česky english Vítejte, dnes je pátek 17. květen 2024
Seznam inzerentů Kontakt

Návrh digitálních výstupů pro bezpečnou automatizaci

DPS 5/2023 | Články
Autor: Ing. Vojtěch Eliáš, STMicroelectronics
uvod.png

Úvod

V tomto článku se soustředíme na vybrané aspekty návrhu 24V digitálních výstupů pro průmyslovou automatizaci a zaměříme se na její významnou podmnožinu, tzv. bezpečnou automatizaci (angl. functional safety). Bezpečné automatizační systémy jsou kromě jiného charakterizovány zejména robustní architekturou schopnou definovaným způsobem odolat nejrůznějším systémovým hazardům (chyby, přepětí, výpadky napájení apod.).

Vybrané součásti implementace bezpečných digitálních výstupů budeme ilustrovat na referenční desce STEVAL-FSM01M1 (obr. 1) od firmy STMicroelectronics. Její kompletní elektrické schéma a veškerá další technická dokumentace jsou k dispozici na stránkách výrobce www.st.com.

 

 

Funkční bezpečnost je komplexní disciplína průmyslové automatizace definovaná mezinárodními standardy (IEC 61508 a jiné), a její šíře tudíž samozřejmě dalece přesahuje rámec tohoto článku. My se proto raději − namísto zabíhání do složitých formálních podrobností − budeme zabývat zajímavými aplikačními scénáři a komplikacemi, které je třeba brát při obvodovém návrhu v úvahu.

Obr. 1  Dvoukanálový digitální I/O modul STEVAL-FSM01M1

Průmyslová bezpečnost a redundance

Mezi základní pilíře bezpečných systémů patří pojmy redundance (neboli zhruba existence rezervních funkčních komponent), a diagnostika (neboli monitoring integrity systému za provozu). Za bezpečný stav je z principu považovaný pasivní stav, tedy bez energií (vypnuto, OFF, logická nula, ...). Tohoto stavu je pro zachování bezpečné funkce v případě chyby zapotřebí vždy dosáhnout (tzv. pasivace systému). Blokovou strukturu bezpečného digitálního I/O modulu ilustruje obr. 2.

Obr. 2  Blokové schéma I/O modulu

Redundance je zde na první pohled patrná zdvojením vstupních i výstupních kanálů modulu. Každý z dvojice výstupních kanálů pro spínání typu PNP je však dále realizován jako kaskádní kombinace výstupního high-side driveru IPS160HF (resp. IPS161HF) v sérii s aktivně řízeným předřazeným P-kanálovým MOSFETem STL42P6LLF6. Pro vyloučení možné mezikanálové koincidence v případě poruchy jsou navíc řídicí signály jednotlivých výstupních větví z principu vedeny oddělenými galvanickými izolátory. Nyní se zaměříme na schéma sekce výstupu, které rozebereme podobněji.

Obr. 3  Schéma zapojení digitálního výstupu

Ochrana proti přepětí a přepólování

V bezprostřední blízkosti napájecího konektoru modulu je umístěn obousměrný transil TVS1 v paralelní kombinaci s kapacitou C1 pro blokování a filtraci napájecí sběrnice desky. TVS1 je dimenzován tak, aby se v rozsahu aplikačních podmínek neuplatňoval, ale zároveň aby jeho limitní napětí při absorbci EMC výbojů bylo co nejnižší. Tyto požadavky na referenční desce plní transil SMC30J36CA se špičkovým výkonem až 40 kW (impulz 8/20µs dle IEC 61000-4-5).

Navazuje obvod ochrany proti přepólování napájecího napětí. Tato chyba může v praxi velmi snadno nastat z nepozornosti během instalace, avšak negativní přepěťové pulzy jsou zároveň povinnou součástí EMC testů. Obvod blokování reverzního proudu je postaven na bázi 60V P-kanálového transistoru Q1 (STL42P6LLF6).

Obvod demagnetizace induktivních zátěží

Řízené akční členy mají velmi často induktivní charakter a při jejich vypínání je proto energie magnetického pole zátěže nutně absorbována koncovým stupněm digitálního výstupu. Obvod IPS160HF pro tento účel disponuje funkcí rychlé demagnetizace, která po dobu vypínání zátěže udržuje na výstupu definované konstantní napětí (záporné) vztažené k potenciálu napájecího napětí. V případě obvodu IPS160HF má toto napětí hodnotu VDEMAG ≈ 70 V (viz obr. 4).

