Slik konstrueres og sertifiseres funksjonssikre RTD-baserte systemer

Av Bill Schweber)

Bidrag fra DigiKeys nordamerikanske redaktører

2023-07-24

En motstandstemperaturdetektor (RTD – resistance temperature detector), som består av en transduser og en tilknyttet AFE-signalbehandlingskrets (AFE – analog front-end), er mye brukt, nøyaktig og pålitelig. For driftskritiske konstruksjoner med høy pålitelighet, er det imidlertid ofte nødvendig å utvikle og sikre et funksjonssikkert system via sertifiseringsprosessen for Route 1S- eller Route 2S-komponenter.

Sertifisering av et system for funksjonssikkerhet er en kompleks prosess, siden alle komponenter i systemet må undersøkes for potensielle feilmoduser og -mekanismer. Det finnes ulike metoder for å diagnostisere feil, og bruken av deler som allerede er sertifisert letter denne arbeidsbelastningen, samt sertifiseringsprosessen.

Vær oppmerksom på at «pålitelighet» er relatert til, men ikke det samme som, funksjonssikkerhet. Enkelt forklart refererer «pålitelig» til en konstruksjon og implementering som fungerer i henhold til spesifikasjoner, uten problemer eller feil, mens «funksjonssikker» betyr at alle feil må detekteres av konstruksjonen. Både pålitelighet og funksjonssikkerhet er nødvendig for kritiske konstruksjoner.

Denne artikkelen vil se på det grunnleggende om RTD-er og tilknyttede signalbehandlingskretser i forbindelse med funksjonssikker-sertifisering. Den vil deretter ta for seg de ulike nivåene av pålitelighets- og feilsertifisering, og hva som kreves for å oppfylle dem gjennom begge rutene. To flerkanals RTD AFE IC-er, AD7124-paret fra Analog Devices og en tilknyttet evalueringskort-sammenstilling, vil bli brukt til å illustrere hovedpunktene.

Rollen til funksjonssikkerhet

Rollen til funksjonssikkerhet er å tilby frihet fra uakseptabel personskaderisiko gjennom riktig implementering av én eller flere automatiske beskyttelses-/sikkerhetsfunksjoner. Den sørger for at produktet, enheten eller systemet fortsetter å fungere trygt hvis det skulle oppstå en funksjonsfeil. Den er nødvendig i et bredt spekter av industrielle, kommersielle og til og med noen forbrukerrelaterte konstruksjoner, for eksempel:

  • Autonome kjøretøy
  • Maskinsikkerhet og robotikk
  • Industrielle styringssystemer (ICS – industrial control system)
  • Smarthjemprodukter for forbrukere
  • Smarte fabrikker og forsyningskjeder
  • Sikkerhetsinstrumenterte systemer og styringssystemer for farelokalisering

I en funksjonssikker konstruksjon, for eksempel, vil funksjonen til en hovedstrømbryter fortsatt støtte avslåing av strøm, selv om andre komponenter i systemet har sviktet (figur 1).

Bilde av nødstoppknappFigur 1: I et funksjonssikkert system kan det ikke være noen tvil eller tvetydighet om at denne bryteren vil gjøre det den sier den er konstruert for å gjøre. (Bildekilde: Pilla via City Electric Supply Co.)

Grunnleggende om RTD-er

Derfor er det lurt å se på temperatur og funksjonssikkerhet Én god grunn er at temperatur er den mest målte fysiske parameteren. Den er ofte relatert til sikkerhet eller kritiske konstruksjoner, og den støttes av et bredt utvalg av transdusere. Blant disse er motstandstemperaturdetektorer (RTD-er), som er begrepsmessig enkle: De drar nytte av den kjente og repeterbare temperaturkoeffisienten for motstand (TCR – temperature coefficient of resistance) i metaller som nikkel, kobber og platina. Platina-RTD-er med 100 ohm (Ω) og 1000 Ω motstand ved 0 °C er de mest brukte, og disse kan brukes i området –200 °C til +850 °C.

