Tese apresentada à Divisão de Pós-Graduação do Instituto Tecnológico de Aeronáutica como
parte dos requisitos para obtenção do título de Mestre em Ciência no Curso de
Engenharia Eletrônica e Computação na Área de Dispositivos e Sistemas
Eletrônicos.
Alexandre Souza Campello
Modelagem e Análise Comparativa da Confiabilidade em Sistemas
de Segurança e Atuação com Aplicação em Foguetes.
Prof. Dr. Homero Santiago Maciel
Chefe da Divisão de Pós-Graduação
Campo Montenegro
São José dos Campos, SP – Brasil
2004
Dados Internacionais de Catalogação-na-Publicação (CIP)
Divisão Biblioteca Central do ITA/CTA
Campello, Alexandre Souza
Modelagem e Análise Comparativa da Confiabilidade em Sistemas de Segurança e Atuação
com Aplicação em Foguetes / Alexandre Souza Campello
São José dos Campos, 2004.
108f.
Tese de mestrado – Curso de Engenharia Eletrônica e Computação - Área de Dispositivos e
Sistemas Eletrônicos - Instituto Tecnológico de Aeronáutica, 2004. Orientador: Prof. Dr. Irany
de Andrade Azevedo.
1. Confiabilidade. 2. Foguetes. 3. Pirotécnicos. I. Centro Técnico Aeroespacial. Instituto
Tecnológico de Aeronáutica. Divisão de Dispositivos e Sistemas Eletrônicos. II. Título
REFERÊNCIA BIBLIOGRÁFICA
CAMPELLO, Alexandre S. Modelagem e Análise Comparativa da Confiabilidade em
Sistemas de Segurança e Atuação com Aplicação em Foguetes. 2004. 108f. Tese de
mestrado – Instituto Tecnológico de Aeronáutica, São José dos Campos.
CESSÃO DE DIREITOS
NOME DO AUTOR: Alexandre Souza Campello
TÍTULO DO TRABALHO: Modelagem e Análise Comparativa da Confiabilidade em Sistemas de
Segurança e Atuação com Aplicação em Foguetes
TIPO DO TRABALHO/ANO: Tese / 2004
É concedida ao Instituto Tecnológico de Aeronáutica permissão para reproduzir cópias desta
tese e para emprestar ou vender cópias somente para propósitos acadêmicos e científicos. O
autor reserva outros direitos de publicação e nenhuma parte desta tese pode ser reproduzida
sem a autorização do autor.
___________________________
Alexandre Souza Campello
R. Bicudo Leme, 466
Pindamonhangaba-SP
Cep-12400-180
Modelagem e Análise Comparativa da Confiabilidade em Sistemas
de Segurança e Atuação com Aplicação em Foguetes.
Alexandre Souza Campello
Composição da Banca Examinadora:
Prof. Cairo Lúcio Nascimento Jr.
Presidente – ITA
Prof. Irany de Andrade Azevedo
Orientador – ITA
Prof. Roberto D'Amore
Membro – ITA
Prof.Alberto José de Faro Orlando
Membro – ITA
Prof. Jair Cândido de Melo
Membro Externo – UNIVAP
ITA
DEDICATÓRIA
À Itália De Nardo Souza, minha falecida avó, que sempre acreditou no meu
potencial e nunca duvidou de minha capacidade.
AGRADECIMENTOS
Ao professor Irany de Andrade Azevedo, pela orientação e acompanhamento
durante a realização deste trabalho, além do constante incentivo e confiança depositada.
Ao Instituto de Aeronáutica e Espaço (IAE), pela sugestão da área de trabalho e
pelo apoio.
À Gislene Alves, minha esposa e companheira, que sempre esteve ao meu lado.
À minha família, em especial a minha mãe, por todo o amor, apoio e incentivo.
A Deus, por tudo.
RESUMO
O circuito de segurança e atuação, utilizado tanto em foguetes de sondagem
como em lançadores de satélite, é um dispositivo eletrônico responsável pelo acionamento dos
elementos pirotécnicos de bordo desde o pré-lançamento até a fase de vôo. Tais circuitos
consistem, atualmente, de um temporizador e de relés mecânicos que apresentam, como
principal vantagem, a baixa resistência elétrica dos contatos, e como principal desvantagem,
problemas mecânicos inerentes às vibrações presentes no lançamento e durante o vôo. Uma
análise das principais alternativas mostra existirem duas configurações com características
que apresentam viabilidade de virem a substituí-la: uma delas usa um temporizador e
transistores bipolares de porta isolada, IGBTs, enquanto a outra usa microcontrolador e
IGBTs. Uma vez que o uso de apenas uma das ferramentas de análise provou-se ineficaz,
foram utilizados, em conjunto, a Estimativa da Taxa de Falhas (FRD), a Análise dos Modos
de Falha e seus Efeitos (FMEA) e a Análise pelo Diagrama de Blocos da Confiabilidade
(RBD). Foi proposta uma forma de interpretar como solicitação reduzida (derating) em
temperatura, uma solicitação reduzida (derating) em freqüência a que está submetido o
microcontrolador. Comparados os desempenhos de confiabilidade dos três circuitos, a solução
envolvendo temporizador e IGBTs mostrou-se a mais promissora.
