Risiken im Industrieumfeld vermeiden
Funktionale Sicherheit einfach umsetzen
Um die Forderungen der Industrie nach funktionaler Sicherheit zu erfüllen, müssen hier eingesetzte Systeme entsprechend ausgerüstet sein. Nutzen Systementwickler ICs, die der funktionalen Sicherheit dienende Merkmale bereits integrieren, etwa ADCs von Analog Devices, erleichtern sie sich die Arbeit.
Ob Kernkraftwerke oder Medizingeräte – läuft hier im Bereich der Sensorik etwas falsch, zum Beispiel indem unrichtige oder verfälschte Daten erfasst werden, kann das verheerende oder gar tödliche Folgen haben. Vorschriften zur funktionalen Sicherheit (Functional Safety) sollen in diesem Zusammenhang verhindern, dass Menschen verletzt oder Anlagen beschädigt werden.
Traditionell waren die Systementwickler gefordert, ihre Produkte mit Diagnose- und Mechanismen zur Fehlervermeidung auszustatten, um die Integrität der vom Sensorik-IC kommenden Daten zu gewährleisten. Dies erforderte jedoch zusätzliche Leiterplattenfläche und trieb den Bauteile- und Verarbeitungsaufwand sowie letztendlich auch die Kosten in die Höhe. Um dies zu vermeiden, werden Merkmale, die die funktionale Sicherheit gewährleisten, bereits in das IC eingebaut. Im Folgenden geht es um das Functional-Safety-Potenzial von A-D-Wandlern (ADCs) was die Sicherstellung der Integrität des gesamten Datenerfassungssystems betrifft.
Bisherige Lösungen und eine bessere Alternative
Bild 1 vergleicht ein funktional sicheres System, wie es in der Vergangenheit implementiert wurde, mit einer modernen Lösung. Zentrales Element beider Varianten ist der Datenerfassungs-ADC, der die analoge Eingangsgröße digitalisiert und an einen Mikrocontroller weiterleitet. Diese Lösung benötigt allerdings viele externe Bauelemente, wiederholte SPI-Transaktionen und sogar einen redundanten ADC, wodurch sich der Bauteileaufwand, die Leiterplattenfläche, der Verarbeitungsaufwand und die Kosten erheblich erhöhen. Auch mit zusätzlicher Entwicklungszeit muss man rechnen. Es gibt jedoch eine Lösung, die nur ein einziges IC enthält, mit einem Minimum an externen Bauelementen auskommt und die Functional-Safety-Merkmale enthält.
In Datenerfassungssystemen, die einen ADC enthalten, können zahlreiche Fehler auftreten, die je nach Anwendung erhöhte Risiken für Mensch und Maschine bedeuten können. Die Systemdesigner sind hier gefordert, zwischen hinnehmbaren und nicht hinnehmbaren Risiken zu unterscheiden. Nehmen wir als Beispiel ein System, das den Druck in einem Gasbehälter messen und regeln soll. Die Verwendung eines Sensors mit einer Toleranz von 5 Prozent erscheint hier als hinnehmbares Risiko, wenn der im Tank herrschende Druck nicht wesentlich vom Umgebungsdruck abweicht.
Wenn allerdings der Mikrocontroller vom ADC unkorrekte Daten erhält, könnte dies zu fatalen Vorkommnissen führen, wenn der Behälter implodiert oder explodiert und in der Nähe befindliche Menschen dadurch verletzt oder gar getötet werden. Dieses Risiko wäre inakzeptabel, weshalb Maßnahmen zur Gewährleistung der funktionalen Sicherheit getroffen werden müssen, die die Integrität der vom Controller empfangenen Informationen sicherstellen.
Hier einige Störungsquellen, die derartige Fehler hervorrufen können:
- Stromversorgung: Zu niedrige Versorgungsspannung oder zu geringe Ausgangsspannung der Low-Dropout-Regler (LDOs).
- Analoges Front-End (AFE): Durch beschädigte Sensoren oder einen defekten Verstärker gelangt eine unkorrekte Spannung an den ADC.
- Digitale Logik: Bitfehler im digitalen Bereich können das Umwandlungsergebnis beeinflussen (zum Beispiel bei den Koeffizienten für den werksseitigen Verstärkungs- und Offsetabgleich).
- SPI-Übertragung: Bitfehler bei der Übertragung der umgewandelten Daten und dem Empfang von Befehlen, verursacht durch ein hohes Störaufkommens im Umfeld der Übertragungsleitung.
- Umgebung: Das IC wird außerhalb seines vorgegebenen Umgebungstemperaturbereichs betrieben.