Disse RTD-ene har et svært lineært forhold mellom motstand og temperatur over dette temperaturområdet. For situasjoner med ultrahøy nøyaktighet, finnes det korreksjons- og kompensasjonstabeller og faktorer som kan brukes. Platina-RTD-en med en nominell motstand på 100 Ω (betegnet som PT100) har en typisk motstand på 18 Ω ved –200 °C og 390,4 Ω ved +850 °C.

Bruken av en RTD krever at den magnetiseres av en kjent strøm som vanligvis holdes på rundt 1 milliampere (mA) for å minimere selvoppvarming. Andre strømverdier brukes også, avhengig av den nominelle RTD-motstanden.

Spenningsfallet over RTD-en måles samtidig via en AFE som består av en forsterker med programmerbar forsterkning (PGA – programmable-gain amplifier), og i nesten alle tilfeller en analog-til-digital-omformer (ADC – analog-to-digital converter) i kombinasjon med en mikrokontroller (MCU – microcontroller unit) (figur 2).

Skjema over bruk av en RTD for å måle temperaturFigur 2: Bruken av en RTD for å måle temperaturen krever at en kjent strøm drives gjennom RTD-en og at spenningsfallet måles på tvers av den – og deretter brukes Ohms lov. (Bildekilde: Digi-Key)

Kretstopologien til dette grunnleggende skjemaet er identisk med bruken av en sensormotstand for å fastsette strøm gjennom en last, men her byttes de kjente og ukjente variablene. For strømføling vil motstanden være kjent og strømmen være ukjent, så beregningen er I = V/R. For RTD-er er strømmen kjent, men ikke motstanden, så beregningen er R = V/I.

PGA-en er nødvendig for å opprettholde signalintegritet og maksimere dynamisk område, ettersom spenningsnivåene over RTD-en kan variere fra noen titalls millivolt til hundrevis av millivolt, avhengig av RTD-type og temperatur.

Den fysiske forbindelsen mellom magnetiseringskilden, RTD-en og PGA-en kan være et grensesnitt med to, tre eller fire ledninger. Selv om to ledere i prinsippet er tilstrekkelig, er det problemer forbundet med IR-fall i tilkoblingsledningene, i tillegg til andre fenomener. Bruken av topologier med tre og fire ledninger i en mer avansert Kelvin-tilkobling resulterer i mer nøyaktig og konsistent ytelse, selv om det øker kablingskostnadene (figur 3).

Skjema over RTD-en kan drives og avføles via kun to ledninger (venstre), men bruken av tre ledninger (midten), og til og med fire ledninger (høyre, Kelvin-tilkobling)Figur 3: RTD-en kan drives og avføles via kun to ledninger (venstre), men bruken av tre ledninger (midten), og til og med fire ledninger (høyre, Kelvin-tilkobling), gjør det mulig å eliminere ulike feilkilder som skyldes ledningene. (Bildekilde: Analog Devices)

Vi begynner med terminologi og standarder

I likhet med mange andre spesialiteter, har funksjonssikkerhet mange unike begreper, datasett og akronymer som ofte brukes i relaterte diskusjoner. Blant disse er:

  • Feil i tid (FIT): Antall feil som kan forventes i løpet av én milliard (109) driftstimer.
  • Feilmoduser og effektanalyse (FMEA): Prosessen med å gjennomgå så mange komponenter, sammenstillinger og delsystemer som mulig for å identifisere potensielle feilmoduser i et system, og årsakene og virkningene til disse.
  • Feilmodusvirkninger og diagnostiske analyser (FMEDA – failure modes effects and diagnostic analyses): En systematisk analyseteknikk for å finne feilhyppigheter, feilmoduser og diagnostiske evner på delsystem-/produktnivå.

FIT-data er nødvendig, sammen med feilmodusvirkninger og diagnostiske analyser (FMEDA-er), på de forskjellige komponentene i systemet for å få full analyse. FMEA tilbyr bare kvalitativ informasjon, mens FMEDA tilbyr både kvalitativ og kvantitativ informasjon, slik at brukere kan måle et kritisk nivå av feilmoduser og sortere dem etter viktighet. FMEDA legger til informasjon om risiko, feilmoduser, virknings- og diagnostikkanalyse og pålitelighet.