ABSTRACT
A circuit frequently used in different types of rockets aiming to assure safety
and performance mission is analyzed. The circuit is intended to control the on board
pyrotechnical elements from the pre-launch to flight. It is typically an association of a timer
and some mechanical relays. The relays have the main advantage of low electric contacts
resistance but are prone to fail in the high vibration environments of launch and flight phases.
Three viable configurations are examined. One uses the timer and mechanical relays and is
used as a reference. An alternative configuration uses a timer and IGBTs (Insulated Gate
Bipolar Transistor). The third configuration examined uses a microcontroller and IGBTs.
Three tools are jointly used to perform the analyses: FRD (Failure Rate Determination),
FMEA (Failure Mode and Effects Analysis) and the RBD (Reliability Block Diagram). A
method to transform frequency derating in temperature derating of a monolithic
microcontroller is proposed. The failure performances of the three chosen configurations are
analyzed and that using timer and IGBTs seems to be the best choice.
SUMÁRIO
1. APRESENTAÇÃO..............................................................................................................13
1.1-INTRODUÇÃO......................................................................................................................13
1.2-OBJETIVOS.........................................................................................................................14
1.3-ORGANIZAÇÃO DO TRABALHO...............................................................................................14
2. CIRCUITO DE SEGURANÇA E ATUAÇÃO.................................................................16
2.1-INTRODUÇÃO......................................................................................................................16
2.2-LOCALIZAÇÃO.....................................................................................................................16
2.3-EVENTOS PIROTÉCNICOS.......................................................................................................19
2.4-FUNÇÕES DO CIRCUITO DE SEGURANÇA E ATUAÇÃO.................................................................21
2.5-FUNCIONAMENTO.................................................................................................................23
2.6-ESPECIFICAÇÃO...................................................................................................................28
3. ANÁLISE DA CONFIABILIDADE DO CIRCUITO DE SEGURANÇA E
ATUAÇÃO ATUALMENTE EM USO................................................................................30
3.1-INTRODUÇÃO......................................................................................................................30
3.2-CONCEITUAÇÃO DA CONFIABILIDADE......................................................................................30
3.3-REQUISITOS DE CONFIABILIDADE............................................................................................31
3.4-ESCOLHA DAS FERRAMENTAS PARA ANÁLISE DE CONFIABILIDADE...............................................31
3.5-IDENTIFICAÇÃO DOS COMPONENTES-CHAVE.............................................................................32
3.6-CÁLCULO DAS TAXAS DE FALHA DOS COMPONENTES-CHAVE....................................................33
3.7-DETERMINAÇÃO DOS NÚMEROS DE PRIORIDADE DE RISCO.........................................................39
3.8-CONSTRUÇÃO DAS FMEAS..................................................................................................40
3.9-CONSTRUÇÃO DOS DIAGRAMAS DE BLOCOS DE CONFIABILIDADE (RDB)....................................42
3.9-INTERPRETAÇÃO DOS RESULTADOS.........................................................................................45
3.10-ANÁLISE DETALHADA DOS COMPONENTES-CHAVE..................................................................46
4. PROPOSTAS PARA AUMENTO DA CONFIABILIDADE..........................................50
4.1-INTRODUÇÃO......................................................................................................................50
4.2-ALTERNATIVAS DE SUBSTITUIÇÃO DOS RELÉS RF E RS............................................................51
4.2.1-RELÉS DE ESTADO SÓLIDO................................................................................................51
4.2.2-MOSFETS....................................................................................................................51
4.2.3-IGBTS...........................................................................................................................53
4.2.4-ESCOLHA ENTRE AS ALTERNATIVAS......................................................................................54
4.3-ALTERNATIVA DE SUBSTITUIÇÃO DO TEMPORIZADOR.................................................................55
5. ANÁLISE DA CONFIABILIDADE DO CIRCUITO ALTERNATIVO USANDO
IGBTS......................................................................................................................................58
5.1-INTRODUÇÃO......................................................................................................................58
5.2-REQUISITOS DE CONFIABILIDADE............................................................................................58
