Riskbegränsning för matning av FPGAer från mellanbusspänning
Mellanbusspänningar på nominellt 24 V~28 V är vanliga i industri-, flyg-, rymd- och försvarssystem där seriekopplade batterier kan utnyttjas för reservkraft och 12 V bussarkitekturer blir opraktiska på grund av distributionsförlusterna. Willie Chan och Jason Sekanina från Linear Technology går igenom risker och fördelar.
Det allt bredare spänningsgapet mellan systembussen och ingångarna till digitala processorer ger konstruktionsproblem rörande spänningsleverans, säkerhet och lösningarnas storlek. Om en enstegsbaserad oisolerad “step-down”-baserad DC/DC-omvandlare utnyttjas måste den fungera med extremt noggrann PFM/PWM-timing. Ingående stötspänning ställer ytterligare krav på DC/DC-omvandlaren och utsätter lasten för ytterligare risk för överspänning. Felaktiga eller förfalskade kondensatorer introducerade vid tillverkningen kan orsaka utspänningsförhållanden som överskrider lastens märkspänning och potentiellt får FPGAn, ASICen eller mikroprocessorn att fatta eld. Beroende på skadans omfattning kan det vara ganska svårt att bestämma grundorsaken och höga reparationskostnader, driftstopp och skadat rykte blir extremt frustrerande.
Plan för riskbegränsning
Därför bör en plan för begränsning av risken för överspänning beaktas ordentligt så att kostnaderna och kundernas besvär kan minimeras. Traditionella metoder för överspänningsskydd med en säkring lämpar sig inte för att skydda moderna FPGAer, ASICar och mikroprocessorer, framför allt då spänningsmatningen uppströms ligger på nominellt 24 V eller 28 V. I en nyframtagen lösning har en 38 V-märkt, 10 A DC/DC-switchregulator kombinerats med kretsar som skyddar mot många fel, inkluderande utgående överspänning. Kraft och skydd för dagens mest avancerade digitala logikutrustning finns nu tillgänglig i en kompakt krets.
När skillnaden mellan inspänning och önskad utspänning är stor är en switchad DC/DC-regulator att föredra på grund av dess höga verkningsgrad. För att åstadkomma en kompakt lösning är en oisolerad “step-down”-baserad switchomvandlare det uppenbara alternativet, då den fungerar vid en så hög frekvens att storleken på dess kraftmagneter och filterkondensatorer kan krympas. En sådan switchad DC/DC-omvandlare måste dock fungera vid smala pulslängder ned till 3%, vilket kräver noggrann PWM/PFM-timing. Dessutom krävs snäv spänningsreglering av digitala processorer och snabbt transientsvar är nödvändigt för att hålla spänningen inom säkra gränser. Vid högre inspänning minskar felmarginalen för påtiden hos DC/DC-regulatorns switch på högsidan.
Spänningsstötar
Busspänningsstötar, som är vanliga i flyg-, rymd- och försvarstillämpningar, utgör en fara inte enbart för DC/DC-omvandlaren utan även för lasten. DC/DC-omvandlaren måste vara märkt för att reglera genom överspänningsstöten med en snabb styrslinga, så att tillräckligt linjeavslag erhålls. Om DC/DC-omvandlaren inte reglerar eller överlever bussens stötspänning kommer en överspänning att gå till lasten.
Överspänningsfel kan också introduceras när lastens bypass-kondensatorer försämras med ålder och temperatur, vilket resulterar i försämrat transientsvar för lasten under slutproduktens livslängd. Om kondensatorerna försämras bortom gränsen för styrslingans konstruktion kan lasten utsättas för överspänning på två möjliga sätt.
För det första, även om styrslingan förblir stabil kommer tunga transientlaststeg att uppvisa högre spänning än den som förväntades när konstruktionen inleddes. För det andra, om styrslingan blir villkorligt stabil (eller, ännu värre, instabil) kan utspänningen oscillera med toppar som överskrider acceptabla gränser. Kondensatorer kan även försämras oväntat eller i förtid om ett inkorrekt dielektriskt material utnyttjas eller om falska komponenter kommer in i tillverkningsflödet.
Förfalskade komponenter
De attraktiva priserna för förfalskade komponenter, på en grå eller svart marknad, kan visa sig för frestande för vissa att motstå, även om förfalskningarna inte uppfyller samma standard som den äkta varan (de kan exempelvis vara återanvända, uttagna ur elektronikavfall eller gjorda med sämre material). En kortsiktig besparing blir en enorm kostnad om en förfalskad produkt inte fungerar. Förfalskade kondensatorer kan exempelvis brista på en rad olika sätt. Förfalskade tantalkondensatorer har visats sig lida av intern självuppvärmning med en positiv återkopplingsmekanism som gör att värmen stegras (thermal runaway). Förfalskade keramkondensatorer kan innehålla dielektriska material av sämre kvalitet, vilket resulterar i en allt snabbare förlust av kapacitans med ökad ålder eller vid förhöjda driftstemperaturer. När kondensatorer inte fungerar alls eller försämras i värde så att styrslingan blir instabil kan amplituden för spänningens vågformer bli mycket större än som ursprungligen konstruerats, vilket är farligt för lasten.
