Sei sulla pagina 1di 66

Universit degli studi di Genova

Facolt di Ingegneria

Corso di Laurea Specialistica In Ingegneria Elettronica

TESI DI LAUREA
_______


Analisi delle modalit ed effetti di guasto (Failure Modes and
Effects Analysis, FMEA) di sistemi elettronici tramite
simulazione comportamentale ed il linguaggio di descrizione
dellhardware VHDL-AMS

Relatore: Candidato:
Chiar.
mo
Prof. Ing. Maurizio Valle Raffaello Secondo

Correlatore Accademico:
Dott. Ing. Candice Mller
Relatore Aziendale:
Dott. Ing. Francesco Caprile


Genova, 25 Settembre 2009
Anno Accademico 2008 2009
II
Failure Modes and Effects Analysis (FMEA) of electronic systems using
VHDL-AMS hardware description language

Abstract

The subject of this thesis is the implementation of a software which performs an automatic
Failure Modes and Effects Analysis (FMEA) of a power supply system described using
VHDL-AMS hardware description language. A behavioural model of the system has been
created and compared with its SPICE transistor level description to verify its correctness.
Moreover some failure modes have been introduced in the VHDL-AMS model and it has
been developed a C# application which analyzes the numeric results of the simulations and
automatically generates the FMEA of the system, reporting each failure mode in an Excel
document file. It has been demonstrated that the FMEA can be automatically performed
using a behavioural model of the analyzed system. This provides a good result for future
software programming in order to obtain automatic FMEAs of complex electronic safety-
critical systems.





















III
Ringraziamenti



Ringrazio il professor Valle e Francesco, per avermi sostenuto e dato questa occasione.
Ringrazio inoltre Candice, il cui aiuto stato sempre provvidenziale e la cui simpatia ha
illuminato i giorni di questa tesi.
Quanto lavoro, quanto tempo passato sui libri e quante ore davanti al calcolatore nel corso
di questi cinque anni. Desidero ringraziare innanzitutto Beatrice, che mi stata accanto in
ogni momento, in ogni singolo istante, lei davvero la mia pi grande fan! Ringrazio poi la
mia famiglia: grazie ai miei nonni, i miei veri ultras, ai miei genitori e in particolare grazie
a mio fratello, che mi ha sostenuto e mi sostiene credendo in me fino in fondo.
Ringrazio tutti i miei amici, con i quali ho trascorso momenti duri e momenti di gioia
sconfinata: ringrazio Camilla, per il tifo che ha sempre fatto per me, Bartolomeo, per ogni
risata insieme, Mari, per ogni suo sorriso, Delle e Ila, per tutte le mangiate da scoppiare!
Lucio, per il suo buonumore. Poi ringrazio William, con cui ogni ostacolo stata
unavventura vissuta uniti, Marco, per ogni canestro fatto insieme e Bonfi, per tutte le volte
che mi ha messo sulla giusta strada con i suoi buoni consigli.
Grazie Luca, per ogni doppia e ogni sault de chat insieme e grazie Giorgio, per ogni
avversario sconfitto insieme a te. Grazie Yuri, Vitto, Bono, Dani e Peps, per tutti i palloni
giocati sul campo verde con la voglia di vincere.
Grazie Mat, per tutti i bambini che abbiamo fatto sorridere in Band e grazie a tutta la
Gaslini Band Band, per i sogni che insieme abbiamo regalato e regaleremo.
Grazie Cate per ogni gioco a cui abbiamo partecipato, grazie Zao e Caterina, per le belle
spiaggiate e i canti con la chitarra.
Quanto sudore e quanto lavoro per arrivare sino a qui! Ma senza tutti voi da solo non ci
sarei mai riuscito, perch un vero artista dimostra la sua grandezza solo davanti al suo
pubbliconel mio caso il pubblico a sorprendermi, perch condivide con me ogni risata,
ogni gioia, ogni lacrima e ogni respiro, vedendo in me qualcosa che su un palcoscenico
non si pu mostrare.
Grazie a tutti voi che mi volete benequesto lavoro dedicato a voi, che sapete dare vita
alla mia vita.
IV
Dichiarazione del relatore


Alla Commissione Tirocini e Tesi
Alla Commissione di Laurea e di Diploma:
Sottopongo la tesi redatta dallo studente Raffaello Secondo dal titolo Analisi delle
modalit ed effetti di guasto (Failure Modes and Effects Analysis, FMEA) di sistemi
elettronici tramite simulazione comportamentale ed il linguaggio di descrizione
dellhardware VHDL-AMS. Ho esaminato, nella forma e nel contenuto, la versione finale
di questo elaborato scritto e propongo che la tesi sia valutata positivamente, assegnando i
corrispondenti crediti formativi.

Il Relatore Accademico
Prof. Maurizio Valle











V
Prefazione




In questa tesi si trattata lanalisi FMEA (Failure Modes and Effects Analysis) di sistemi
elettronici tramite simulazione comportamentale e il linguaggio di descrizione
dellhardware VHDL-AMS. Le attivit connesse alla tesi sono state svolte presso il
Dipartimento di Biofisica ed Elettronica (DIBE) dellUniversit degli studi di Genova e
presso lazienda Leonardo Sistemi Integrati s.r.l., con sede legale a Genova Sestri Ponente.
Nel corso della tesi sono stati utilizzati materiale di studio fornito dal Correlatore
Accademico (articoli scientifici e libri sul VHDL-AMS) e dal Relatore Aziendale
(materiale interno dellazienda), sono stati inoltre utilizzati strumenti software di
programmazione in linguaggio VHDLAMS (ambiente Cadence), SPICE e Visual Studio
2005.

























VI
Indice

Abstract....II
Ringraziamenti...III
Dichiarazione del relatore.IV
Prefazione.........V
Introduzione..1
Capitolo1: Analisi FMEA di sistemi elettronici.....3
1.1: Lanalisi FMEA e procedure per la sua esecuzione....3
1.2: Analisi delle modalit di guasto e dei relativi effetti...6
1.3: Affidabilit, Manutenibilit e Sicurezza di sistemi elettronici..........................11
1.3.1: Affidabilit di sistemi elettronici Reliability...................................11
1.3.2: Manutenibilit di sistemi elettronici Mantainability.......................15
1.3.3: Sicurezza di sistemi elettronici Safety.............................................18
Capitolo2: Struttura e modello del sistema elettronico analizzato................................19
2.1: Descrizione dello schema a blocchi funzionale del sistema..............................20
2.2: Modello VHDL-AMS del circuito....................................................................28
2.3: Verifica del modello VHDL-AMS in base ai risultati numerici.......................36
Capitolo 3: Analisi FMEA del modello VHDL-AMS del sistema..................................39
3.1: Realizzazione delle modalit di guasto.............................................................39
3.2: Analisi FMEA del circuito alimentatore...........................................................44
Conclusioni.........................................................................................................................58
Bibliografia.........................................................................................................................59








1

Introduzione




Nellambito della progettazione di sistemi elettronici complessi, caratterizzati da elevati
costi o da funzionalit che possono coinvolgere la salute degli utilizzatori, risulta spesso
necessario effettuare delle valutazioni in termini di affidabilit e sicurezza dei dispositivi
realizzati. La Failure Modes and Effects Analysis (FMEA) uno standard definito dalla
normativa MIL-STD-1629-A ormai consolidato e largamente impiegato in settori come
lavionica e il ferroviario. La FMEA permette di analizzare un sistema identificando tutte
le possibili modalit di guasto e i relativi effetti, in modo tale da massimizzare laffidabilit
di funzione, identificare le azioni che possono eliminare o ridurre le probabilit di
potenziali guasti critici, ridurre i costi di manutenzione e mitigare i pericoli di sistema
mediante tecniche progettuali ad alta affidabilit, o mediante opportune strategie di
identificazione e isolamento guasti.
Lanalisi FMEA, dato leffort derivante dalleterogeneit degli apparati che costituiscono i
sistemi complessi e data la copertura e data la copertura minima di requisito richiesta per
lanalisi stessa, viene effettuata da pi persone con un procedimento che si estende dalla
concezione del progetto attraverso tutte le fasi di sviluppo del sistema elettronico. La
possibilit di automatizzare questo processo permette un enorme vantaggio in termini di
tempo e spreco di risorse.
Questa tesi stata redatta in collaborazione con Leonardo Sistemi Integrati S.r.L. con lo
scopo di dimostrare la possibile realizzazione automatica di un analisi FMEA relativa a un
generico sistema o apparato. A tal scopo stato scelto un circuito semplice con la funzione
di alimentatore, caratterizzato da sei uscite con valori differenti di tensione. Il circuito
stato inizialmente progettato e simulato con SPICE a livello transistor per verificare il suo
corretto funzionamento, successivamente stato realizzato il modello comportamentale del
sistema utilizzando il linguaggio di descrizione dellHardware VHDL-AMS, uno standard
IEEE che permette di descrivere sistemi elettronici a livello comportamentale integrando il
dominio digitale, analogico e a segnale misto.
2

Allinterno dellalimentatore descritto in VHDL-AMS sono stati inseriti alcuni componenti
aggiuntivi che guastano il circuito, in questo modo si possono effettuare le simulazioni
comportamentali del sistema caratterizzato da tutte le possibili modalit di guasto. Sulla
base di tali simulazioni stata infine realizzata unapplicazione in C# in grado di
analizzare i risultati sperimentali e generare lanalisi FMEA riportandola in una tabella in
formato .xls.
La tesi stata suddivisa in tre Capitoli. Nel Capitolo 1 viene introdotta lanalisi FMEA,
specificando il suo significato, il procedimento con cui viene eseguita e le discipline che
essa coinvolge. Nel Capitolo 2 viene descritto il circuito dellalimentatore utilizzato per
ottenere la FMEA e viene spiegato in dettaglio il suo funzionamento e lo schema a blocchi.
Viene inoltre presentato il linguaggio VHDL-AMS riportando alcuni esempi dei moduli
del sistema descritti.
Il terzo e ultimo Capitolo si focalizza sulla descrizione della realizzazione delle modalit di
guasto utilizzando il VHDL-AMS e sullapplicazione in C# realizzata per ottenere lanalisi
FMEA completa del sistema.











3

Capitolo 1

Analisi FMEA di sistemi elettronici


Lanalisi FMEA ed FMECA rispettivamente acronimi di Failure Modes and Effects
Analysis e Failure Modes Effects and Criticality Analysis sono metodologie sistematiche
orientate alla determinazione di tutte le modalit di guasto relative ad un sistema, un
apparato, o un assieme elettronico associando ad esse i corrispondenti effetti sulle
funzionalit di requisito, [1]; le FMEA/FMECA rientrano nellambito delle discipline
RMTS (Reliability, Maintainability, Testability, Safety) che vengono richieste per progetti
con connotazioni safety-related in parallelo allattivit di sviluppo per orientare le scelte
progettuali con la finalit di migliorare le prestazioni affidabilistiche, di disponibilit e di
sicurezza. Per quanto riguarda lanalisi FMECA in corrispondenza di ogni modalit di
guasto viene effettuata unanalisi della severit che il corrispondente effetto pu presentare
sulla missione che il sistema chiamato a svolgere e spesso anche sulla salute degli
utenti utilizzatori del sistema.
Nella pratica la severit quantificata attraverso una classificazione che varia a seconda
della normativa di riferimento. Nel corso di questa tesi si adottato come standard la
normativa MIL-STD-1629-A [2] come riferimento per eseguire lanalisi FMEA del
sistema preso in esame.