5.3-ESCOLHA DAS FERRAMENTAS PARA ANÁLISE DE CONFIABILIDADE...............................................59
5.4-IDENTIFICAÇÃO DOS COMPONENTES-CHAVE.............................................................................59
5.5-CÁLCULO DAS TAXAS DE FALHA DOS COMPONENTES-CHAVE....................................................61
5.6-DETERMINAÇÃO DOS NÚMEROS DE PRIORIDADE DE RISCO.........................................................63
5.7-CONSTRUÇÃO DAS FMEAS..................................................................................................63
5.8-CONSTRUÇÃO DOS DIAGRAMAS DE BLOCOS DE CONFIABILIDADE (RDB)....................................64
5.9-INTERPRETAÇÃO DOS RESULTADOS.........................................................................................66
5.10-ANÁLISE DETALHADA DOS COMPONENTES-CHAVE..................................................................67
6. ANÁLISE DA CONFIABILIDADE DO CIRCUITO ALTERNATIVO USANDO
IGBTS E MICROCONTROLADOR....................................................................................69
6.1-INTRODUÇÃO......................................................................................................................69
6.2-REQUISITOS DE CONFIABILIDADE............................................................................................69
6.3-CRITÉRIOS DE ESCOLHA DO MICROCONTROLADOR....................................................................70
6.3.1-PREFERÊNCIA PELO COTS................................................................................................70
6.3.2-PROPOSTA DE UTILIZAÇÃO DA SOLICITAÇÃO REDUZIDA (DERATING) EM FREQÜÊNCIA.....................71
6.3.3-ESCOLHA DO MICROCONTROLADOR......................................................................................73
6.4-ESCOLHA DAS FERRAMENTAS PARA ANÁLISE DE CONFIABILIDADE...............................................74
6.5-IDENTIFICAÇÃO DOS COMPONENTES-CHAVE.............................................................................74
6.6-CÁLCULO DAS TAXAS DE FALHA DOS COMPONENTES-CHAVE....................................................75
6.7-DETERMINAÇÃO DOS NÚMEROS DE PRIORIDADE DE RISCO.........................................................80
6.8-CONSTRUÇÃO DAS FMEAS..................................................................................................80
6.9-CONSTRUÇÃO DOS DIAGRAMAS DE BLOCOS DE CONFIABILIDADE (RDB)....................................81
6.10-INTERPRETAÇÃO DOS RESULTADOS.......................................................................................86
6.11-ANÁLISE DETALHADA DOS COMPONENTES-CHAVE..................................................................88
7. ANÁLISE COMPARATIVA DAS CONFIABILIDADES DO CIRCUITO ATUAL
COM OS CIRCUITOS PROPOSTOS..................................................................................90
7.1-INTRODUÇÃO......................................................................................................................90
7.2-CIRCUITO ALTERNATIVO USANDO IGBTS..............................................................................90
7.2-CIRCUITO ALTERNATIVO USANDO IGBTS E MICROCONTROLADOR.............................................95
7.3-ESTUDO DA VARIAÇÃO DAS TAXAS DE FALHA COM A TEMPERATURA DOS CIRCUITOS ATUAL E
PROPOSTOS.............................................................................................................................100
8. CONCLUSÕES E DESDOBRAMENTOS:...................................................................104
8.1-INTRODUÇÃO....................................................................................................................104
8.2-CONTRIBUIÇÕES DO TRABALHO............................................................................................104
8.3-CONCLUSÕES....................................................................................................................104
8.4-DESDOBRAMENTOS............................................................................................................105
REFERÊNCIAS BIBLIOGRÁFICAS:...............................................................................106
PÁGINAS DA INTERNET:.................................................................................................108
LISTA DE ILUSTRAÇÕES
FIGURA 1 – DESMEMBRAMENTO FÍSICO DAS REDES ELÉTRICAS..........................................................18
FIGURA 2 – CORTE EFETUADA PELA COL....................................................................................20
FIGURA 3 – ATUADOR PIROTÉCNICO............................................................................................21
FIGURA 4 – DIAGRAMA FUNCIONAL DO CIRCUITO DE SEGURANÇA E ATUAÇÃO...................................24
FIGURA 5 – FUNCIONAMENTO DO CIRCUITO DE SEGURANÇA E ATUAÇÃO...........................................27
FIGURA 6 – ÁRVORE DO SISTEMA................................................................................................33
FIGURA 7 – FATORES DE CORREÇÃO ().........................................................................................36
FIGURA 8 – TAXAS DE FALHAS EMHORAS.....................................................................................39
FIGURA 9 – PONDERAÇÕES UTILIZADAS NA CONSTRUÇÃO DAS FMEA...............................................40