  • Sikkerhetsintegritetsnivå (SIL – safety integrity level): Det er fire diskrete integritetsnivåer knyttet til SIL: SIL 1, SIL 2, SIL 3 og SIL 4. Jo høyere SIL-nivået er, jo høyere er det tilknyttede sikkerhetsnivået, og jo lavere er sannsynligheten for at et system ikke vil fungere som det skal.

En SIL 2-klassifisering indikerer at over 90 % av feilene i systemet kan diagnostiseres. For å sertifisere en konstruksjon, må systemkonstruktøren gi bevis til sertifiseringshuset om de potensielle feilene, om disse er trygge feil eller farlige feil og hvordan feilene kan diagnostiseres.

  • IEC 61508, formelt kalt «Funksjonssikkerhet for elektriske/elektroniske/programmerbare elektronisk sikkerhetsrelaterte systemer» (Functional Safety of Electrical/Electronic/Programmable Electronic Safety-related Systems) (uformelt bare kalt «Elektronisk funksjonssikkerhet» (Electronic Functional Safety)), er spesifikasjonen for funksjonssikre konstruksjoner. Den dokumenterer konstruksjonsflyten som trengs for å utvikle en SIL-sertifisert del. Dokumentasjon må genereres for hvert trinn, fra konsept og definisjon til utforming, layout, produksjon, montering og test.

Denne prosessen er kjent som Route 1S, og den er komplisert. Det finnes imidlertid et alternativ til Route 1S som kalles Route 2S-flyten. Dette er en «velprøvd»-rute (route) som gjelder når store volumer av produktet har blitt utviklet inn i sluttprodukter og systemer og skal brukes i felten i tusenvis av akkumulerte driftstimer.

Under Route 2S-flyten kan et produkt fortsatt sertifiseres ved å gi bevis til sertifiseringsmyndigheten med følgende informasjon:

  • Volumer som er brukt i felten
  • Analyse av alle returer fra felten og informasjon om at returene ikke skyldtes feil i selve komponenten
  • Sikkerhetsdatablad som gir detaljer om diagnostikken og dekningen de tilbyr
  • Pinne og plate (pin and die) FMEDA

Sammenslåing av RTD-grensesnitt med SIL Route 2S-flyten

Sertifisering av et system er en lang prosess, siden alle komponenter i systemet må undersøkes for potensielle feilmekanismer og det finnes ulike måter å diagnostisere feil på. Ved å bruke deler som allerede er sertifisert, reduseres innsatsen som kreves, og sertifiseringsprosessen forkortes.

En svært integrert, moden RTD-grensesnittkomponent er en viktig faktor når det gjelder å forenkle Route 2S-sertifisering, siden den definerer en komplett løsningspakke, og dermed kan karakteriseres fullt ut med data knyttet til feltbruk og feil. Dette er forskjellig fra bruken av flere mindre byggeblokk-IC-er, der deres forskjellige grensesnitt og interaksjoner må analyseres for den spesifikke sammenkoblingskonfigurasjonen som brukes.

Et eksempel på dette er den firekanals AD7124-4 (figur 4) og den lignende åttekanals AD7124-8 (heretter referert til samlet som «AD7124» når vi tar for oss de mange funksjonene de har til felles). Disse komponentene passer godt for Route 2S-flyten på grunn av de innebygde selvtest- og diagnostikkfunksjonene, samt deres «meritter» ute i felten.

Skjema over Analog Devices sin AD7124-4 er en funksjonsmessig komplett RTD-sensor-til-prosessor-signalkjedeFigur 4: Den firekanals AD7124-4 er en funksjonelt komplett RTD-sensor-til-prosessor-signalkjede. (Bildekilde: Analog Devices)

Disse IC-ene er komplette løsninger for flerkanals RTD-måling, og de inkluderer alle byggesteinene som trengs fra en sensor til en digitalisert utgang og for kommunikasjon med en tilknyttet mikrokontroller. De inkluderer den flerkanals multiplekseren, PGA, 24-bits sigma-delta A-D-omformer (ADC), strømkilder for RTD-er, spenningsreferanser for intern drift, systemklokke, analog og digital filtrering og tre- eller fire-leders serielle grensesnitt for SPI-, QSPI-, MICROWIRE- og DSP-kompatible sammenkoblinger.