1.1 Lanalisi FMEA e procedure per la sua esecuzione


Il primo passo da compiere durante lo svolgimento dell analisi di FMEA di un sitema
elettronico la realizzazione dello schema a blocchi funzionale, spesso indicato come
Functional Block Diagram (FBD). Esso infatti permette di capire come le varie
funzionalit del sistema od apparato in analisi sono ripartite al suo interno. In particolare
lintero sistema od apparato suddiviso in aree funzionali ciascuna dedicata nello svolgere
4

specifici compiti e sono anche identificati i segnali di scambio tra unarea funzionale e
laltra oltre ai segnali di ingresso e uscita dellintero sistema od apparato.
In Figura 1 riportato un generico schema a blocchi funzionale di un sistema elettronico.

Area
Funzionale
1
Area
Funzionale
K+1
Area
Funzionale
l
Area
Funzionale

OUTPUT 1
OUTPUT P
OUTPUT P+1
OUTPUT S
INPUT 1
INPUTn
INPUTn+1
INPUTm

Figura 1: Schema a blocchi funzionale di un generico apparato/sistema
Dove il simbolismo ha il seguente significato

Nella pratica spesso sono necessari pi schemi a blocchi per ottenere una divisione
funzionale completa di un sistema od apparato elettronico: esso costituito da n Secondary
5

Replaceble Item (SRI) assemblate tra di loro attraverso uno chassis contenente una scheda
madre come mostrato in Figura 2.

Figura 2: Schema di montaggio delle SRI

Ogni SRI svolge funzionalit diverse, per esempio almeno una sar lalimentazione
dellapparato, unaltra potrebbe essere la scheda di processazione e cos via. Abbiamo
quindi una prima divisione funzionale gratuita cio che si identifica direttamente con la
divisione fisica in SRI. Il primo schema a blocchi di cui quindi abbiamo bisogno quello
che specifica il comportamento di tutto lapparato, che in generale sar una Line
Replaceble Unit (LRI) dove la generica area funzionale si identifica con una SRI. In
seconda battuta per ogni SRI sar necessario produrre uno schema a blocchi funzionale in
cui questa volta la generica area funzionale pu avere componenti distribuiti fisicamente in
zone diverse della SRI.
Una volta realizzati gli schemi a blocchi funzionali del sistema od apparato oggetto
dellanalisi FMEA, importante per ogni area funzionale identificata fornire una
descrizione che ne dettagli le funzionalit svolte; per far questo nella pratica spesso si
utilizza una tabella detta List of functions suddivisa in tre colonne che hanno il seguente
significato:
La prima colonna riporta il codice dellarea funzionale
6

La seconda colonna riporta il nome dellarea funzionale
La terza colonna riporta una descrizione delle funzionalit eseguite dallarea
funzionale

Qualche volta viene riportata anche una quarta colonna in cui si specificano per ogni area
funzionale tutti i componenti presenti allinterno di essa. Nel caso comunque non sia
presente questa quarta colonna necessario per ogni area funzionale identificata nello
schema a blocchi, individuare nello schema elettrico tutti i componenti che fanno parte di
essa. Questo spesso nella pratica realizzato disegnando dei rettangoli tratteggiati che
racchiudano tutti i componenti appartenenti ad una area funzionale e scrivendo allinterno
di essi il nome e il numero dellarea funzionale.
Lanalisi FMEA definitiva si presenta come una tabella in cui sono riportati tutti i possibili
guasti del sistema o apparato elettronico, uno per ciascuna riga della tabella. Nel paragrafo
successivo viene chiarita nel dettaglio lanalisi delle modalit di guasto e dei relativi effetti
specificando il significato di ciascun campo (colonna) della FMEA.




1.2 Analisi delle modalit di guasto e dei relativi effetti


Lanalisi delle modalit di guasto e dei relativi effetti serve a determinare per ogni area
funzionale identificata nello schema a blocchi funzionale tutte le sue possibili modalit di
guasto ed i relativi effetti a livello locale, ovvero a livello area funzionale stessa, ed al
livello superiore ovvero a livello SRI o di interno apparato o sistema.
Il formato standard per lanalisi FMEA variabile in funzione delle normative sulla base
delle quali lanalisi stessa condotta.
Prendendo come riferimento la MIL-STD-1629-A, il formato imposto da tale normativa
quello riportato nella Tabella 1. Per quanto riguarda la classificazione della severity dei
7

guasti, lo standard di riferimento preso in considerazione quello imposto dalla normativa
MIL-STD-882 [3] riportato nella Tabella 2.
Tabella 1: Esempio di FMEA secondo la normativa MIL-STD-1629A

Defect Effect
ID
Functi
on
Failure
Mode
Failure
Cause
(Compone
nt)
Missi
on
Phase
Local Card
End
Effect
Seve
r.
Clas
s
Failu
re
Ident
.
10.01.
01
Buffer
Loss of
capabil
ity to
genera
te
ADDR
B
signals
IC203,
IC204,
C221,
C224,
C226,
C229,
C232,
C234,
C237,
C243
All
Loss of
capabil
ity to
genera
te
ADDR
B
signals
Loss of
capability to
store
Appl/Maintena
nce Software
in RAM
Memory
Loss of
capability
to Start
UP ODU
Equipment
No effect
during
operating
phases
3 P,C,I
10.01.
02
Buffer
Loss of
capabil
ity to
genera
te
DATA
signals
IC201,
R204..216,
R252..262,
C201..204,
Start
up
Loss of
capabil
ity to
genera
te
DATA
signals
Loss of
capability to
store
Appl/Maintena
nce Software
in RAM
Memory
Loss of
capability
to Start
UP ODU
Equipment
No effect
during
operating
phases
3 P,C,I
10.01.
03
Buffer
RESET
Signal
is
always
at
stuck
high
IC203,
C221,
C224,
C226,
C229,
C232,
C234,
C237,
C243
All
RESET
Signal
is
always
at
stuck
high
Loss of
capability to
reset CPU
Card
No effect 3 P,C,I
10.01.
04
Buffer
RESET
Signal
is
always
at
stuck
low
IC203,
C221,
C224,
C226,
C229,
C232,
C234,
C237,
C243
All
RESET
Signal
is
always
at
stuck
low
CPU Card
always under
reset
Loss of
ODU main
computing
functional
capability
3 P,C,I

8


Il significato dei vari campi (colonne) presenti nella Tabella 1 il seguente:

1) ID: codice identificativo associato a ogni guasto secondo la seguente regola: X.Y.Z
dove:
X identifica la SRI;
Y identifica larea funzionale cos come identificata nello schema a
blocchi funzionale;
Z identifica in maniera progressiva il guasto relativo allarea funzionale
identificata dalla Y.
Per esempio se lapparato costituito da quattro SRI allora il codice 1.25.15
identifica univocamente il guasto quindicesimo relativo allarea funzionale 25 della
SRI 1.
Questa codifica implica quindi che vengano codificate anche le singole SRI, le aree
funzionali e i guasti relativi alle aree funzionali.
La colonna ID pu essere preceduta da una colonna N che riporta il numero
progressivo associato a ogni modalit di guasto, a partire da 1.
2) Function: rappresenta il nome dellarea funzionale cos come stata identificata
nello schema a blocchi funzionale;
3) Failure Mode: rappresenta la descrizione della modalit di guasto relativa allarea
funzionale corrispondente;
4) Failure Cause (components): rappresenta i componenti che possono generare il
guasto e ne sono la causa.
5) Mission Phase/Operational mode: La fase della missione o lo stato di
funzionamento del sistema o apparato in cui si verifica la modalit di guasto
indicata.
6) Local effect: descrizione degli effetti a livello di area funzionale;
7) Card effect: descrizione degli effetti a livello superiore cio a livello SRI o LRI a
seconda del livello finale che lanalisi di FMEA prevede;
8) End Effect: descrizione degli effetti a livello finale cio a livello LRI o di sistema.
9) Severity Class: identifica il grado di severity delleffetto finale attraverso la
classificazione specificata nella Tabella 2. E importante osservare che la severity
9

va associata alleffetto causato dalla modalit di guasto corrispondente tenendo
conto anche della criticit che il guasto in oggetto pu provocare in combinazione
con altri guasti.
10) Failure Identification: indica le modalit tramite le quali la corrispondente
modalit di guasto pu essere rilevata. Come verr spiegato nel Capitolo
successivo, il progetto del sistema scelto nel corso della tesi per realizzare lanalisi
FMEA prevede una circuiteria dedicata allidentificazione dei guasti di tipo
continuo detta CONTINUOS BUILT-IN-TEST-EQUIPMENT (CBIT). Il tipo di
BIT viene specificato come:
P = Power Up BIT (PBIT): allaccensione si avvia il test dellapparato o sistema,
leggendo e scrivendo in una memoria dedicata.
C = Continuos BIT (CBIT): il monitoraggio avviene costantemente.
I = Interrupt BIT (IBIT): possibile interrompere la sessione in corso in ogni
momento per far partire il test.

Tabella 2 Classificazione delle severity secondo la MIL-STD-882
Description Category Environmental, Safety, and Health Result
Criteria
Catastrophic I Could result in death, permanent total disability,
loss exceeding $1M, or irreversible severe
environmental damage that violates law or
regulation.
Critical II Could result in permanent partial disability,
injuries or occupational illness that may resul in
hospitalization of at least three personnel, loss
exceeding $200K but less $1M, or reversible
environmental damage causing a violation of law
or regulation.
Marginal III Could result in injury or occupational illness
resulting in one or more lost work day(s), loss
exceeding $10K but less than $200K, or
mitigatible environmental damage without
violation of law or regulation where restoration
activities can be accomplished.
Negligible IV Could result in injury or illness not resulting in a
lost work day, loss exceeding $2K but less than
$10K, or minimal environmental damage not
violating law or regulation

10

Lo scopo dellanalisi FMEA quello di studiare gli effetti delle modalit di guasto del
sistema o apparato in oggetto e classificare ogni potenziale guasto in accordo con la sua
severity. A seguito dellanalisi FMEA possibile eseguire la Criticality Analysis (CA) del
sistema o apparato allo scopo di elencare ogni guasto potenziale identificato dalla FMEA
combinando la classificazione della severity con le probabilit o frequenze medie di
occorrenza dei guasti basate sui dati disponibili.
In questo modo si ottiene lanalisi FMECA, nella quale sono presenti dei campi (colonne)
aggiuntivi che integrano e completano la FMEA. In base al formato descritto dalla MIL-
STD-1629-A si ha:

11) Defect Effect n: rappresenta un codice composto da due cifre letterali il cui
significato il seguente:
La prima lettera identifica univocamente lLRI oggetto dellanalisi cos come
identificato nellanalisi del supporto logistico (LSA);
la seconda lettera identifica univocamente leffetto finale a livello LRI;
12) Prevention: specifica la possibilit di effettuare una manutenzione preventiva
relativamente ad ogni modalit di guasto identificata nella tabella di FMECA. La
convenzione utilizzata a tale scopo la seguente:
Y = prevenzione possibile;
N = prevenzione impossibile;
13) Defect Probability: la failure rate della modalit di guasto oggetto, ovvero la
probabilit di occorrenza del guasto stesso. Per maggiori dettagli su e sui
parametri associati alla probabilit di effetto dei guasti si rimanda alla MIL-STD-
1629-A;
14) Remarks: ogni commento utile a chiarificare i campi (colonne) della linea
considerata.
Nel paragrafo successivo vengono trattati gli argomenti relativi allaffidabilit,
manutenibilit e sicurezza dei sistemi elettronici.




