Come progettare e certificare sistemi basati su RTD funzionalmente sicuri

Di Bill Schweber

Contributo di Editori nordamericani di DigiKey

2023-07-24

Il termometro a resistenza (RTD), costituito da un trasduttore e dal suo circuito di condizionamento del segnale analogico front-end (AFE), è un dispositivo ampiamente utilizzato, preciso e affidabile. Tuttavia, per le applicazioni mission-critical e ad alta affidabilità, è spesso necessario progettare e garantire un sistema funzionalmente sicuro attraverso il processo di certificazione dei componenti Route 1S o Route 2S.

La certificazione per la sicurezza funzionale di un sistema è un processo complesso, in quanto tutti i componenti del sistema devono essere esaminati per individuare potenziali modalità e meccanismi di guasto. Esistono vari metodi per diagnosticare i guasti e l'utilizzo di componenti già certificati facilita il lavoro e il processo di certificazione.

Si noti che il termine "affidabilità" è correlato ma non è la stessa cosa di sicurezza funzionale. In termini più semplici, per "affidabile" si intende un progetto e un'implementazione che funziona secondo le specifiche senza problemi o guasti, mentre "funzionalmente sicuro" significa che eventuali guasti devono essere rilevati dal progetto. Per le applicazioni critiche sono necessarie sia l'affidabilità che la sicurezza funzionale.

Questo articolo illustra le basi degli RTD e dei loro circuiti di condizionamento del segnale nel contesto della certificazione di sicurezza funzionale. Verranno quindi discussi i vari livelli di affidabilità e di certificazione dei guasti e i requisiti necessari per soddisfarli attraverso entrambi i percorsi. Per illustrare i punti chiave saranno portati ad esempio due CI RTD AFE multicanale, la coppia AD7124 di Analog Devices, insieme alla scheda di valutazione associata.

Il ruolo della sicurezza funzionale

La sicurezza funzionale si prefigge di garantire l'assenza di rischi inaccettabili, di lesioni o danni alla salute delle persone attraverso la corretta implementazione di una o più funzioni automatiche di protezione/sicurezza. Garantisce che il prodotto, il dispositivo o il sistema continui a funzionare in modo sicuro anche in caso di malfunzionamento. È necessario in un'ampia gamma di applicazioni industriali, commerciali e anche consumer, ad esempio:

  • Veicoli autonomi
  • Sicurezza delle macchine e robotica
  • Sistemi di controllo industriale (ICS)
  • Prodotti di domotica per il mercato consumer
  • Fabbriche e supply chain intelligenti
  • Sistemi strumentali di sicurezza e sistemi di controllo per aree pericolose

Ad esempio, in un progetto funzionalmente sicuro, la funzione di un interruttore principale on/off continuerebbe a supportare l'interruzione dell'alimentazione, anche qualora si guastassero altri componenti del sistema (Figura 1).

Immagine di un pulsante di arresto di emergenzaFigura 1: In un sistema funzionalmente sicuro, non ci possono essere dubbi o ambiguità sul fatto che questo interruttore faccia ciò per cui è stato progettato. (Immagine per gentile concessione di Pilla via City Electric Supply Co.)

Principi base degli RTD

Perché guardare alla temperatura e alla sicurezza funzionale? Una buona ragione è che la temperatura è il parametro fisico misurato più spesso. È spesso legata ad applicazioni di sicurezza o critiche ed è supportata da un'ampia gamma di trasduttori. Tra questi si annoverano gli RTD, dispositivi concettualmente semplici: sfruttano il coefficiente di temperatura della resistenza (TCR) noto e ripetibile di metalli come il nichel, il rame e il platino. Gli RTD al platino con resistenza di 100 Ω e 1000 Ω a 0 °C sono i più diffusi e possono essere utilizzati in un intervallo compreso tra -200 e +850 °C.

