Seguridad funcional de los circuitos integrados utilizados en variadores de velocidad

La seguridad funcional es la rama de la seguridad que se ocupa del buen funcionamiento de los sistemas eléctricos y electrónicos. Los variadores de velocidad juegan ahora un papel importante en la implementación de la seguridad funcional. Anteriormente, la seguridad funcional para aplicaciones de control de motores se lograba utilizando relés de seguridad y contactores externos al variador. Pero con la seguridad integrada en las funciones de seguridad del variador, como STO y SLS, se puede implementar en el variador, proporcionando mejoras de productividad en el taller. La seguridad integrada requiere el uso de circuitos integrados, pero es difícil interpretar los requisitos de seguridad funcional para los circuitos integrados utilizados en variadores de velocidad. Idealmente, todos estos CI estarían clasificados según IEC 61508, pero esto sería costoso y no lo requieren los estándares. Este artículo intentará resumir la guía disponible para los circuitos integrados utilizados en el diseño de variadores de velocidad. Uno de los propósitos de este artículo es proporcionar una descripción general de los temas sin utilizar jerga.

Los tres requisitos principales de la seguridad funcional

La seguridad funcional tiene tres requisitos principales:

Requisito 1— Utilizar componentes fiables. Esto significa circuitos integrados con una tasa FIT relativamente baja. Las tasas de FIT a menudo se calculan de acuerdo con estándares como IEC 62380 o SN 29500, que basan sus resultados en la tasa de falla promedio observada en el campo para diferentes tipos de componentes. Como alternativa, los datos pueden basarse en pruebas de vida acelerada, como las que se encuentran en analog.com/ReliabilityData. Un punto importante es que las cifras de PFH (probabilidad de fallas peligrosas por hora) proporcionadas en IEC 61508 y estándares similares se aplican a toda la función de seguridad y no solo a un IC. Por lo tanto, la cifra de PFH de 10^{- Siete} h^-1 para una función de seguridad SIL 3 (100 FIT), se puede asignar un solo presupuesto de error a un CI determinado. También se debe tener en cuenta que el término PFH en realidad significa la probabilidad de fallas peligrosas por hora. Se puede decir que al menos el 50% de las fallas son inofensivas y el límite de confiabilidad del IC se puede duplicar.

Requisito 2— Aplicar un conjunto de medidas creadas en el pasado para diseñar productos de alta seguridad. Esto se llama estándares de integridad sistemática. A diferencia de las fallas de hardware aleatorias, las fallas sistemáticas se introducen en un sistema y solo pueden eliminarse mediante un cambio de diseño. Los errores de software son ejemplos de fallas sistémicas, así como fallas de EMC.

Requisito 3—Ser tolerante a fallos y aceptar fallos debidos a fallos aleatorios de hardware, o fallos sistemáticos, independientemente de la fiabilidad de los componentes o de la calidad del proceso de desarrollo seguido. Dos formas de tratar las fallas son el diagnóstico y la redundancia. Los diagnósticos detectan fallas y llevan el sistema a un estado seguro. Para el control del motor, el estado seguro suele ser detener el motor con una subfunción de seguridad como STO en IEC 61800-5-2. La otra opción es implementar la redundancia para que haya dos o más elementos, uno de los cuales puede detectar un estado inseguro y llevar el sistema a un estado seguro cuando sea necesario. Los estándares generalmente permiten un compromiso entre diagnóstico y redundancia. Las métricas de eficiencia incluyen SFF de IEC 61508, cobertura de diagnóstico (DC) de ISO 13849 y métrica de falla puntual de ISO 26262.

CEI 61800-5-2

IEC 61800-5-2 es un estándar de tipo C. Esto significa que esta norma define los requisitos para una determinada categoría de maquinaria, en este caso, un variador de velocidad. Tener un estándar Tipo C es muy útil porque interpreta el estándar IEC 61508 genérico para este tipo de equipos y solo guarda lo relevante para esta máquina. Una norma genérica, por su propia naturaleza, debe tratar muchos tipos diferentes de equipos y situaciones, lo que significa que contiene mucha información y requisitos que no son relevantes para un diseño específico. IEC 61800-5-2 significa que, "al aplicar los requisitos de esta parte de la serie IEC 61800, se cumplen los requisitos correspondientes de IEC 61508 necesarios para PDS (SR)". Sin embargo, si hay temas en los que los estándares de tipo C, como IEC 61800-5-2, no brindan ninguna orientación, IEC 61508 es la alternativa.