11

1.3 Affidabilit, Manutenibilit e Sicurezza di sistemi elettronici


Le analisi FMEA ed FMECA in letteratura vengono spesso poste nellambito della
Testabilit di un sistema elettronico. In realt esse consistono in un processo di analisi del
sistema o apparato oggetto che coinvolge quattro discipline ben definite: affidabilit
(Reliability), manutenibilit (Maintainability), testabilit (Testability) e sicurezza (Safety),
(RMTS). Talvolta il sistema o apparato va misurato anche in termini di Disponibilit
(Availability), cio il tempo utile perch sia disponibile al suo funzionamento.



1.3.1 Affidabilit di sistemi elettronici - Reliability


Il calcolo dell affidabilit di un sistema elettronico di tipo Bottom-Up e si basa su una
funzione del tempo detta funzione di affidabilit. La funzione di affidabilit
corrisponde alla probabilit che il sistema, apparato, scheda oppure componente (a seconda
del livello gerarchico) funzioni per : 0 . Laffidabilit si calcola a ciascuno dei
quattro livelli descritti, al crescere della variabile tempo si assume che cresca
proporzionalmente la probabilit che si verifichino guasti.
Per t = 0 logico aspettarsi che il sistema funzioni correttamente. Definendo

come la
probabilit di avere k guasti tra listante 0 e listante t si ha

0 1 [1.1]

Inoltre la funzione di affidabilit si pu scrivere come segue

[1.2]

Dove

corrisponde alla probabilit di avere zero guasti tra listante 0 e listante t.


12

Si pu dimostrare che la

corrisponde a una distribuzione Poissoniana, a tale scopo


imponiamo le seguenti tre condizioni

1)

[1.3]

Dove il simbolo corrisponde alla failure rate del componente (la sua predisposizione a
guastarsi) e la finestra di osservazione considerata.

2)

0 [1.4]

Questa condizione viene imposta perch quando un sistema soggetto a
malfunzionamento ci che si rileva leffetto finale, ovvero il suo non funzionamento, non
il guasto in s. Pertanto non vi differenza nelleffetto finale tra lessere soggetto a un
guasto solamente o a k guasti.
3) La probabilit che si verifichi un guasto in un intervallo di tempo indipendente dalla
probabilit che si verifichi un guasto in un intervallo di tempo distinto : considerando come
variabili aleatorie il numero di guasti che possono verificarsi allinterno di due intervalli di
tempo distinti, le due variabili aleatorie sono statisticamente indipendenti.
Si pu quindi scrivere

[1.5]

pu essere riscritta come segue



[1.6]

Sostituendo la [1.6] nella [1.5] si ottiene

1 [1.7]

Dove

stato riscritto come nella [1. 3]. Successivamente si pu riscrivere la [1.7]


come segue
13

[1.8]

Dividendo per entrambi i membri della [1.8] si ottiene

[1.9]

Eseguendo il limite per 0 della [1. 9] si ricava la seguente equazione

[1.10]

La [1.10] risulta essere unequazione differenziale del primo ordine. Il corrispondente
integrale generale

[1.11]

Dunque la

si pu scrivere come segue



[1.12]

Tenendo conto della [1.1] come condizione iniziale, dalla [1.12] si ottiene

0 1

1 [1.13]

La [1.12] di conseguenza si pu riscrivere come segue

[1.14]

Dalla [1.14] e tenendo conto della definizione di funzione di affidabilit enunciata dalla
[1.2] si ottiene

[1.15]

14

La funzione di affidabilit dunque una distribuzione Poissoniana del tipo

con [1.16]

Inoltre landamento di non costante, ma varia in funzione del tempo secondo un grafico
dalla forma vasca da bagno, come mostrato in Figura 3.
La fase iniziale successiva alla nascita del componente caratterizzata da unalta
mortalit infantile. In seguito si mantiene pressoch costante per un lungo periodo di
tempo, sino a tornare a valori maggiori nella fase di obsolescenza.












Per determinare nella zona operativa si usano modelli matematici interpolati contenuti in
normative, come la MIL-HDBC-217, [4]. Per esempio secondo questa normativa il failure
rate di un circuito integrato il risultato della seguente equazione

[1.17]

Dove i fattori indicati con sono detti pi factors. I parametri c e i pi factors hanno i
seguenti significati:

Figura 3: Grafico dellandamento del failure rate di un componente in
funzione del tempo
Mortalit
infantile
Obsolescenza
t

Zona operativa
pressoch costante
15

: tiene conto della temperatura;

: tiene conto dellambiente in cui opera il componente (ad esempio vibrazioni, umidit,
ecc);

: coefficiente di complessit del componente, dovuto alla densit di porte/transistor


sullIC;

: coefficiente legato al case, alla sua robustezza;

: tiene conto del processo qualitativo con cui stato prodotto il componente;

: learning pi factor;

Lanalisi di Reliability come gi specificato di tipo Bottom-Up e si esegue combinando la
failure rate di pi componenti. Linverso della failure rate

detto Mean Time Between


Failure (MTBF) e corrisponde al tempo medio di funzionamento del sistema prima che si
verifichi un guasto.



1.3.2 Manutenibilit di sistemi elettronici - Maintainability


La Manutenibilit quella disciplina RMTS che si occupa principalmente dello studio di
manutenibilit dei componenti. Chi esegue lanalisi FMECA deve chiarire al progettista
come deve mantenere il sistema o apparato perch sia funzionale, infatti se vi un
componente predisposto a guastarsi prima degli altri, tale componente andr curato
maggiormente.
Le modalit con cui eseguire la manutenzione del sistema vanno osservate dal punto di
vista dei costi da sostenere: bene evitare che si guasti un componente molto costoso,
mentre uno pi semplice ed economico pu essere sostituito facilmente.
La Manutenzione pu essere di due tipi distinti:
1) Preventiva: il sistema funzionante ma va mantenuto per prevenire i possibili
guasti;
2) Correttiva: il sistema oggetto di malfunzionamento ed necessario riparare i
guasti che si sono verificati.
16

Le manutenzioni inoltre possono essere di tre livelli, a seconda della politica di
manutenzione:
1 Livello) Sostituzione completa dellapparato (LRI) malfunzionante. Ad esempio
facendo riferimento al sistema radio di Figura 4 possibile sostituire il PC quando
guasto.
2 Livello) Sostituzione della scheda (SRI) allinterno di un apparato.
3Livello) Ricerca e sostituzione dei componenti guasti allinterno della scheda (SRI).
La politica di manutenzione viene eseguita dopo avere effettuato una precisa valutazione
dei costi inerenti la riparazione del sistema o apparato oggetto: per il primo livello si
esegue unautodiagnosi utilizzando la funzione di BUILT-IN-TEST predisposta, per il
secondo livello si pu procedere con il BUILT-IN-TEST coadiuvato da Automatic Test
Equipment (ATE, dispositivi esterni per la verifica automatica del funzionamento dei
moduli o dei componenti elettronici) o ancora mediante procedure manuali, per il terzo
livello infine si effettuano esclusivamente procedure manuali. In genere si arriva al terzo
livello solo a fronte di costi troppo elevati nella sostituzione dei singoli LRI e SRI.





Figura 4: Schema a blocchi di un sistema radio navale, ogni
blocco costituisce un apparato.
17

Uno dei parametri principali coinvolti nella manutenibilit di un sistema o apparato il
Mean Time To Repair: il tempo medio necessario al ripristino del sistema, durante il quale
in uno stato di malfunzionamento e indisponibilit.
Il valore del MTTR va minimizzato: ad esempio rendendo pi accessibili i componenti pi
critici, oppure creando procedure di test molto veloci ed efficaci, in modo tale da non
sprecare tempo nella ricerca del guasto, infine procurandosi manutentori con elevato grado
di capacit professionali.
Il MTTR composto dalla somma di quattro fattori:

[1.18]

Dove lindice i relativo a ogni singolo Item e i fattori T hanno il seguente significato:
T

: Tempo di Fault Location;


T
R
: Tempo di rimozione (Remove);
T

: Tempo di rimpiazzamento (Replace);


T

: Tempo di Retest;



Il MTTR totale si ottiene come segue




[1.19]

Dove la [1.19] corrisponde a una media pesata dei failure rate dei vari componenti. In fase
di progettazione del sistema necessario minimizzare gli MTTR corrispondenti ai

pi
elevati.
Il parametro A relativo alla Disponibilit (Availability) si ricava infine come segue


[1.20]

18

Esso consiste in un valore relativo (in genere si calcola in percentuale) che indica la
disponibilit del componente.


1.3.3 Sicurezza di sistemi elettronici - Safety


Lultimo aspetto da analizzare nellambito della RMTS riguarda la Sicurezza (Safety) del
sistema. Al contrario dellanalisi di affidabilit in questo caso si ha un approccio Top-
Down dovuto al concetto di pericolo legato agli eventi, piuttosto che ai guasti, che
coinvolgono il malfunzionamento del sistema.
La safety prevede unanalisi secondo quattro fasi successive:
FASE 1) Preliminary Hazzard Analysis (PHA): identificazione degli Hazard;
FASE 2) Fault Tree Analysis (FTA): si esegue un albero logico (ogni nodo
dellalbero associabile a una porta logica) cominciando dallevento che pu
verificarsi e andando a ritroso attraverso le probabilit legate ai . In questo modo
vengono quantificati gli Hazzard attraverso unanalisi sistematica dei guasti legata
alle funzionalit. Le foglie finali dellalbero sono costituite dalle singole righe
dellanalisi FMECA;
FASE 3) Hazzard Analysis: alcuni eventi possono risultare non quantificabili, ad
esempio lerrore umano. La sicurezza in questo caso deve abbracciare anche aspetti
di mitigazione dei pericoli.
FASE 4) Safety Assessment: in quest ultima fase vengono confrontate le
probabilit degli Hazzard con le specifiche contrattuali;

Lanalisi FMECA coinvolge tutte le discipline descritte fornendo un supporto
estremamente importante per la RMTS di un generico sistema. Nel capitolo successivo
viene descritta la struttura e il modello del sistema scelto nellambito della tesi per poter
ricavare la sua analisi FMEA.



