Como projetar e certificar sistemas funcionalmente seguros baseados em RTD

Um detector resistivo de temperatura (RTD), que consiste em um transdutor e seu circuito de condicionamento de sinal de front-end analógico (AFE), é amplamente usado, preciso e confiável. No entanto, para aplicações de missão crítica e alta confiabilidade, muitas vezes é necessário projetar e garantir um sistema funcionalmente seguro por meio do processo de certificação de componentes Route 1S ou Route 2S.

A certificação de um sistema para segurança funcional é um processo complexo, pois todos os componentes do sistema devem ser analisados quanto aos possíveis modos e mecanismos de falha. Há vários métodos para diagnosticar falhas e o uso de peças já certificadas facilita essa carga de trabalho e o processo de certificação.

Observe que "confiabilidade" está relacionada, mas não é o mesmo que funcionalmente seguro. Em seus termos mais simples, confiável refere-se a um projeto e uma implementação que funcionam de acordo com as especificações, sem problemas ou falhas, enquanto "funcionalmente seguro" significa que quaisquer falhas devem ser detectadas pelo projeto. Tanto a confiabilidade quanto a segurança funcional são necessárias para aplicações críticas.

Este artigo abordará os conceitos básicos de RTDs e seus circuitos de condicionamento de sinal no contexto da certificação funcionalmente segura. Em seguida, ele discutirá os vários níveis de confiabilidade e certificação de falhas e o que é necessário para atendê-los por meio de ambas as rotas. Dois CIs RTD AFE multicanais, o par AD7124 da Analog Devices, juntamente com um arranjo associado de placa de avaliação, serão usados para ilustrar os pontos principais.

O papel da segurança funcional

O papel da segurança funcional é proporcionar a ausência de riscos inaceitáveis de lesões ou danos à saúde das pessoas por meio da implementação adequada de uma ou mais funções automáticas de proteção/segurança. Ela garante que o produto, dispositivo ou sistema continue funcionando com segurança se houver um mau funcionamento. Ela é necessária em uma ampla gama de aplicações industriais, comerciais e até mesmo em algumas aplicações de consumo, como:

• Veículos autônomos
• Segurança de máquinas e robótica
• Sistemas de controle industrial (ICS)
• Produtos domésticos inteligentes para o consumidor
• Fábricas inteligentes e cadeias de suprimentos
• Sistemas com instrumentação de segurança e sistemas de controle de áreas de risco

Por exemplo, em um projeto funcionalmente seguro, a função de um interruptor principal de ligar/desligar a energia ainda suportaria o desligamento da energia, mesmo que outros componentes do sistema falhassem (Figura 1).

Figura 1: Em um sistema funcionalmente seguro, não pode haver dúvida ou ambiguidade de que esse interruptor fará o que diz ter sido projetado para fazer. (Fonte da imagem: Pilla via City Electric Supply Co.)

Princípios básicos sobre RTD

Por que analisar a temperatura e a segurança funcional? Um bom motivo é que a temperatura é o parâmetro físico mais comumente medido. Geralmente está relacionada a aplicações críticas ou de segurança, e é suportada por uma ampla seleção de transdutores. Entre eles estão os RTDs, que são conceitualmente simples: eles aproveitam o coeficiente de temperatura da resistência (TCR) conhecido e repetível de metais como níquel, cobre e platina. Os RTDs de platina com resistência de 100 ohm (Ω) e 1000 Ω a 0°C são os mais usados e podem ser utilizados na faixa de -200°C a +850°C.

Esses RTDs têm uma relação altamente linear entre resistência e temperatura nessa faixa de temperatura; para situações de altíssima precisão, há tabelas e fatores de correção e compensação que podem ser aplicados. O RTD de platina com uma resistência nominal de 100 Ω (designado como PT100) tem uma resistência típica de 18 Ω a -200°C e 390,4 Ω a +850°C.

O uso de um RTD exige que ele seja excitado por uma corrente conhecida, que geralmente é mantida em torno de 1 miliampere (mA) para minimizar o autoaquecimento. Outros valores de corrente também são usados, dependendo da resistência nominal do RTD.