Der Sigma-Delta-ADC AD7768-1 gehört zum Functional-Safety-Portfolio von Analog Devices (ADI) und enthält zahlreiche Diagnosefunktionen. Sie ermöglichen Anwendern beispielsweise, Fehler zu detektieren und zu diagnostizieren. In Bild 2 sind die Ursachen möglicher Störungen in einem typischen Drucksensorsystem dargestellt.
Verwendung des ADC, um Systemfehler zu diagnostizieren
Die Functional-Safety-ADCs des Unternehmens lassen sich für das Diagnostizieren und/oder Verringern von Systemfehler heranziehen. Diese Fähigkeit zur Messung von Systemfehlern ist wichtig, um exakte Messungen zu gewährleisten. In einem System, von dem funktionale Sicherheit verlangt wird, hat diese Exaktheit sogar eine noch größere Bedeutung.
Positive und negative Vollausschlags-Spannungen, die von den Referenzeingängen bezogen werden, dienen zum Messen des Verstärkungsfehlers des Systems, während ein durch einen internen Kurzschluss erzeugtes Nullsignal dazu dient, den Offsetfehler zu bestimmen. Daraufhin lässt sich der Verstärkungs- und Offsetfehler des Systems mithilfe der Gain- und Offset-Trimmregister des ADC abgleichen.
Ein Temperatursensor erfasst Änderungen der Umgebungstemperatur des ICs und stellt dabei auch Temperaturen fest, die außerhalb des zulässigen Bereichs liegen. Dies kann eine attraktive Funktion in Systemen sein, die anfällig gegen eine Temperaturdrift des Verstärkungs- und Offsetfehlers sind. Tritt eine maßgebliche Temperaturänderung auf, können Anwender beschließen, die Verstärkungs- und Offsetfehler bei dieser neuen Temperatur zu trimmen. Bild 3 verdeutlicht den Anschluss eines analogen Diagnosemultiplexers an den ADC innerhalb des Bausteins AD7768-1.
Diagnosestatus-Indikatoren im Registersatz
Man kann mehrere Diagnosemerkmale aktivieren, deren Status angezeigt werden kann. Dies geschieht üblicherweise über den Registersatz. Beim Auftreten eines Fehlers wird in einem Register ein Fehler-Flag gesetzt, woraufhin der Benutzer weitere Untersuchungen einleiten kann.
Beispiel für Fehler, die im Praxisbetrieb auftreten können und sich von den Functional-Safety-ADCs von ADI diagnostizieren lassen: Zunächst sei angenommen, dass das Drucksensorsystem Bestandteil einer Industrieanlage ist, in der es zu Temperaturwechseln und mehreren Unterbrechungen der Stromversorgung infolge notwendiger Instandhaltungsmaßnahmen kommt und in der elektromagnetische Störbeeinflussungen aus der Umgebung in die Systemleiterplatte einstreuen können.
Fehler in der Stromversorgung des ADC: Nehmen wir an, dass die dem LDO zugeordneten Kondensatoren, die eigentlich in der Nähe der LDO-Ausgänge Ladung speichern sollen, durch hohe Umgebungstemperaturen und Inrush-Ströme infolge des Aus- und Einschaltens des Systems verschlissen und beschädigt sind. Um diese Ausgänge auf einer definierten Spannung zu halten, was für den ordnungsgemäßen Betrieb erforderlich ist, ist ein externer Kondensator unerlässlich. Sind die Kondensatoren jedoch durch den beschriebenen Fehler schadhaft geworden, kann der Anwender beobachten, dass die Ausgangsdaten des ADC oder das Verhalten anderer Funktionen anders ausfallen als erwartet. Durch das Aktivieren von LDO-Monitoren erreicht man, dass ein Fehler-Flag gesetzt wird, sobald die Spannung unter einen bestimmten Grenzwert fällt. So wird der Benutzer auf Probleme mit den LDO-Ausgängen hingewiesen.
Fehler im Analog-Front-End: Angenommen, es handelt sich um ein System, bei dem die Eingangssignale den Vollausschlagsbereich des ADC nicht überschreiten sollen. Wird vom Anwender versehentlich ein Wert in das Verstärkungsregister geschrieben, durch den der ADC mit einem Signal außerhalb seines Vollausschlagsbereichs konfrontiert wird, so hat dies erhebliche Auswirkungen auf den Verstärkungsfehler des Systems – was als gravierendes Risiko einzustufen ist. Der »Filter-Saturated«-Fehlerprüfer (Filter gesättigt) überwacht jedoch den ADC-Ausgang und weist den Anwender auf einen außerhalb des zulässigen Bereichs liegenden analogen Eingangswert hin.
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
Cyber-Sicherheit für Industrie 4.0
Wibu sorgt für zuverlässigen Zertifizierungsprozess
Cyberangriffe sind existenzgefährdend
Cybersecurity für alle!
Mit CSP-Lösungen gegen Datensilos
Industrie 4.0 erfordert Informationsmanagement 4.0
