Elektroda.pl
Elektroda.pl
X
Elektroda.pl
PCBway
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Bezpieczeństwo funkcjonalne w układach do akwizycji danych

ghost666 28 Cze 2019 19:19 645 0
  • Bezpieczeństwo funkcjonalne jest częścią ogólnej strategii bezpieczeństwa w wielu gałęziach przemysłu, w których technologia stara się zmniejszyć do tolerowalnego poziomu, prawdopodobieństwo szkód dla ludzi lub sprzętu w przypadku awarii. Wymóg, aby systemy były funkcjonalnie bezpieczne, znacznie się rozwinął w ostatnich latach. Od elektrowni jądrowych po urządzenia medyczne, bezbłędne systemy stały się idealnym rozwiązaniem dla niektórych i koniecznością dla innych.

    Na przykład w sektorze akwizycji parametrów fizycznych, uzyskiwanie nieprawidłowych lub uszkodzonych danych może być katastrofalne w skutkach, a potencjalnie śmiertelne w zależności od konkretnego systemu i poziomu ryzyka.

    Tradycyjnie, to na producencie systemu spoczywa obowiązek włączenia do swoich produktów mechanizmów diagnostycznych i zapobiegających awariom oraz rozwiązań mających zapewnić integralność danych pochodzących z układu czujników. Następuje to kosztem wielkości PCB, ilości elementów i kosztów ogólnych systemu. Od tego czasu, dzięki intensywnemu zaangażowaniu projektantów takich systemów, opracowano rozwiązania, które pozwalają na rozwiązanie tego problemu - integracja systemów bezpieczeństwa funkcjonalnego w układach scalonych.

    W tym artykule omówiono potencjał bezpieczeństwa funkcjonalnego na przykładzie przetwornika ADC w systemie akwizycji danych. Zagadnienie to dotyczy zapewnienia całkowitej integralności systemu gromadzenia danych.

    Rozwiązanie tradycyjne vs nowa droga

    Na rysunku 1 widzimy porównanie klasycznego systemu bezpieczeństwa funkcjonalnego (po lewej stronie) i bardziej nowoczesnego rozwiązania (po prawej stronie). W centrum systemu znajduje się układ ADC, którego zadaniem jest konwersja sygnałów analogowych na dane cyfrowe zrozumiałe dla np. mikrokontrolera. Do swojego działania potrzebuje on jednak kilka kolejnych dodatkowych układów.

    Aby taki system był bezpieczny w rozumieniu norm, konieczne jest wiele dodatkowych zabiegów, wielokrotne przesyłanie informacji z i do ADC w celu ich potwierdzenia itd. Czasami wymagane będą także dodatkowe układy scalone, nawet kolejny ADC. Tego rodzaju rozwiązanie jest drogie, skomplikowane w projektowaniu i debuggowaniu, a także wymagające pod kątem czasu i umiejętności potrzebnych do zaprojektowania tego rodzaju systemu bezpieczeństwa funkcjonalnego.

    Z drugiej strony, dostępne są scalone rozwiązania tego rodzaju. Wymagają one do działania tylko garści elementów dyskretnych, a oferują spełnienie wszelkich wymagań, jakie nakładają na nie normy.

    Bezpieczeństwo funkcjonalne w układach do akwizycji danych
    Rys.1. Integracja wieloelementowego systemu bezpieczeństwa funkcjonalnego w jednoukładowe rozwiązanie oferowane przez Analog Devices.


    Przykładowy system z wymaganiami dotyczącymi bezpieczeństwa funkcjonalnego

    W systemach akwizycji danych, które wykorzystują przetwornik ADC, może wystąpić wiele błędów. Mogą one zwiększać ryzyko dla zdrowia ludzi lub maszyn w zależności od aplikacji systemu. Projektanci systemów tego rodzaju muszą rozróżniać ryzyko na akceptowalne i niedopuszczalne.

    Przykładowo, w systemie, który mierzy i reguluje ciśnienie w komorze gazowej, użycie czujnika, który ma tolerancję równą 5%, może być postrzegane jako akceptowalne ryzyko, jeśli ciśnienie wewnątrz zbiornika nie odbiega znacznie od ciśnienia zewnętrznego. Jeśli jednak mikrokontroler otrzyma nieprawidłowe dane z ADC mierzącego ciśnienie, może to doprowadzić do ciągu zdarzeń, w wyniku których ciśnienie w komorze wzrośnie do poziomu, który spowoduje implozję lub też wybuch zbiornika. Oba te zdarzenia mogą zranić lub zabić ludzi znajdujących się w pobliżu. Ten poziom ryzyka jest niedopuszczalny. Dlatego należy wprowadzić odpowiednie środki bezpieczeństwa funkcjonalnego, aby zapewnić integralność informacji otrzymywanych przez kontroler ciśnienia z sensora.

