ВВЕДЕНИЕ
Функциональная безопасность является частью общей стратегии безопасности во многих отраслях промышленности и направлена на снижение уровня риска причинения вреда людям или оборудованию. В последние годы значительно возросла потребность в организации функциональной безопасности различных систем: начиная от атомных электростанций и заканчивая медицинским оборудованием, безаварийная система стала идеалом для одних и жизненной необходимостью для других. К примеру, в области сенсорных систем, получение неверных или поврежденных данных может нести критическое и разрушительное воздействие в зависимости от структуры системы и уровня риска.
До недавнего времени, задача обеспечения безопасности заключалась в том, чтобы разработчик системы интегрировал механизмы диагностики и предотвращения отказов в свои продукты для обеспечения целостности данных, поступающих от микросхем. Это сопровождалось увеличением площади печатной платы, размера спецификации, уровня накладных расходов на разработку и, в конечном счете, общих затрат на конечный продукт. Однако, благодаря широкому взаимодействию с инженерами-конструкторами было разработано решение данной проблемы: функциональные средства обеспечения безопасности стали разрабатываться на уровне микросхемы.
В данной статье рассматривается потенциал функциональной безопасности АЦП с точки зрения обеспечения общей целостности системы сбора данных.
СРАВНЕНИЕ ТРАДИЦОННОГО РЕШЕНИЯ ФУНКЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ И НОВОГО ПОДХОДА
На рисунке 1 приведено сравнение организации функционально безопасной системы со старым подходом и современное решение. В центре находится АЦП, отвечающий за сбор данных, который преобразует аналоговые сигналы со входов и передает данные на микроконтроллер. Для организации функционально безопасного решения на основе традиционного подхода требуется множество дополнительных внешних компонентов, шина SPI и даже дополнительный АЦП, что значительно увеличивает спецификацию устройства, размер занимаемой площади печатной платы, а также накладные расходы на обработку и в конечном итоге стоимость устройства. Такой подход также возлагает дополнительную нагрузку на разработчиков и снижает надежность системы.
Существует альтернативное решение, представляющее собой единую микросхему с минимальным количеством внешних компонентов необходимых для обеспечения функциональной безопасности.
ПРИМЕР СИСТЕМЫ С ТРЕБОВАНИЯМИ ФУНКЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ
В системах сбора данных, содержащих АЦП, существует риск возникновения сбоев, которые могут создать угрозу для здоровья человека или оборудования, в зависимости от области применения системы. Разработчики подобных систем должны четко различать приемлемый и недопустимый риск.
Например, в системе, которая измеряет и регулирует давление в газовой камере, использование датчика, который имеет допуск 5%, может рассматриваться как приемлемый риск если давление внутри резервуара камеры не имеет существенной разницы с внешним давлением. Однако, получение микроконтроллером системы управления неверных данных от АЦП может привести к потенциально опасной ситуации, в результате которой давление в камере спровоцирует имплозию или взрыв, что в свою очередь может травмировать или даже убить персонал поблизости. Такой уровень риска уже становится неприемлемым. Во избежание подобных ситуаций необходимо принять меры функциональной безопасности для обеспечения целостности информации, получаемой контроллером.
Причины, которые могут вызвать ошибки подобного типа:
· Источник питания: низкое напряжение питания, низкое напряжение на выходе регуляторов с низким падением напряжения (LDO).
· Аналоговый блок сопряжения с датчиками (AFE): поврежденные датчики или усилитель, приводящие к неверным показаниям АЦП.
· Цифровая логика: битовые ошибки, которые могут повлиять на результат преобразования. Например, коэффициент усиления или коэффициент смещения.
· Передача SPI: битовые ошибки при передаче данных результата преобразования и приеме команд из-за помех на линии передачи.
· Окружающая среда: выход за пределы рабочей температуры микросхемы.
В AD7768-1, в одном из сигма-дельта АЦП, входящих в набор средств обеспечения функциональной безопасности от ADI, имеется широкий набор диагностических функций, позволяющих пользователям обнаружить и диагностировать ошибки в системе. На рисунке 2 показаны источники возможных неисправностей в стандартной системе измерения давления.