A queda de tensão no RTD é medida simultaneamente por meio de um AFE que consiste em um amplificador de ganho programável (PGA) e, em quase todos os casos, um conversor analógico-digital (ADC) em conjunto com uma unidade de microcontrolador (MCU) (Figura 2).

Figura 2: O uso de um RTD para medir a temperatura requer a condução de uma corrente conhecida através do RTD e a medição da queda de tensão através dele, aplicando em seguida a lei de Ohm. (Fonte da imagem: Digi-Key)

A topologia do circuito desse esquema básico é idêntica ao uso de um resistor de detecção para determinar a corrente por meio de uma carga, mas aqui as variáveis conhecidas e desconhecidas são trocadas. Para a detecção de corrente, a resistência é conhecida, enquanto a corrente é desconhecida, portanto o cálculo é I = V/R. Para RTDs, a corrente é conhecida, mas a resistência não, portanto o cálculo é R = V/I.

O PGA é necessário para manter a integridade do sinal e maximizar a faixa dinâmica, pois os níveis de tensão no RTD podem variar de dezenas de milivolts a centenas de milivolts, dependendo do tipo do RTD e da temperatura.

A conexão física entre a fonte de excitação, o RTD e o PGA pode ser uma interface de dois, três ou quatro fios. Embora dois condutores sejam suficientes em princípio, há problemas associados à queda de IR nos terminais de conexão, além de outros artefatos. O uso das topologias de três e quatro fios em uma conexão Kelvin mais avançada resulta em um desempenho mais preciso e consistente, embora aumente os custos de fiação (Figura 3).

Figura 3: O RTD pode ser acionado e monitorado por meio de apenas dois fios (esquerda), mas o uso de três fios (centro) e até mesmo quatro fios (direita, conexão Kelvin) permite a eliminação de várias fontes de erro devido aos fios. (Fonte da imagem: Analog Devices)

Comece com a terminologia e os padrões

Como em muitas especialidades, a segurança funcional tem muitos termos, conjuntos de dados e siglas exclusivas que são amplamente usados em discussões relacionadas. Entre eles estão:

• Falhas no tempo (FIT): o número de falhas que podem ser esperadas em um bilhão (10⁹) de horas de operação do dispositivo.
• Análise de modos e efeitos de falha (FMEA): o processo de revisão do maior número possível de componentes, montagens e subsistemas para identificar possíveis modos de falha em um sistema e suas causas e efeitos.
• Análise de modos de falha, efeitos e diagnósticos (FMEDA): Uma técnica de análise sistemática para obter taxas de falha, modos de falha e capacidade de diagnóstico ao nível de subsistema/produto.

Os dados da FIT são necessários juntamente com as análises dos modos de falha, efeitos e diagnósticos (FMEDAs) dos diferentes componentes do sistema para uma análise completa. A FMEA oferece apenas informações qualitativas, enquanto a FMEDA oferece informações qualitativas e quantitativas, permitindo que os usuários meçam o nível de criticidade dos modos de falha e os ordenem de acordo com a importância. A FMEDA acrescenta informações sobre análises de risco, modos de falha, efeitos e diagnósticos, além de confiabilidade.

• Nível de integridade de segurança (SIL): há quatro níveis de integridade discretos associados ao SIL: SIL 1, SIL 2, SIL 3 e SIL 4. Quanto mais alto for o nível SIL, maior será o nível de segurança associado e menor será a probabilidade de um sistema não funcionar adequadamente.

Uma classificação SIL 2 indica que mais de 90% das falhas no sistema podem ser diagnosticadas. Para certificar um projeto, o projetista do sistema deve fornecer evidências à empresa de certificação sobre as possíveis falhas, se são falhas seguras ou perigosas, e como as falhas podem ser diagnosticadas.

• A IEC 61508, formalmente intitulada "Segurança Funcional de Sistemas Elétricos/Eletrônicos/Programáveis Relacionados à Segurança Eletrônica" (e informalmente chamada apenas de "Segurança Funcional Eletrônica"), é a especificação para projetos funcionalmente seguros. Ela documenta o fluxo de projeto necessário para desenvolver uma peça com certificação SIL. A documentação precisa ser gerada para cada etapa, desde o conceito e a definição até o projeto, o layout, a fabricação, a montagem e o teste.