Det er imidlertid verdt å merke seg at tilstedeværelsen av disse funksjonene ikke i seg selv gir grunnlag for SIL Route 2S-kvalifisering. For å oppnå en funksjonssikker konstruksjon, kreves mye innebygd diagnostikk for de mange funksjonene som utgjør RTD-systemet. Den flertallige innebygde diagnostikken i AD7124 minimerer både konstruksjonskompleksiteten og -tiden, og fjerner behovet for å duplisere signalkjeden for å gi diagnostisk dekning.

Denne diagnostikken inkluderer, men er ikke begrenset til, overvåking av strømforsyning, referansespenning og analog input, deteksjon av en åpen ledning til RTD-er, kontroll av konverterings- og kalibreringsytelse, kontroll av funksjonaliteten til signalkjeden, overvåking av lese-/skrivefunksjonene og overvåking av registerinnholdet.

Slik oversettes disse «høy-nivå»-uttalelsene til den nødvendige brikkediagnostikken Svaret har mange sider, deriblant:

SPI-diagnostikk: For hver skriving til AD7124 genererer prosessoren en syklisk redundanskontroll (CRC – cyclic redundancy check) som legges til informasjonen som sendes til A-D-omformeren. A-D-omformeren genererer deretter sin egen CRC-verdi fra den mottatte informasjonen, og sammenligner den med CRC-verdien mottatt fra prosessoren. Hvis begge verdiene stemmer overens, betyr dette at informasjonen er intakt og at den vil bli skrevet til det relevante brikkeregisteret.

Hvis verdiene ikke samsvarer, betyr dette at det har oppstått korrupsjon i overføringen. IC-en vil da angi et feilflagg, som betyr at det har oppstått datakorrupsjon. AD7124 beskytter også seg selv ved å ikke skrive den korrupte informasjonen inn i et register.

En lignende CRC-prosedyre brukes når informasjon leses fra AD7124-enheten til systemprosessoren. Til slutt vil grensesnittet også telle klokkepulser for å sikre at det bare er åtte slike pulser med hver lese- eller skrive-dataramme, noe som dermed sikrer at klokkefeil ikke oppstår.

Minnekontroller: En CRC brukes også til å validere registerinnhold ved oppstart eller når brikkeregistre endres (for eksempel når forsterkningen endres). CRC-prosessen utføres også periodisk for å sikre at ingen minnebits har «vendt seg» på grunn av støy eller andre årsaker. Hvis det oppstår en endring, og prosessoren deretter flagges fordi registerinnstillingene er skadet, kan den tilbakestille A-D-omformeren og laste inn registrene på nytt.

Signalkjedekontroller: Alle kritiske statiske spenninger kan kontrolleres via A-D-omformeren, inkludert strømforsyningsskinner, regulatorutganger med lav fallspenning (LDO – low-dropout) og referansespenninger. Tilstedeværelsen eller fraværet av den eksterne kondensatoren på tvers av LDO-en kan også kontrolleres. I tillegg kan en kjent spenning påføres inngangen til A-D-omformeren for å kontrollere innstillingene for A-D-omformeren og forsterkningsfunksjonen. I tillegg kan kjente strømverdier legges til over de analoge inngangene for å sjekke om det er en åpen eller kortsluttet RTD.

Konvertering og kalibrering: Resultatene av A-D-omformerens konvertering kontrolleres kontinuerlig for å se om de går til bare nuller eller fullskala, der begge indikerer et problem. Bitstrømmen fra modulatoren i kjernen av A-D-omformeren overvåkes for å sikre at den ikke er mettet, og hvis metning oppstår (noe som betyr at det har vært 20 påfølgende ettall eller nuller fra modulatoren), settes et feilflagg.