19

Capitolo 2

Struttura e modello del sistema elettronico analizzato




Come specificato nell Introduzione stato realizzato un software in grado di ricavare
lanalisi FMEA automatica di un sistema elettronico a partire dal suo modello VHDL-
AMS, [5]. A tale scopo si scelto un circuito semplice, una SRI con la funzione di
alimentatore. Si scelto inoltre di utilizzare il VHDL-AMS a causa dei vantaggi che offre
questo linguaggio di descrizione dellhardware. Il VHDL-AMS permette di descrivere in
forma testuale sistemi digitali, analogici e a segnale misto, con prestazioni superiori in
termini di velocit di simulazione a programmi che utilizzano interfacce grafiche, come
SPICE, [6].
In questo Capitolo viene descritto il sistema preso in esame nel corso del lavoro di tesi:
nel paragrafo 2.1 viene spiegato in dettaglio il diagramma a blocchi funzionale (FBD) del
sistema e viene riportato lo schematico circuitale realizzato con SPICE per verificarne il
corretto funzionamento. Nel paragrafo 2.2 viene introdotto il linguaggio di descrizione
dellhardware VHDL-AMS e vengono spiegati i concetti di modello e livello
dastrazione, riportando a titolo desempio alcuni modelli dei componenti impiegati. Nel
paragrafo 2.3 infine vengono riportati i risultati sperimentali ottenuti mettendo a confronto
le simulazioni realizzate sia con SPICE che con il VHDL-AMS.







20


2.1 Descrizione dello schema a blocchi funzionale del sistema



Il sistema scelto svolge la funzione di alimentatore ed caratterizzato da sei uscite
principali alle quali corrispondono sei diversi valori di tensione. In Figura 5 riportato lo
schema a blocchi funzionale (FBD) del sistema, le uscite principali sono chiamate OUT e
sono seguite dal corrispettivo valore di tensione, le uscite chiamate UV o OV verranno
discusse in seguito. Il sistema riceve in ingresso una tensione nominale del valore di 28.0V
da un generatore DC collegato a un filtro CLC (condensatore-induttore-condensatore)
passa basso (o filtro pi greco), disposti allinterno del blocco 28_VDC_FILTER.
Il blocco DC_AC collegato all uscita del filtro trasforma la tensione continua in tensione
alternata. Tale tensione alimenta sei blocchi AC_DC distinti. Ogni AC_DC ha la funzione
di riconvertire la tensione alternata in sei valori differenti di tensione continua. In totale
lalimentatore ha sei tensioni duscita, ognuna generata dal corrispondente AC_DC. I
valori di tensione delle uscite sono 5.0V, 15.0V, 3.3V, -15.0V, -5.0 V e -3.3V.
Ciascun AC_DC collegato a un blocco CONTINUOS-BUILT-IN-TEST (CBIT), la cui
funzione quella di verificare continuamente se sulluscita del corrispondente AC_DC si
verificato un abbassamento di tensione (undervoltage), oppure un innalzamento della
tensione (overvoltage) rispetto al valore nominale.
In Figura 5 le uscite dei CBIT sono indicate come UV (per lundervoltage) e OV (per
lovervoltage) e sono seguite dal valore di tensione che ricevono in input.

21






Il blocco 28_VDC_FILTER un filtro passa basso CLC realizzato con componenti
passivi e lo schema circuitale del filtro mostrato in Figura 6.
Figura 5: Schema a blocchi dellalimentatore
22












I parametri del circuito del blocco 28_VDC_FILTER utilizzati per effettuare le simulazioni
sono i seguenti: R1 = 1k, L1 = 10H, C1= C2 = 1nF.
La funzione di trasferimento T (s) del filtro si ricava dalla seguente equazione


1




La [2.1] si pu riscrivere semplificando i termini al numeratore e al denominatore e
considerando in questo caso C1= C2 = C = 1nF. Si ottiene


1

1


Il blocco DC_AC composto da un generatore donda sinusoidale e da un moltiplicatore
(come mostrato in Figura 7). Luscita si ottiene dal prodotto fra la tensione di ingresso e
londa sinusoidale prodotta dal generatore, il risultato costituito da una tensione alternata
di frequenza 60 Hz e ampiezza 28.0V.


[2.1]
[2.2]
Figura 6: Schema circuitale del blocco 28 VDC FILTER
23



.
Il terminale duscita del DC_AC alimenta i sei differenti AC_DC. I blocchi AC_DC_5V,
AC_DC_15V, AC_DC_3.3V riportano in uscita tensioni positive e il loro schema
circuitale mostrato in Figura 8, i blocchi AC_DC_-5V, AC_DC_-15V e AC_DC_-3.3V
invece riportano in uscita tensioni negative e il loro schema circuitale identico a quello
di Figura 8 con lunica differenza nel diodo D, orientato di 180 nel senso opposto. Per
ottenere il valore di tensione nominale di ciascuna uscita viene modificato il rapporto di
spire (e quindi le induttanze) del trasformatore TX: esso riceve sul circuito primario la
tensione alternata in uscita dal DC_AC e riporta sul secondario una tensione fra i sei
valori possibili.





I parametri utilizzati per effettuare le simulazioni di ogni AC_DC sono: R1 = 1, R2 =
1k , C = 1mF. Le induttanze degli avvolgimenti del trasformatore TX di Figura 8 sono le
stesse sia per i blocchi AC_DC con uscite positive, sia per quelli con uscite negative e sono
Figura 8: Schema circuitale dei blocchi AC_DC_5V, AC_DC_15V,
AC_DC_3.3V.
Figura 7: Schema circuitale del blocco DC_AC
24

rispettivamente 10mH sul primario e 460H sul secondario per loutput di 5V/-5V, 10mH
sul primario e 3,5mH sul secondario per loutput di 15V/-15V, 10mH sul primario e
250H sul secondario per quello di 3V/-3V.
Il diodo D elimina le semionde negative, il condensatore C e la resistenza R1 completano il
circuito raddrizzatore. Quando il diodo conduce il condensatore si carica, quando avviene
lopposto il condensatore si scarica lentamente dando origine al fenomeno di ripple. La
resistenza R2 rallenta la caduta di tensione dovuta al processo di scarica del condensatore.
In Figura 9 viene mostrato landamento in funzione del tempo delloutput del blocco
AC_DC_5V ottenuto con SPICE, dopo un transitorio di 5ms la tensione raggiunge i 5V e
si mantiene costante.




I blocchi CBIT hanno una funzione di test continuo del circuito: se si verifica un calo di
tensione (undervoltage) o un innalzamento della tensione rispetto al valore nominale
(overvoltage) su una delle uscite OUT del sistema, larea funzionale CBIT segnala il
malfunzionamento. In Figura 10 riportato lo schematico del blocco CBIT: due
amplificatori operazionali OP_UV e OP_OV hanno la funzione di comparatori e sono
adibiti rispettivamente al rilevamento di undervoltages e al rilevamento di overvoltages.
I generatori di tensione continua Vref1 e Vref2 collegati ai due amplificatori forniscono
due tensioni di soglia: se il segnale elettrico in ingresso AC_DC OUT pari al valore di
tensione corretto le due uscite UV e OV hanno un valore di 5V. Quando il valore di
Figura 9: Output del blocco AC_DC_5V
25

tensione di AC_DC OUT diviene minore di Vref1, luscita UV diventa pari a 0.0V,
segnalando lundervoltage. Allo stesso modo se AC_DC OUT diviene maggiore di Vref2
luscita OV diventa bassa, segnalando lovervoltage.




Entrambi gli operazionali hanno una tensione di uscita

come riportato nella [2.3].




Dove A il guadagno dellamplificatore, mentre

corrispondono alle tensioni sul


terminale positivo e negativo. Ogni amplificatore utilizzato nel circuito ha come parametri
di alimentazione 5.0V e 0.0V e il guadagno A pari a 10
6
. I valori di Vref1 e Vref2
impiegati per ciascun CBIT sono i seguenti:
Vref1 = 4.75V, Vref2 = 5.8V per il CBIT connesso a OUT_5V
Vref1 = -5.8V, Vref2 = -4.75V per il CBIT connesso a OUT_-5V
Vref1 = 14.4V, Vref2 = 15.5V per il CBIT connesso a OUT_15V
Vref1 = -15.5V, Vref2 = -14.4V per il CBIT connesso a OUT_-15V
Vref1 = 3.2V, Vref2 = 3.5V per il CBIT connesso a OUT_3.3V
Vref1 = -3.5V, Vref2 = -3.2V per il CBIT connesso a OUT_-3.3V
In Figura 11 riportato il grafico della tensione in uscita

in funzione della tensione


differenziale

.
Figura 10: Schema circuitale del blocco CBIT
[2.3]
[2.4]
26







Se

minore di 0.0V la tensione di uscita

pari a 0.0V. Quando

diviene
maggiore di 0.0V,

ha una transizione dellordine dei (dovuta al valore elevato del


guadagno) e diventa alta. In questo modo il guasto viene segnalato immediatamente. I
livelli di saturazione dell amplificatore corrispondono ai valori di alimentazione, 5.0V e
0.0V.
Per fare un esempio consideriamo il caso del blocco CBIT_15V: il segnale in ingresso
AC_DC OUT corrisponde al segnale di uscita da AC_DC_15V. Ipotizzando che non vi
siano guasti, CBIT_15V riceve 15V di tensione in ingresso e le uscite UV_15 e OV_15
degli amplificatori sono pari a 5.0V. Vref1 pari a 14.4V mentre Vref2 pari a 15.8V.
Se il segnale in ingresso assume un valore di 13V, la

delloperazionale OP_UV
diventa -1.4V, di conseguenza luscita UV_15V passa da 5.0V a 0.0V, segnalando il
guasto.
In Figura 12 riportato lo schema circuitale completo dellalimentatore.


Figura 11: Grafico della caratteristica dellamplificatore
operazionale,


27


Figura 12: Schema circuitale completo dellalimentatore
28

2.2 Modello VHDLAMS del circuito


Il liguaggio di descrizione dellhardware VHDL (VHSIC Hardware Description Language)
[7] definito dallo standard IEEE 1096-1993 e permette la descrizione e la simulazione di
sistemi elettronici. Lo standard IEEE 1096.1-1993 unestensione del VHDL che permette
la descrizione e simulazione di sistemi caratterizzati da circuiti analogici e a segnale misto
(mixed-signal). Questi due standard insieme costituiscono il linguaggio di descrizione
dellhardware noto come VHDL-AMS (Analog and Mixed Signal).
Il VHDL-AMS fornisce una metodologia di progettazione sistematica e vantaggiosa:
cominciando dal documento con le specifiche del progetto possibile effettuare il design
astratto della struttura del sistema in modo tale che soddisfi le specifiche. Successivamente
si pu decomporre la struttura realizzata in una serie di componenti che interagiscono per
realizzare le funzionalit richieste. Ognuno di questi componenti pu a sua volta essere
suddiviso finch non si arriva a un livello in cui si hanno esclusivamente cellule base
chiamate primitive elements che svolgono una specifica funzione (ad esempio una
resistenza o un condensatore). Il risultato di questo processo consiste nellavere il sistema
scomposto gerarchicamente a partire dai suoi primitive elements, (per informazioni pi
dettagliate si rimanda a [8], [9]). Una volta descritto il modello di un primitive element
esso pu essere utilizzato per ogni sua istanziazione, ovvero ogni volta che si rende
necessario integrare il primitive element allinterno di un blocco. Questa metodologia
fornisce un ulteriore vantaggio, in quanto permette che ogni sottosistema sia progettato
indipendentemente dagli altri e ognuno di essi possa essere pensato come a unastrazione
piuttosto che a una composizione dettagliata di elementi. In questo modo in ogni fase della
progettazione si pu prestare attenzione al sottosistema considerato senza dover
preoccuparsi dei dati relativi agli altri sottosistemi.
Il modello del sistema fondamentale per comprendere il suo funzionamento. Il VHDL-
AMS permette di descrivere un sistema con una specifica funzione in modi diversi: ad
esempio un modello pu concentrarsi sulla funzione del sistema, un altro sulla
scomposizione nei vari sottoblocchi o un altro ancora sui domini energetici che vengono
coinvolti. possibile classificare il modello in tre tipi diversi, [10], [11]: funzionale,
strutturale e geometrico. Il primo si concentra maggiormente sulle operazioni effettuate dal
29

sistema, la sua descrizione quindi a un livello pi astratto rispetto alle altre tipologie. Il
secondo si focalizza sulla scomposizione in sottoblocchi e sulle interconnessioni del
sistema. Il terzo infine descrive la struttura fisica del sistema, ovvero la sua disposizione
geometrica nello spazio. Ognuno di questi tipi pu essere a sua volta suddiviso in livelli
dastrazione diversi, in Figura 13 riportato un diagramma a Y, [12], che rappresenta i
livelli di astrazione di ciascuna tipologia di modello: andando verso il cerchio pi esterno
si incontrano livelli dastrazione maggiori.
Lalimentatore preso in considerazione stato scomposto gerarchicamente nei vari
sottoblocchi, come indicato dallFBD corrispondente. Si utilizzato un modello di tipo
funzionale, descrivendo ogni blocco in termini dei moduli che lo compongono, sino ad
arrivare ai primitive elements, descritti tramite equazioni differenziali e algebriche.