FIGURA 10 – FMEA DO RELÉ RS..........................................................................................40
FIGURA 11 – FMEA DO JUMP DE DISPARO DO CIRCUITO.............................................................41
FIGURA 12 – FMEA DO FOTOACOPLADOR........................................................................41
FIGURA 13 – FMEA DA EPROM.............................................................................................41
FIGURA 14 – FMEA DO OSCILADOR....................................................................................41
FIGURA 15 – FMEA DO CONTADOR 4040 E 4060................................................................41
FIGURA 16 – FMEA DOS RELÉS RF 1, 2, 3 E 4 A E B............................................................42
FIGURA 17 – RDB DE ACIONAMENTO DO CIRCUITO ATUAL PARA UM EVENTO.....................................43
FIGURA 18 – RESULTADO DO RBD DE ACIONAMENTO PARA UM EVENTO...........................................44
FIGURA 19 – RDB DE NÃO-ACIONAMENTO DO CIRCUITO ATUAL PARA UM EVENTO..............................44
FIGURA 20 – RESULTADO DO RBD DE NÃO-ACIONAMENTO PARA UM EVENTO....................................44
FIGURA 21 – ORDENAÇÃO DE PRIORIDADES DOS COMPONENTES-CHAVE PELA TAXA DE FALHAS..............46
FIGURA 22 – ORDENAÇÃO DE PRIORIDADES DOS COMPONENTES-CHAVE PELO RPN.............................46
FIGURA 23 – RELÉ DE ESTADO SÓLIDO........................................................................................52
FIGURA 24 – ESTRUTURA BÁSICA DO MOSFET..........................................................................53
FIGURA 25 – ESTRUTURA BÁSICA DO IGBT................................................................................54
FIGURA 26 – RDB DE ACIONAMENTO E NÃO-ACIONAMENTO DO CIRCUITO TEMPORIZADOR....................56
FIGURA 27 – DIAGRAMA FUNCIONAL DO CIRCUITO ALTERNATIVO USANDO IGBTS...............................60
FIGURA 28 – ÁRVORE DO SISTEMA ALTERNATIVO USANDO IGBTS...................................................61
FIGURA 29 – FATORES DE CORREÇÃO () DOS IGBTS.....................................................................62
FIGURA 30 – TAXAS DE FALHAS EMHORAS...................................................................................63
FIGURA 31 – FMEA DO IGBT TS E TFS..................................................................................64
FIGURA 32 – RDB DE ACIONAMENTO DO CIRCUITO ALTERNATIVO COM IGBTS PARA UM EVENTO.........65
FIGURA 33 – RESULTADO DO RBD DE ACIONAMENTO DO CIRCUITO ALTERNATIVO COM IGBTS PARA UM
EVENTO....................................................................................................................................65
FIGURA 34 – RDB DE NÃO-ACIONAMENTO DO CIRCUITO ALTERNATIVO COM IGBTS PARA UM EVENTO..65
FIGURA 35 – RESULTADO DO RBD DE NÃO-ACIONAMENTO DO CIRCUITO ALTERNATIVO COM IGBTS PARA
UM EVENTO...............................................................................................................................66
FIGURA 36 – ORDENAÇÃO DE PRIORIDADES DOS COMPONENTES-CHAVE DO CIRCUITO ALTERNATIVO COM
IGBTS PELA TAXA DE FALHAS.....................................................................................................66
FIGURA 37 – ORDENAÇÃO DE PRIORIDADES DOS COMPONENTES-CHAVE DO CIRCUITO ALTERNATIVO COM
IGBTS PELO RPN....................................................................................................................67
FIGURA 38 – TEMPERATURA MÉDIA DA JUNÇÃO EM FUNÇÃO DA FREQÜÊNCIA DE OPERAÇÃO..................73
FIGURA 39 – DIAGRAMA FUNCIONAL DO CIRCUITO ALTERNATIVO USANDO IGBTS E MICROCONTROLADOR...
76
FIGURA 40 – ÁRVORE DO SISTEMA ALTERNATIVO USANDO IGBTS E MICROCONTROLADOR...................77
FIGURA 41 – FATORES DE CORREÇÃO () DO MICROCONTROLADOR SEM SOLICITAÇÃO REDUZIDA (DERATING)
EM FREQÜÊNCIA.........................................................................................................................77
FIGURA 42 – FATORES DE CORREÇÃO () DO MICROCONTROLADOR COM SOLICITAÇÃO REDUZIDA
(DERATING) EM FREQÜÊNCIA........................................................................................................78
FIGURA 43 – TAXAS DE FALHAS EMHORAS SEM SOLICITAÇÃO REDUZIDA (DERATING) EM FREQÜÊNCIA.....79
FIGURA 44 – TAXAS DE FALHAS EMHORAS COM SOLICITAÇÃO REDUZIDA (DERATING) EM FREQÜÊNCIA....79
FIGURA 45 – TAXAS DE FALHAS EMHORAS COM A TAXA DO FABRICANTE...........................................80
FIGURA 46 – FMEA DO MICROCONTROLADOR...............................................................80
FIGURA 47 – RDB DE ACIONAMENTO DO CIRCUITO ALTERNATIVO COM IGBTS E MICROCONTROLADOR
PARA UM EVENTO NAS SITUAÇÕES SEM/COM SOLICITAÇÃO REDUZIDA (DERATING) EM FREQÜÊNCIA E COM A
TAXA DO FABRICANTE.................................................................................................................81
FIGURA 48 – RESULTADO DO RBD DE ACIONAMENTO DO CIRCUITO ALTERNATIVO COM IGBTS E
MICROCONTROLADOR PARA UM EVENTO SEM SOLICITAÇÃO REDUZIDA (DERATING) EM FREQÜÊNCIA...........82
FIGURA 49 – RESULTADO DO RBD DE ACIONAMENTO DO CIRCUITO ALTERNATIVO COM IGBTS E
MICROCONTROLADOR PARA UM EVENTO COM SOLICITAÇÃO REDUZIDA (DERATING) EM FREQÜÊNCIA..........82
FIGURA 50 – RESULTADO DO RBD DE ACIONAMENTO DO CIRCUITO ALTERNATIVO COM IGBTS E
MICROCONTROLADOR PARA UM EVENTO COM A TAXA DE FALHA DO FABRICANTE...................................83
