם בשדה.

תרשים של שרשרת אותות חיישן-למעבד RTD שלמה פונקציונלית Analog Devices AD7124-4איור 4: ה-AD7124-4 ארבעה-ערוצים הוא שרשרת אותות חיישן-למעבד RTD שלמה פונקציונלית. (מקור תמונה: Analog Devices)

מעגלים-משולבים (ICs) אלה הם פתרונות שלמים עבור מדידת RTD רב-ערוצי וכוללים את כל אבני היסוד הדרושים מחיישן אל יציאה דיגיטלית ועבור תקשורת עם מיקרו-בקר קשור. הם הכוללים את המרבב (Multiplexer) הרב-ערוצי, PGA,‏ ממיר ADC סיגמא-דלתא ‎24-bit, מקורות זרם עבור גלאי ה-RTD, מתחי ייחוס עבור עבודה פנימית, שעון מערכת, סינון אנלוגי ודיגיטלי, וממשקים טוריים שלושה-חוטים או ארבעה-חוטים עבור חברורי SPI,‏ QSPI‏, MICROWIRE‏, ותואמי-DSP.

עם זאת, הנוכחות של פונקציות אלו אינה מספקת אינהרנטית בסיס עבור הסמכת SIL Route 2S. עבור תכן בטוח פונקציונלית, ‏דרוש מערך משובץ של דיאגנוסטיקה עבור הפונקציות הרבות המרכיבות את מערכת ה-RTD. הדיאגנוסטיקות המשובצות המרובות ב-AD7124 מקטינות למינימום את מורכבות התכנון וזמן התכנון, ומונעות את הצורך לשכפל את שרשרת האותות עבור כיסוי דיאגנוסטיקה.

דיאגנוסטיקות אלו כוללות, אך אינן מוגבלות לניטור של ספק-הכוח, מתח ייחוס וכניסה אנלוגית; גילוי של‏ חוט פתוח אל גלאי ה-RTD; בדיקת ביצועי ההמרה והכיול; בדיקת הפונקציונליות של שרשרת האותות; ניטור של פונקציות הקריאה/כתיבה; וניטור תכולת האוגר.

כיצד הצהרות “רמה גבוהה” אלו מתורגמות לדיאגנוסטיקה המשובצת הדרושה? ישנם היבטים רבים לתשובה, כולל:

דיאגנוסטיקת SPI: עבור כל כתיבה ל-AD7124, המעבד מחולל ערך ‏בדיקת יתירות מחזורית (CRC) שמצורף למידע הנשלח ל-ADC. ה-ADC מחולל אחר כך ערך CRC משלו מהמידע שהתקבל ומשווה אותו לערך ה-CRC שהתקבל מהמעבד. אם יש התאמה בין שני הערכים, המידע שלם ויכתב לאוגר הרלוונטי בשבב.

אם אין התאמה בין הערכים, משמעות הדבר שקרתה השחתה בהעברה, והמעגל-המשולב מפעיל דגלון שגיאה המציין שקרתה השחתת נתונים. ה-AD7124 גם מבצע הגנה-עצמית על ידי אי כתיבת הנתונים המושחתים באוגר.

הליך CRC דומה משמש כשמידע נקרא מה-AD7124 למעבד המערכת. לבסוף, הממשק גם סופר פולסים של שעון כדי להבטיח שישנם שמונה פולסים כאלה בלבד עם כל קריאה או כתיבה של מסגרת נתונים, ובכך מבטיח שלא קרה Glitch‏ של שעון.