Questi RTD hanno una relazione altamente lineare tra resistenza e temperatura in questo intervallo di temperatura. Per situazioni di altissima precisione, esistono tabelle e fattori di correzione e compensazione da applicare. L'RTD al platino con una resistenza nominale di 100 Ω (PT100) ha una resistenza tipica di 18 Ω a -200 °C e di 390,4 Ω a +850 °C.

Un RTD deve essere eccitato da una corrente nota, che di solito viene mantenuta a circa 1 mA per ridurre al minimo l'autoriscaldamento. Si possono utilizzare anche altri valori di corrente, a seconda della resistenza nominale dell'RTD.

La caduta di tensione attraverso l'RTD viene misurata contemporaneamente tramite un AFE costituito da un amplificatore a guadagno programmabile (PGA) e, in quasi tutti i casi, da un convertitore analogico/digitale (ADC) in combinazione con un'unità microcontroller (MCU) (Figura 2).

Schema dell'utilizzo di un RTD per misurare la temperaturaFigura 2: L'utilizzo di un RTD per misurare la temperatura richiede il passaggio di una corrente nota attraverso l'RTD e la misurazione della caduta di tensione attraverso di esso, applicando poi la legge di Ohm. (Immagine per gentile concessione di Digi-Key)

La topologia del circuito di questo schema di base è identica all'uso di un resistore di rilevamento per determinare la corrente attraverso un carico, ma in questo caso le variabili note e non note sono al rovescio. Per il rilevamento della corrente, la resistenza è nota mentre la corrente non lo è, quindi il calcolo è I = V/R. Per gli RTD, la corrente è nota, mentre la resistenza non lo è, quindi il calcolo è R = V/I.

Il PGA è necessario per mantenere l'integrità del segnale e massimizzare la gamma dinamica, poiché i livelli di tensione attraverso l'RTD possono variare da decine di millivolt a centinaia di millivolt, a seconda del tipo di RTD e della temperatura.

Il collegamento fisico tra la sorgente di eccitazione, l'RTD e il PGA può essere un'interfaccia a due, tre o quattro fili. Sebbene in linea di principio siano sufficienti due conduttori, esistono problemi legati alla caduta di IR nei conduttori di collegamento, oltre ad altri artefatti. L'utilizzo di topologie a tre e quattro fili in un collegamento Kelvin più avanzato assicura prestazioni più precise e costanti, anche se comporta un aumento dei costi di cablaggio (Figura 3).

Schema di un RTD che può essere pilotato e rilevato tramite due soli fili (a sinistra), ma meglio con l'uso di tre conduttori (al centro) e addirittura di quattro (a destra, connessione Kelvin)Figura 3: L'RTD può essere pilotato e rilevato tramite due soli fili (a sinistra), ma l'uso di tre fili (al centro) e addirittura di quattro (a destra, connessione Kelvin) consente di eliminare le varie fonti di errore. (Immagine per gentile concessione di Analog Devices)

Partiamo con la terminologia e gli standard

Come in molte altre discipline, la sicurezza funzionale ha molti termini, set di dati e acronimi unici che sono ampiamente utilizzati nelle discussioni, fra cui:

  • Guasti per unità di tempo (FIT): il numero di guasti prevedibili in un miliardo (109) di ore di funzionamento del dispositivo.
  • Analisi dei modi di guasto e degli effetti (FMEA): processo di revisione del maggior numero possibile di componenti, assiemi e sottosistemi per identificare i potenziali modi di guasto in un sistema, nonché le loro cause e gli effetti.
  • Analisi diagnostica e degli effetti dei modi di guasto (FMEDA): una tecnica di analisi sistematica per ottenere tassi di guasto a livello di sottosistema/prodotto, modalità di guasto e capacità diagnostica.