Utilizzando la terminologia del VHDL-AMS, ogni modulo diviso in entity declaration e
architecture body. Nella entity declaration vengono specificati i parametri generic e i ports
del blocco: i primi costituiscono i parametri che caratterizzano il blocco (ad esempio nel
caso di un condensatore il valore della capacit) e possono essere modificati dal
Figura 13: diagramma a Y dei modelli e dei corrispondenti livelli
di astrazione in VHDL-AMS.
30

progettista al momento della istanziazione, i secondi invece rappresentano i segnali di
ingresso e uscita del blocco e possono essere segnali digitali cos come terminali di tipo
elettrico o di un altro dominio.
La descrizione della reale implementazione della entity riportata nella parte di codice
definita come architecture body. Allinterno di un architecture si ha una descrizione
comportamentale della entity che specifica il funzionamento del blocco, inoltre per uno
stesso modulo si pu realizzare pi di unarchitecture con livelli di astrazione diversi.
Per chiarificare al meglio i concetti finora esposti, nel seguito vengono riportati i modelli
utilizzati per descrivere il trasformatore dei blocchi AC_DC e lamplificatore operazionale
dei blocchi CBIT.
La entity transf utilizzata per descrivere il trasformatore risulta come segue


ENTITY transf IS
GENERIC (lvalue1 : inductance;
lvalue2 : inductance;
R1 : resistance;
R2 : resistance;
PORT (terminal p1, m1, p2, m2 : electrical);
END transf;

In Figura 14 riportata la corrispondente rappresentazione grafica




I parametri lvalue1 ed lvalue2 corrispondono ai valori delle due induttanze, R1 ed
R2 invece sono i valori della resistenza del circuito primario e secondario del
trasformatore. Le equazioni che descrivono il comportamento della entity transf
vengono scritte nella corrispondente architecture e si basano sul modello di trasformatore
riportato in Figura 15, [13].

Figura 14: schema della entity transf
31




Trascurando la resistenza dovuta alle perdite nel ferro (correnti parassite e isteresi), le
tensioni

si ricavano utilizzando le seguenti equazioni



[2.5]

[2.6]
Dove

[2.7]

[2.8]

sono i flussi concatenati con lavvolgimento primario e secondario. Il coefficiente M di
mutua induzione si ricava come

[2.9]

Larchitecture behaviour relativa alla entity transf di conseguenza risulta come segue

ARCHITECTURE behaviour OF transf IS

CONSTANT M : inductance := sqrt(lvalue1*lvalue2);
QUANTITY v1 ACROSS i1 THROUGH p1 TO m1;
QUANTITY v2 ACROSS i2 THROUGH p2 TO m2;
QUANTITY phi1: flux;
QUANTITY phi2: flux;
BEGIN
phi1 == lvalue1*i1 + M*i2;
phi2 == M*i1 + lvalue2*i2;
v1 == R1*i1 + phi1'dot;
v2 == R2*i2 + phi2'dot;

END ARCHITECTURE behaviour;

Figura 15: modello utilizzato per descrivere il circuito del trasformatore.
32

Il termine quantity [14] in VHDL-AMS indica una quantit, funzione continua nel tempo,
di una certa natura (ad esempio elettrica).
Prendiamo ora in considerazione lamplificatore operazionale opamp,[15], [16],
impiegato in ciascun CBIT: lentity corrispondente risulta come segue

ENTITY opamp IS
GENERIC (gain : REAL := 1.0e6;
V_plus : REAL := 5.0;
V_minus : REAL := 0.0);
PORT (terminal plus_in,
minus_in, output : electrical);
END ENTITY opamp;

I parametri generic sono il guadagno gain e le tensioni dalimentazione (V_plus e
V_minus). I ports sono: il terminale plus_in che riceve la tensione dingresso,
minus_in connesso a massa e output, il terminale che fornisce la tensione duscita.
Lo schema della entity opamp riportato in Figura 16.




Larchitecture behaviour relativa a opamp definita come segue

ARCHITECTURE behaviour OF opamp IS

QUANTITY v1 ACROSS plus_in;
QUANTITY v2 ACROSS minus_in;
QUANTITY v_out ACROSS i_out THROUGH output;
QUANTITY v_diff : real;
QUANTITY v_amplified : voltage;

BEGIN

v_diff == v1-v2;
if v_diff'above(V_plus/gain) use
v_amplified == V_plus;
elsif not v_diff'above(V_minus/gain) use
Figura 16: schema della entity transf
33

v_amplified == V_minus;
else
v_amplified == v_diff;
end use;

break on v_diff'above(V_plus/gain),
v_diff'above(V_minus/gain);
v_out == v_amplified;

END ARCHITECTURE behaviour;

Dove v1 e v2 corrispondono alle tensioni sul terminale positivo e negativo, mentre
v_amplified il segnale di tensione che viene modificato a seconda delle variazioni
che subisce v_diff (equivalente a

della [2.3]). Il valore di v_amplified


viene assegnato alla tensione duscita v_out riportata su output.
Listruzione if nel corpo dellarchitecture controlla il valore di v_diff, quando
maggiore di

allora v_out pari a V_plus, se invece minore di

allora
v_out pari a V_minus. In ogni altro caso v_out equivale a v_diff. In questo modo
il valore della tensione sul terminale positivo viene costantemente confrontato con quello
sul terminale negativo delloperazionale.
Allinizio del paragrafo sono stati definiti i vari tipi di modello e i differenti livelli di
astrazione: il componente OPAMP stato descritto anche ad un livello di astrazione
funzionale superiore [17] e ridefinito come HOPAMP. Successivamente stata ridescritta
larea funzionale CBIT utilizzando in questo caso HOPAMP al posto di OPAMP,
ottenendo cos il nuovo blocco HIGH_CBIT.
Utilizzando HIGH_CBIT al posto di CBIT si ottengono gli stessi output: infatti esso svolge
la medesima funzione di CBIT ed caratterizzato dagli stessi segnali di ingresso (AC_DC
OUT) e di uscita (UV e OV); lo scopo della sua realizzazione quello di verificare il
corretto funzionamento del modello VHDL-AMS anche con blocchi descritti a livelli di
astrazione diversi.
Lo schema a blocchi di HIGH_CBIT riportato in Figura 17

34





I due HOPAMP rilevano gli undervoltages e overvoltages e producono un segnale digitale
in uscita che viene mandato in ingresso a un blocco convertitore digitale/analogico
DAconverter [18]: se si verificato un calo di tensione luscita UV di DAconverter_UV
diventa bassa, se invece vi stato un aumento di tensione luscita OV di
DAconverter_OV ad andare a zero.
La entity del blocco HOPAMP stata descritta come segue

ENTITY HOPAMP IS
GENERIC ( Vlo, Vhi : REAL);
PORT (terminal ain,
gnd_Hopamp: electrical;
signal dout: out std_logic_vector (1 downto 0));
END ENTITY Hopam p;

Lo schema della entity HOPAMP riportato in Figura 18





Figura 17: schema a blocchi del componente HIGH_CBIT
Figura 18: schema della entity HOPAMP
35

Lunico ingresso, oltre al segnale gnd_Hopamp connesso a massa, il terminale a_in.
Luscita out del tipo std_logic_vector ovvero un bus di dati digitali, mentre i
parametri Vlo e Vhi costituiscono i valori di soglia (similmente a quanto visto per
opamp). Larchitecture Behavioural di HOPAMP la seguente:

ARCHITECTURE Behavioural OF Hopamp IS

TYPE states IS (OV, UV, OK);
signal state: states := zero;
QUANTITY vin ACROSS ain TO gnd_Hopamp;

BEGIN

P1: process
begin
if vin < vlo then
state <= UV;
elsif vin > vhi then
state <= OV;
else
state <= OK;
end if;
wait on vin'above(vlo), vin'above(vhi) ;
end process;

P2: process(state)
begin
case state is
when OV =>
dout <= "10";
when UV =>
dout <= "00";
when OK =>
dout <= "01";
end case;
end process;

END ARCHITECTURE Behavioural;

La variabile state di tipo stato e pu assumere i valori UV (undervoltage), OV
(overvoltage) e OK (corretto funzionamento), la quantity vin invece la tensione
associata al terminale dingresso a_in. Larchitecture composta da due processi P1 e P2
distinti: il primo verifica le variazioni di vin e assegna a state il valore corretto, il
secondo viene eseguito ad ogni modifica del valore di state e produce in uscita un
segnale digitale: 10 nel caso si sia verificato overvoltage, 00 in caso di undervoltage,
01 in caso di corretto funzionamento.
36

I due DAconverter ricevono in ingresso luscita dellHOPAMP a cui sono collegati.
DAconverter_UV riporta 5V di tensione sulluscita UV se riceve 10, se invece riceve
00 allora manda UV a zero. Allo stesso modo DAconverter_OV produrr 0.0V su OV
non appena lingresso pari a 10.
Nel paragrafo seguente vengono riportati alcuni risultati sperimentali necessari per validare
il modello VHDL-AMS dellalimentatore.


2.3 Verifica del modello VHDL-AMS in base ai risultati numerici


Per verificare la correttezza del modello VHDL-AMS con cui stato descritto
lalimentatore necessario confrontare i risultati ottenuti utilizzando SPICE con quelli
ricavati compilando ed eseguendo il codice VHDL-AMS.
In Figura 19 sono riportati sullo stesso grafico i valori di tensione in funzione del tempo
delle tre uscite OUT_5V, OUT_15V e OUT_3.3V, ottenute sia con SPICE che con VHDL-
AMS. Dopo un transitorio di 50 ms le tre uscite raggiungono il valore corretto di tensione
e si mantengono costanti, caratterizzate da un fenomeno di ripple.


Figura 19: andamento in funzione del tempo dei valori delle uscite OUT_3.3V, 5V,
15V, ottenuti con il modello SPICE e VHDL-AMS.