בדיקות זיכרון: CRC גם משמש לתיקוף תכולות אוגר בהדלקה או בכל פעם שאוגרים על-השבב משתנים (לדוגמה כשמשנים את ההגבר). תהליך ה-CRC גם מבוצע באופן מחזורי כדי להבטיח שאין ביט זיכרון שעבר "היפוך" בשל רעש או סיבות אחרות. אם יש שינוי וכתוצאה מכך המעבד מקבל איתות דגלון שהגדרות האוגר הושחתו, הוא יכול לאפס את ה-ADC ולטעון מחדש את האוגרים.‏

בדיקות שרשרת אותות: כל המתחים הסטטיים הקריטיים ניתנים לבדיקה דרך ה-ADC, כולל פסי ספק-כוח, יציאות מייצב ירידה-נמוכה (LDO) ומתחי ייחוס; הנוכחות או ההעדרות של הקבל החיצוני על פני ה-LDO גם כן ניתן לבדיקה. נוסף לכך, ניתן ליישם מתח ידוע לכניסת ה-ADC כדי לבדוק את ה-ADC ואת הגדרות פונקציית ההגבר. יתרה מזאת, ניתן להזריק זרמים ידועים בכניסות האנלוגיות כדי לבדוק אם ה-RTD מנותק או מקוצר.

המרה וכיול: התוצאות של המרת ה-ADC נבדקות באופן שוטף כדי לראות אם הן תקועות על הכל אפס או מקסימום, כששני המקרים מצביעים על בעיה. זרם הביטים מהמודולטור בליבת ה-ADC מנוטר כדי להבטיח שלא עבר לרוויה, ואם קורית רוויה (זאת אומרת היו 20 אחדים או אפסים עוקבים מהמודולטור) מופעל דגלון שגיאה.

תדר שעון ראשי: התדר של שעון זה לא רק מבקר קצבי המרה אלא גם קובע את תדרי החסימה של המסננים הדיגיטליים ‎50/60 Hertz‏ (Hz). אוגר פנימי ב-AD7124 מאפשר למעבד המלווה לתזמן ובכך לבדוק את הדיוק של השעון הראשי.

מאפיינים נוספים: ה-AD7124 כולל‏ חיישן טמפרטורה, שגם יכול לשמש לניטור טמפרטורת פיסת-הסיליקון. שתי הגרסאות הן בעלות דרוג פריקה אלקטרוסטטית (ESD) של 4 קילו-וולט (kV‏‏) עבור ביצועים איתנים, ושתיהן נתונות במארז LFCSP בגודל ‏5‏ ×‏ ‏5‏ מילימטר (mm) המתאים עבור תכנים‏ בטוחים אינטרינזית.

בשל המורכבות הפנימית, התחכום ומאפייני הבדיקה-העצמית המתקדמים של ה-AD7124-4 וה-AD7124-8, הגיוני שיהיה אמצעי שבאמצעותו ניתן להפעיל ולהעריך את המעגלים-המשולבים (ICs).

כדי להשיג את זה, Analog Devices‏ מציעה זוג לוחות מחוברים: לוח ההערכה EVAL-AD7124-4SDZ עבור ה-AD7124-4 (איור 5‏), ובן-הלוויה EVAL-SDP-CB1Z SDP (פלטפורמה להדגמת מערכת)/לוח ממשק (איור 6‏). הראשון הוא ספציפי ל-AD7124-4 ועובד בשיתוף עם האחרון, שמספק תקשורת עם ה-PC של המשתמש ותוכנת הערכה דרך קישור USB.

תמונה של לוח הערכה Analog Devices EVAL-AD7124-4SDZ עבור ה-AD7124-4איור 5: ה-EVAL-AD7124-4SDZ הוא לוח הערכה עבור ה-AD7124-4. (מקור תמונה: Analog Devices)

תמונה של לוח ממשק Analog Devices EVAL-SDP-CB1Zאיור 6‏: לוח הממשק EVAL-SDP-CB1Z‏ הוא לוח מלווה של לוח ההערכה EVAL-AD7124-4SDZ, המספק חיבור USB ל-PC מארח. (מקור תמונה: Analog Devices)

סידור ההערכה נתמך על ידי תוכנת ה-+AD7124-4 EVAL, שמגדירה במלואה את פונקציונליות האוגר של התקן ה-AD7124-4 ומפעילה את ה-IC. היא גם מספקת ניתוח במרחב-הזמן בצורת גרפים של צורות גל, היסטוגרמות וניתוח רעש נלווה עבור הערכת ביצועי ADC.