    Niektóre źródła awarii prowadzących do tego typu błędów to:

    * Zasilacz: zasilacze, stabilizatory LDO itp.
    * Front-end analogowy (AFE): uszkodzone sensory lub wzmacniacze, które podają fałszywe napięcie na ADC.
    * Układy cyfrowe: błędów bitowe w domenie cyfrowej mogą zmienić wartość konwersji, mogą też zmienić konfigurację AFE, np. wzmocnienie czy offset.
    * Interfejs SPI: błędy transmisji sprawią, że dane, które dotrą do mikrokontrolera będą inne niż wysłane przez ADC; powodować to mogą awarie układów cyfrowych lub szum otoczenia.
    * Środowisko: wystąpienie temperatury innej niż w specyfikacji może spowodować niepoprawne działanie układów w systemie.

    Układ AD7768-1 to przetwornik Σ-Δ z wbudowanymi elementami bezpieczeństwa funkcjonalnego. Posiada on rozliczne systemy wykrywania awarii czy też diagnozowania błędów w czasie rzeczywistym. Na rysunku 2 oznaczono potencjalne źródła awarii w systemie do pomiaru ciśnienia.

    Bezpieczeństwo funkcjonalne w układach do akwizycji danych
    Rys.2. Identyfikacja potencjalnych źródeł awarii w układzie do pomiaru ciśnienia.


    Wykorzystanie przetwornika ADC do diagnozowania błędów systemu

    Produkty Analog Devices z portfolio systemów bezpieczeństwa przemysłowego wyposażone są w możliwość wykorzystania przetwornika ADC do diagnozowania i ewentualnego eliminowania błędów w systemie. Możliwość mierzenia jakości pracy systemu jest istotny elementem precyzyjnego układu akwizycji danych. Jeszcze większą rolę odgrywa to w przypadku systemów bezpieczeństwa funkcjonalnego.

    Z pomocą napięcia dodatniego i ujemnego, równego pełnej skali przetwornika (napięcia te pochodzą z wbudowanych źródeł odniesienia) wykorzystywane są do pomiaru błędu wzmocnienia. Dzięki możliwości zwarcia wejścia z masą możliwy jest pomiar offsetu wejściowego. Dzięki temu użytkownik takiego front-endu może korygować błędy systemu, kalibrując go, co sprawia, że pomiar jest precyzyjniejszy.

    Wbudowany w układ scalony termometr pozwala na monitorowanie jego lokalnej temperatury i wykrywanie przekroczenia ustalonych progów. Jest to niezwykle istotne w systemach, gdzie dryft termiczny offsetu i wzmocnienia jest istotny, gdyż w ten sposób możliwe jest jego wykrywanie lub kompensacja. Dzięki temu układ po zmianie swojej temperatury może automatycznie kalibrować się do pracy w nowych warunkach otoczenia.

    Na rysunku 3 zaprezentowano podłączenie multipleksera do układów diagnostycznych wbudowanych w układ AD7768-1.

    Bezpieczeństwo funkcjonalne w układach do akwizycji danych
    Rys.3. Przełączanie multiplekser pomiędzy wejściem systemu a układem diagnostycznym.


    Flagi diagnostyczne: mapa rejestrów statusowych

    Niektóre funkcje diagnostyczne mogą być włączone, a ich status może być podawany użytkownikowi w postaci flag, zwykle za pomocą mapy rejestrów. Jeśli wystąpi błąd, flaga błędu ustawiana jest w odpowiednim rejestrze. Użytkownicy mogą zbadać dalej co jest przyczyną wystąpienia awarii, gdy zostaną powiadomieni o usterce.

    Rozważmy szereg awarii, które mogą wystąpić w realnym układzie i które można zdiagnozować za pomocą zestawu funkcjonalnych systemów bezpieczeństwa w przetworniku ADC. Załóżmy najpierw, że nasz system czujników ciśnienia znajduje się w zakładzie przemysłowym, z wahaniami temperatury, kilkoma przerwami w zasilaniu z powodu podstawowej konserwacji sieci energetycznej i obecnymi w otoczeniu zakłóceniami elektromagnetycznymi (EMI), które mogą przedostawać się do naszego układu.