37

Allo stesso modo in Figura 20 sono riportate le uscite caratterizzate da valori di tensione
negativi OUT_-5V, OUT_-15V e OUT_-3.3V, anche in questo caso vengono messi a
confronto sullo stesso grafico i risultati di SPICE con quelli del VHDL-AMS.




Sono stati ottenuti risultati analoghi anche per le uscite UV e OV dei blocchi CBIT
predisposti allauto testing del circuito. A titolo desempio in Figura 21 riportato il
grafico di OUT_15V e della relativa uscita UV_15. Anche in questo caso i risultati ottenuti
con la simulazione SPICE non si discostano molto da quelli ottenuti con il VHDL-AMS: il
segnale UV15 VHDL-AMS risulta sovrapposto a UV15 SPICE, che rimane pari a 0.0V per
tutta la durata del transitorio e diventa pari a 5.0V appena OUT_15V supera la tensione di
soglia (in questo caso impostata a 14.4V).
In Figura 22 infine visibile il grafico dell andamento in funzione del tempo delle uscite
OUT_-3.3V e OV_-3.3. Anche in questo caso i risultati ottenuti con le due metodologie
coincidono. Il segnale OV_-3.3 resta basso fintanto che OUT_-3.3 non ha raggiunto il
valore di soglia -3.2V, segnalando quindi overvoltage.



Figura 20: andamento in funzione del tempo dei valori delle uscite OUT_-3.3V,-5V,-
15V, ottenuti con il modello SPICE e VHDL-AMS.

38













Figura 21: andamento in funzione del tempo dei valori delle uscite OUT_15V e
UV_15V, ottenuti con il modello SPICE e VHDL-AMS.

Figura 22: andamento in funzione del tempo dei valori delle uscite OUT_-3.3V e
OV_-3.3V, ottenuti con il modello SPICE e VHDL-AMS.

39

Capitolo 3
Analisi FMEA del modello VHDL-AMS del sistema



Nel Capitolo precedente stato spiegato nel dettaglio il funzionamento dellalimentatore, il
suo schema a blocchi e il modello VHDL-AMS impiegato per eseguirne la simulazione
comportamentale.
In questo Capitolo inizialmente viene descritto il metodo utilizzato per realizzare le
modalit di guasto del circuito, necessarie per ricavare lanalisi FMEA. I guasti vengono
simulati introducendo alcuni nuovi componenti che provocano corto circuiti, circuiti aperti
o modificano luscita di un segnale impostandola alta o bassa. Dopo aver inserito le
modalit di guasto viene effettuata la simulazione comportamentale in VHDL-AMS e i
risultati ottenuti dalla simulazione vengono salvati in un file in formato .csv. Nel
paragrafo 3.2 viene spiegato il procedimento con cui si ottiene la FMEA relativa ai guasti
inseriti: lapplicazione FMEA-maker, realizzata in linguaggio C#, analizza il file .csv
con i risultati della simulazione comportamentale e genera lanalisi FMEA corrispondente
in una tabella in formato .xls.
Sono stati riportati due esempi di sequenze di guasto per comprendere meglio la
metodologia con cui viene generata lanalisi, inoltre stata effettuata una simulazione con
tutte le modalit di guasto possibili del sistema ed stata riportata la tabella con la FMEA
completa.



3.1 Realizzazione delle modalit di guasto


Per poter ottenere lanalisi FMEA del circuito necessario introdurre dei guasti allinterno
di esso, in questo modo le uscite dellalimentatore sono caratterizzate da valori di tensione
diversi da quelli corretti. Per simulare un corto circuito o un circuito aperto si utilizzato
40

come componente fondamentale uno switch, ovvero una resistenza in grado di variare il
proprio ordine di grandezza da un valore molto piccolo, risultando quindi un corto circuito,
a un valore molto grande, risultando un circuito aperto. Lo switch modifica il proprio
valore di resistenza in base a un segnale di comando digitale. Lentity switch risulta
come segue

ENTITY switch IS
GENERIC (transition_time : real );
PORT (signal sel : in std_ulogic;
terminal p, m : electrical);
END switch;

Lo schema di switch riportato in Figura 23





Il parametro transition_time indica il tempo di transizione impiegato dallo switch
per variare il proprio valore di resistenza (in tutte le simulazioni stato impostato pari a
10

secondi), p ed m corrispondono ai terminali positivo e negativo del componente,


sel infine il segnale digitale in ingresso che comanda lo switch. Quando sel 1 la
resistenza dello switch viene impostata pari a 0.001 , se invece sel 0 lo switch ha
una resistenza di 10

.
Lo switch cos definito stato inserito nel circuito del blocco 28_VDC_FILTER, come
mostrato in Figura 24, e in ogni AC_DC, come in Figura 25. Quando lo switch di Figura
24 si comporta come un corto circuito il filtro si guasta e luscita 28V_DC diventa 0.0V.
Lo stesso accade alluscita di ogni AC_DC se lo switch diventa un circuito aperto.



Figura 23: schema della entity switch
41









:














Si inoltre utilizzato lo switch descritto come cellula fondamentale per realizzare un
nuovo blocco SW_3. Questo blocco ha la funzione di un triplo selettore, come in Figura
26.







Figura 24: circuito del blocco 28_VDC_FILTER con laggiunta dello
switch SW.
Figura 25: circuito di un blocco AC_DC (con uscita positiva) con
laggiunta dello switch SW.
Figura 26: schema circuitale del blocco SW_3
42


Il blocco SW_3 stato realizzato per simulare dei guasti alle linee di uscita UV e OV dei
CBIT (o HIGH_CBIT, a seconda del livello dastrazione voluto), impedendo cos il
corretto autotesting continuo del circuito. I due segnali digitali sw_onoff1 ed sw_onoff2
comandano gli switch allinterno del blocco, luscita SW_OUT pu essere impostata in
modo tale che il suo valore sia alto (5.0V) o basso (0.0V). La entity di SW_3 risulta
descritta in VHDL-AMS come segue.

ENTITY SW_3 IS
GENERIC ( tr_time : real;
v_value : real);
PORT (signal sw_onoff1, sw_onoff2 : in std_ulogic;
terminal input, output, gnd_SW3 : electrical);
END SW_3;

In Figura 27 riportato lo schema della entity SW_3




I parametri tr_time e v_value costituiscono rispettivamente il tempo di transizione
degli switch e il valore di tensione pari a 5.0V. I segnali digitali sw_onoff1 e
sw_onoff2 possono assumere i seguenti valori:
10 o 00 = luscita SW_OUT sempre attiva alta.
01 = luscita SW_OUT sempre attiva bassa.
00 = il blocco segnala i guasti in modo corretto.
Il circuito completo dellalimentatore con tutti gli switch e gli SW_3 collegati ai corretti
terminali si presenta come in Figura 28. Le modalit di guasto vengono simulate
impostando i segnali digitali che comandano le resistenze degli switch, dopo aver
effettuato la simulazione comportamentale del modello con i guasti i risultati vengono
Figura 27: schema della entity SW_3
43

salvati in un file in formato .csv. Successivamente il file viene letto dallapplicazione
descritta nel paragrafo seguente.























Figura 28: Schema circuitale completo dellalimentatore dopo aver collegato
gli switch SW e i blocchi SW_3

44

3.2 Analisi FMEA del circuito alimentatore


In questo ultimo paragrafo viene descritta lapplicazione FMEA-Maker realizzata per
ottenere la FMEA automatica del sistema, specificando le fasi con cui stata ottenuta
lanalisi dei guasti dellalimentatore a partire dal modello VHDL-AMS. Per realizzare
lapplicazione si utilizzato il linguaggio di programmazione C#. Compilando ed
eseguendo il codice si ottiene la finestra riportata in Figura 29.




Il bottone Import .csv file permette di importare un file in formato .csv in cui sono
contenuti i valori delle uscite OUT, UV e OV, ottenuti con la simulazione
comportamentale del sistema descritto in VHDL-AMS. Cliccando su Generate FMEA
Analysis il codice genera un file Excel in cui contenuta la tabella della FMEA del
circuito.
Le fasi per ottenere la FMEA relativa a un singolo guasto del sistema sono le seguenti:
1) Simulazione del guasto utilizzando il modello VHDL-AMS: vengono comandati
gli switch attraverso opportuni segnali digitali in modo che si verifichi il guasto e
Figura 29: Finestra principale dellapplicazione FMEA-Maker
45

dopo un certo intervallo di tempo (tempo di guasto) si riporta il circuito in
condizioni di perfetto funzionamento;
2) Esportazione dei valori delle uscite di ciascun area funzionale su un file .csv;
3) Lettura dei valori contenuti nel file .csv con lapplicazione FMEAmaker;
4) Generazione automatica della tabella FMEA;
Lapplicazione genera il file con lanalisi FMEA relativa al guasto. Il procedimento seguito
molto semplice: i valori di ciascuna uscita vengono confrontati con i valori delle relative
tensioni di soglia, quando il valore di uscita non compreso nel range definito dalle
tensioni di soglia lapplicazione attende per un breve intervallo di tempo, dovuto al
transitorio che si genera a causa della simulazione del guasto, successivamente viene
ripetuto il confronto e viene prodotta una stringa con il formato della FMEA esplicitato nel
Capitolo 1. Una volta raggiunta la fine del file, tutte le stringhe relative ai guasti rilevati
vengono scritte su una tabella in formato .xls e il file viene salvato.
In questo modo possibile effettuare simulazioni introducendo pi guasti in serie:
lapplicazione rileva i malfunzionamenti uno alla volta e riempie la tabella riga per riga
con le stringhe relative a ogni modalit di guasto. Ad esempio i grafici di Figura 30
riportano i valori in funzione del tempo delle uscite 28V_DC, OUT_3.3V, OUT_3.3V e
dei segnali digitali che comandano due switch: sel1 comanda lo switch del blocco
28_VDC_FILTER, sel2 invece relativo allo switch di AC_DC_3.3V.
Il segnale sel1 porta a zero 28V_DC, di conseguenza si verifica un calo di tensione su
OUT_3.3V e un aumento su OUT_-3.3V. Esaurito il tempo di guasto le linee ritornano ad
assumere il rispettivo valore nominale. Successivamente viene impostato a 1 il segnale
sel2 relativo allo switch che guasta il blocco AC_DC_3.3V. Leffetto che si ottiene
corrisponde a un undervoltage sulla linea OUT_3.3V, che permane finch lo switch non
ritorna a 0.




46






Ogni modalit di guasto caratterizzata da un ID secondo la notazione X.Y.Z presentata
nel Capitolo 1. I guasti relativi a ciascuna area funzionale sono riportati in Figura 31.