FIGURA 51 – RDB DE NÃO-ACIONAMENTO DO CIRCUITO ALTERNATIVO COM IGBTS E
MICROCONTROLADOR PARA UM EVENTO SEM SOLICITAÇÃO REDUZIDA (DERATING) EM FREQÜÊNCIA...........83
FIGURA 52 – RDB DE NÃO-ACIONAMENTO DO CIRCUITO ALTERNATIVO COM IGBTS E
MICROCONTROLADOR PARA UM EVENTO COM SOLICITAÇÃO REDUZIDA (DERATING) EM FREQÜÊNCIA.........84
FIGURA 53 – RDB DE NÃO-ACIONAMENTO DO CIRCUITO ALTERNATIVO COM IGBTS E
MICROCONTROLADOR PARA UM EVENTO COM A TAXA DO FABRICANTE.................................................84
FIGURA 54 – RESULTADO DO RBD DE NÃO-ACIONAMENTO DO CIRCUITO ALTERNATIVO COM IGBTS E
MICROCONTROLADOR PARA UM EVENTO SEM SOLICITAÇÃO REDUZIDA (DERATING) EM FREQÜÊNCIA...........85
FIGURA 55 – RESULTADO DO RBD DE NÃO-ACIONAMENTO DO CIRCUITO ALTERNATIVO COM IGBTS E
MICROCONTROLADOR PARA UM EVENTO COM SOLICITAÇÃO REDUZIDA (DERATING) EM FREQÜÊNCIA..........85
FIGURA 56 – RESULTADO DO RBD DE NÃO-ACIONAMENTO DO CIRCUITO ALTERNATIVO COM IGBTS E
MICROCONTROLADOR PARA UM EVENTO COM A TAXA DE FALHA DO FABRICANTE...................................86
FIGURA 57 – ORDENAÇÃO DE PRIORIDADES DOS COMPONENTES-CHAVE DO CIRCUITO ALTERNATIVO COM
IGBTS E MICROCONTROLADOR PELA TAXA DE FALHAS NAS SITUAÇÕES DO MICROCONTROLADOR ESTAR SEM
E COM SOLICITAÇÃO REDUZIDA (DERATING) EM FREQÜÊNCIA..............................................................86
FIGURA 58 – ORDENAÇÃO DE PRIORIDADES DOS COMPONENTES-CHAVE DO CIRCUITO ALTERNATIVO COM
IGBTS E MICROCONTROLADOR PELA TAXA DE FALHAS NA SITUAÇÃO DO MICROCONTROLADOR ESTAR COM A
TAXA DO FABRICANTE.................................................................................................................87
FIGURA 59 – ORDENAÇÃO DE PRIORIDADES DOS COMPONENTES-CHAVE DO CIRCUITO ALTERNATIVO COM
IGBTS E MICROCONTROLADOR PELO RPN....................................................................................87
FIGURA 60 – TAXAS DE FALHA DOS CIRCUITOS ATUAL E ALTERNATIVO UTILIZANDO IGBTS..................91
FIGURA 61 – ORDENAÇÃO DE PRIORIDADES PELAS TAXAS DE FALHA DOS CIRCUITOS ATUAL E ALTERNATIVO
UTILIZANDO IGBTS...................................................................................................................91
FIGURA 62 – RPN DOS RELÉS DO CIRCUITOS ATUAL E IGBTS DO ALTERNATIVO................................92
FIGURA 63 – ORDENAÇÃO DE PRIORIDADES PELO RPN DOS CIRCUITOS ATUAL E ALTERNATIVO UTILIZANDO
IGBTS....................................................................................................................................93
FIGURA 64 – CONFIABILIDADE DOS CIRCUITOS ATUAL E ALTERNATIVO UTILIZANDO IGBTS NO
ACIONAMENTO...........................................................................................................................94
FIGURA 65 – CONFIABILIDADE DOS CIRCUITOS ATUAL E ALTERNATIVO UTILIZANDO IGBTS NO NÃOACIONAMENTO...........................................................................................................................94
FIGURA 66 – TAXAS DE FALHA DOS CIRCUITOS ATUAL, ALTERNATIVO UTILIZANDO IGBTS E ALTERNATIVO
UTILIZANDO IGBTS E MICROCONTROLADOR...................................................................................96
FIGURA 67 – ORDENAÇÃO DE PRIORIDADES PELAS TAXAS DE FALHA DOS CIRCUITOS ATUAL, ALTERNATIVO
UTILIZANDO IGBTS E ALTERNATIVO UTILIZANDO IGBTS E MICROCONTROLADOR.................................96
FIGURA 68 – RPN DOS COMPONENTES DO TEMPORIZADOR DO CIRCUITOS ATUAL E MICROCONTROLADOR DO
ALTERNATIVO............................................................................................................................97
FIGURA 69 – ORDENAÇÃO DE PRIORIDADES PELO RPN DOS CIRCUITOS ATUAL, ALTERNATIVO UTILIZANDO
IGBTS E ALTERNATIVO UTILIZANDO IGBTS E MICROCONTROLADOR.................................................97
FIGURA 70 – CONFIABILIDADE DOS CIRCUITOS ATUAL, ALTERNATIVO UTILIZANDO IGBTS E ALTERNATIVO
UTILIZANDO IGBTS E MICROCONTROLADOR NO ACIONAMENTO..........................................................98
FIGURA 71 – CONFIABILIDADE DOS CIRCUITOS ATUAL, ALTERNATIVO UTILIZANDO IGBTS E ALTERNATIVO
UTILIZANDO IGBTS E MICROCONTROLADOR NO NÃO-ACIONAMENTO...................................................99
FIGURA 72 – TAXA DE FALHAS EM FUNÇÃO DA TEMPERATURA AMBIENTE PARA O CIRCUITO
ATUALMENTE EM USO..............................................................................................................100
FIGURA 73 – TAXA DE FALHAS EM FUNÇÃO DA TEMPERATURA AMBIENTE PARA O CIRCUITO
ALTERNATIVO USANDO IGBTS.................................................................................................101
FIGURA 74 – TAXA DE FALHAS EM FUNÇÃO DA TEMPERATURA AMBIENTE PARA O CIRCUITO
ALTERNATIVO USANDO IGBTS E MICROCONTROLADOR COM SOLICITAÇÃO REDUZIDA (DERATING).......101
FIGURA 75 – TAXA DE FALHAS GLOBAL EM FUNÇÃO DA TEMPERATURA AMBIENTE PARA OS CIRCUITOS
ATUAL, ALTERNATIVO USANDO IGBTS E ALTERNATIVO USANDO IGBTS E MICROCONTROLADOR COM
SOLICITAÇÃO REDUZIDA (DERATING)............................................................................................103
13
1. APRESENTAÇÃO
1.1-Introdução
Durante a segunda guerra mundial, o problema da confiabilidade em
equipamentos eletro-eletrônicos e a percepção de que a tecnologia estava se tornando cada vez
mais complexa, levou o departamento de defesa dos Estados Unidos a estudar a confiabilidade
com mais profundidade.