    Błąd zasilania ADC

    Załóżmy, że ze względu na wysokie temperatury panujące w otoczeniu i zakłócenia prądu spowodowane przez cykl zasilania systemu, kondensatory LDO, których zadaniem jest filtrowanie napięcia w pobliżu wyjść zasilania LDO ADC, uległy zużyciu i uszkodzeniu. Utrzymanie tych wyjść przy stabilnym napięciu wymaga zewnętrznego kondensatora i jest niezbędne dla prawidłowego działania. Jeśli kondensatory są uszkodzone, to z powodu tego błędu użytkownik systemu mogą zauważyć, że dane cyfrowe z ADC lub działanie innych funkcji są nieoczekiwane. Włączeniu monitorów poziomu napięcia z stabilizatorów LDO, gdy poziom napięcia spadnie poniżej pewnego progu, ustawiona zostanie flaga błędu ostrzegająca użytkowników o problemach na wyjściach LDO.

    Błąd front-endu analogowego

    Załóżmy, że w naszym systemie napięcia wejściowe do ADC nie powinny przekraczać jego pełnego zakresu. Jeśli użytkownicy przypadkowo zaprogramują nieprawidłową wartość w rejestrze wzmocnienia, która steruje wzmacniaczem we front-endzie i zwiększa napięcie widziane przez ADC, aby była większa niż pełny zakres, będzie to miało znaczący wpływ na wysokość błędu wzmocnienia systemu i powinno być postrzegane jako poważne zagrożenie dla działania układu. Na szczęście wbudowana funkcja sprawdzania błędów nasycenia filtra monitoruje wyjście ADC i ostrzega użytkowników o wejściu analogowym znajdującym się poza zasięgiem przetwornika.

    Losowe błędy bitowe w systemie cyfrowym

    Losowe błędy bitowe występują sporadycznie w obrębie układów logicznych i bloków pamięci. W naszym przykładzie założyć możemy, że wystąpił błąd podczas ładowania domyślnego ustawienia offsetu fabrycznego podczas włączania systemu. Jest to niedopuszczalna usterka, ponieważ zakłóca domyślny błąd offsetu układu, wpływając na wynik pomiaru. W pakiecie zaimplementowanych funkcji bezpieczeństwa funkcjonalnego dostępne są algorytmy, które uruchamiają cykliczne kontrole nadmiarowe (CRC) na różnych blokach pamięci w regularnych odstępach czasu i sygnalizują błędy użytkownika, gdy wystąpi błąd bitowy. Reset systemu rozwiąże wszystkie te usterki.

    Błędy transmisji SPI

    Każdy system, który transmituje dane poprzez dowolny interfejs, generuje czasami błędy bitowe w trakcie tej transmisji. Częstotliwość, z jaką to się dzieje, można oszacować dla każdego systemu. Jest ona zwanego stopą błędów bitowych (BER). W naszym przykładowym systemie pomiarowym można przyjąć BER mniejsze niż 10^-7, jeśli transmitujemy do mikrokontrolera na tej samej płytce PCB na odległości 10 cm przez cyfrową izolację galwaniczną.

    Załóżmy, że niektóre zakłócenia elektromagnetyczne są wprowadzone na liniach SPI, co powoduje nieznaczny błąd w transmisji skonwertowanych danych ADC z AD7768-1 do mikrokontrolera. Niewielki błąd w danych ADC może być potencjalnie katastrofalny, jeśli np. maskowałby ciśnienie w naszej komorze ciśnieniowej. Dołączając ramkę CRC do końca przesyłanych danych, użytkownicy mogą określić, czy wystąpił błąd bitowy podczas transmisji i czy należy ponownie sprawdzić wynik ostatniej konwersji ADC.

    Błędy zewnętrznego zegara

    Jeśli użytkownicy obawiają się wpływu częstotliwości sieci zasilającej (50 Hz / 60 Hz) w aplikacji czujnika ciśnienia, to wówczas konieczne jest zastosowanie dokładnego źródła zewnętrznego zegara o niskim jitterze (szumie fazowym). Zastosowanie precyzyjnego zewnętrznego zegara jest ważne, by precyzyjnie ustawić filtr pasmowozaporowy precyzyjnie usuwający z pomiaru przydźwięk sieci energetycznej. Jeśli źródło zegara zostanie odłączone lub uszkodzone, stanowi to poważny problem, ponieważ składowe 50 Hz i harmoniczne mogą być widoczne w danych z przetwornika ADC.

    W systemie znajduje się moduł kwalifikatora zegara. Może on zgłosić błąd użytkownikowi, jeśli zewnętrzne źródło zegara nie zostało pomyślnie podłączone lub zostało z systemu odłączone. Użytkownicy mogą następnie wykonywać awaryjne konwersje z wykorzystaniem wewnętrznego RC do czasu, gdy wykonane zostaną czynności konserwacyjne mające przywrócić sprawność podstawowego, zewnętrznego zegara.