Figura 30: Grafici dei valori di 28V_DC,OUT_ 3.3V, -3.3V e dei segnali digitali
sel1 e sel2 in funzione del tempo.
47






Per poter assegnare a ciascun guasto una Mission Phase e una Severity si ipotizzata una
possibile applicazione del sistema. Il circuito analizzato pu essere considerato come
lalimentatore di un laboratorio di ricerca in cui le linee duscita forniscono alimentazione
a tre dispositivi differenti. Le uscite 5V/-5V alimentano il sistema daria condizionata (Air
Figura 31:Schema a blocchi del sistema: in ogni area funzionale sono riportati i
possibili guasti secondo il proprio ID.
48

Condition), 3V/-3V il sistema dallarme (Alarm), 15V/-15V limpianto di raffreddamento
di alcuni dispositivi costosi che vanno mantenuti a temperatura bassa e costante
(Equipment Cooling, si assume che il loro valore economico rientri nella categoria 3 della
Tabella 2 riportata nel Capitolo 1). Nel campo della FMEA relativo alla Mission Phase si
fa quindi riferimento ai tre dispositivi alimentati dal sistema. Per ciascun guasto viene
assegnata una Severity adeguata: il guasto al blocco 28_VDC_FILTER stato considerato
come il pi grave ed classificato con una Severity 2. I guasti relativi al sistema daria
condizionata invece sono meno rilevanti, di conseguenza sono classificabili con una
Severity 4. Il malfunzionamento delle alimentazioni del sistema dallarme e dellimpianto
di raffreddamento hanno invece una Severity 3 e in modo analogo sono state assegnate le
Severity dei possibili guasti alle uscite dei blocchi CBIT.
Lanalisi dei guasti riportati in Figura 30, considerando le ipotetiche applicazioni e le
corrispondenti Severity, riportata nella Tabella 3.



ID

Functi
on

Failur
e
Mod
e
Failure
Cause
Compone
nts
Mission
Phase
Local Card
End
Effect

Seve
r.
Class

Failur
e
Ident
.
1.01.0
1
Power
supply
28.0V
Loss
of
28V
VDC1, R1,
C1, L1, C2

Equipme
nt
Cooling,
Air
conditio
n and
Alarm
power
supplies
loss of
28.0V from
28_VDC_FIL
TER
loss of all
power
supplies
loss of
Equipme
nt
cooling,
Air
Conditio
n, Alarm
power
supplies
2 C
1.03.0
1
Power
supply
3.3V
Loss
of
3.3V
powe
r
suppl
y
R18, TX5,
D5, C7,
R19
Alarm
power
supply
loss of 3.3V
from
AC_DC_3.3V
loss of
3.3V from
AC_DC_3.
3V
loss of
Alarm
power
supply
3 C

Tabella 3: analisi FMEA ottenuta dalla simulazione dei guasti di Figura 30
49

Il guasto 1.01.01 il pi critico, il suo effetto corrisponde alla perdita di tutte le uscite del
sistema con un conseguente grave danno economico legato al costo delle apparecchiature e
allimportanza del sistema dallarme, la Severity quindi pari a 2. Il guasto 1.03.01 invece
corrisponde alla perdita della sola alimentazione dellallarme, che comunque ha una
funzione rilevante e ha pertanto una Severity 3.
Come gi visto nel precedente paragrafo anche le uscite delle aree funzionali che eseguono
il BUILT-IN-TEST possono guastarsi, perdendo cos linformazione relativa a possibili
malfunzionamenti. Se ad esempio si verifica un undervoltage sulle uscite che alimentano
limpianto di raffreddamento, la temperatura aumenta rischiando di danneggiare le
apparecchiature. In questo caso la rilevazione dellundervoltage da parte del CBIT
predisposto risulta fondamentale.
In Figura 32 i grafici a e c mostrano la stessa uscita OUT_5V sulla quale si verificato
undervoltage. In b e d invece riportata la corrispondente UV_5V: nel primo caso luscita
corretta, mentre nel secondo caratterizzata da due malfunzionamenti in successione.
Nel grafico b UV_5V va a zero appena OUT_5V diventa bassa, segnalando il
malfunzionamento. Quando il valore nominale di OUT_5V viene ripristinato anche
UV_5V ritorna al valore di 5.0V. Nel grafico d invece luscita UV_5V rimane alta,
segnalando corretto funzionamento anzich rilevare lundervoltage, successivamente
OUT_5V torna al valore nominale mentre UV_5V soggetta a un ulteriore guasto, infatti
diventa bassa per un certo intervallo di tempo segnalando un undervoltage che non si
verificato.

50






Nella Tabella 4 riportata lanalisi FMEA del sistema a seguito dei guasti di Figura 32 d e
c.








Figura 32: a e c - grafici relativi a un guasto su OUT 5V.
b- uscita UV 5V corretta.
d - uscita UV 5V affetta da due malfunzionamenti in successione.
A2
1
B2
51




ID

Functi
on

Failure
Mode
Failure
Cause
Compone
nts
Mission
Phase
Local Card End Effect

Seve
r.
Class

Failur
e
Ident
.
1.04.0
1
Power
supply
5.0V
Loss
of 5.0V
power
supply
R2, TX1,
D1, C3, R3
Air
Condition
power
supply
loss of
5.0V
from
AC_DC_
5V
loss of
5.0V
power
supply
loss of Air
Condition
power
supply
4 C
1.10.0
1

UV_CBI
T 5.0V
output

UV_CB
IT 5.0V
output
is
always
high
VDC2,
OP_UV1,
R4

Undervolta
ge
detection
on Air
Condition
power
supply

UV_CBIT
5.0V
output is
always
high

UV_CB
IT
output
is
always
high

Undervolta
ges of Air
Condition
power
supply not
detected
4 C
1.10.0
2

UV_CBI
T 5.0V
output

UV_CB
IT 5.0V
output
is
always
low
VDC2,
OP_UV1,
R4

Undervolta
ge
detection
on Air
Condition
power
supply

UV_CBIT
5.0V
output is
always
low

UV_CB
IT
output
is
always
low
Uncorrect
Undervolta
ge
detection
on Air
Condition
power
supply
4 C



Sul sistema sono state infine realizzate tutte le modalit di guasto possibili per ciascuna
area funzionale, effettuando una simulazione comportamentale del modello VHDL-AMS
con tutti i guasti possibili in successione. Lanalisi FMEA definitiva del sistema con tutte
le modalit di guasto riportata in Tabella 5.

Tabella 4: analisi FMEA corrispondente alla simulazione dei guasti di Figura 32 c e d
52



ID

Functi
on

Failur
e
Mode
Failure
Cause
Compone
nts
Mission
Phase
Local Card End Effect

Seve
r.
Clas
s

Failu
re
Ident
.
1.01.
01

Power
supply
28.0V
Loss
of 28V
VDC1,
R1, C1,
L1, C2

Equipmen
t Cooling,
Air
condition
and Alarm
power
supplies
loss of
28.0V from
28_VDC_FIL
TER
loss of
all power
supplies
loss of
Equipment
cooling, Air
Condition,
Alarm
power
supplies
2 C
1.03.
01

Power
supply
3.3V
Loss
of
3.3V
power
supply
R18, TX5,
D5, C7,
R19
Alarm
power
supply
loss of 3.3V
from
AC_DC_3.3
V
loss of
3.3V
from
AC_DC_3
.3V
loss of
Alarm
power
supply
3 C
1.04.
01

Power
supply
5.0V
Loss
of
5.0V
power
supply
R2, TX1,
D1, C3,
R3
Air
Condition
power
supply
loss of 5.0V
from
AC_DC_5V
loss of
5.0V
power
supply
loss of Air
Condition
power
supply
4 C
1.05.
01

Power
supply
15.0V
Loss
of
15.0V
power
supply
R10, TX3,
D3, C5,
R11
Cooling
Equipmen
t power
supply
loss of
15.0V from
AC_DC_15V
loss of
15.0V
power
supply
loss of
Cooling
Equipment
power
supply
3 C
1.06.
01

Power
supply
-3.3V
Loss
of -
3.3V
R22, TX6,
D6, C8,
R23
Alarm
power
supply
loss of -
3.3V from
AC_DC_-
3.3V
loss of -
3.3V
power
supply
loss of
Alarm
power
supply
3 C
1.07.
01

Power
supply
-5.0V
Loss
of -
5.0V
R6, TX2,
D2, C4,
R7
Air
Condition
power
supply
loss of -
5.0V from
AC_DC_-5V
loss of -
5.0V
power
supply
loss of Air
Condition
power
supply
4 C
1.08.
01

Power
supply
-15.0V
Loss
of -
15.0V
R14, TX4,
D4, C6,
R15

Equipmen
t Cooling
power
supply
loss of -
15.0V from
AC_DC_-
15V
loss of -
15.0V
power
supply
loss of
Equipment
Cooling
power
supply
3 C
1.09.
01

UV_CB
IT 3.3V
output

UV_C
BIT
3.3V
outpu
VDC10,
OP_UV5,
R20

Undervolt
age
detection
on Alarm
UV_CBIT
3.3V output
is always
high
UV_CBIT
output is
always
high

Undervolta
ges of
Alarm
power
3 C
Tabella 5: analisi FMEA del sistema con tutte le modalit di guasto realizzate
53

t is
always
high
power
supply
supply not
detected
1.09.
02

UV_CB
IT 3.3V
output

UV_C
BIT
3.3V
outpu
t is
always
low
VDC10,
OP_UV5,
R20

Undervolt
age
detection
on Alarm
power
supply
UV_CBIT
3.3V output
is always
low
UV_CBIT
output is
always
low
Uncorrect
Undervolta
ge
detection
on Alarm
power
supply
4 C
1.09.
03

OV_CB
IT 3.3V
output

OV_C
BIT
3.3V
outpu
t is
always
high
VDC11,
OP_OV5,
R21

Overvolta
ge
detection
on Alarm
power
supply
OV_CBIT
3.3V output
is always
high
OV_CBIT
output is
always
high

Overvoltag
es of Alarm
power
supply not
detected
3 C
1.09.
04

OV_CB
IT 3.3V
output

OV_C
BIT
3.3V
outpu
t is
always
low
VDC11,
OP_OV5,
R21

Overvolta
ge
detection
on Alarm
power
supply
OV_CBIT
3.3V output
is always
low
OV_CBIT
output is
always
low
Uncorrect
Overvoltag
e detection
on Alarm
power
supply
4 C
1.10.
01

UV_CB
IT 5.0V
output

UV_C
BIT
5.0V
outpu
t is
always
high
VDC2,
OP_UV1,
R4

Undervolt
age
detection
on Air
Condition
power
supply
UV_CBIT
5.0V output
is always
high
UV_CBIT
output is
always
high

Undervolta
ges of Air
Condition
power
supply not
detected
4 C
1.10.
02

UV_CB
IT 5.0V
output

UV_C
BIT
5.0V
outpu
t is
always
low
VDC2,
OP_UV1,
R4

Undervolt
age
detection
on Air
Condition
power
supply
UV_CBIT
5.0V output
is always
low
UV_CBIT
output is
always
low
Uncorrect
Undervolta
ge
detection
on Air
Condition
power
supply
4 C
1.10.
03

OV_CB
IT 5.0V
output

OV_C
BIT
5.0V
outpu
t is
VDC3,
OP_OV1,
R5

Overvolta
ge
detection
on Air
Condition
OV_CBIT
5.0V output
is always
high
OV_CBIT
output is
always
high

Overvoltag
es of Air
Condition
power
supply not
4 C
54

always
high
power
supply
detected
1.10.
04

OV_CB
IT 5.0V
output

OV_C
BIT
5.0V
outpu
t is
always
low
VDC3,
OP_OV1,
R5

Overvolta
ge
detection
on Air
Condition
power
supply
OV_CBIT
5.0V output
is always
low
OV_CBIT
output is
always
low
Uncorrect
Overvoltag
e detection
on Air
Condition
power
supply
4 C
1.11.
01