Na Alemanha, a equipe do engenheiro Werner Von Braun, também durante a
segunda guerra mundial, projetou os foguetes V1 (conhecido como Buzz-Bomb) e V2. Na
época, o V1 apresentou problemas de confiabilidade e Von Braun e sua equipe usaram idéias
baseadas na confiabilidade mecânica (se consertar o elo fraco em uma cadeia, ela não
quebrará) para diagnosticar e melhorar o projeto e a montagem. Mesmo à medida que Von
Braun e sua equipe aumentavam a confiabilidade das partes menos confiáveis descobriram
que o foguete ainda continuava com confiabilidade inferior a 60% [1].
Na busca pela solução do problema, um matemático alemão, Eric Pieruschka,
que trabalhava com Von Braun em outros projetos, mostrou que o modelo de confiabilidade
estava incorreto, pois Von Braun partiu do princípio que o foguete teria maior confiabilidade
quando a menor parte confiável tivesse a maior confiabilidade, mas que na verdade a
confiabilidade do foguete é igual ao produto da confiabilidade de seus componentes. Assim,
surgiu o primeiro modelo preditivo de confiabilidade:
N
R t
i 1
Ri t
(1)
onde:
R(t) é a confiabilidade do equipamento, e
Ri(t) é a confiabilidade de seus componentes, supondo-se que a falha de qualquer um
deles implicará na falha do equipamento.
Desde então uma quantidade intensa de trabalho tem sido realizada buscandose projetar, fabricar e manter equipamentos com a confiabilidade elevada.
14
1.2-Objetivos
Na área aeroespacial, a confiabilidade possui extrema relevância, tanto que a
origem histórica da confiabilidade ocorreu justamente nesta área. Para que os foguetes
cumpram as missões para que foram projetados, cabe aos projetistas desenvolverem sistemas
altamente confiáveis.
A confiabilidade deve ser aplicada a todas as fases do ciclo de vida do foguete
e não somente durante a fase de projeto e desenvolvimento.
O circuito de segurança e atuação, foco deste trabalho, é um componente de
vital importância no funcionamento dos foguetes. Sua funcionalidade é decisiva no sucesso da
missão desde a fase de pré-lançamento até a fase de vôo.
Nos foguetes de nosso interesse, este circuito é composto por relés mecânicos
que apresentam, como principal vantagem, a baixa resistência elétrica dos contatos, mas que
apresentam problemas mecânicos inerentes a este tipo de dispositivo, principalmente quando
submetidos às vibrações no lançamento e durante o vôo. Com o desenvolvimento dos
semicondutores, surgiram dispositivos de estado sólido que apresentam baixo consumo na
linha de comando e baixa suscetibilidade às vibrações.
Neste trabalho são apresentadas a modelagem e avaliação da confiabilidade de
três circuitos de segurança e de atuação, sendo um deles aquele que é amplamente utilizado
(relés mecânicos), enquanto os outros são alternativas para substituí-lo (dispositivos de estado
sólido). São comparados os desempenhos de confiabilidade dos três circuitos, visando a
adoção daquele que venha a mostrar confiabilidade igual ou superior à atualmente conseguida.
Os resultados da modelagem e da avaliação da confiabilidade não puderam ser
comprovados experimentalmente devido à alteração de prioridades que adiaram a montagem
dos protótipos a tempo de serem testados.
1.3-Organização do Trabalho
No capítulo 1 é feita a apresentação do problema a ser estudado.
No capítulo 2 é apresentado e detalhado o circuito de segurança e atuação.
No capítulo 3 é feita a análise da confiabilidade do circuito de segurança e
atuação atualmente em uso.
No capítulo 4 são propostos dois novos circuitos visando melhorar a
confiabilidade do circuito atualmente em uso.
15
No capítulo 5 é apresentada a análise da confiabilidade do primeiro circuito
proposto.
No capítulo 6 é apresentada a análise da confiabilidade do segundo circuito
proposto.
No capítulo 7 é feita a análise comparativa das confiabilidades dos circuitos
propostos com o atualmente em uso.
No capítulo 8 são apresentados as conclusões finais e seus desdobramentos.
Referências Bibliográficas e Páginas da Internet são apresentadas a seguir.
16
2. CIRCUITO DE SEGURANÇA E ATUAÇÃO
2.1-Introdução
O circuito de segurança e atuação, utilizado tanto em foguetes de sondagem
como em lançadores de satélite, tem como finalidade à implementação dos meios necessários
à segurança e à atuação dos eventos pirotécnicos de bordo.
O circuito, em geral, é constituído por duas placas distintas: uma placa de
circuitos e uma placa de relés. A placa de circuitos é composta pelo relé de segurança, pelo
circuito de simulação em solo, pelo circuito temporizador e pelos componentes de
monitoração e telemetria. Já a placa de relés é constituída por oito relés de potência,
chamados relés da linha de fogo responsáveis pela ligação da bateria aos elementos
pirotécnicos. Entende-se por linha de fogo o caminho percorrido pela corrente elétrica desde a
bateria até os elementos pirotécnicos.