Olyckligtvis för industrin blir det allt vanligare att förfalskade komponenter finner vägen in i leveranskedjan och elektroniktillverkningsflödet även i de allra känsligaste och säkraste tillämpningarna. Enligt en rapport från den amerikanska senatens försvarskommitté (SASC), publicerad i maj 2012, har förfalskade elektronikkomponenter så stor spridning i militära flyg-, rymd- och vapensystem att de kan påverka systemens prestanda och tillförlitlighet. Dessa system är byggda av försvarsindustrins främsta tillverkare. Tillsammans med det ökade antalet elektronikkomponenter i sådana system—exempelvis över 3 500 integrerade kretsar i den nya Joint Strike Fighter—utgör förfalskade komponenter en risk för systemens prestanda och tillförlitlighet som det inte längre går att bortse ifrån.
Planer för riskbegränsning bör beakta hur systemet skulle svara på och återhämta sig efter ett överspänningsförhållande. Är det möjligtvis acceptabelt att rök eller eld blir följden av överspänningsfel? Skulle ansträngningar att bestämma grundorsaken och implementera tillrättaläggande åtgärder kunna förhindras av skada orsakad av ett överspänningsfel? Om en lokal operatör startar om (reboot) ett felaktigt system, skulle detta kunna skada systemet ytterligare och förhindra återhämtningen? Vilken process och tid krävs för att bestämma orsaken till felet och återuppta normal systemdrift?
Brister
En traditionell metod för överspänningsskydd består av en säkring, kiselstyrd likriktare (SCR) och zenerdiod. Denna krets (fig 1) skyddar lasten på följande sätt:
Om ingående matningsspänning överskrider zenerdiodens brytspänning aktiveras SCR och drar tillräcklig ström för att blåsa upp säkringen uppströms. Det är en relativt enkel och billig metod men dess nackdelar inkluderar noggrannheten för zenerdiodens brytspänning, varierande triggningströskel för SCR-grinden, varierande svarstid för SCR och säkring samt den nivå av ansträngning som krävs för återhämtning efter ett fel (dvs fysiskt underhåll av säkringen och återstart av systemet).
Om spänningsmatningen i fråga driver den digitala kärnan begränsas SCRns skyddsförmåga eftersom det framåtriktade fallet vid hög ström är jämförbart med eller överstiger kärnspänningen hos de senaste digitala processorerna. På grund av dessa nackdelar passar det traditionella sättet att skydda mot överspänning inte för kraftmatning, med DC/DC-omvandling av hög spänning till låg spänning, av laster såsom ASICar eller FPGAer som kan vara värda hundratals om inte tusentals dollar.
Fig 1. Traditionell krets för skydd mot överspänning bestående av en säkring, SCR och Zener-diod. Visserligen en billig lösning, men kretsens svarstid är otillräcklig för att tillförlitligt skydda de senaste digitala kretsarna framför allt när matningen uppströms är en mellanspänningsbuss. Dessutom blir även den enklaste återhämtningen efter ett överspänningsfel krånglig och tidsödande.
Kombinera kraft- och skyddskretsar
En bättre lösning vore att noggrant detektera ett förestående överspänningsförhållande och snabbt koppla bort ingående matning samtidigt som överskottsspänning laddas ur vid lasten via en väg med låg impedans. Detta är nu möjligt med de omfattande skyddsegenskaper som inkluderats i den “step-down”-baserade µModule-regulatorn LTM4641.
I hjärtat av kretsen finns en 38 V-märkt, 10 A “step-down”-regulator med induktans, integrerad styrkrets, kraftswitchar och kompensering i en enda ytmonterad kapsel. För ytterligare skydd av dyrbara laster såsom ASICar, FPGAer och mikroprocessorer har dock en omfattande nivå av övervaknings- och skyddskretsar inkluderats. LTM4641 håller konstant uppsikt efter ingående underspänning, ingående överspänning, övertemperatur och utgående överspännings- och överströmsförhållanden och agerar på lämpligt sätt för att skydda lasten.
För att undvika felaktig eller för tidig exekvering av skyddsfunktionerna har vardera av dessa övervakade parametrar inbyggd immunitet mot förvrängning (glitch) och användarjusterbara triggningströsklar med undantag för skyddet mot överström, som implementeras tillförlitligt, cykel-för-cykel, med strömstyrning. Vid utgående överspänning reagerar LTM4641 inom 500 ns av feldetekteringen (fig 2).
