Udfordringen i at opnå høje integrerede sikkerhedsniveauer (SIL) ligger i overgange fra kvantificering af random hardwarefejl til eliminering af systemfejl og deterministiske designfejl i sikkerhedssystemer under power-up og -down. Dårlig sekvensering kan give katastrofale fejl som CMOS-latching eller uforudsigelige systemtilstande. Analog Devices’ forsyningssekvenskredsløb er en robust løsning, der autonomt og deterministisk styrer præcis timing og multi-rail forsyninger – og som dermed opfylder kravene om non-interferens i henhold til IEC 61508
Artiklen har været bragt i Aktuel Elektronik nr. 4 – 2026 og kan læses herunder uden illustrationer
(læs originaludgaven her)
Af Bryan Borres, senior product applications engineer, og Noel Tenorio, product applications manager, Analog Devices Inc.
Vi skal i det følgende se på skiftet fra kvantitetsmål for funktionssikkerhed som SFF (Safe Failure Fraction) og den gennemsnitlige frekvens for fejl pr. time (PFH), der primært relaterer til random hardwarefejl, mod en kvalitativ, men lige så kritisk udfordring, nemlig eliminering af systemfejl. Systemfejl er grundlæggende deterministiske fejl, som stammer fra mangler i designprocessen, dårlige eksekveringer eller for lidt dokumentation gennem sikkerhedslivscyklussen fra koncept til ibrugtagning. Modsat random-fejl, der kan målsættes som FIT (Failure in Time), er systematiske fejl statistiske forudsigelser. En styring af denne type fejl kræver en streng kvalitativ tilgang med fokus på at undgå fejl gennem omhyggelig produktudvikling, stram verificering og omfattende validering undervejs.
Power-up og power-down sekvenser repræsenterer de mest kritiske overgangsfaser i ethvert elektrisk/elektronisk, programmérbart system (E/E/PE), især i forhold til sikkerhedsrelaterede funktioner. Under disse faser skal timing, rækkefølge og synkronisering af spændings-rails og den deraf afhængige logik eksekveres fejlfrit for at forhindre systemet i at gå i en ukendt eller farlig tilstand. For at opnå en korrekt hardware-initialisering baseret på producentens specifikationer og indbyrdes komponentafhængighed skal fejl systematisk forhindres på systemniveau. En dedikeret hardware sequencer IC er præcist udformet til at styre disse volatile transient-overgange for at give en robust, hardwarestyret barriere mod systemfejl, som oftest viser sig i de nævnte overgangsfaser. Det strategiske valg af arkitektur transformerer compliance-metoden fra kun at fokusere på fejldetektering eller diagnostik til at centrere sig om helt at undgå fejl – og det er kritisk for at opnå et højt integreret sikkerhedsniveau (SIL).
Identificering af sekvensfejl som systemfejl
Systemfejl, som skyldes ukorrekt sekvensering, giver ofte katastrofale skader på hardwaren eller forstyrrelser af de kritiske systemtilstande, så disse fejltyper skal undgås for enhver pris i funktionel sikkerhed. Moderne højtydende industrielle controllere – der inkluderer mikroprocessorer, FPGA’er og ASICs – kræver komplekse multirail-forsyningsarkitekturer med separate forsyningsspændinger for kernelogikken (VCORE) og input/output-interfaces (VIO), som angivet i de respektive datablade.
Typiske systemfejl optræder ved forkerte power-up sekvenser, som hvis VIO når sit niveau før VCORE. Denne tilstand får de interne parasitiske dioder til at forbinde I/O-pins til de interne rails, så de får en forward-bias. Den utilsigtede bias trigger en parasitisk siliciumstyret ensretterstruktur (SCR), der er en grundlæggende del af CMOS-strukturen (figur 1). Fænomenet er kendt som en CMOS latch-up, der medfører en lavimpedant sti, som giver en kortslutning mellem de enkelte forsynings-rails.