Esse processo é conhecido como Route 1S e é complicado. No entanto, há uma alternativa à Route 1S chamada de fluxo da Route 2S. Essa é uma rota "comprovada em uso" e é aplicável quando grandes volumes do produto foram projetados em produtos e sistemas finais e estão sendo usados em campo com milhares de horas de operação acumulada.

De acordo com o fluxo da Route 2S, um produto ainda pode ser certificado ao fornecer evidências à autoridade de certificação de:

• Volumes usados no campo
• Análise de todas as devoluções do campo e detalhamento de que as devoluções não se devem a falhas no próprio componente
• Ficha técnica de segurança com detalhes sobre os diagnósticos e a cobertura que oferecem
• Pino e pastilha FMEDA

Fusão de interfaces RTD com o fluxo SIL da Route 2S

A certificação de um sistema é um processo longo, pois todos os componentes do sistema devem ser analisados quanto aos possíveis mecanismos de falha, e há vários métodos para diagnosticar falhas. O uso de peças já certificadas reduz o esforço necessário e encurta o processo de certificação.

Um componente de interface RTD altamente integrado e maduro é fundamental para facilitar a certificação da Route 2S, pois define um pacote completo de soluções e, portanto, pode ser totalmente caracterizado com dados associados ao uso em campo e a falhas. Isso é diferente do uso de vários CIs de bloco de construção menores, em que suas várias interfaces e interações devem ser analisadas para a configuração de interconexão específica que está sendo usada.

Um exemplo disso é o AD7124-4 de quatro canais (Figura 4) e o similar AD7124-8 de oito canais (doravante denominados coletivamente como "AD7124" ao discutir os muitos recursos que eles têm em comum). Esses componentes são uma boa opção para o fluxo da Route 2S devido aos seus recursos incorporados de autoteste e diagnóstico, bem como ao seu "histórico" em campo.

Figura 4: O AD7124-4 de quatro canais é uma cadeia de sinais funcionalmente completa do sensor RTD ao processador. (Fonte da imagem: Analog Devices)

Esses CIs são soluções completas para medição multicanal de RTD e incluem todos os blocos de construção necessários, desde um sensor até uma saída digitalizada e para comunicação com um microcontrolador associado. Eles incluem o multiplexador multicanal, PGA, ADC sigma-delta de 24 bits, fontes de corrente para os RTDs, referências de tensão para operação interna, clock do sistema, filtragem analógica e digital e interfaces seriais de três ou quatro fios para interconexões compatíveis com SPI, QSPI, MICROWIRE e DSP.

Entretanto, a presença dessas funções não fornece inerentemente uma base para a qualificação SIL da Route 2S. Para um projeto funcionalmente seguro, é necessário um conjunto de diagnósticos incorporados para as diversas funções que compõem o sistema RTD. Os vários diagnósticos incorporados no AD7124 minimizam a complexidade e o tempo de projeto, além de eliminar a necessidade de duplicar a cadeia de sinais para cobertura de diagnóstico.

Esses diagnósticos incluem, entre outros, o monitoramento da fonte de alimentação, da tensão de referência e da entrada analógica; a detecção de um fio aberto nos RTDs; a verificação do desempenho da conversão e da calibração; a verificação da funcionalidade da cadeia de sinais; o monitoramento das funções de leitura/escrita; e o monitoramento do conteúdo dos registradores.

Como essas declarações de "alto nível" se traduzem nos diagnósticos necessários no chip? Há muitas facetas na resposta, incluindo:

Diagnósticos SPI: para cada escrita no AD7124, o processador gera um valor de verificação de redundância cíclica (CRC) que é anexado às informações que estão sendo enviadas ao ADC. Em seguida, o ADC gera seu próprio valor CRC a partir das informações recebidas e o compara com o valor CRC recebido do processador. Se ambos os valores estiverem de acordo, as informações estarão intactas e serão escritas no registrador relevante no chip.