Per un'analisi completa sono necessari i dati FIT e le analisi diagnostiche e degli effetti dei modi di guasto (FMEDA) sui diversi componenti del sistema. La FMEA offre solo informazioni qualitative, mentre la FMEDA offre informazioni sia qualitative che quantitative, consentendo agli utenti di misurare il livello di criticità dei modi di guasto e di ordinarli in base all'importanza. La FMEDA aggiunge informazioni sul rischio, sui modi di guasto, sull'analisi degli effetti e della diagnostica e sull'affidabilità.

  • Livello di integrità della sicurezza (SIL): esistono quattro livelli di integrità discreti associati al SIL: SIL 1, SIL 2, SIL 3 e SIL 4. Più alto è il livello SIL, più alto è il livello di sicurezza associato e minore è la probabilità che un sistema non funzioni correttamente.

Una classificazione SIL 2 indica che oltre il 90% dei guasti all'interno del sistema può essere diagnosticato. Per certificare un progetto, il progettista del sistema deve fornire alla società di certificazione prove sui potenziali guasti, se si tratta di guasti sicuri o pericolosi, e come questi possano essere diagnosticati.

  • La norma IEC 61508, intitolata "Sicurezza funzionale dei sistemi elettrici/elettronici/elettronici programmabili", è la specifica per progetti funzionalmente sicuri. Documenta il flusso di progettazione necessario per sviluppare un componente certificato SIL. La documentazione deve essere generata per ogni fase, dalla concezione e definizione alla progettazione, al layout, alla fabbricazione, all'assemblaggio e al collaudo.

Questo processo è noto come Route 1S ed è complicato. Tuttavia, esiste un'alternativa a Route 1S, chiamata Route 2S. Si tratta di un percorso "collaudato nell'uso" e si applica quando si sono progettati grandi volumi di prodotto e quando i sistemi finali vengono utilizzati sul campo con migliaia di ore di funzionamento accumulato.

Nell'ambito di Route 2S, un prodotto può essere certificato fornendo all'autorità di certificazione le prove di:

  • Volumi utilizzati sul campo
  • Analisi di eventuali resi sul campo e verifica che i resi non siano dovuti a guasti del componente stesso
  • Scheda tecnica di sicurezza che fornisce dettagli sulla diagnostica e sulla copertura che offre
  • FMEDA di pin e die

Unione delle interfacce RTD con il flusso SIL Route 2S

La certificazione di un sistema è un processo lungo, in quanto tutti i componenti del sistema devono essere esaminati per individuare potenziali meccanismi di guasto ed esistono vari metodi per diagnosticare i guasti. L'utilizzo di componenti già certificati riduce il lavoro necessario e accorcia il processo di certificazione.

Un componente di interfaccia RTD altamente integrato e maturo è fondamentale per facilitare la certificazione Route 2S, in quanto definisce una soluzione completa e può quindi essere caratterizzato completamente con dati associati all'uso sul campo e ai guasti. Ciò si differenzia dall'uso di più CI più piccoli, le cui interfacce e interazioni devono essere analizzate per la specifica configurazione di interconnessione utilizzata.

Ne sono un esempio AD7124-4 a quattro canali (Figura 4) e l'analogo AD7124-8 a otto canali (d'ora in poi indicati collettivamente come "AD7124" quando si parlerà delle numerose caratteristiche che li accomunano). Questi componenti si adattano bene al flusso Route 2S grazie alle loro caratteristiche di autotest e diagnostica integrate, nonché alla loro "esperienza" sul campo.

Schema della catena di segnali sensore RTD-processore AD7124-4 di Analog Devices, completa dal punto di vista funzionaleFigura 4: AD7124-4 a quattro canali è una catena di segnali sensore RTD-processore funzionalmente completa. (Immagine per gentile concessione di Analog Devices)

Questi CI sono soluzioni complete per la misura di RTD multicanale e comprendono tutti gli elementi necessari, dal sensore all'uscita digitalizzata e alla comunicazione con un microcontroller associato. Tra questi, il multiplexer multicanale, la PGA, l'ADC sigma-delta a 24 bit, le sorgenti di corrente per gli RTD, i riferimenti di tensione per il funzionamento interno, il clock di sistema, il filtraggio analogico e digitale e le interfacce seriali a tre o quattro fili per le interconnessioni compatibili con SPI, QSPI, MICROWIRE e DSP.