Hovedklokkefrekvens: Frekvensen til denne klokken styrer ikke bare konverteringsfrekvenser, men etablerer også kjervfrekvensene til de digitale filtrene på 50/60 Hertz (Hz). Et internt register i AD7124 gjør det mulig for ledsagerprosessoren å tidsbestemme og dermed kontrollere nøyaktigheten til hovedklokken.

Tilleggsfunksjoner: AD7124 inkluderer en temperatursensor, som også kan brukes til å overvåke platetemperaturen. Begge versjonene har en nominell elektrostatisk utladning (ESD – electrostatic discharge) på 4 kilovolt (kV) for å oppnå robust ytelse, og begge er plassert i en LFCSP-kapsling på 5 × 5 millimeter (mm) som er egnet for konstruksjoner som er iboende trygge.

På grunn av den interne kompleksiteten, raffinementet og de avanserte selvtestfunksjonene til AD7124-4 og AD7124-8, er det fornuftig å ha muligheten til å anvende og evaluere IC-ene.

For å oppnå dette tilbyr Analog Devices et par tilkoblede kort: EVAL-AD7124-4SDZ-evalueringskortet for AD7124-4 (figur 5) og det tilknyttede EVAL-SDP-CB1Z SDP (System Demonstration Platform) / grensesnittkortet (figur 6). Førstnevnte er spesifikt for AD7124-4 og fungerer sammen med sistnevnte, som leverer kommunikasjon med brukerens datamaskin og evalueringsprogramvare via en USB-kobling.

Bilde av Analog Devices EVAL-AD7124-4SDZ-evalueringskort for AD7124-4Figur 5: EVAL-AD7124-4SDZ er et evalueringskort for AD7124-4. (Bildekilde: Analog Devices)

Bilde av Analog Devices EVAL-SDP-CB1Z-grensesnittkortFigur 6: EVAL-SDP-CB1Z-grensesnittkortet er en følgesvenn til EVAL-AD7124-4SDZ-evalueringskortet, og gir USB-tilkobling til en vertsdatamaskin. (Bildekilde: Analog Devices)

Evalueringssammenstillingen støttes av AD7124-4 EVAL+-programvaren, som fullstendig konfigurerer funksjonaliteten til AD7124-4-enhetsregisteret og anvender (excercise) IC-en. Den gir også tidsdomeneanalyse i form av bølgeformgrafer, histogrammer og tilknyttet støyanalyse for A-D-omformerens ytelsesevaluering.

Overgang til funksjonssikker konstruksjon

Det er viktig å være klar over at AD7124-4 og AD7124-8 ikke er SIL-klassifiserte, noe som betyr at de ikke er konstruert og utviklet ved å bruke utviklingsretningslinjer som definert av IEC 61508-standarden. Ved å forstå sluttkonstruksjonen, og gjennom riktig bruk av de forskjellige diagnostikkmulighetene, kan de imidlertid vurderes for bruk i en SIL-klassifisert konstruksjon.

Veien til Route 1S-sertifisering har flere faktorer for analyse og håndtering av feil, som kan være enten systemiske eller tilfeldige. Systemfeil skyldes konstruksjons- eller produksjonsfeil, for eksempel et støyende avbrudd som skyldes mangel på filtrering på den eksterne avbruddspinnen eller utilstrekkelig takhøyde for et signal. Tilfeldige feil skyldes derimot fysiske årsaker som korrosjon, varmestress eller slitasje.

En viktig bekymring, som kalles den farlige ikke-detekterte feilen, håndteres av flere teknikker. For å minimere tilfeldige feil kan konstruktører bruke én eller alle av totalt tre taktikker:

  • Mer pålitelige komponenter, som er utsatt for mindre stress.
  • Diagnostikk som er avhengig av innebygde deteksjonsmekanismer implementert via maskinvare eller programvare.
  • Feiltoleranse via redundante kretser. Ved å legge til en redundant bane, kan enkle feil tolereres. Dette kalles et HFT 1-system (HFT – hardware fault tolerance 1), noe som betyr at én feil ikke kan føre til at systemet svikter.