En IEC 61800-5-2, se definen subfunciones de seguridad como STO (desconexión segura de par) y SLS (velocidad limitada segura) y se describe una vida útil de seguridad funcional.

La subfunción de seguridad STO logra un estado seguro al inhibir la alimentación al motor a través de la generación de fuerza. Esto generalmente se hace mediante el bloqueo de pulsos o la eliminación de energía por parte del controlador de puerta cuando un protector está abierto. Dado que no se elimina toda la fuente de alimentación del variador, se puede facilitar un reinicio rápido cuando se cierra la protección.

Con la subfunción de seguridad SLS, se supervisa la velocidad del motor y, si se supera un nivel definido, el convertidor pone el motor en un estado seguro, a menudo STO. Esta subfunción de seguridad normalmente se puede usar cuando se limpia un cilindro junto con un interruptor de empuñadura de tres posiciones. La Figura 2 muestra la participación de SLS en t₁ y desconexión en p₂. El bloque rojo muestra una región de velocidad que pondrá la unidad en un estado seguro (si está insertada).

Aunque IEC 61800-5-2 no impone un requisito de seguridad de 2 canales, la mayoría de los fabricantes de unidades querrán reclamar un nivel de rendimiento de ISO 13849, por lo que dos canales son comunes.

ISO13849

ISO 13849 es el estándar de la máquina basado en el ahora extinto estándar EN954. A diferencia de IEC 61800-5-2, IEC 61508 e IEC 62061, utiliza niveles de rendimiento (PL) en lugar de niveles SIL. Los niveles van desde PLA a Ple. ISO 13849 también tiene una clara preferencia por los sistemas de 2 canales para niveles de rendimiento más altos, se debe usar un sistema de categoría tres o cuatro. ISO 13849 utiliza DC (cobertura de diagnóstico) como una medida de eficiencia de diagnóstico en comparación con el SFF de otros estándares. Asumiendo que las fallas son 50% seguras/50% peligrosas, SFF y DC se derivan de la siguiente ecuación.

CEI 62061

IEC 62061 es la interpretación de IEC 61508 para maquinaria. En realidad, es un estándar paralelo a ISO 13849; de hecho, hay un intento de combinar los dos estándares de maquinaria en ISO/IEC 17305.

El alcance de IEC 62061 establece: “En este estándar se supone que el diseño de subsistemas o elementos de subsistemas programables complejos cumple con los requisitos relevantes de IEC 61508. Este estándar proporciona una metodología para usarlos, en lugar de desarrollarlos. subsistemas y elementos de subsistemas como parte de SRECS.

CEI 61508

IEC 61508-2:2010 contiene importantes requisitos de IC, pero es fácil pasarlos por alto debido a una lectura casual o incompleta del estándar. Los requisitos incluyen el modelo V de desarrollo de ASIC; consulte la figura 3 de IEC 61508-2:2010. El modelo V es para ASIC digitales en el sentido de que se refiere a la colocación y el enrutamiento de síntesis con codificación final, pero el patrón V puede interpretarse como analógico o mixto. . -ASIC de señal usando un poco de imaginación.

La prioridad para los ASIC digitales continúa en el Apéndice F, titulado "Técnicas y medidas para los ASIC - Evitar fallas sistemáticas" y en la Nota 1, "Las siguientes técnicas y medidas se aplican solo a los ASIC digitales y circuitos integrados programables por el usuario. Para los ASIC analógicos y de modo mixto, no se puede proporcionar ninguna técnica o medición general en este momento. A pesar de las limitaciones, sin embargo, la lista de verificación se puede completar para la parte digital de un ASIC de señal mixta y ni siquiera es aplicable a un IC puramente analógico.