Latch-up er en deterministisk fejl som følge af en designsvipser (systemfejl), og hvis den ikke imødegås korrekt, kan den trække en betydelig strøm og føre til ødelæggelse af komponenter gennem overophedning og skader på processorchippen. Tilstanden kræver normalt en fuld power-up cyklus for at blive løst. Sekvenskredsløb eliminerer denne systemfejl gennem streng monitering og en præcis styring af sekvensen efter producentens anvisninger for de enkelt forsynings-rails under både start og shutdown af applikationer, så man undgår de tilstande, der ellers ville give reverse-bias og latch-up.
Ud over fysiske skader introducerer sekvensfejl også systematiske funktionsfejl i selve kontrollogikken. Mikrocontrollere og FPGA’er skal initialisere deres interne periferi, clocks og memory-celler i en præcis rækkefølge med stabilitet i de respektive strømforsyninger. Ukontrollerede forsyningsovergange kan føre til systematisk datakompromittering i memory-celler som registre og SRAM. Hvis ustabilitet i forsyningen under initialisering forstyrrer det setup og de krav til holdetider, som er specificeret i databladene for komponenterne, kan de sekventielle kredsløb gå i en uforudsigelig, non-deterministisk metastabil tilstand. Et system i en metastabil tilstand kan ikke garantere et kendt logisk output, og det kompromitterer evnen til at gå i en sikker tilstand for sikkerhedsfunktionen.
Som vist i figur 2 imødegår sekvenskredsløb disse risici gennem en præcis styring af den indbyrdes afhængighed. De moniterer kontinuert spændingerne og styrer nødvendige delays, som sikrer, at power-good flags bliver sat og er stabile, før eksterne ENABLE-signaler bliver sendt videre downstream til sikkerhedskritiske logikkomponenter, hvorved man opnår forudsigelige initialiseringsrutiner. Sequenceren fungerer som en pålidelig ”vejleder”, der garanterer, at den sikkerhedskritiske logik (som aktuatorer) forbliver disablede, indtil en valid og stabil forsyningstilstand er opnået, hvorved man undgår ukontrollerede eller farlige output-aktiveringer under startup af applikationen.
Forbedret SC (Systematic Capability) for compliance med IEC 61508
Brugen af en dedikeret, højtydende hardware sequencer giver direkte compliance med IEC 61508. IEC 61508-2 Annex B er specifikt et normativt annex, som fortæller, at compliance er påkrævet med en detailbeskrivelse af de nødvendige teknikker og mål, så man undgår systemfejl i hardwaredesignet og udviklingsfaserne. I kompleks hardware (som MCU’er eller FPGA’er) gælder meget strengt definerede standarder (som beskrevet i Klausul 7.4.2).
Hvor forsyningssekvens og supervision bliver styret af softwarerutiner, der kører på en MCU til styring af den overordnede sikkerhed (figur 3), så skal V&V-indsatsen stramt dokumentere non-interferens. Sekvensrutinerne (initialisering, timing-loops, fejldetektering) skal isoleres fra al anden kode, der kører på chippen, inklusive logik, der ikke relaterer til sikkerheden. Vanskelighederne ligger i at eliminere veje for systeminterferens, som kan optræde via delte ressourcer som CPU-timing, interrupts, memory-båndbredde eller periferi. Bevisføring for timing-uafhængighed og effektiv partitionering af ressourcerne i softwaren, især i moderne, komplekse multicore-arkitekturer, kræver avancerede V&V-teknikker samt omfattende dokumentation, hvilket øger besværet for systemudvikleren betydeligt, når man skal overholde kravene til non-interferens.