Tuttavia, la presenza di queste funzioni non costituisce intrinsecamente la base per la qualificazione SIL Route 2S. Per un progetto sicuro dal punto di vista funzionale, è necessaria una serie diagnostica integrata per le numerose funzioni che compongono il sistema RTD. La diagnostica multipla incorporata in AD7124 riduce al minimo la complessità e i tempi di progettazione ed elimina la necessità di duplicare la catena di segnali per la copertura diagnostica.

La diagnostica comprende, ad esempio ma non solo, il monitoraggio dell'alimentazione, della tensione di riferimento e dell'ingresso analogico, il rilevamento di un conduttore aperto verso gli RTD, il controllo delle prestazioni di conversione e calibrazione, il controllo della funzionalità della catena di segnali, il monitoraggio delle funzioni di lettura/scrittura e il monitoraggio del contenuto dei registri.

Come si traducono queste dichiarazioni di "alto livello" nella necessaria diagnostica su chip? La risposta può avere molte sfaccettature, tra cui:

Diagnostica SPI: per ogni scrittura sul dispositivo AD7124, il processore genera un valore di controllo a ridondanza ciclica (CRC) che viene aggiunto alle informazioni inviate all'ADC. L'ADC genera quindi il proprio valore CRC dalle informazioni ricevute e lo confronta con il valore CRC ricevuto dal processore. Se i valori concordano, l'informazione è intatta e verrà scritta nel registro su chip corrispondente.

In caso contrario, la trasmissione è danneggiata e il CI imposta un indicatore di errore per segnalare che i dati sono stati danneggiati. AD7124 si autoprotegge non scrivendo le informazioni danneggiate in un registro.

Una procedura CRC simile viene utilizzata quando le informazioni vengono lette da AD7124 al processore di sistema. Infine, l'interfaccia conta anche gli impulsi di clock per garantire che siano solo otto per ogni frame di dati in lettura o scrittura, assicurando così che non si sia verificato un glitch.

Controlli di memoria: il CRC viene utilizzato anche per convalidare il contenuto dei registri all'accensione oppure ogni volta che vengono modificati i registri del chip (es., quando si cambia il guadagno). Il processo CRC viene eseguito periodicamente anche per garantire che nessun bit di memoria si sia "invertito" a causa del rumore o di altro. In presenza di una modifica, se al processore viene segnalato che le impostazioni del registro si sono danneggiate, si può reimpostare l'ADC e ricaricare i registri.

Controlli della catena di segnali: tutte le tensioni statiche critiche possono essere controllate tramite l'ADC, compresi i rail di alimentazione, le uscite del regolatore a bassa caduta di tensione (LDO) e le tensioni di riferimento; è inoltre possibile verificare la presenza o l'assenza del condensatore esterno attraverso l'LDO. Inoltre, si può applicare una tensione nota all'ingresso dell'ADC per verificare le impostazioni dell'ADC e della funzione di guadagno. In più, è possibile iniettare correnti note attraverso gli ingressi analogici per verificare la presenza di un RTD aperto o in cortocircuito.

Conversione e calibrazione: i risultati della conversione ADC sono controllati continuamente per verificare se vadano tutti a zero o a fondo scala, il che indica un problema. Il flusso di bit proveniente dal modulatore al centro dell'ADC viene monitorato per verificare che non si sia saturato e, in caso di saturazione (cioè con 20 uno o zero consecutivi dal modulatore), viene impostato un indicatore di errore.

Frequenza di master clock: la frequenza di questo clock non solo controlla le velocità di conversione, ma stabilisce anche le frequenze di taglio dei filtri digitali a 50/60 Hz. Un registro AD7124 interno consente al processore compagno di temporizzare e quindi controllare l'accuratezza del master clock.