UV_CB
IT
15.0V
output

UV_C
BIT
15.0V
outpu
t is
always
high
VDC6,
OP_UV3,
R12

Undervolt
age
detection
on
Equipmen
t Cooling
power
supply
UV_CBIT
15.0V
output is
always high
UV_CBIT
output is
always
high

Undervolta
ges of
Equipment
Cooling
power
supply not
detected
3 C
1.11.
02

UV_CB
IT
15.0V
output

UV_C
BIT
15.0V
outpu
t is
always
low
VDC6,
OP_UV3,
R12

Undervolt
age
detection
on
Equipmen
t Cooling
power
supply
UV_CBIT
15.0V
output is
always low
UV_CBIT
output is
always
low
Uncorrect
Undervolta
ge
detection
on
Equipment
Cooling
power
supply
4 C
1.11.
03

OV_CB
IT
15.0V
output

OV_C
BIT
15.0V
outpu
t is
always
high
VDC7,
OP_OV3,
R13

Overvolta
ge
detection
on
Equipmen
t Cooling
power
supply
OV_CBIT
15.0V
output is
always high
OV_CBIT
output is
always
high

Overvoltag
es of
Equipment
Cooling
power
supply not
detected
3 C
1.11.
04

OV_CB
IT
15.0V
output

OV_C
BIT
15.0V
outpu
t is
always
low
VDC7,
OP_OV3,
R13

Overvolta
ge
detection
on
Equipmen
t Cooling
power
supply
OV_CBIT
15.0V
output is
always low
OV_CBIT
output is
always
low
Uncorrect
Overvoltag
e detection
on
Equipment
Cooling
power
supply
4 C
55

1.12.
01

UV_CB
IT -
3.3V
output

UV_C
BIT -
3.3V
outpu
t is
always
high
VDC12,
OP_UV6,
R24

Undervolt
age
detection
on Alarm
power
supply
UV_CBIT -
3.3V output
is always
high
UV_CBIT
output is
always
high

Undervolta
ges of
Alarm
power
supply not
detected
3 C
1.12.
02

UV_CB
IT -
3.3V
output

UV_C
BIT -
3.3V
outpu
t is
always
low
VDC12,
OP_UV6,
R24

Undervolt
age
detection
on Alarm
power
supply
UV_CBIT -
3.3V output
is always
low
UV_CBIT
output is
always
low
Uncorrect
Undervolta
ge
detection
on Alarm
power
supply
4 C
1.12.
03

OV_CB
IT -
3.3V
output

OV_C
BIT -
3.3V
outpu
t is
always
high
VDC13,
OP_OV6,
R25

Overvolta
ge
detection
on Alarm
power
supply
OV_CBIT -
3.3V output
is always
high
OV_CBIT
output is
always
high

Overvoltag
es of Alarm
power
supply not
detected
3 C
1.12.
04

OV_CB
IT -
3.3V
output

OV_C
BIT -
3.3V
outpu
t is
always
low
VDC13,
OP_OV6,
R25

Overvolta
ge
detection
on Alarm
power
supply
OV_CBIT -
3.3V output
is always
low
OV_CBIT
output is
always
low
Uncorrect
Overvoltag
e detection
on Alarm
power
supply
4 C
1.13.
01

UV_CB
IT -
5.0V
output

UV_C
BIT -
5.0V
outpu
t is
always
high
VDC4,
OP_UV2,
R8

Undervolt
age
detection
on Air
Condition
power
supply
UV_CBIT -
5.0V output
is always
high
UV_CBIT
output is
always
high

Undervolta
ges of Air
Condition
power
supply not
detected
4 C
1.13.
02

UV_CB
IT -
5.0V
output

UV_C
BIT -
5.0V
outpu
t is
always
low
VDC4,
OP_UV2,
R8

Undervolt
age
detection
on Air
Condition
power
supply
UV_CBIT -
5.0V output
is always
low
UV_CBIT
output is
always
low
Uncorrect
Undervolta
ge
detection
on Air
Condition
power
supply
4 C
56

1.13.
03

OV_CB
IT -
5.0V
output

OV_C
BIT -
5.0V
outpu
t is
always
high
VDC5,
OP_OV2,
R9

Overvolta
ge
detection
on Air
Condition
power
supply
OV_CBIT -
5.0V output
is always
high
OV_CBIT
output is
always
high

Overvoltag
es of Air
Condition
power
supply not
detected
4 C
1.13.
04

OV_CB
IT -
5.0V
output

OV_C
BIT -
5.0V
outpu
t is
always
low
VDC5,
OP_OV2,
R9

Overvolta
ge
detection
on Air
Condition
power
supply
OV_CBIT -
5.0V output
is always
low
OV_CBIT
output is
always
low
Uncorrect
Overvoltag
e detection
on Air
Condition
power
supply
4 C
1.14.
01

UV_CB
IT -
15.0V
output

UV_C
BIT -
15.0V
outpu
t is
always
high
VDC8,
OP_UV4,
R16

Undervolt
age
detection
on
Equipmen
t Cooling
power
supply
UV_CBIT -
15.0V
output is
always high
UV_CBIT
output is
always
high

Undervolta
ges of
Equipment
Cooling
power
supply not
detected
3 C
1.14.
02

UV_CB
IT -
15.0V
output

UV_C
BIT -
15.0V
outpu
t is
always
low
VDC8,
OP_UV4,
R16

Undervolt
age
detection
on
Equipmen
t Cooling
power
supply
UV_CBIT -
15.0V
output is
always low
UV_CBIT
output is
always
low
Uncorrect
Undervolta
ge
detection
on
Equipment
Cooling
power
supply
4 C
1.14.
03

OV_CB
IT -
15.0V
output

OV_C
BIT -
15.0V
outpu
t is
always
high
VDC9,
OP_OV4,
R17

Overvolta
ge
detection
on
Equipmen
t Cooling
power
supply
OV_CBIT -
15.0V
output is
always high
OV_CBIT
output is
always
high

Overvoltag
es of
Equipment
Cooling
power
supply not
detected
3 C
57

1.14.
04

OV_CB
IT -
15.0V
output

OV_C
BIT -
15.0V
outpu
t is
always
low
VDC9,
OP_OV4,
R17

Overvolta
ge
detection
on
Equipmen
t Cooling
power
supply
OV_CBIT -
15.0V
output is
always low
OV_CBIT
output is
always
low
Uncorrect
Overvoltag
e detection
on
Equipment
Cooling
power
supply
4 C

















58

Conclusioni


La Failure Modes and Effects Analysis (FMEA) unanalisi sistematica di tutte le possibili
modalit di guasto e dei relativi effetti ampiamente diffusa nellambito della progettazione
di sistemi elettronici complessi. Il suo scopo quello di valutare in termini di affidabilit,
manutenibilit, testabilit e sicurezza il sistema elettronico preso in esame, identificando le
azioni che possono eliminare o ridurre le probabilit di potenziali guasti, riducendo i costi
di manutenzione e mitigando i pericoli di sistema.
In questa tesi si ottenuta lanalisi FMEA di un sistema alimentatore in modo automatico,
a partire dalla sua descrizione a livello comportamentale tramite il linguaggio VHDL-
AMS. Il modello stato verificato confrontando i risultati ottenuti dalle simulazioni del
modello VHDL-AMS con quelli ricavati dalla sua implementazione in SPICE a livello
transistor. Sono state introdotti componenti aggiuntivi nel circuito dellalimentatore con i
quali sono state simulate le modalit di guasto. Infine si realizzata unapplicazione in C#
in grado di analizzare i dati ottenuti dalle simulazioni generando lanalisi FMEA
corrispondente, riportandola in una tabella in formato documento di Excel.
In questo modo si dimostrato che possibile ottenere la FMEA automatica di un sistema
elettronico a partire dalla sua descrizione a livello comportamentale, pi alto rispetto a
quello transistor. Questo risultato costituisce un punto di partenza per realizzare software
capaci di automatizzare le procedure necessarie a svolgere lanalisi FMEA di sistemi
elettronici complessi per applicazioni safety-critical, ottenendo un notevole guadagno in
termini di tempo e spreco di risorse.
Il lavoro svolto inoltre pu essere ulteriormente sviluppato: possibile modificare il
modello VHDL-AMS introducendo nuove modalit di guasto, aggiungendo nuove aree
funzionali e ampliando il sistema rendendolo maggiormente complicato. Il codice
dellapplicazione utilizzata per generare la tabella pu essere ottimizzato considerando
anche la Criticality Analysis (CA) del sistema, in maniera tale da ottenere lanalisi
FMECA, pi complessa e completa.



59

Bibliografia


[1] Dispense del corso sullarea RMTS, Leonardo Sistemi Integrati s.r.l, piazza Oriani 3/3,
Sestri Ponente, Genova.
[2] MIL-STD-1629-A, Department of Defense, Washington, DC 20301.
[3] MIL-STD-882, Department of Defense, Washington, DC 20301.
[4] MIL-HDBC-217, Department of Defense, Washington, DC 20301.
[5] IEEE Standard VHDL Analog and Mixed-Signal Extensions, IEEE Std. 1076.1-
1993.
[6] Nagel, L. W, and Pederson, D. O., SPICE (Simulation Program with Integrated Circuit
Emphasis), Memorandum No. ERL-M382, University of California, Berkeley, Apr. 1973.
[7] IEEE Standard VHSIC Hardware Description Language, IEEE Std. 1076-1993.
[8] P.J. Ashenden, Gregory D. Peterson, Darrel A. Teegarden, The System Designers
Guide to VHDL-AMS, Morgan Kaufmann Publishers, San Francisco, 2003.
[9] P.J. Ashenden, The Designers Guide to VHDL, 2
nd
edition, Morgan Kaufmann
Publishers, San Francisco, 2002.
[10] R. S. Cooper, The Designers Guide to Analog and Mixed-Signal Modeling, Avant!
Corp., Beaverton, OR, 2001.
[11] P. R. Gray, P. J. Hurst, S. H. Lewis and R. G. Meyer, Analysis and Design of Analog
Integrated Circuits, 4
th
edition, John Wiley and Sons, New York, 2001.
[12] D.D. Gajski and R. H. Kuhn, New VLSI Tools, IEEE Computer, Vol. 16, no. 12
(December 1983), pp. 11-14.
[13] Dispense del Corso di Ingegneria Elettronica, Sistemi elettrodinamici per
lingegneria, prof. Mauro Parodi, Universit di Genova, 2009.
[14] E. Christen, K. Bakalar, A. Dewey and E. Moser, Analog and Mixed-Signal
Modeling Using the VHDL-AMS Language, Tutorial presentato al 36
th
Design
Automation Conference, New Orleans, 1999, www.eda.org/vhdlams/
ftp_files/documentation/tutdac99.pdf.
[15] J. Chen, J. Philips, L. M. Silveira and K. Kundert, Modeling RF Circuits for Systems
Analysis, Proceedings of the Cadence Technical Conference, San Antonio, TX, May
1998.
60

[16]S. Franco, Design with Operational Amplifiers and Analog Integrated Circuits, 2
nd

edition, McGraw-Hill, New York, 1998.
[17]L. T. Pillage, R. A. Rohrer and C. Visweswariah, Electronic Circuit and System
Simulation Method, McGraw-Hill, New York, 1995.
[18] A. Bateman, Digital Communications, Addison Wesley, Reading, MA,1999.