מעבר לתכן בטוח פונקציונלית

חשוב להבין שה-AD7124-4 וה-AD7124-8 אינם מדורגים SIL, ‏זאת אומרת הם אינם מתוכננים תוך שימוש בהנחיות המוגדרות על ידי תקן IEC 61508. עם זאת, על ידי הבנת יישום הקצה ובאמצעות השימוש המתאים בדיאגנוסטיקות השונות, הם ניתנים להערכה עבור שימוש בתכן מדורג-SIL.

למסלול להסמכת Route 1S יש שיקולים מרובים עבור ניתוח וטיפול בכשלים, שיכולים להיות מערכתיים או אקראיים. כשלים מערכתיים קורים בשל ליקויי תכנון או ייצור, כמו פסק (interrupt) רועש בשל חוסר סינון על פין הפסק החיצוני או מרווח ראש לא מספיק לאות. לעומת זה, כשלים אקראיים קורים בשל גורמים פיזיקליים כגון קורוזיה, מאמץ תרמי או שחיקה.

דאגה חשובה נקראת הכשל המסוכן הלא מזוהה, שמטופלת על ידי טכניקות מרובות. כדי לצמצם למינימום כשלים אקראיים, מתכננים משתמשים באחת או בכל שלוש הטקטיקות:

  • רכיבים אמינים יותר, פחות מאומצים.
  • דיאגנוסטיקה המסתמכת על מנגנוני גילוי מובנים המיושמים באמצעות חומרה או תוכנה.
  • טולרנס כשל באמצעות מעגלים יתירים. על ידי הוספת נתיב‏ יתיר, ניתן לסבול כשל‏ יחיד. זה נקרא מערכת של טולרנס כשל חומרה 1‏ (Hardware Fault Tolerance 1‏ (HFT 1)), שפירושו כשל אחד אינו יכול לגרום לכשל מערכת.

כלי אחד להבנת כיסוי רמת SIL הוא מטריצה המציינת שבר כשל בטוח (Safe Failure Fraction‏ (SFF)) (מידת כיסוי דיאגנוסטיקה) וטולרנס כשל חומרה (HFT) (היתירות) (איור 7‏).

שבר כשל בטוח של‏ אלמנט טולרנס כשל חומרה
0 1 2
<%60 אין הרשאה SIL 1 SIL 2
‎60% עד <90%‎ SIL 1 SIL 2 SIL 3
‎90% עד <99%‎ SIL 2 SIL 3 SIL 4
≥‎99% SIL 3 SIL 4 SIL 4

איור 7‏: מטריצה זו מאפיינת שבר כשל בטוח (Safe Failure Fraction)‏ (SFF) כנגד טולרנס כשל חומרה (HFT) ומספקת תובנה לגבי כיסוי SIL. (מקור התמונה: Analog Devices)

השורות מראות את מידת כיסוי הדיאגנוסטיקה, בעוד העמודות מראות את טולרנס כשל החומרה. HFT 0 משמעותו שאם יש כשל אחד במערכת, פונקציית הבטיחות תאבד. דיאגנוסטיקה ברמה גבוהה יותר מפחיתה את הכמות הנדרשת של יתירות מערכת או משפרת את רמת ה-SIL של הפתרון עם אותה רמה של יתירות (נעים למטה במטריצה).

שים לב שה-‏FMEDA של יישום טמפרטורה אופייני המשתמש בהתקנים אלה מראה שבר כשל בטוח (SFF) גדול מ-90% לפי IEC 61508. שני ממירי ADC‏ מסורתיים נדרשים באופן רגיל כדי לספק רמת כיסוי זו באמצעות יתירות (Redundancy), אך ה-AD4172 דורש‏ ADC יחיד בלבד, ובכך מספק חיסכון משמעותי בעלות מפרט חומרים (BOM) ובמקום על הלוח.