Caratteristiche aggiuntive: AD7124 include un sensore di temperatura, utile anche per monitorare la temperatura del die. Entrambe le versioni hanno un valore nominale di scarica elettrostatica (ESD) di 4 kV per garantire prestazioni robuste, ed entrambe sono alloggiate in un contenitore LFCSP di 5 × 5 mm adatto a progetti a sicurezza intrinseca.

Data la complessità interna, la sofisticazione e le funzioni avanzate di autotest di AD7124-4 e AD7124-8, è opportuno disporre di un mezzo per testare e valutare i CI.

A tal fine, Analog Devices offre una coppia di schede collegate: la scheda di valutazione EVAL-AD7124-4SDZ per AD7124-4 (Figura 5) e la scheda di interfaccia/piattaforma dimostrativa di sistema EVAL-SDP-CB1Z SDP (Figura 6). La prima è specifica per AD7124-4 e funziona con la seconda, che fornisce la comunicazione con il PC dell'utente e il software di valutazione tramite un collegamento USB.

Immagine della scheda di valutazione EVAL-AD7124-4SDZ di Analog Devices per AD7124-4Figura 5: EVAL-AD7124-4SDZ è una scheda di valutazione per AD7124-4. (Immagine per gentile concessione di Analog Devices)

Immagine della scheda di interfaccia EVAL-SDP-CB1Z di Analog DevicesFigura 6: La scheda di interfaccia EVAL-SDP-CB1Z è un complemento della scheda di valutazione EVAL-AD7124-4SDZ e fornisce una connessione USB a un PC host. (Immagine per gentile concessione di Analog Devices)

Il dispositivo di valutazione è supportato dal software AD7124-4 EVAL+, che configura completamente la funzionalità del registro del dispositivo AD7124-4 e testa il CI. Fornisce inoltre l'analisi nel dominio temporale sotto forma di grafici di forme d'onda, istogrammi e analisi del rumore associato per la valutazione delle prestazioni dell'ADC.

Passaggio a un progetto funzionalmente sicuro

È importante sapere che i dispositivi AD7124-4 e AD7124-8 non sono classificati SIL, nel senso che non sono stati progettati e sviluppati secondo le linee guida di sviluppo definite dallo standard IEC 61508. Tuttavia, comprendendo l'applicazione finale e attraverso l'uso appropriato della diagnostica, è possibile valutarne l'utilizzo in un progetto classificato SIL.

Il percorso verso la certificazione Route 1S prevede molteplici considerazioni per analizzare e risolvere i guasti, che possono essere di natura sistemica o casuale. I guasti sistemici sono dovuti a difetti di progettazione o di produzione, come un interrupt rumoroso per via della mancanza di filtraggio sul pin di interrupt esterno o allo spazio insufficiente per un segnale. Al contrario, i guasti casuali sono dovuti a cause fisiche come la corrosione, la sollecitazione termica o l'usura.

Un problema importante riguarda i guasti pericolosi non rilevati, che viene affrontato con diverse tecniche. Per ridurre al minimo i guasti casuali, i progettisti utilizzano una o tutte le tre tattiche seguenti:

  • Componenti più affidabili e meno sollecitati
  • Diagnostica basata su meccanismi di rilevamento integrati implementati tramite hardware o software
  • Tolleranza ai guasti tramite circuiti ridondanti Aggiungendo un percorso ridondante, è possibile tollerare un singolo guasto. Si tratta di un sistema HFT 1 (tolleranza ai guasti hardware = 1), il che significa che un guasto non può causare il malfunzionamento del sistema.

Uno strumento per comprendere la copertura del livello SIL è una tabella che mette in relazione la frazione di guasto sicuro (SFF) (la quantità di copertura diagnostica) e la tolleranza ai guasti hardware (la ridondanza) (Figura 7).