Den eksterne sequencer IC (figur 4) giver den ultimative forsikring om uafhængighed ved brug af fysisk diversitet. Sekvenskredsløbet arbejder autonomt fra den programmérbare logiks kerne med sine egne dedikerede moniteringskredsløb, timing-logik og kontrol-outputs. Denne separation i arkitekturen tilfredsstiller grundlæggende krav om non-interferens, da de kritiske forsyningsstyringsfunktioner fysisk er adskilt fra det systematiske fejldomæne i MCU’en. Sequenceren håndterer en præcis timing af forsynings-railen og initialiseringen uafhængigt og kun med signalering af diskrete, enkle statusangivelser (som FAULTB og RSTB) tilbage til MCU’en. Denne adskillelse garanterer, at systemfejl, der stammer fra det komplekse, programmérbare domæne som kodningsfejl, memory-pointer korrumpering eller scheduling-konflikter i operativsystemet ikke kan forstyrre den deterministiske timing-kritiske styring af forsyningsovergangene.
Reduktion af softwarekrav med et eksternt sekvenskredsløb
Funktionelle sikkerhedsstandarder, især IEC 61508-3 (softwarekrav), giver de mest omfattende V&V-, test- og dokumentationskrav i sikkerhedskritisk software. Hvis sekvenseringsfunktioner er embedded i MCU’ens kode, skal alle relaterede softwarekomponenter valideres strengt til det højeste påkrævede mål af SC. Denne byrde af compliance-arbejde gælder ikke kun for sekvenseringsalgoritmen selv, men potentielt også for den software, som styrer processor-interrupts og scheduling-mekanismerne, der er nødvendige for, at sekvenseringen sker pålideligt og deterministisk i real-time.
Ved brug af en ekstern hardware sequencer aflaster systemarkitekten den komplekse logik fra at overvåge de indbyrdes rail-spændingsafhængigheder med præcist timede delays (som 10ms intervaller), ligesom grundlæggende forsyningsfejl kan afkobles helt fra MCU’ens sikkerhedskritiske software-core. Konsekvensen er en betydelig reduktion i den sikkerhedskritiske software. MCU’ens rolle bliver begrænset til enklere opgaver, som er lettere at verificere som udlæsning af globale fejlstatus-pins eller initiering af en master-reset (MR) kommando. Det strategiske valg af arkitektur mindsker i høj grad volumen og kompleksitet i den kode, som ellers ville kræve en udmattende mængde V&V.
ADI kan levere en omfattende portefølje af sekvenseringskredsløb og strømforsyningsstyringer til at opfylde behovet for forsyning i FPGA’er og andre komplekse digitale controllere. Disse løsninger spænder fra enkle, kaskadeopbyggede sekvenskredsløb til avancerede programmérbare multikanalkomponenter, der præcist kan orkestrere både power-up og power-down af forsynings-rails. Ved at sikre at hver enkelt spændings-rail når sin målsatte spænding i den rigtige rækkefølge og inden for det ønskede tidsrum, så sikrer det i høj grad integriteten i alle slags FPGA-designs.
Vigtigst er det, at den fysiske separation, som et eksternt sekvenseringskredsløb kan give, opfylder de strenge krav om non-interferens i de funktionelle sikkerhedsstandarder som eksempelvis IEC 61508. Det er en tilstand, som er vanskelig og dyr at påvise i komplekse, multitasking softwaremiljøer. Gennem aflastning af de komplekse timing-forløb, den indbyrdes afhængighed af rail-spændinger, samt den nødvendige fejlhåndtering, bliver kravene til den sikkerhedskritiske software betydeligt mindre. Det strømliner validerings- og verificeringsprocesserne (V&V), og mindsker den samlede arbejdsbyrde i forbindelse med compliance – og det hjælper ADI’s sekvenseringsløsninger i høj grad med at opfylde.
Billedtekster:
Figur 1: CMOS (a) struktur og (b) SCR-konsekvensen.
Figur 2: Eksempel på sequencer-løsninger (med MAX16165/MAX16166 og MAX16193) for at overholde kravene ved brug af en Xilinx FPGA.
Figur 3: Integration af sekvenseringsfunktioner i en mikrocontroller (med brug af ADP7156).
Figur 4: Brug af den højtydende LTC2937-supervisor til overholdelse af sekvenseringskravene.