ИСПОЛЬЗОВАНИЕ АЦП ДЛЯ ДИАГНОСТИКИ ОШИБОК В СИСТЕМЕ
ADI предоставляет свои клиентам линейки продуктов с возможностью использования АЦП для диагностики и/или уменьшения ошибок в системе. Данная возможность важна для организации точных измерений, а также в системах, в которых требуется наличие функциональной безопасности.
Положительные и отрицательные напряжения, полученные с опорных входов (reference inputs), используются для измерения погрешности усиления системы. Внутренняя калибровка Zero-Scale используется для измерения ошибки смещения. Пользователи в последствии могут узнать ошибки своей системы, используя регистры АЦП.
Температурный датчик определяет изменения температуры микросхемы, в том числе за пределами диапазона температур. В системе, чувствительной к смещению и дрейфу погрешности усиления при изменении температуры, это может быть полезной функцией. Если произошло значительное изменение температуры, пользователи могут считать ошибки погрешности усиления и смещения при новой температуре. На рисунке 3 показано подключение аналогового диагностического мультиплексора к внутреннему АЦП в микросхеме AD7768-1.
ФЛАГИ ДИАГНОСТИЧЕСКИХ ОШИБОК: РЕГИСТРЫ СОСТОЯНИЯ
При включении функций диагностики АЦП, их состояние доступно пользователю посредством набора регистров. При возникновении сбоя в работе системы, в соответствующем регистре устанавливается флаг ошибки. После получения сообщения об ошибки, пользователь может продолжить дальнейший поиск причины сбоя.
Ниже приведено рассмотрение некоторых реальных сбоев, которые могут возникнуть и которые можно диагностировать с помощью АЦП от ADI. В качестве начальных условий, предположим, что наша система датчиков давления установлена на промышленной установке, на которой присутствуют колебания температур и на которой было произведено несколько отключений питания из-за необходимого технического обслуживания, и на которой также присутствуют электромагнитные помехи (ЭМИ) из окружающей среды, которые могут быть наведены на измерительную плату.
Ошибка питания АЦП
Предположим, что из-за высоких температур окружающей среды и скачков тока, вызванных циклическим включением питания системы, конденсаторы LDO-регуляторов, которые должны удерживать заряд на выходе LDO питания АЦП, изношены и повреждены. Поддержание уровня напряжения на этих выходах требует наличия внешнего конденсатора и имеет важное значение для корректной работы АЦП. Если конденсаторы повреждены, пользователи могут заметить, что преобразованные данные АЦП или выполнение других функций являются некорректными. При включении мониторов LDO АЦП, как только уровень напряжения упадет ниже определенной отметки, в соответствующем регистре будет установлен флаг ошибки, сообщающий пользователям о проблемах на выводах LDO АЦП.
Ошибка аналогового блока сопряжения с датчиками (AFE)
Предположим, что приведенная выше система является системой, в которой сигнал на входах АЦП не должен выходить за максимальный диапазон измерений. Если пользователи случайно запрограммируют неверное значение в регистре усиления, которое в свою очередь увеличит напряжение, наблюдаемое на входе АЦП, то это может в значительной мере повлиять на производительность системы и должно рассматриваться разработчиком как серьезный риск. Однако, в AD7768-1 идет мониторинг соответствующего входа АЦП и пользователь будет вовремя предупрежден о наличии ошибки на аналоговом входе, значения на котором выходят за пределы диапазона.
Случайные битовые ошибки цифровой логики
Случайные битовые ошибки иногда возникают внутри цифровых логических блоков и блоков памяти. На примере системы давления допустим, что во время включения питания произошла битовая ошибка при загрузке заводской настройки смещения по умолчанию. Это недопустимая ошибка, поскольку она искажает уровень смещения системы, заданный по умолчанию, что соответственно влияет на конечный результат. Для плат АЦП со встроенной системой функциональной безопасности, разработанных в ADI, доступны функции, которые запускают проверку целостности данных при помощи CRC (циклический избыточный код) на различных блоках памяти с регулярными интервалами и выставляют соответствующий флаг каждый раз, когда возникает битовая ошибка. Перезапуск системы должен устранить подобные неисправности.
Ошибки передачи SPI
Каждая система, которая передает или принимает данные, неизбежно будет иметь некоторые битовые ошибки.
Скорость, с которой возникают ошибки при передаче по SPI, может быть оценена для и именуется частотой ошибок по битам (BER).