Frazione di guasto sicuro di un elemento Tolleranza ai guasti hardware
0 1 2
<60 % Non consentito SIL 1 SIL 2
Da 60% a <90% SIL 1 SIL 2 SIL 3
Da 90% a <99% SIL 2 SIL 3 SIL 4
≥99% SIL 3 SIL 4 SIL 4

Figura 7: Questa tabella caratterizza la frazione di guasto sicuro (SFF) rispetto alla tolleranza ai guasti hardware (HFT) e fornisce indicazioni sulla copertura SIL. (Immagine per gentile concessione di Analog Devices)

Le righe mostrano la quantità di copertura diagnostica, mentre le colonne mostrano la tolleranza ai guasti hardware. Un HFT = 0 significa che se si verifica un guasto nel sistema, la funzione di sicurezza viene a mancare. Un livello di diagnostica più elevato riduce la quantità necessaria di ridondanza del sistema o migliora il livello SIL della soluzione a parità del livello di ridondanza (scendendo nella tabella).

Si noti che l'FMEDA di un'applicazione a temperatura tipica che utilizza questi dispositivi mostra una frazione di guasto sicuro (SFF) superiore al 90% secondo la norma IEC 61508. Per fornire questo livello di copertura attraverso la ridondanza, normalmente sarebbero necessari due ADC tradizionali, ma AD4172 richiede un solo ADC, offrendo così un notevole risparmio in termini di costi in distinta base e di spazio sulla scheda.

Documentazione per progetti classificati SIL

Per ottenere la certificazione Route 1S è necessaria una documentazione esaustiva. Tra i documenti di partenza necessari si ricordano:

  • Scheda tecnica di sicurezza (il manuale di sicurezza di un componente classificato SIL)
  • FMEDA di pin e die, con modalità di guasto, effetti e analisi per entrambi
  • Checklist dell'allegato F (definita da IEC 61508)

Questa documentazione, a sua volta, proviene da diverse fonti (Figura 8):

  • I dati diagnostici della scheda tecnica comprendono tutte le funzioni diagnostiche disponibili nel componente.
  • I dati di progettazione si riferiscono ai dati interni. Ad esempio, l'area di die e l'impatto di ciascun blocco interno del componente.
  • Il FIT, con i tassi per le varie componenti, è disponibile nel libro dei dati.
  • I test di inserimento dei guasti sono eseguiti per i blocchi che non possono essere analizzati utilizzando i dati di progettazione e di diagnostica. Questi test sono pianificati in base ai requisiti dell'applicazione e i risultati dei test di inserimento dei guasti sono utilizzati per rafforzare i documenti FMEDA e FMEA.

Schema delle diverse fonti di documentazioneFigura 8: Le diverse fonti di documentazione sono aggregate e gestite per fornire il pacchetto di informazioni completo necessario per la certificazione SIL. (Immagine per gentile concessione di Analog Devices)

Esaminando le specifiche più da vicino:

  • Il manuale di sicurezza o la scheda tecnica di sicurezza utilizzano tutte le informazioni compilate per fornire i requisiti necessari per l'integrazione di AD7124-4 o AD7124-8. Raccoglie tutta la diagnostica e le analisi provenienti da vari documenti e set di dati.
  • L'FMEDA del die per AD7124-4 e AD7124-8 analizza i blocchi principali dello schema applicativo, identifica le modalità e gli effetti dei guasti e verifica la diagnosi e le analisi per una particolare funzione di sicurezza. Ad esempio, l'analisi del modulo di clock mostra le modalità di guasto, l'effetto di ciascuna sull'uscita, la quantità di copertura diagnostica e l'analisi dell'impatto (Figura 9).
Modalità di guasto Effetto Copertura diagnostica Analisi
Uscita bloccata in alto Risultati della conversione ADC bloccati 99 Contatore di clock MCLK (Tabella A.11) "watchdog con base e finestra temporale separate"
Uscita bloccata in basso Risultati della conversione ADC bloccati 99 Contatore di clock MCLK (Tabella A.11) "watchdog con base e finestra temporale separate"
Alta impedenza di uscita Risultati della conversione ADC bloccati 99 Contatore di clock MCLK (Tabella A.11) "watchdog con base e finestra temporale separate"
Deriva in uscita ±10% Risultati della conversione ADC danneggiati, tagli a 50 Hz/60 Hz non efficaci 99 Contatore di clock MCLK (Tabella A.11) "watchdog con base e finestra temporale separate"
Jitter di uscita Risultati della conversione ADC danneggiati o rumorosi 99 Conversione 0, ±FS (Tabella A.13) "sensore di riferimento", controlli di plausibilità sui risultati