תיעוד עבור תכנים מדורגי‏-SIL

דרוש תיעוד נרחב כדי להשיג הסמכת Route 1S. בין מסמכי המקור הדרושים נמצאים:

  • גיליון נתוני בטיחות (מדריך הבטיחות עבור חלק מדורג-SIL)
  • FMEDA פינים ו-FMEDA פיסת-סיליקון, עם מצבי כשל וניתוח עבור שניהם
  • רשימת תיוג (checklist) של Annex F‏ (מוגדר על ידי IEC 61508)

תיעוד זה, בתורו, בא ממגוון מקורות (איור 8‏):

  • נתוני דיאגנוסטיקה מגיליון הנתונים לוכדים את כל מאפייני הדיאגנוסטיקה הקיימים בחלק.
  • נתוני תכנון מתייחסים לנתונים פנימיים. לדוגמה, שטח פיסת-הסיליקון והשפעת כל בלוק פנימי של החלק.
  • FIT עם דרוגים עבור רכיבים שונים, זמינים מספר הנתונים.
  • בדיקות החדרת תקלות נעשות עבור בלוקים שלא ניתנים לניתוח על ידי שימוש בנתוני תכנון ודיאגנוסטיקה. בדיקות אלו מתוכננות בהתבסס על דרישות היישום, ותוצאות בדיקות החדרת התקלות משמשות לחיזוק מסמכי ה-FMEDA וה-FMEA.

תרשים של מקורות תיעוד מגווניםאיור 8‏: מקורות התיעוד המגוונים מקובצים ונערכים כדי לספק את חבילת המידע השלמה הדרושה עבור הסמכת SIL. (מקור תמונה: Analog Devices)

הסתכלות על פרטים בפירוט רב יותר:

  • מדריך הבטיחות או גיליון נתוני הבטיחות משתמש בכל המידע הנאסף כדי לספק את הדרישות הנחוצות כדי לאפשר את האינטגרציה של ה-AD7124-4 או ה-AD7124-8. הוא מסדר את כל הדיאגנוסטיקות והניתוחים המתקבלים ממסמכים וערכות נתונים שונים.
  • ה-FMEDA של פיסת-הסיליקון עבור ה-AD7124-4 וה-AD7124-8 מנתח את הבלוקים העיקריים בשרטוט היישום, מזהה מצבי כשל ובודק את האבחון והניתוחים עבור פונקציית בטיחות מסוימת. לדוגמה, הניתוח של מודול השעון מראה את מצבי הכשל, את ההשפעה של כל אחד על היציאה, מידת הכיסוי של הדיאגנוסטיקה וניתוח של ההשפעה (איור 9‏).
מצב כשל השפעה כיסוי דיאגנוסטיקה ניתוח
יציאה תקועה במצב גבוה תוצאות המרת ADC קפואות 99 מונה שעון MCLK (טבלה A.11) "קוצב-זמן Watchdog‏ עם בסיס-זמן וחלון-זמן נפרדים"
יציאה תקועה במצב נמוך תוצאות המרת ADC קפואות 99 מונה שעון MCLK (טבלה A.11) "קוצב-זמן Watchdog‏ עם בסיס-זמן וחלון-זמן נפרדים"
יציאת עכבה גבוהה תוצאות המרת ADC קפואות 99 מונה שעון MCLK (טבלה A.11) "קוצב-זמן Watchdog‏ עם בסיס-זמן וחלון-זמן נפרדים"
סחיפת יציאה ‎±10% תוצאות המרת ADC פגומות, חריצי-פס ‎50 Hz/60 Hz‏ לא אפקטיביים 99 מונה שעון MCLK (טבלה A.11) "קוצב-זמן Watchdog‏ עם בסיס-זמן וחלון-זמן נפרדים"
ריצודי יציאה תוצאות המרת ADC פגומות או רועשות 99 ממיר 0, "חיישן ייחוס" FS± (טבלה A.13), בדיקות סבירות של התוצאות

איור 9‏: טבלה זו מגדירה מצבי כשל, השפעות, דיאגנוסטיקה וניתוח של בלוק שעון עיקרי (Master Clock). (מקור תמונה: Analog Devices)

FMEDA של פיסת-סיליקון זו מביא להצגה‏ כמותית של קצבי כשל עבור כשלים בטוחים, כשלים מסוכנים שזוהו וכשלים מסוכנים שלא זוהו. כל אלה משמשים לחישוב ה-SFF.