    Flaga POR

    Gdy system zostanie poprawnie uruchomiony lub poprawnie się zresetuje, ustawiona zostaje flaga POR, która świadczy o poprawnym działaniu przetwornika ADC. Daje ona dodatkowe potwierdzenie sprawności systemu bezpieczeństwa funkcjonalnego.

    Jeśli w systemie przydarzy się niespodziewany reset, może on uszkodzić dane wysyłane przez ADC. O tym, że taka sytuacja nastąpiła świadczy właśnie brak ustawionej flagi POR.

    Na rysunku 4 zaprezentowano jak rozliczne systemy diagnostyczne w AD7768-1 podłączone są do monitorowanych podzespołów w układzie.

    Bezpieczeństwo funkcjonalne w układach do akwizycji danych
    Rys.4. Wewnętrzne układy monitorujące parametry pracy AD7768-1.


    Kompletne rozwiązanie systemu bezpieczeństwa funkcjonalnego z wykorzystaniem AD7768-1

    Przy wykorzystaniu elementów bezpieczeństwa funkcjonalnego wbudowanych w układ AD77610, możliwe jest zestawienie kompletnego systemu pomiarowego, zdolnego monitorować wiele własnych parametrów, między innymi:

    * Integralność sygnału podczas transmisji poprzez interfejs SPI.
    * Poziom wyjść ze stabilizatorów LDO.
    * Saturację filtra.
    * Jakość zewnętrznego zegara.
    * Działanie układów logiki i CRC pamięci.
    * Kalibracja systemu.

    Następnie, projektant systemu może dodać 8-bitową ramkę statusową na końcu 24-bitowej ramki danych, a to uzupełnić 8-bitowym słowem CRC dla transmisji SPI. Słowo to obliczane jest na podstawie 8-bitowej komendy, 24-bitowej ramki danych jak i 8-bitowej ramki statusowej. Jeśli taki tryb transmisji stanowi problem w zakresie potrzebnej mocy obliczeniowej, to możliwe jest zredukowanie zapotrzebowania na obróbkę danych załączając tryb ciągłego odczytu danych, jaki zaprezentowano na rysunku 5.

    Bezpieczeństwo funkcjonalne w układach do akwizycji danych
    Rys.5. Odczytywanie rejestru danych z dodanym bajtem statusowym i bajtem CRC z AD7768 w trybie ciągłego odczytu danych.


    Wynikiem tej procedury jest system akwizycji danych, którego błąd wzmocnienia i offset został zmierzony i który dostarcza użytkownikowi informacji diagnostycznych na swój temat za każdym razem, gdy odczytuje dane z przetwornika ADC. Wyjścia regulatora LDO, analogowe wejścia front-endu, wewnętrzna logika cyfrowa i pamięć układu są stale monitorowane. Użytkownicy mogą być pewni integralności komunikacji SPI i że znana jest temperatura IC. Spełnione są wszystkie wymagania bezpieczeństwa funkcjonalnego układu.

    Podsumowanie

    Wraz ze wzrostem wymagań co do systemów bezpieczeństwa funkcjonalnego w wielu gałęziach przemysłu rosną także wymagania co do układów elektronicznych. Firma Analog Devices nieprzerwanie, od wielu lat, dostarcza w swoim portfolio produktów, pozwalających na spełnianie tych wymagań. Układy produkowane przez ADI oferują zaawansowane funkcje bezpieczeństwa funkcjonalnego, które są z nimi w pełni zintegrowane.

    Zaprezentowany przetwornik ADC pozwala znacznie odciążyć projektanta systemu, gdyż wiele funkcji bezpieczeństwa przemysłowego układ ten realizuje samodzielnie i autonomicznie. Dzięki wysokiemu stopniowi integracji tego rozwiązania, pozwala to także redukować czas potrzebny do zaprojektowania i certyfikowania tego rodzaju systemu.

    Źródło: https://www.analog.com/en/analog-dialogue/articles/functional-safety-in-a-data-acquisition-system.html

    Fajne! Ranking DIY
    Potrafisz napisać podobny artykuł? Wyślij do mnie a otrzymasz kartę SD 64GB.
    O autorze
    Fizyk z wykształcenia. Po zrobieniu doktoratu i dwóch latach pracy na uczelni, przeszedł do sektora prywatnego, gdzie zajmuje się projektowaniem urządzeń elektronicznych i programowaniem. Od 2003 roku na forum Elektroda.pl, od 2008 roku członek zespołu redakcyjnego.
    ghost666 napisał 9214 postów o ocenie 6760, pomógł 157 razy. Mieszka w mieście Warszawa. Jest z nami od 2003 roku.
  • PCBway