El Apéndice E se titula "Requisitos arquitectónicos especiales para circuitos integrados (IC) con redundancia en chip". Nuevamente, el apéndice está limitado numéricamente cuando se especifica en E.1 que “Los siguientes requisitos se aplican solo a los circuitos integrados digitales. Para los circuitos integrados analógicos y de modo mixto, no se pueden dar requisitos generales en este momento. Otra restricción en el Apéndice E que parece ignorarse en gran medida cuando el apéndice se menciona en otras normas es que "la redundancia en un chip, tal como se usa en esta norma, significa la duplicación (o triplicación) de una unidad funcional para un bien establecido". mayor que cero concesión.” La palabra duplicación significa redundancia igual y el autor de este artículo cree que el objetivo era que los micrófonos centrales posiblemente usaran la técnica de enclavamiento. - Bloque de chip utilizado como diagnóstico en el primer bloque Es probable que ocurran fallas comunes en los bloques duplicados, como temperatura, descarga electrostática, corte de energía y otros que es menos probable que afecten a diferentes bloques de la misma manera al mismo tiempo. Es improbable que la funcionalidad multicanal requerida para la tolerancia a fallas y/o los requisitos de detección de Categoría 2, 3 o 4 sea posible utilizando un solo circuito integrado, a menos que cumpla con los requisitos de arquitectura específicos de IEC 61508-2:2010, Anexo E IEC 61800-5-2 FDIS (Fonn 2015) que los recortes en el chip pueden excluirse según los requisitos del Anexo ella E de IEC 61508-2:2010, pero mirando el Anexo E puede ver que solo los párrafos f) yg) se refieren directamente a los cortocircuitos en el chip. El punto f) requiere un espacio entre bloques separados de al menos 10 × la regla mínima de diseño para el proceso y el punto g) solo habla de las filas adyacentes de bloques físicos separados.

La tabla A.1 de IEC 61508-2:2010 muestra las fallas o fallas a tener en cuenta al calcular el SFF. Las tablas A.2 a A.14 dan ejemplos de cobertura de diagnóstico típica, que puede ser necesaria para diagnósticos típicos, pero a veces es posible que sea necesario interpretar las tablas para circuitos integrados. IEC 62380 Anexo H y el Anexo A relacionado de UL 1998 son más detallados, especialmente para microcontroladores digitales y similares.

Para el cálculo de tasas FIT para circuitos integrados, se hace referencia a IEC 62380 y SN29500 con otras fuentes.

El requisito de tener en cuenta los errores de software se agregó en la revisión de 2010 del estándar y tiene implicaciones para agregar ECC y paridad a las memorias volátiles (como la RAM) para detectar errores de software que afecten a la RAM en particular y verificar.

Requisitos de la norma ISO 26262

ISO 26262 es la interpretación automotriz de IEC 61508. Se desarrolló simultáneamente con la revisión 2 de IEC 61508 y contiene algunos requisitos para circuitos integrados que no se encuentran en IEC 61508, algunas aclaraciones sobre elementos de IEC 61508 pero se omiten otros requisitos. Por ejemplo, ISO 26262-10:2012 contiene una versión automotriz del Anexo F de IEC 61508-2:2010 y la Tabla D.1 de ISO 26262-5:2011, que aclara la posición automotriz sobre cómo se reducen las consideraciones en el chip. con “No se pretende aquí exigir un análisis exhaustivo, por ejemplo exigir un análisis exhaustivo de fallas en puentes que pudieran afectar cualquier combinación teórica de cualquier señal dentro de un microcontrolador o una PCB compleja. El análisis se centra en las señales clave o interconexiones más fuertemente acopladas identificadas por el análisis a nivel de red. »

En la Parte 10 en particular, hay botones como "si el área de la CPU es el 3% del área total del chip del microcontrolador, entonces se podría suponer que su tasa de fallas es del 3% de la tasa total de fallas del microcontrolador". Aunque dicho proceso es parte de la especificación y práctica de IEC 61508, es bueno verlo por escrito.