Ett verktøy som kan brukes til å forstå SIL-nivådekning, er en matrise som plotter sikker feilfraksjon (SFF – safe failure fraction) (mengden diagnostisk dekning) og maskinvarefeiltoleranse (redundansen) (figur 7).

Sikker feilfraksjon av et element Maskinvarefeiltoleranse
0 1 2
<60 % Ikke tillatt SIL 1 SIL 2
60 % til 90 % SIL 1 SIL 2 SIL 3
90 % to <99 % SIL 2 SIL 3 SIL 4
≥99 % SIL 3 SIL 4 SIL 4

Figur 7: Denne matrisen karakteriserer sikker feilfraksjon (SFF – safe failure fraction) kontra maskinvarefeiltoleranse (HFT – hardware fault tolerance) og gir innsikt i SIL-dekning. (Bildekilde: Analog Devices)

Radene viser mengden diagnostisk dekning, mens kolonnene viser maskinvarefeiltoleransen. En HFT på 0 betyr at hvis det er én feil i systemet, vil sikkerhetsfunksjonen gå tapt. Et høyere diagnostikknivå reduserer den nødvendige mengden systemredundans eller forbedrer SIL-nivået til løsningen med samme redundansnivå (nedover i matrisen).

Vær oppmerksom på at FMEDA for en typisk temperaturutrustning som bruker disse enhetene, viser en sikker feilfraksjon (SFF – safe failure fraction) som er større enn 90 % i henhold til IEC 61508. To tradisjonelle A-D-omformere ville vanligvis være påkrevd for å gi dette dekningsnivået via redundans, men AD4172 krever bare én enkel A-D-omformer, og gir dermed betydelig reduksjon i materiallistekostnader (BOM – bill of materials) og kortplassbruk.

Dokumentasjon for SIL-klassifisert konstruksjon

Omfattende dokumentasjon er nødvendig for å oppnå Route 1S-sertifisering. Noen av de nødvendige kildedokumentene er:

  • Sikkerhetsdatablad (sikkerhetshåndboken for en SIL-klassifisert del)
  • Pinne-FMEDA og plate-FMEDA, med feilmoduser, virkninger og analyse for begge
  • Sjekkliste for vedlegg F (definert av IEC 61508)

Denne dokumentasjonen vil så komme fra en rekke kilder (figur 8):

  • Diagnostiske data fra databladet fanger opp alle diagnostiske funksjoner som er tilgjengelige i delen.
  • Konstruksjonsdata refererer til interne data. For eksempel plateområdet og virkningen av hver interne blokk i delen.
  • FIT, med verdier for ulike komponenter, er tilgjengelig fra databoken.
  • Feilinnsettingstester utføres for blokker som ikke kan analyseres ved hjelp av konstruksjons- og diagnostikkdata. Disse testene planlegges basert på konstruksjonskravene, og utfallet av feilinnsettingstester brukes til å styrke FMEDA- og FMEA-dokumentene.

Skjema over ulike dokumentasjonskilderFigur 8: De ulike dokumentasjonskildene samles og trekkes gjennom for å tilby den komplette informasjonspakken som trengs for SIL-sertifisering. (Bildekilde: Analog Devices)

En nærmere titt på spesifikasjoner:

  • Sikkerhetshåndboken eller sikkerhetsdatabladet bruker all den samlede informasjonen for å tilveiebringe de nødvendige kravene som trengs for å muliggjøre integrering av AD7124-4 eller AD7124-8. Den samler all diagnostikk og alle analyser som strømmer inn fra ulike dokumenter og datasett.
  • Plate-FMEDA-en for AD7124-4 og AD7124-8 analyserer hovedblokkene i konstruksjonsskjemaet, identifiserer feilmoduser og virkninger og kontrollerer diagnosen og analysene for en bestemt sikkerhetsfunksjon. For eksempel vil analysen av klokkemodulen vise feilmodusene, virkningen av hver på utgangen, mengden diagnostisk dekning og en analyse av påvirkningen (figur 9).
Feilmodus Virkning Diagnostisk dekning Analyse
Utgang sitter fast i høy Fastfryste resultater for A-D-omformingen 99 MCLK-klokketeller (tabell A.11) «overvåkingskrets med separat tidsbasis og tidsvindu»
Utgang sitter fast i lav Fastfryste resultater for A-D-omformingen 99 MCLK-klokketeller (tabell A.11) «overvåkingskrets med separat tidsbasis og tidsvindu»
Høy impedans på utgang Fastfryste resultater for A-D-omformingen 99 MCLK-klokketeller (tabell A.11) «overvåkingskrets med separat tidsbasis og tidsvindu»
Utgangsavvik ±10 % ADC-omformingsresultater skadet, 50 Hz/60 Hz kjerver ikke effektive 99 MCLK-klokketeller (tabell A.11) «overvåkingskrets med separat tidsbasis og tidsvindu»
Jitter på utgangen ADC-omformingsresultater skadet eller inneholder støy 99 Konverter 0, ±FS (Tabell A.13) «referansesensor», sannsynlighetskontroller på resultatene

Figur 9: Denne tabellen definerer hovedklokkens blokkfeilmodus, virkninger, diagnostikk og analyse. (Bildekilde: Analog Devices)

Denne plate-FMEDA-en resulterer i en kvantitativ presentasjon av feilhyppigheter for sikre feil, farlige detekterte feil og farlige ikke-detekterte feil. Alle disse brukes til å beregne SFF-en.

Pinne-FDEMA-en ser på feil fra et annet perspektiv. Den analyserer ulike typer feil på pinnene til AD7124-4 og AD7124-8 og utfallet av disse for RTD-konstruksjonen. Den gjør dette for hver enkelt pinne og beskriver utfallet for når det er åpning på pinnen, kortslutninger til forsyning/jord eller kortslutninger til tilstøtende pinner.

Sjekklisten for vedlegg F er en sjekkliste for konstruksjonstiltak som skal til for å unngå systematiske feil. Den består av:

  • Produktoversikt
  • Informasjon om konstruksjonen
  • Sikkerhetskonsept
  • Prediksjoner for livsperioden
  • FIT
  • FMEDA-beregninger – SFF og DC
  • Sikkerhetsmekanismer for maskinvare
  • Diagnostikkbeskrivelse
  • EMC-robusthet
  • Drift i redundante konfigurasjoner
  • Vedlegg og dokumentliste

For å oppsummere, er sertifiseringen for funksjonssikkerhet for en nylig introdusert komponent via Route1S både lang, kompleks, tidkrevende, intens og omfattende. Heldigvis er Route 2S, som nevnt ovenfor, en alternativ tilnærming som er gjennomførbar for noen komponenter.

Route 2S: En alternativ vei

Veien kjent som Route 2S gjelder for en utgitt del med praksis og data fra felten, og som er angitt som «velprøvd» (proven in use). Den er basert på en analyse av kundereturer og antall enheter som er levert. Den kan ikke brukes med nye deler som har liten eller ingen erfaring ute i felten.

Route 2S muliggjør SIL-sertifisering som om delen ble fullstendig analysert under IEC 61508-standarden. Den er tilgjengelig for modul- og systemkonstruktører hvis de har brukt den aktuelle IC-en tidligere og kjenner feilhyppigheten fra felten. De innebygde test- og verifiseringsfunksjonene, i tillegg til ytelsesdata, gjør AD7214-4 og AD7214-8 til gode kandidater for Route 2S.

Påkalling av Route 2S krever detaljerte og statistisk signifikante data om returer og feil i felten. Dette kravet er mye vanskeligere for IC-leverandører å oppfylle enn det er for leverandører av kretskort eller moduler. Årsaken er at førstnevnte vanligvis ikke har nok kunnskap om den endelige konstruksjonen, eller hvilken prosentandel av de sviktede enhetene fra felten som returneres til dem for analyse.