ה-FMEDA של הפינים מסתכל על כשלים מפרספקטיבה אחרת. הוא מנתח כשלים מסוגים שונים בפינים של ה-AD7124-4 וה-AD7124-8 ותוצאתם עבור יישום גלאי ה-RTD. הוא עושה את זה עבור כל פין בנפרד ומתאר את התוצאה עבור המקרה שהפין מנותק, מקוצר לאספקה/ארקה, או מקוצר לפינים סמוכים.

רשימת התיוג של Annex F‏ היא רשימת תיוג של אמצעי תכנון למניעת כשלים שיטתיים. היא כוללת:

  • סקירה כללית של המוצר
  • מידע על יישומים
  • עקרון בטיחות
  • תחזיות אורך-חיים
  • FIT
  • חישובי FMEDA‏, SFF ו-DC‏
  • מנגנוני בטיחות חומרה
  • תאור דיאגנוסטיקה
  • איתנות EMC
  • עבודה בתצורות יתירות
  • נספחים ורשימת תיעוד

לסיכום, הסמכת בטיחות פונקציונלית של רכיב ‏חדש באמצעות Route 1S היא ארוכה, מורכבת, גוזלת זמן, מאומצת ומקיפה. למרבה המזל, Route 2S, כמוזכר למעלה, הוא‏ גישה חלופית שהיא מעשית עבור רכיבים מסוימים.

Route 2S:‏ מסלול חלופי

המסלול הידוע כ-Route 2S הוא ישים‏ עבור חלק מושק עם ניסיון ונתוני שדה ומוגדר כ"מוכח בשימוש". זה מבוסס על ניתוח‏ החזרות של לקוחות ומספר ההתקנים שנמסרו ללקוחות. לא ניתן להשתמש בו במקרים של חלקים חדשים שיש להם חשיפה מועטה או אין להם כלל חשיפה של "רקורד ביצועים" בשימוש בפועל.

Route 2S מאפשר הסמכת SIL‏ כאילו החלק עבר ניתוח מלא על פי תקן IEC 61508. הוא זמין למתכנני מודול ומערכת אם הם השתמשו בהצלחה ב-IC המדובר בעבר ויודעים את קצב הכשל בשדה. הבדיקה המשובצת ומאפייני אימות, יחד עם נתוני ביצועים, הופכים את ה-AD7214-4 וה-AD7214-8 למועמדים טובים עבור Route 2S.

הפעלת Route 2S דורשת נתונים מפורטים וחשובים סטטיסטית על החזרות מהשדה וכשלים. דרישה זו היא הרבה יותר קשה לעמידה בה על ידי יצרני IC מאשר לספקי לוחות ומודולים. הסיבה היא שלראשונים אין בדרך כלל מספיק ידע על היישום הסופי, או איזה אחוז של הפריטים הכושלים בשדה מוחזרים אליהם עבור ניתוח.

סיכום

מסלול ה-Route 1S עבור הסמכה בטיחותית פונקציונלית של מוצרים חדשים הוא מעמיק, מקיף ומפורט. הוא גם מאתגר טכנית ובהחלט גוזל-זמן. לעומת זה, תהליך ה-Route 2S מאפשר הסמכת מוצרים מושקים בהסתמך על ניסיון שדה, כשלים וניתוח נתונים. זהו מסלול שימושי הנתמך על ידי המעגלים-המשולבים ממשק RTD‏ AD7214-4 ו-AD7214-8 מאחר ויש להם את ההיסטוריה הדרושה. חשוב באותה המידה, מעגלים-משולבים אלו משבצים פונקציות דיאגנוסטיקה ובדיקה-עצמית רבות ומאפיינים ההופכים אותם למועמדים מתאימים עבור הסמכה כזאת.