Se está desarrollando una interpretación de circuito integrado de ISO 26262 como ISO/AWI PAS 19451-1 bajo ISO/TC 22/SC32.

Ayuda para el diseño de circuitos integrados

Después de revisar los estándares, el autor ofrece algunas sugerencias sobre cómo los proveedores de circuitos integrados pueden ayudar a los fabricantes a diseñar circuitos integrados en sus unidades.

Primero, un manual de seguridad de circuitos integrados debería ser útil para los diseñadores de unidades. Esto puede suceder incluso si el ASIC o el dispositivo no se desarrollaron de acuerdo con IEC 61508.

Los elementos disponibles en el manual de seguridad incluyen:

• El proceso de desarrollo y modelo de ciclo de vida utilizado.
• Lista de verificación complementaria para el Anexo F de IEC 61508-2:2010.
• El perfil de misión aceptado.
• Predicciones de tasa FIT según IEC 62380 y SN29500 a una temperatura de funcionamiento promedio razonable, por ejemplo, 55 °C con un ciclo térmico de 10 °C durante un período de 24 horas.
• Tamaño de chip, número de chips, número de celdas de RAM y número de transistores para permitir que los diseñadores de unidades calculen sus propias tasas de FIT utilizando SN29500 e IEC 62380 (aún mejor si los cálculos ya se han completado y se han proporcionado los detalles del cálculo).
• Evidencia para respaldar reclamos de separación de chips.
• Evidencia que respalde el reclamo de cualquier exclusión de falla material.
• Datos de diagnóstico en chip.
• Datos de diagnóstico de nivel de sistema supuestos.
• Los resultados del pin FMEA dan λ_Vayaλ_{ni una palabra}λ_Sy calcule SFF y DC para un conjunto estimado de diagnósticos observando los modos de falla esperados del paquete.
• Resultados de FME(D)A dando λ_Vayaλ_{ni una palabra}λ_Sy calcule SFF y DC para un conjunto supuesto de diagnósticos que examinan los posibles modos de falla del arreglo.
• Tasa FIT para los diversos bloques especificados en la hoja de datos para permitir que el fabricante de la unidad rehaga el FME(D)A.

Debido a la naturaleza de los datos, los manuales de seguridad solo pueden estar disponibles bajo NDA (acuerdo de no divulgación).

Entre las piezas relacionadas con la seguridad del control de motores para las que Analog Devices está desarrollando actualmente manuales de seguridad se encuentran el ADC discreto AD7403 y el controlador de puerta discreto ADuM4135.

En segundo lugar, el fabricante de circuitos integrados con conocimiento del diseño a nivel de sistema puede ayudar a diseñar las características necesarias para la seguridad funcional. Por ejemplo:

• Sabiendo que solo hay una fracción del PFH, tal vez solo el 1% esté disponible para CI.
• Dado que generalmente es más simple en términos de seguridad funcional, pero es extremadamente confiable tener transistores en el chip y si aumentar la cantidad de transistores en el chip en 10 da como resultado menos componentes en una PCB, el PFH total disminuirá.
• Saber que los diagnósticos en chip pueden responder mucho más rápido que los diagnósticos a nivel de sistema y pueden ayudar a prevenir la acumulación de errores.
• Tenga en cuenta que la vida útil típica de un disco es de 20 años y que los datos deben estar disponibles para demostrar que el circuito integrado puede responder a esta vida útil en un perfil de misión específico.
• Saber que agregar aceleradores de hardware como los motores CRC reduce la sobrecarga del software.

En tercer lugar, un conjunto de arquitecturas propuestas que muestran cómo se pueden combinar los circuitos integrados para implementar las funciones de seguridad de IEC 61800-5-2. Podría ser:

• Recomendaciones para el diagnóstico a nivel del sistema.
• Recomendaciones de componentes adecuados.
• Recomendaciones para cumplir con los requisitos de independencia entre los diferentes canales.
• Recomendaciones para la independencia software entre el software de seguridad y el software que no es de seguridad, lo que puede reducir la cantidad de procesadores necesarios de tres a dos si el control y la seguridad se pueden combinar en al menos uno de los procesadores. Si no se puede demostrar suficiente independencia, todo debe tratarse como relacionado con la seguridad.