Se os valores não corresponderem, isso significa que houve um pouco de corrupção na transmissão, e o CI define um sinalizador de erro que indica que houve corrupção de dados. O AD7124 também se autoprotege ao não escrever as informações corrompidas em um registrador.

Um procedimento CRC semelhante é usado quando as informações estão sendo lidas do AD7124 para o processador do sistema. Por fim, a interface também conta os pulsos de clock para garantir que haja apenas oito desses pulsos em cada quadro de dados de leitura ou escrita, assegurando assim que não tenha ocorrido uma falha no clock.

Verificações de memória: um CRC também é usado para validar o conteúdo do registrador na inicialização ou sempre que os registradores no chip são alterados (por exemplo, ao alterar o ganho). O processo CRC também é executado periodicamente para garantir que nenhum bit de memória tenha "invertido" devido a ruídos ou outras causas. Se houver uma alteração e o processador for posteriormente sinalizado de que as configurações do registrador foram corrompidas, ele poderá reiniciar o ADC e recarregar os registradores.

Verificações da cadeia de sinais: todas as tensões estáticas críticas podem ser verificadas por meio do ADC, inclusive as trilhas da fonte de alimentação, as saídas do regulador de baixa queda de tensão (LDO) e as tensões de referência; a presença ou ausência do capacitor externo no LDO também pode ser verificada. Além disso, uma tensão conhecida pode ser aplicada à entrada do ADC para verificar o ADC e as configurações da função de ganho. E ainda, correntes conhecidas podem ser injetadas nas entradas analógicas para verificar se há um RTD aberto ou em curto.

Conversão e calibração: os resultados da conversão do ADC são verificados continuamente para ver se estão todos em zero ou em fundo de escala, o que indica um problema. O fluxo de bits do modulador no núcleo do ADC é monitorado para garantir que não tenha saturado e, se ocorrer saturação (o que significa que houve 20 uns ou zeros consecutivos do modulador), um sinalizador de erro é estabelecido.

Frequência do clock mestre: A frequência desse clock não apenas controla as taxas de conversão, mas também estabelece as frequências de rejeição dos filtros digitais de 50/60 Hertz (Hz). Um registrador interno no AD7124 permite que o processador complementar cronometre e, assim, verifique a precisão do clock mestre.

Recursos adicionais: o AD7124 inclui um sensor de temperatura, que também pode ser usado para monitorar a temperatura da pastilha. Ambas as versões têm um dimensionamento de descarga eletrostática (ESD) de 4 quilovolts (kV) para um desempenho robusto, e ambas estão alojadas em um invólucro LFCSP de 5 × 5 milímetros (mm), que é adequado para projetos intrinsecamente seguros.

Devido à complexidade interna, à sofisticação e aos recursos avançados de autoteste do AD7124-4 e do AD7124-8, faz sentido ter um meio de exercitar e avaliar os CIs.

Para isso, a Analog Devices oferece um par de placas conectadas: a placa de avaliação EVAL-AD7124-4SDZ para o AD7124-4 (Figura 5) e a placa de interface complementar EVAL-SDP-CB1Z SDP (Plataforma de Demonstração do Sistema) (Figura 6). A primeira é específica para o AD7124-4 e funciona em conjunto com a segunda, que fornece comunicação com o PC do usuário e o software de avaliação por meio de uma conexão USB.

Figura 5: A EVAL-AD7124-4SDZ é uma placa de avaliação para o AD7124-4. (Fonte da imagem: Analog Devices)

Figura 6: A placa de interface EVAL-SDP-CB1Z é complementar à placa de avaliação EVAL-AD7124-4SDZ, fornecendo uma conexão USB a um PC hospedeiro. (Fonte da imagem: Analog Devices)

O arranjo de avaliação é suportado pelo software AD7124-4 EVAL+, que configura totalmente a funcionalidade dos registradores do dispositivo AD7124-4 e exercita o CI. Ele também fornece análise no domínio do tempo na forma de gráficos de forma de onda, histogramas e análises associadas de ruído para avaliação do desempenho do ADC.