В обозначенной нами системе измерения давления, BER составляет менее при условии передачи данных на микроконтроллер, который установлен на той же самой печатной плате на расстоянии около 10 см через цифровую изоляцию.
Предположим, что на линию SPI оказывают воздействие некие электромагнитные помехи, что в свою очередь приводит к ошибке при передаче преобразованных данных от AD7768-1 к микроконтроллеру. Небольшая ошибка в данных АЦП может быть критической, если из-за этой ошибки будет выставлено неверное давление в газовой камере. Добавляя контрольную сумму к концу передаваемых данных, пользователи могут легко определить, произошла ли ошибка во время передачи, и могут перепроверить результат преобразования АЦП.
Ошибка тактирования
Если пользователи обеспокоены отклонением тактирования основного источника питания (50 Гц/60 Гц) при использовании датчика давления, то для выравнивания тактирования необходимо использовать внешний источник тактовых импульсов с низким джиттером. Однако, если такой источник отключается, изнашивается или повреждается, это может вызвать серьезную проблему, так как отклонение частоты тактирования может исказить данные АЦП.
Ошибка внешнего тактового генератора будет отмечена в соответствующем регистре, если внешний тактовый генератор был неправильно подключен или удален. После получения ошибки пользователи могут выполнить аварийное преобразование с помощью внутреннего RC-генератора, в то время, пока происходит настройка внешнего генератора.
Флаг POR (Power on Reset)
После включения питания или успешного сброса системы будет установлен флаг POR в АЦП.
Однако если происходит неожиданный сброс, пользователи могут увидеть некорректные результаты в данных АЦП и идентифицировать этот неожиданный сброс, проверяя флаг POR.
На рисунке 4 показано, каике из приведенных выше внутренних диагностических функций включены в AD7768-1.
ОКОНЧАТЕЛЬНОЕ РЕШЕНИЕ ДЛЯ ОБЕСПЕЧЕНИЯ ФУНКЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ С ИСПОЛЬЗОВАНИЕМ AD7768-1
С помощью встроенных в AD7768-1 средств обеспечения функциональной возможна организация полноценной безопасной системы сбора данных. Пользователи могут задействовать следующие функции функциональной безопасности:
· Монитор целостности SPI
· Контроль уровня выхода регулятора LDO
· Монитор величины сигнала на входе АЦП
· Внешний счетчик тактовых импульсов
· Внутренние CRC-мониторы
Калибровку системы можно проверить с помощью внутреннего аналогового диагностического мультиплексора. Также таким образом можно проверить выходные сигналы регулятора LDO.
Пользователи также могут разрешить добавлять 8-битовый байт состояния к концу 24-битового потока данных и 8-битового слова CRC SPI. 8-битовый CRC вычисляется на основе 8-битового командного слова, 24-битового потока данных и 8-битового слова состояния. Если пользователи обеспокоены количеством служебных данных обработки, они могут включить режим непрерывного обратного чтения, что устраняет необходимость предоставления 8-разрядной команды. Вместо этого пользователи могут синхронизировать содержимое регистра данных как показано на рисунке 6.
Результатом этой процедуры является система сбора данных, чьи коэффициенты усиления и смещения были проверены и которая предоставляет диагностическую информацию пользователю каждый раз, когда происходит считывание данных с АЦП.
Таким образом использование AD7768-1 позволяет осуществлять постоянный контроль выходов LDO-регулятора, аналоговых входов АЦП, внутренней цифровой логики и памяти. Кроме того, пользователи могут быть уверены в целостности передаваемых по SPI данных и в том, что температура микросхемы находится в пределах рабочего диапазона.
ЗАКЛЮЧЕНИЕ
По мере роста требований к функциональной безопасности во многих отраслях, также должна развиваться и технология, позволяющая удовлетворить эти требования с минимальными затратами. Компания Analog Devices плотно занимается развитием данной технологии в своих продуктах тем самым поддерживая разработчиков разного рода систем в их стремлении к функциональной безопасности.
AD7768-1 является одним из продуктов ADI, который позволяет упростить построение систем функциональной безопасности. AD7768-1 представляет собой более компактное и менее сложное по сравнению с традиционными, решение, которое значительно сокращает расходы на разработку и спецификацию. Данный однокомпонентный подход организации функциональной безопасности также снижает нагрузку на разработчиков систем и позволяет упростить получение сертификата SIL.