תוכן קשור

  1. כיצד לתכנן ולהסמיך מערכות גלאי טמפרטורה התנגדותי (RTD) בטוחות פונקציונלית
  2. מימוש פשוט של מערכת מדידת טמפרטורה RTD ‏4-חוטים משולבת-במלואה עבור יישומי מדידה בדיוק גבוה
  3. התממשקות RTD והפיכתו לליניארי
DigiKey logo

מיאון אחריות: דעות, אמונות ונקודות מבט המובעות על ידי מחברים שונים ו/או משתתפי פורום באתר אינטרנט זה לא בהכרח משקפות את הדעות, האמונות ונקודות המבט של חברת DigiKey או את המדיניות הרשמית של חברת DigiKey.

Related Product Highlight

ממירי ADC מדויקים ל-ADCs של Analog Device יש ביצועים מובילים בתעשייה, והם מסייעים באופטימיזציה של ביצועי מערכת, מציעים מהירויות של עד MSPS‏ 10‏ ורזולוציות של bit‏-8‏ עד bit‏-32‏.
ADMT4000 True Power-On Multiturn Sensor Analog Devices ADMT4000 AMR angle sensors' output enables the device to report the position of the system with a high degree of angular accuracy.
ממירי ADE9113/ADE9112/ADE9103 A/D ממירי ה-ADC ‏ADE9103,‏ ADE9112 ו-ADE9113 של Analog Devices כולם כוללים ערוץ זרם הגבר-גבוה המתאים ביותר לשימוש עם נגד מצד (Shunt) כחיישן הזרם.

Related Articles and Blogs

כיצד להשתמש ב-IO-Link כדי להתאים בקלות חיבוריות RTD עבור מפעלים חכמים השתמשו ב-IO-Link כתקן התקשורת בין חיישן RTD תעשייתי לבין יחידת הבקרה כדי לאפשר יכולת הגדרת-תצורה, דיאגנוסטיקה וניהול קלים יותר.
How to Precisely Determine Motor Angular Position and Velocity With a Resolver Accurately and reliably capture a motor control resolver’s angular position and velocity with a high-resolution resolver-to-digital converter.
Improve Pulse Oximetry Measurements Using Dark Current Compensation Use a second photodiode to increase a pulse oximeter’s dynamic range to 16 bits.

אודות כותב זה

Image of Bill Schweber

ביל שוובר

ביל שוובר הוא מהנדס אלקטרוניקה שכתב שלושה ספרי לימוד על מערכות תקשורת אלקטרוניות, כמו גם מאות מאמרים טכניים, טורי דעה ומאפייני מוצרים. בתפקידים קודמים הוא עבד כמנהל אתרים טכניים עבור מספר אתרים ספציפיים-לנושא עבור EE Times, כמו גם כעורך בכיר ועורך אנלוגי ב-EDN.

ב-.Analog Devices, Inc (ספקית מובילה של ICs אנלוגיים ואותות מעורבים), ביל עסק בתקשורת שיווקית (יחסי ציבור); וכתוצאה מכך, הוא היה משני הצדדים של פונקציית יחסי הציבור הטכנית, והציג מוצרי חברה, סיפורים ומסרים לתקשורת וגם כנמען של אלה.

לפני תפקיד ה-MarCom ב-Analog, ביל היה עורך שותף של כתב העת הטכני המכובד שלהם, וגם עבד בקבוצות שיווק המוצרים והיישומים שלהם. לפני התפקידים הללו, ביל היה ב-.Instron Corp, עסק בתכנון אנלוגי ומעגלי הספקת-כוח ובאינטגרציה של מערכות עבור פקדי מכונות לבדיקת חומרים.

הוא בעל תואר MSEE‏ (אוניבר. מסצ'וסטס) ותואר BSEE‏ (אוניבר. קולומביה), מהנדס מקצועי רשום ובעל רישיון רדיו חובבים Advanced Class‏. ביל גם תכנן, כתב והציג קורסים מקוונים במגוון נושאים הנדסיים, כולל יסודות MOSFET, בחירת ADC ודחיפת נורות LED‏.

אודות מוציא לאור זה

DigiKey's North American Editors