Konklusjon

Route 1S-veien for funksjonssikker-sertifisering av nye produkter er grundig, omfattende og detaljerte. Det er også teknisk utfordrende – og definitivt tidkrevende. Route 2S-prosessen gjør det derimot mulig å sertifisere utgitte produkter basert på erfaring, feil og analysedata fra felten. Dette er en nyttig rute som støttes av RTD-grensesnitt-IC-ene AD7214-4 og AD7214-8, ettersom de har den nødvendige historikken. Det at disse IC-ene har mange diagnostiske og selvtestende funksjoner og egenskaper som gjør dem egnet for slike sertifiseringer, er like viktig.

Relatert innhold

  1. Slik konstrueres og sertifiseres systemer med funksjonssikre motstandstemperaturdetektorer (RTD)
  2. Enkel gjennomføring av et fullt integrert RTD-temperaturmålingssystem med fire ledere for målingskonstruksjoner med høy presisjon
  3. RTD-grensesnitt og -linearisering
DigiKey logo

Disclaimer: The opinions, beliefs, and viewpoints expressed by the various authors and/or forum participants on this website do not necessarily reflect the opinions, beliefs, and viewpoints of DigiKey or official policies of DigiKey.

Related Product Highlight

Precision ADCs Analog Device’s ADCs have industry leading performance, help optimize system performance, offer speeds up to 10MSPS, and have 8- to 32-bit resolution.
ADMT4000-multirotasjonssensor med sann avlesning ved oppstart Vinkelsensorene ADMT4000 AMR fra Analog Devices gjør det mulig for enheten å rapportere systemets posisjon med en høy grad av vinkelnøyaktighet.
A/D-omformere ADE9113/ADE9112/ADE9103 ADC-ene ADE9103, ADE9112 og ADE9113 fra Analog Devices har alle en strømkanal med høy forsterkning som egner seg best for bruk med en shuntmotstand som strømsensor/strømføler.

Related Articles and Blogs

Slik kan IO-Link brukes til å enkelt tilpasse RTD-konnektivitet til smartfabrikken Bruk IO-Link som kommunikasjonsstandard mellom en industriell RTD-sensor og en styringsenhet for å muliggjøre konfigurerbarhet, diagnostikk og enklere administrasjon.
How to Precisely Determine Motor Angular Position and Velocity With a Resolver Accurately and reliably capture a motor control resolver’s angular position and velocity with a high-resolution resolver-to-digital converter.
Improve Pulse Oximetry Measurements Using Dark Current Compensation Use a second photodiode to increase a pulse oximeter’s dynamic range to 16 bits.

Om skribenten

Image of Bill Schweber

Bill Schweber)

Bill Schweber er en elektronikkingeniør som har skrevet tre lærebøker om elektroniske kommunikasjonssystemer, i tillegg til hundrevis av tekniske artikler, leserinnlegg og produktartikler. I tidligere roller jobbet han som teknisk nettstedsjef for flere emnespesifikke nettsteder for EE Times, i tillegg til både Executive Editor og Analog Editor ved EDN.

Hos Analog Devices, Inc. (en ledende leverandør av analoge og blandede signal-IC-er), var Bill innen markedskommunikasjon (PR); som et resultat har han vært på begge sider av den tekniske PR-funksjonen, presentert firmaprodukter, historier og meldinger til media og også som mottaker av disse.

Før han kom til markedskommunikasjonsavdelingen i Analog Devices, var Bill assisterende redaktør for deres respekterte tekniske tidsskrift og jobbet også i deres grupper for produktmarkedsføring og tilrettelegging av bruksområder. Før disse rollene jobbet Bill hos Instron Corp. og gjorde praktisk konstruksjonsarbeid av analoge strømkretser, samt systemintegrasjon for materialtesting av maskinkontroller.

Han har en MSEE (Univ. of Mass) og BSEE (Columbia Univ.), er registrert yrkesingeniør, han har også en Advanced Class-amatørradiolisens. Bill har også planlagt, skrevet og presentert nettkurs om en rekke tekniske emner som inkluderer grunnleggende om MOSFET, ADC-seleksjon og LED-drivere.

Om denne utgiveren

DigiKeys nordamerikanske redaktører