Transição para um projeto funcionalmente seguro

É importante saber que o AD7124-4 e o AD7124-8 não são classificados como SIL, o que significa que eles não foram projetados e desenvolvidos usando as diretrizes de desenvolvimento definidas pela norma IEC 61508. No entanto, ao compreender a aplicação final e por meio do uso adequado dos vários diagnósticos, eles podem ser avaliados para uso em um projeto com classificação SIL.

O caminho para a certificação da Route 1S tem várias considerações para analisar e abordar as falhas, que podem ser sistêmicas ou aleatórias. As falhas sistêmicas se devem a deficiências de projeto ou de fabricação, como uma interrupção ruidosa devido à falta de filtragem no pino de interrupção externo ou a margem de segurança insuficiente para um sinal. Em contrapartida, as falhas aleatórias se devem a causas físicas, como corrosão, estresse térmico ou desgaste.

Uma preocupação importante é a chamada falha perigosa não detectada, que é abordada por várias técnicas. Para minimizar as falhas aleatórias, os projetistas usam uma ou todas as três táticas:

• Componentes mais confiáveis e com menos estresse.
• Diagnósticos que dependem de mecanismos de detecção incorporados implementados por meio de hardware ou software.
• Tolerância a falhas por meio de circuitos redundantes. Ao adicionar um caminho redundante, uma única falha pode ser tolerada. Isso é chamado de sistema de tolerância a falhas de hardware 1 (HFT 1), o que significa que uma falha não pode fazer com que o sistema falhe.

Uma ferramenta para entender a cobertura do nível SIL é uma matriz que plota a fração de falha segura (SFF) (a quantidade de cobertura de diagnóstico) e a tolerância a falhas de hardware (a redundância) (Figura 7).

Figura 7: Essa matriz caracteriza a fração de falha segura (SFF) versus a tolerância a falhas de hardware (HFT) e fornece informações sobre a cobertura SIL. (Fonte da imagem: Analog Devices)

As linhas mostram a quantidade de cobertura de diagnóstico, enquanto as colunas mostram a tolerância a falhas de hardware. Um HFT de 0 significa que, se houver uma falha no sistema, a função de segurança será perdida. Um nível mais alto de diagnóstico reduz a quantidade necessária de redundância do sistema ou melhora o nível SIL da solução com o mesmo nível de redundância (descendo na matriz).

Observe que o FMEDA de uma aplicação típica de temperatura usando esses dispositivos mostra uma fração de falha segura (SFF) superior a 90%, de acordo com a norma IEC 61508. Normalmente, seriam necessários dois ADCs tradicionais para fornecer esse nível de cobertura por meio de redundância, mas o AD4172 requer apenas um único ADC, o que proporciona uma economia significativa no custo da lista de materiais (BOM) e no espaço físico da placa.

Documentação para projetos com classificação SIL

É necessária uma extensa documentação para obter a certificação Route 1S. Entre os documentos de origem necessários estão:

• Ficha técnica de segurança (o manual de segurança de uma peça com classificação SIL)
• FMEDA de pino e FMEDA de pastilha, com modos de falha, efeitos e análise para ambos
• Lista de verificação do Anexo F (definida pela IEC 61508)

Essa documentação, por sua vez, vem de diversas fontes (Figura 8):

• Dados de diagnóstico da ficha técnica que capturam todos os recursos de diagnóstico disponíveis na peça.
• Dados de projeto que referem-se a dados internos. Por exemplo, a área da pastilha e o impacto de cada bloco interno da peça.
• FIT, com taxas para vários componentes, estão disponíveis no livro de dados.
• Testes de inserção de falhas que são feitos para blocos que não podem ser analisados usando dados de projeto e diagnóstico. Esses testes são planejados com base nos requisitos da aplicação, e o resultado dos testes de inserção de falhas é usado para fortalecer os documentos FMEDA e FMEA.