O circuito é disparado em solo pelo banco de controle ou em vôo pela
desconexão de jumpers ou pelo computador de bordo, e pode acionar até quatro eventos
pirotécnicos distintos e independentes.
2.2-Localização
O termo “redes elétricas” é usado para o conjunto de equipamentos eletroeletrônicos, suas cablagens e conectores usados nos foguetes. Todas as funções internas dos
foguetes são iniciadas ou integralmente executadas pelas redes elétricas, constituindo um
circuito elaborado e extenso.
Esta rede, em geral, é dividida em sub-redes, segundo as funções executadas. A
figura 1 ilustra um conjunto típico de sub-redes e seus desmembramentos.
O circuito de segurança e atuação localiza-se no segmento de sequenciamento
de eventos da sub-rede de serviço.
A caracterização e operação de cada sub-rede são mostradas a seguir.
a) Sub-Rede de Controle
É responsável por controlar e monitorar as funções do foguete, incluindo o
computador de bordo (controlador), os sensores inerciais, os equipamentos eletrônicos de
interface com os atuadores e os atuadores de controle (propulsores auxiliares, atuadores
hidráulicos e eletroválvulas).
17
Nela são realizadas as funções de:
1. identificação das acelerações, das variações angulares e das velocidades angulares;
2. processamento das informações no computador de bordo e identificação de possíveis
correções a serem feitas na trajetória do veículo, e
3. acionamento dos atuadores de controle de modo a corrigir a trajetória e a execução da
seqüência de eventos pré-programada (separações de estágios, acendimento de motores,
manobras, inicialização de experimentos, etc).
Um elemento essencial para que todas estas funções sejam realizadas é o
software instalado no computador de bordo. Este aplicativo é executado em tempo real,
segundo a lógica dos algoritmos de controle e de todas as outras decisões necessárias ao
desenrolar do vôo. É responsável por inúmeros insucessos no mundo todo, por apresentar
complexidade e dificuldade em se eliminar as falhas de execução.
Em foguetes mais simples, como os foguetes de sondagem, a sub-rede de
controle não se encontra presente, uma vez que nesse tipo de foguetes não existe computador
de bordo.
b) Sub-Rede de Serviço
É responsável pelo suprimento de energia de todo o veículo, no solo e em vôo,
e pela execução dos eventos de vôo.
No solo, a energia é proveniente do banco de controle e a sub-rede de serviço
faz a sua distribuição internamente ao veículo. Em certo ponto da contagem regressiva, a rede
comuta a alimentação para as várias baterias instaladas no veículo, assim permanecendo
durante o vôo.
A execução dos eventos de vôo responde pelo acionamento dos pirotécnicos
que ativam sistemas de separação, ignição e destruição.
Estão localizados nesta sub-rede os sensores de temperatura, pressão e
vibração, entre outros, cujas informações serão transmitidas ao solo.
É nesta sub-rede que se encontra o circuito de segurança e atuação (realçado na
figura 1), foco principal deste trabalho.
Figura 1 – Desmembramento físico das redes elétricas.
18
19
c) Sub-Rede de Telemedidas
É responsável pela leitura e envio dos dados de todos os sensores, através de
um transmissor, para uma estação terrena de telemedidas. Alguns destes dados são
processados em tempo real, e outros são armazenados.
É pela interpretação destes dados que se pode identificar eventuais problemas
no funcionamento do foguete, obtendo as informações em situação real, forma fiel de se testar
a operação do sistema completo.
A análise dos dados de telemetria constitui atividade essencial para descrever o
real funcionamento do foguete.
As imagens obtidas por câmeras de TV de bordo, enviadas ao solo, auxiliam na
documentação e análise de vôo, e fazem parte deste sistema.
d) Sub-Rede de Segurança
É responsável pela destruição do veículo, quando necessário.
A ordem de destruição pode ser gerada pelo próprio veículo ou por operadores
em solo. Em situações em que o ser humano não poderia agir na velocidade necessária é
comum a ordem ser gerada internamente. Para ordens via solo, o veículo é equipado com um
receptor que decodifica, a bordo, a ordem de destruição. Estas ordens são levadas a pontos
vitais do veículo, fragmentando-o.
Para acentuar a visibilidade do veículo, esta sub-rede contém um sistema
respondedor (beacon), que emite sinais em freqüência processada pelo radar, mantendo-o em
perfeito rastreio.
2.3-Eventos Pirotécnicos
Os chamados eventos pirotécnicos são ações que se iniciam após o
funcionamento de componentes pirotécnicos e dependem do tipo de foguete e da missão a ser
realizada.
Os componentes pirotécnicos são dispositivos elétricos acionados por corrente,
que uma vez iniciados acendem motores e “cortam” pontos estratégicos para separação e
destruição de estágios ou partes. Os componentes pirotécnicos são extensamente usados em
foguetes, desempenhando as seguintes funções:
20
abertura de válvulas de fluidos e gases;
acionamento de dispositivos de separação;
ignição de motores, e
corte de partes do veículo para fins de separação e destruição.
Os componentes pirotécnicos não podem ser testados isoladamente por causa
de sua inutilização após o uso. Portanto carecem de um demorado e caro programa de
qualificação e de demonstração de confiabilidade.
