Conception of secure interfaces for controls-commands of power
Conception des interfaces sécurisées pour contrôle-commandes de puissance
Résumé
Each actuator of a sail-safe system must be controlled by a fail-safe (i.e. a signal which in presence of failures is either correct or safe). Self-checking systems deliver groups of encoded signals and are not adequate for driving these actuators (since each actuator is controlled by a single signal, which must be fail-safe individually). Due to this particular requirement it was not possible to implement fail-safe systems in VLSI. Therefore all existing fail-safe systems are composed of a self-checking or fault tolerant processing system (e.g. using error detection codes, duplication, triplication etc.), and of a fail-safe interface implemented using discrete components. This interface transforms the outputs of the processing system into fail-safe signals. The draw back of these interfaces is that they are very cumbersome and have a high cost. Furthermore using discrete components results in lower MTTF with respect to VLSI implementations, so that the system availability is reduced. It is therefore mandatory to implement fail-safe interfaces in VLSI. The present work describes a fail-safe interface realised in a smart power technology. It transforms the groups of encoded signals into high-level power signals for driving thus actuators. It combines fail-safe concepts, self-checking design and current monitoring to achieve high levels of safety.
Chaque actionneur d'un système sécuritaire doit être contrôlé par un signal sûr en présence de défaillance (fail-safe), c'est-à-dire qu'en cas de défaillance son état est soit correct, soit sûr. Les systèmes intégrés auto-contrôlables en ligne (self-checking) fournissent des groupes de signaux codés en sortie. Ces groupes de signaux ne permettent pas d'assurer le contrôle direct des actionneurs, car chaque actionneur est contrôlé par un seul signal qui doit être individuellement sûr. A cause de cette exigence particulière, il n'était pas possible d'implémenter en VLSI toutes les parties : un système auto contrôlé (self-checking) ou tolérant aux pannes (qui utilise par exemple un code détecteur d'erreur, une technique de duplication, triplication ou un processeur codé), et une interface fail-safe utilisant des composants discrets. Cette interface transforme les sorties du système de traitement en signaux fail-safe. Outre l'inconvénient des interfaces à composants discrets d'être très encombrantes et coûteuses, la probabilité de défaillance est augmentée et la durée de vie (MTTF) du système est diminuée dans ce cas par rapport à l'implémentation VLSI, ce qui limite la disponibilité du système. Il est donc intéressant d'intégrer en VLSI les interfaces fail-sage, capables d'assurer le contrôle sécuritaire des actionneurs. Dans ce mémoire, nous présentons une interface sécurisée de puissance réalisée en technologie de puissance intelligente. Cette interface transforme les signaux de contrôles codés en fréquence en signaux de puissance pour le contôle sécuritaire des actionneurs dans les transports ferroviaires. Elle repose sur l'utilisation du concet de fail-safe, et d'autocontrôlable pour atteintre un haut niveau de sécurité.
Loading...