Figura 9: Questa tabella definisce la modalità di guasto del blocco di master clock, gli effetti, la diagnostica e l'analisi. (Immagine per gentile concessione di Analog Devices)

Questa tabella FMEDA si traduce in una presentazione quantitativa dei tassi di guasto per i guasti sicuri, i guasti pericolosi rilevati e i guasti pericolosi non rilevati. Tutti questi dati sono utilizzati per calcolare l'SFF.

L'FDEMA dei pin guarda alle avarie da una prospettiva diversa. Analizza vari tipi di guasti sui pin di AD7124-4 e AD7124-8 e il loro esito per l'applicazione RTD. Lo fa per ogni singolo pin e descrive il risultato per ogni caso d'uso - pin aperto, in cortocircuito con l'alimentazione/terra o in cortocircuito con i pin adiacenti.

La checklist dell'allegato F è una lista di controllo delle misure di progettazione per evitare i guasti sistematici. Comprende:

  • Panoramica dei prodotti
  • Informazioni sull'applicazione
  • Concetto di sicurezza
  • Previsioni di vita utile
  • FIT
  • Calcoli FMEDA – FF e DC
  • Meccanismi di sicurezza hardware
  • Descrizione della diagnostica
  • Robustezza EMC
  • Funzionamento in configurazioni ridondanti
  • Allegati ed elenco dei documenti

In sintesi, la certificazione di sicurezza funzionale di un componente di nuova introduzione attraverso Route 1S è lunga, complessa, intensa ed esaustiva. Fortunatamente, Route 2S, come detto in precedenza, è un approccio alternativo praticabile per alcuni componenti.

Route 2S: un percorso alternativo

Il percorso noto come Route 2S può essere applicabile a un componente rilasciato con esperienza e dati sul campo, che viene designato come "collaudato in uso". Si basa sull'analisi dei resi dei clienti e del numero di dispositivi spediti. Non può essere utilizzato con parti nuove che non hanno una lunga storia di d'uso effettivo.

Route 2S offre la certificazione SIL come se il componente fosse stato completamente analizzato secondo lo standard IEC 61508. È a disposizione dei progettisti di moduli e sistemi se hanno utilizzato con successo il CI in questione in passato e conoscono il tasso di guasti sul campo. Le funzioni di test e verifica integrate, insieme ai dati sulle prestazioni, rendono i dispositivi AD7214-4 e AD7214-8 buoni candidati per Route 2S.

L'applicazione di Route 2S richiede dati dettagliati e statisticamente significativi sui resi e sui guasti sul campo. Questo requisito è molto più difficile da soddisfare per i produttori di CI rispetto ai fornitori di schede o moduli. Il motivo è che i primi non hanno generalmente una conoscenza sufficiente dell'applicazione finale o della percentuale di unità difettose che vengono restituite per l'analisi.

Conclusione

Il percorso Route 1S per la certificazione funzionale sicura dei nuovi prodotti è approfondito, completo e dettagliato. È anche tecnicamente impegnativo e richiede molto tempo. Al contrario, il processo Route 2S consente di certificare i prodotti rilasciati sulla base dell'esperienza sul campo, dei guasti e dei dati analitici. Si tratta di un percorso utile, supportato dai CI di interfaccia RTD AD7214-4 e AD7214-8, che offrono la storia necessaria. Altrettanto importante è il fatto che questi CI incorporano molte funzioni e caratteristiche di diagnostica e autotest che li rendono adatti a tale certificazione.