Obr. 4  Demagnetizace induktivních zátěží

Někdy je pro optimalizaci demagnetizační energie (zátěže s vysokou reaktancí) vhodné implementovat demagnetizační obvod jako externí transil zapojený mezi výstupem a zemí (TVS2).

Transily jsou totiž obecně konstruovány tak, aby se v případě průrazu chovaly jako zkrat. Tímto je tedy v případě poruchy zachován princip pasivace systému. Výstupní transil pak musí být dimenzován tak, aby v celém rozsahu provozních podmínek jeho funkce zcela nahrazovala integrovaný demagnetizační obvod:

VTVS,CL,max < |VCC,max – VDEMAG,min|, kde

VTVS,CL,max je maximální limitní napětí externího transilu,

VCC,max je nejvyšší aplikačně přípustné napájecí napětí systému a

VDEMAG,min je minimální hodnota demagnetizačního napětí high-side driveru (specifikovaná v datasheetu).

Zde je třeba brát v úvahu, že limitní napětí transilu vykazuje kladný teplotní koeficient, a v souladu s tím vybrat komponentu s určitou rezervou. Na referenční desce výše uvedenému vyhovuje demagnetizační transil SM6T33CA.

Diagnostika

Jak již bylo řečeno, monitoring správné funkce systému je klíčovou součástí bezpečných vstupů a výstupů. Na naší referenční desce je k tomuto účelu k dispozici několik mechanismů. Zaprvé integrovaný high-side driver IPS160HF má vlastní diagnostický pin v konfiguraci open-drain (tj. aktivní v logické nule), který v případě přetížení může v závislosti na svém nastavení indikovat nadřazenému mikrokontroléru buď aktivaci proudové limitace, nebo činnost teplotní ochrany čipu. V každém výstupním kanálu jsou dále umístěny obvody pro snímání napětí na napájecím a výstupním pinu. Snímací obvod je ve schématu na obr. 3 naznačen kombinací děliče R6 a R7 v sérii s ochrannou diodou D3. Ta slouží k ochraně navazujícího A/D převodníku (ADC120) před negativními přepětími např. v průběhu demagnetizace nebo EMC rušení. Pomocí těchto obvodů lze v reálném čase monitorovat integritu a aktuální provozní podmínky systému.

Funkce obvodu v případě přetížení a zkratu

Odolnost proti zkratu a proudovému přetížení je nezbytnou charakteristikou integrovaných digitálních výstupů.

Aktivní výstup v případě zkratu (k zemi) limituje proud na hodnotě okolo ILIM ≈ 4 A (viz obr. 5).

Obr. 5  Proudová limitace při zkratu

Během proudové limitace operuje driver v lineárním režimu a dochází tak k jeho značnému oteplení. Při tvrdém zkratu na zem odpovídá výkonová ztráta v daném případě čtyřnásobku napájecího napětí (P = VCC × ILIM ≈ 100 W!). Jakmile teplota koncového stupně na čipu dosáhne přibližně 170 ºC, dojde k aktivaci integrované teplotní ochrany a výstup je samočinně deaktivován pro částečné ochlazení s hysterezí 15 ºC. Přehřátí čipu je indikováno mikrokontroléru prostřednictvím diagnostického pinu (viz obr. 5, červený signál).

V některých aplikacích, např. v high-density modulech s více kanály a omezenou dovolenou výkonovou ztrátou, není výše popsaný způsob vyhovující. Obvod IPS160HF proto disponuje funkcí cut-off, která umožňuje po stanovené době proudové limitace (dané velikostí připojeného kapacitoru) deaktivovat výstup ještě před přehřátím součástky a snížit tak výrazně výkonovou ztrátu během proudové limitace (obr. 6).

Obr. 6  Omezení ztrátového výkonu pomocí funkce cut-off

Na referenční desce je tato funkce aktivně řízená a může být za běhu využita pro optimalizaci chování ve specifických aplikačních podmínkách.

Shrnutí

V tomto článku jsme se věnovali problematice návrhu digitálních výstupů pro bezpečnou automatizaci. V úvodu jsme popsali obecnou blokovou strukturu digitálního I/O modulu a poté jsme se zaměřili na sekci digitálních výstupů a naznačili možný způsob implementace jejího obvodového řešení.

Jednotlivé funkční bloky systému (přepěťová ochrana, obvod demagnetizace, diagnostika) jsme vysvětlovali na příkladu dvoukanálového I/O modulu pro bezpečnou automatizaci STEVAL-FSM01M1.