Fig 2. LTM4641 svarar på överspänning inom 500 ns och skyddar lasten från spänningsstress. (VIN = 38 V, VUT = 1,0 V, justerbar tröskel för överspänning inställd på +11%)
Den interna arkitekturen hos LTM4641 möjliggör inte bara snabbt och tillförlitligt svar utan även automatisk återställning när felförhållandet passerat. En förstärkare för differentiell avkänning utnyttjas för att reglera spänningen vid lastens kraftterminaler, vilket minimerar fel som härrör från brus och spänningsfall i PCB-spår mellan LTM4641 och lasten. DC-spänningen vid lasten regleras till bättre än ±1,5% noggrannhet över linje, last och temperatur. Denna noggranna utspänningsmätning matas också till den snabba komparatorn för utgående överspänning, som startar LTM4641s skyddsfunktioner.
När överspänning detekteras vidtar µModule-regulatorn snabbt flera åtgärder samtidigt. En extern MOSFET (MSP i fig 3) kopplar bort ingående kraftmatning, tar bort högspänningsvägen från regulatorn och den dyrbara lasten. En annan extern MOSFET (MCB i fig 3) implementerar en kofotsfunktion med låg impedans, som snabbt laddar ur lastens bypass-kondensatorer (C i fig 3).
Den “step-down”-baserade DC/DC-regulatorn i LTM4641 intar ett låst avstängningsläge och sänder en felsignal som visas av HYST-benet och som kan utnyttjas av systemet för att initiera en väl avvägd avstängningssekvens och/eller systemåterställning. En särskild spänningsreferens oberoende av styrslingans referensspänning utnyttjas för detektering av felförhållanden. Detta gör att den kan motstå enstaka fel om styrslingans referens inte fungerar.
Fig 3. Plan för LTM4641s skydd mot utgående överspänning. De två probikonerna motsvaras av vågformerna i fig 2.
Det förbättrade skydd som LTM4641 erbjuder jämfört med den traditionella metoden med säkring och SCR förstärks ytterligare av det sätt som systemet återhämtar sig efter ett fel. Den traditionella skyddsmetoden mot överspänning förlitar sig på att en säkring separerar kraftmatningen från den värdefulla lasten. Därför måste någon vara fysiskt närvarande för att ta bort och byta ut säkringen för att systemet ska kunna återuppta normal drift efter det att ett fel har uppstått.
I motsats till det kan LTM4641 återuppta normal drift snabbt när felförhållandet är uppklarat antingen genom omkoppling av ett styrben på logiknivå eller genom att LTM4641 konfigureras för autonom omstart efter en användarspecificerad tidsperiod. Inget fysiskt byte av komponenter behövs, vilket är ett kritiskt krav för system som är igång stor del av tiden och/eller utnyttjas på avlägsna platser. Om felförhållanden uppkommer igen efter det att LTM4641 återupptagit driften kan tidigare omnämnda skydd omedelbart engageras igen för att skydda lasten.
Skydd mot ingående stötar
I vissa fall är enbart skydd mot utgående överspänning inte tillräckligt och skydd mot ingående överspänning är önskvärt. LTM4641s skyddskretsar kan övervaka inspänningen och aktivera sina skyddsfunktioner om en användarkonfigurerad spänningströskel överskrids.
Om den förväntade maximala inspänningen överskrider modulens märkning på 38 V kan skyddet mot ingående stötspänning utökas upp till 80 V med LTM4641 fortfarande fullt fungerande genom tillägg av en extern högspännings-LDO, som håller styr- och skyddskretsarna vid liv (fig 4).
Fig 4. Skydd mot ingående stötspänning upp till 80 V, med LTM4641 och extern LDO
Klicka här för större bild
Slutsats
Med marknadskrav på högre systemprestanda och längre driftstid tillsammans med de enorma kostnaderna för de senaste digitala processorerna måste ingenjörer beakta riskbegränsande strategier, framför allt när en distribuerad kraftbuss i området 12 V-28 V eller sådana med stötspänning är inblandade.
De senaste och ofta mycket dyrbara FPGAerna, ASICarna och mikroprocessorerna har matningsspänning med en maximal gräns på så lite som 3% – 10% av mellanspänningen, vilket gör dem extremt känsliga för skador till följd av överspänningsfel, potentiellt kan de även fatta eld. Sådana fel kan orsakas av timingfel i switchregulatorn, en inspänningsstöt eller felaktiga komponenter introducerade vid tillverkningen.
Reaktions- och återhämtningstiden hos den valda metoden för skydd mot överspänning måste bli snabbare, mer noggrann och mer konsekvent än den traditionella kretsen bestående av en säkring och SCR. LTM4641, som kombinerar en effektiv 10 A “step-down”-baserad DC/DC-regulator med en snabb och noggrann skyddskrets för utgående överspänning i en ytmonterad kapsel, uppfyller dessa tuffa krav och bildar en integrerad del i en riskbegränsande strategi för de senaste missionskritiska systemen.
Tack till Afshin Odabaee, marknadschef, µModule-kraftprodukter, Linear Technology och Yan Liang, applikationsingenjör, Linear Technology
Willie Chan, teknisk marknadsförare µModule-kraftprodukter, Linear Technology Corp.
Jason Sekanina, konstruktör. µModule-kraftprodukter, Linear Technology Corp.
Filed under: FPGA