ФУНКЦИОНАЛЬНАЯ БЕЗОПАСНОСТЬ СИСТЕМ СБОРА И ОБРАБОТКИ ДАННЫХ

28.02.2023 |

В последнее время требования к функциональной безопасности систем сбора и обработки данных постоянно ужесточаются. Это относится не только к системам, предназначенным для применения в атомных станциях, но к системам, применяемым в медицинской, автомобильной, авиационной промышленности. К системам на основе Интернета вещей, таким как “разумный” город, “разумная” улица, “разумные” апартаменты, тоже применяются высокие требования к обеспечению функциональной безопасности. Основное бремя ответственности по обеспечению требуемого уровня функциональной безопасности систем лежит на разработчиках микросхем и других электронных компонентов.
На рис. 1 показаны традиционная система сбора и обработки данных, которая включает достаточно много внешних компонентов, обрамляющих АЦП предыдущего поколения, и новая система, в которой практически все компоненты включены в состав микросхемы преобразователя.

Рис. 1. Системы с функциями диагностики:
традиционная (слева) и новая (справа)

Следует отметить, что современные системы сбора и обработки данных в случае сбоя или отказа, могут стать причиной выхода из строя сложного оборудования и даже привести к человеческим жертвам. Так, в системах, которые поддерживают на заданном уровне (с погрешностью, например, 5%) давление в газовом резервуаре, всегда есть вероятность того, что на выходе АЦП могут появиться ошибочные данные, и контроллер не сможет отрегулировать отклонение внутреннего давления от внешнего, что может привести к взрыву резервуара и, как следствие, к человеческим жертвам.
Приведем перечень основных причин, которые могут привести к таким последствиям:
• на выходе источника питания напряжение ниже заданного
• поврежден датчик давления или усилитель на входе АЦП
• сбои или отказы в цифровом узле АЦП приводят к искажению выходного кода данных
• искажение кода в линии связи между АЦП и контроллером
• выход температуры окружающей среды за пределы диапазона рабочих температур ИМС АЦП.
На рис. 2 приведена схема измерения давления, в которой использован сигма-дельта АЦП типа AD7768-1. На этом рисунке выделены отдельные фрагменты схемы, в которых могут возникнуть перечисленные выше отказы и сбои. Отметим, что ИМС AD7768-1 имеет набор встроенных средств диагностики, позволяющих в реальном времени получать информацию об отказах в том или ином узле АЦП.

Рис. 2. Источники потенциальных отказов и сбоев в схеме измерения давления

Возможность подключения входного контакта АЦП к земляной шине обеспечивает проверку напряжения смещения нуля. В случае отклонения этих параметров от номинальных пользователь с помощью встроенных в АЦП регистров может их откорректировать. Встроенный датчик температуры не только следит за ее изменением, но и информирует пользователя о превышении ее граничных параметров. Кроме того, если температура окружающей среды изменилась в пределах рабочего диапазона температур, имеется возможность внести коррекцию в напряжение смещения нуля и коэффициент усиления. Схема узла диагностики АЦП AD7768-1, в которой мультиплексор подключает ко входу преобразователя разные цепи диагностики, приведена на рис. 3. В составе АЦП имеются регистры, которые содержат флаг ошибки в цифровых узлах преобразователя.

Рис. 3. Схема подключения цепей диагностики АЦП

ования может вызвать бросок тока в конденсаторе на выходе LDO-стабилизатора, что может привести к выходу его из строя. Желательно, чтобы этот конденсатор был внешним компонентом по отношению к АЦП. В этом случае облегчается мониторинг выходного напряжения LDO-стабилизатора. Если напряжение на его выходе выйдет за нижний предел, флаг ошибки в специальном регистре информирует пользователя о сбое или отказе в работе АЦП в целом. В АЦП, кроме того, предусмотрена защита от некорректного программирования коэффициента усиления входного усилителя. Эту роль выполняет узел Filter saturated error checker monitor (узел контроля режима насыщения, показанный на рис. 4). В АЦП могу встречаться недопустимые ошибки в двоичных разрядах, например, при включении питания. Для их устранения в цифровом узле предусмотрен периодический контроль ошибок с помощью избыточных кодов. О появлении ошибок пользователя предупреждает флаг ошибки в специальном регистре. Перезапуск системы, как правило, позволяет исключить такую ошибку.

Рис. 4. Мониторы внутренней диагностики АЦП

и и ошибки в последовательности передаваемых двоичных разрядов. Все подобные системы характеризуются частотой появления ошибочных битов. В системах регулирования давления газа частота появления ошибочных битов на выходе АЦП менее 10…7 Гц является допустимой, если микроконтроллер расположен в непосредственной близости от АЦП на расстоянии не более 10 см.
Предположим, что в результате внешних помех в линии связи между АЦП и микроконтроллером возникла ошибка в двоичном разряде. Она может привести к непредсказуемым последствиям. Для предотвращения такой ситуации пользователь имеет возможность предусмотреть контроль данных на выходе преобразователя при помощи циклического избыточного кода, выявляя при этом ошибки в двоичных разрядах.
Если пользователь при регулировке давления в газовом резервуаре считает необходимым обеспечить защиту задающего генератора от сбоев по цепи питания из-за разницы в частотах сетевого напряжения (50/60 Гц), то для выравнивания частоты синхроимпульсов он может использовать цифровую фильтрацию. Сбои и отказы в цепи синхросигналов могут быть вызваны кроме того некорректным подключением внешнего генератора к внутрисхемному RC-осциллятору.
После устранения отмеченных неисправностей следует выполнить аварийную проверку системы управления в целом. Мы рассмотрели только некоторые из встроенных функций диагностики
преобразователя. Более подробно все функции диагностики АЦП AD7768-1 при его системном применении изложены в технической документации.

ВЫВОДЫ
Согласно современным требованиям системы управления сложными объектами повышенной опасности должны иметь высокую функциональную безопасность. Функциональная безопасность является системным свойством, однако обеспечение ее начинается на уровне микроэлектронной элементной базы. Самодиагностика и самоконтроль закладываются в виде дополнительных узлов непосредственно в кристаллы АЦП и микроконтроллеров.