En cuarto lugar, las normas deberían tener el efecto de aclarar los requisitos. Por ejemplo:

• ¿Qué protección contra la corrupción de datos se debe colocar en una interfaz SPI que conecta un ADC a un microcontrolador o DSP en la misma PCB? Normas como la IEC 61800-5-2:2006 remiten al lector a la IEC 61508, que a su vez hace referencia a las normas ferroviarias. La próxima versión de IEC 61800-5-2 agregó texto para aclarar que los requisitos de IEC 61784-3 no se aplican a tales interfaces, pero cuando el autor lee sus propias palabras en el nuevo estándar, la aclaración es menos clara ya que son . había esperanza. Se pueden encontrar aclaraciones adicionales en el nuevo proyecto de norma EN 50402 en el que se hace una distinción entre la transmisión de señales para módulos separados espacialmente y la transmisión de señales entre módulos que no están separados espacialmente.
• Aclaración de los requisitos de separación en el chip para circuitos integrados que implementan redundancia diferente.
• Se aclararon los requisitos de separación en el chip para circuitos integrados analógicos y de señal mixta.

Quinto, elimine las referencias a soluciones específicas de los estándares, lo que lleva a algunos lectores a creer que estas son las únicas soluciones a un problema. Por ejemplo, los optoacopladores son una forma antigua muy conocida de aislar la señal, pero tienen algunas desventajas en términos de confiabilidad, potencia y velocidad en comparación con los aisladores digitales más nuevos. Cambiar estándares como ISO 13849 e IEC 61800-5-2 y reemplazar las referencias a optoacopladores con términos más genéricos como aisladores galvánicos facilitará la adopción de aisladores digitales nuevos y más confiables. Esto se hizo en el FDIS (borrador final) de IEC 61800-5-2 en 2015.

Conclusión

Este artículo presenta una revisión de los principales estándares de seguridad funcional relacionados con las máquinas y en particular con los variadores de velocidad. De esta revisión, se sacaron conclusiones con respecto a los requisitos para los circuitos integrados. Una conclusión es que, para ayudar a cumplir con los requisitos del circuito integrado de seguridad funcional, los fabricantes pueden proporcionar información y funcionalidad adicionales. Este artículo enumera algunos de los puntos más importantes de esta información. El segundo resultado es que los fabricantes de semiconductores necesitan saber más sobre los requisitos a nivel del sistema, y ​​Analog Devices se ha dedicado a analizar el diseño de su propio sistema de pantalla de control de motor de seguridad no funcional. El objetivo es averiguar cómo se puede modificar esta arquitectura para cumplir con los requisitos de seguridad funcional y averiguar qué información falta para permitir que nuestros clientes diseñen nuestros productos en un variador con requisitos de seguridad funcional.

Referencias

Programa de seguridad funcional para dispositivos analógicos http://www.analog.com/en/about-adi/quality-reliability/funcional-safety-program.html.

Informe BGIA 2/2008e, Seguridad funcional de los controles de máquinas - Implementación de EN ISO 13849.

IEC 61508-2:2010, Seguridad funcional de los sistemas eléctricos/electrónicos/programables relacionados con la seguridad. Parte 2: Requisitos para los sistemas eléctricos/electrónicos/programables relacionados con la seguridad.

IEC 61800-5-2:2007, Sistemas de accionamiento eléctrico de velocidad variable, Requisitos de seguridad, seguridad funcional.

IEC 62061:2005 Seguridad de las máquinas. Seguridad funcional de los sistemas de control eléctricos, electrónicos y programables relacionados con la seguridad..

ISO 13849-1:2006 Seguridad de las máquinas. Componentes de los sistemas de control relacionados con la seguridad. Parte 1: Principios generales de diseño..

ISO 13849-2:2012 Seguridad de las máquinas. Componentes de los sistemas de control relacionados con la seguridad. Parte 2: Validación..

ISO 26262:2011, Vehículos de carretera. Seguridad funcional..