Figura 8: As diversas fontes de documentação são agregadas e extraídas para fornecer o pacote completo de informações necessárias para a certificação SIL. (Fonte da imagem: Analog Devices)

Analisando as especificidades em mais detalhes:

• O Manual de Segurança ou a Ficha Técnica de Segurança usa todas as informações compiladas para fornecer os requisitos necessários para permitir a integração do AD7124-4 ou do AD7124-8. Ele reúne todos os diagnósticos e análises que fluem de vários documentos e conjuntos de dados.
• A FMEDA de pastilha para o AD7124-4 e o AD7124-8 analisa os principais blocos do esquema da aplicação, identifica os modos e efeitos de falha e verifica o diagnóstico e as análises de uma função de segurança específica. Por exemplo, a análise do módulo de clock mostra os modos de falha, o efeito de cada um na saída, a quantidade de cobertura de diagnóstico e uma análise do impacto (Figura 9).

Figura 9: Esta tabela define o modo de falha, os efeitos, os diagnósticos e a análise do bloco do clock mestre. (Fonte da imagem: Analog Devices)

Essa FMEDA de pastilha resulta em uma apresentação quantitativa das taxas de falha para falhas seguras, falhas perigosas detectadas e falhas perigosas não detectadas. Tudo isso é usado para calcular a SFF.

A FDEMA de pino analisa as falhas de uma perspectiva diferente. Ela analisa vários tipos de falhas nos pinos do AD7124-4 e do AD7124-8 e seus resultados para a aplicação RTD. Ela faz isso para cada pino individual e descreve o resultado para o caso em que o pino se abre, entra em curto-circuito com a alimentação/terra ou entra em curto-circuito com pinos adjacentes.

A lista de verificação do Anexo F é uma lista de verificação de medidas de projeto para evitar falhas sistemáticas. Ela inclui:

• Visão geral do produto
• Informações sobre a aplicação
• Conceito de segurança
• Previsões de vida útil
• FIT
• Cálculos FMEDA—SFF e CC
• Mecanismos de segurança de hardware
• Descrição do diagnóstico
• Robustez EMC
• Operação em configurações redundantes
• Anexos e lista de documentos

Em resumo, a certificação de segurança funcional de um componente recém-introduzido pela Route 1S é longa, complexa, demorada, intensa e abrangente. Felizmente, a Route 2S, conforme mencionado acima, é uma abordagem alternativa que é viável para alguns componentes.

Route 2S: um caminho alternativo

O caminho conhecido como Route 2S é aplicável a uma peça liberada com experiência e dados de campo e é designado como "comprovado em uso". Ele se baseia em uma análise das devoluções dos clientes e do número de dispositivos enviados. Ele não pode ser usado com peças novas que tenham pouco ou nenhum "histórico" de exposição em uso real.

A Route 2S permite a certificação SIL como se a peça tivesse sido totalmente analisada de acordo com a norma IEC 61508. Ela está disponível para os projetistas de módulos e sistemas se eles tiverem usado com sucesso o CI em questão no passado e conhecerem a taxa de falhas em campo. Os recursos incorporados de teste e verificação, juntamente com os dados de desempenho, tornam o AD7214-4 e o AD7214-8 bons candidatos para a Route 2S.

O uso da Route 2S requer dados detalhados e estatisticamente significativos sobre devoluções e falhas em campo. Esse requisito é muito mais difícil de ser atendido pelos fornecedores de CIs do que pelos fornecedores de placas ou módulos. O motivo é que os primeiros geralmente não têm conhecimento suficiente da aplicação final ou da porcentagem de unidades reprovadas em campo que são devolvidas a eles para análise.

Conclusão

O caminho da Route 1S para a certificação funcionalmente segura de novos produtos é completo, abrangente e detalhado. Também é tecnicamente desafiador e, sem dúvida, consome muito tempo. Por outro lado, o processo da Route 2S permite que os produtos liberados sejam certificados com base na experiência de campo, falhas e dados de análise. Essa é uma rota útil que é suportada pelos CIs de interface RTD AD7214-4 e AD7214-8, pois eles têm o histórico necessário. Igualmente importante, esses CIs incorporam muitas funções e recursos de diagnóstico e autoteste que os tornam candidatos adequados para essa certificação.

Conteúdo relacionado

1. Como projetar e certificar sistemas de detectores resistivos de temperatura (RTD) funcionalmente seguros (em inglês)
2. Realização simples de um sistema de medição de temperatura RTD de 4 fios totalmente integrado para aplicações de medição de alta precisão (em inglês)
3. Interface e linearização de RTD