Contenuto correlato

  1. Come progettare e certificare termometri a resistenza (RTD) funzionalmente sicuri
  2. Progettare in modo semplice un sistema di misurazione della temperatura RTD a 4 fili completamente integrato per applicazioni ad alta precisione
  3. Interfacciamento e linearizzazione RTD
DigiKey logo

Esonero della responsabilità: le opinioni, le convinzioni e i punti di vista espressi dai vari autori e/o dai partecipanti al forum su questo sito Web non riflettono necessariamente le opinioni, le convinzioni e i punti di vista di DigiKey o le sue politiche.

Related Product Highlight

ADC di precisione Gli ADC di Analog Devices hanno prestazioni avanzate, aiutano a ottimizzare le prestazioni del sistema, offrono velocità fino a 10 Msps e hanno una risoluzione da 8 a 32 bit.
Sensore multigiro con vera funzione di accensione ADMT4000 L'uscita dei sensori angolari AMR ADMT4000 di Analog Devices consente al dispositivo di segnalare la posizione del sistema con un elevato grado di precisione angolare.
Convertitori A/D ADE9113/ADE9112/ADE9103 Tutti gli ADC ADE9103, ADE9112 e ADE9113 di Analog Devices includono un canale di corrente ad alto guadagno, ideale per l'utilizzo con un resistore di shunt come sensore di corrente.

Related Articles and Blogs

Come utilizzare IO-Link per adattare facilmente la connettività RTD alla fabbrica intelligente IO-Link può essere utilizzato come standard di comunicazione tra un sensore RTD industriale e un'unità di controllo per consentire configurabilità, diagnostica e una gestione più agevole.
Come determinare con precisione la posizione angolare e la velocità di un motore per mezzo di un resolver Rilevamento preciso e affidabile della posizione angolare e della velocità espresse da un resolver di controllo motore tramite un convertitore resolver/digitale ad alta risoluzione.
Migliorare le misurazioni di pulsossimetria usando la compensazione della corrente di buio Utilizzare un secondo fotodiodo per portare a 16 bit la gamma dinamica di un pulsossimetro.

Informazioni su questo autore

Image of Bill Schweber

Bill Schweber

Bill Schweber è un ingegnere elettronico autore di tre libri di testo sui sistemi di comunicazione elettronica, oltre a centinaia di articoli tecnici, colonne di giornale e caratteristiche del prodotto. In passato ha lavorato come responsabile tecnico di siti Web tematici per EE Times, oltre che come Executive Editor e Analog Editor presso EDN.

In Analog Devices, Inc. (fornitore leader di circuiti analogici e di segnali misti), Bill si occupava di comunicazioni di marketing (pubbliche relazioni); di conseguenza, ha esperienza su entrambi i lati della funzione tecnica PR, come presentatore di prodotti, storie e messaggi aziendali ai media e come parte ricevente.

Prima del ruolo MarCom in Analog, Bill è stato redattore associato della loro rispettata rivista tecnica e ha lavorato anche nei gruppi di product marketing e di ingegneria delle applicazioni. Ancor prima di questi ruoli, Bill lavorava presso Instron Corp., occupandosi di progettazione di circuiti analogici e di potenza e integrazione di sistemi per i controlli delle macchine di prova dei materiali.

Bill ha un MSEE (Univ. of Mass) e un BSEE (Columbia University), è un ingegnere professionista registrato e detiene una licenza da radioamatore di classe avanzata. Bill ha anche pianificato, scritto e presentato corsi online su una varietà di argomenti di ingegneria, compresi i concetti di base su MOSFET, sulla selezione di ADC e sul pilotaggio di LED.

Informazioni su questo editore

Editori nordamericani di DigiKey