Os dois tipos de dispositivos pirotécnicos mais utilizados nos foguetes são:
COL (Carga Oca Linear): A COL é feita de um perfil oco de chumbo trefilado. O
seu interior é preenchido com um explosivo. Ao ser iniciado, o explosivo cria um
feixe de plasma de alta temperatura capaz de cortar chapas de vários materiais. A
figura abaixo ilustra o funcionamento da COL.
Figura 2 – Corte efetuada pela COL.
Atuador Pirotécnico: Este dispositivo tem uso variado e consiste em um corpo, uma
carga pirotécnica e um êmbolo. A carga, ao ser acionada, gera gases que empurram
o êmbolo. Na ponta deste êmbolo pode estar um mecanismo ou uma guilhotina que
efetua o corte de um cabo, por exemplo. A figura a seguir ilustra um atuador deste
tipo, em que o êmbolo termina em guilhotina.
21
Figura 3 – Atuador Pirotécnico.
2.4-Funções do Circuito de Segurança e Atuação
O circuito de segurança e atuação possui quatro funções distintas: segurança,
atuação, monitoração e telemetria.
a) Função Segurança
A função segurança é responsável por garantir a operação segura do circuito em
solo e em vôo. Esta função é necessária para se evitar o acionamento acidental de qualquer
evento pirotécnico. Para isso são implementados dois dispositivos de segurança no circuito:
Relé de segurança – é um relé bi-estável pertencente à placa de circuitos, inserido em
série entre a bateria e os elementos pirotécnicos de todos os quatro eventos, possuindo
duas posições:
-segurança (bateria desconectada dos pirotécnicos), e
-armado (bateria conectada aos pirotécnicos).
Redundância dos relés na linha de fogo – são dois relés da linha de fogo ligados em
série de forma a evitar-se que ocorra acidentalmente o acionamento dos elementos
pirotécnicos por alguma ação intempestiva. Esta redundância garante o acionamento
dos elementos pirotécnicos, apenas quando os dois relés são acionados
simultaneamente pelo circuito temporizador.
22
b) Função Atuação
A função atuação é responsável pelo acionamento dos elementos pirotécnicos
no momento programado pelo temporizador durante o vôo do veículo. Para isso foi adotado o
princípio da Pane Única no nível da aplicação das ordens.
Uma pane simples não deverá impedir a aplicação de uma ordem e gerar uma
ordem intempestiva, o que implica:
na duplicação do circuito, baterias e elementos pirotécnicos de modo que estes
operem em paralelo, de maneira simultânea e independente, e
na duplicação dos relés da linha de fogo ligados em série, como descrito
anteriormente.
c) Função Monitoração
A função monitoração é responsável por prover, via umbilical (cabo que
conecta o foguete ao banco de controle durante a cronologia de pré-lançamento), as
monitorações que permitam a avaliação funcional do circuito pelo banco de controle.
Na monitoração via umbilical são realizadas as seguintes monitorações:
posição do relé de segurança, e
condição passiva dos relés da linha de fogo.
A condição passiva implica na medição da conexão em série do segundo
conjunto de contatos de todos os oito relés da linha de fogo quando estes não estão acionados.
Esta medição tem como função indicar se algum relé foi ou está indevidamente acionado.
d) Função Telemetria
A função telemetria é responsável por prover, as monitorações que permitam a
avaliação funcional do circuito durante o vôo.
A monitoração via telemetria, consiste das indicações:
da tensão da bateria de pirotécnicos;
da tensão de alimentação;
da atuação de cada evento pirotécnico, e
dos eventos gerados pelo temporizador.
23
2.5-Funcionamento
Para entendermos o funcionamento do circuito, faremos uso do seu diagrama
funcional, mostrado na figura 4.
a) Relé de Segurança (RS)
Este relé faz parte da função segurança do circuito. É um relé bi-estável com
dois conjuntos de contatos reversíveis e que possui duas condições exclusivas:
armada – quando o elemento pirotécnico pode ser conectado à bateria de
pirotécnicos através dos relés da linha de fogo (condição de vôo), e
segurança – quando o elemento pirotécnico não pode ser conectado à bateria de
pirotécnicos através dos relés da linha de fogo.
Este relé é comandado e monitorado do solo, via umbilical, pelo banco de
controle, sendo que na monitoração utiliza-se um conjunto de contatos exclusivos para essa
função.
b) Circuito Temporizador
A elaboração das ordens pirotécnicas é feita a partir do circuito temporizador,
disparado em vôo pelo computador de bordo, ou disparado no lançamento do veículo,
considerando como referência o instante do desligamento, ou desconexão, do umbilical do
veículo.
Os eventos são gerados seqüencialmente pelo temporizador, e são aplicados
respectivamente aos relés da linha de fogo (A e B), que são idênticos, distintos e dedicados a
cada ordem pirotécnica.
O temporizador é um circuito digital acionado por um circuito oscilador, que
possui quatro saídas de eventos, providas pelos respectivos drivers para os relés da linha de
fogo correspondentes.
24
Figura 4 – Diagrama funcional do Circuito de Segurança e Atuação.
25
Os eventos possuem duração mínima de um segundo e podem ser programados
de forma individual, com intervalos de um segundo na faixa compreendida entre zero e
seiscentos segundos. Os intervalos apresentam precisão igual ou superior a 0,1%. Há, ainda,
uma saída para envio dos eventos gerados (monitoração via telemetria).
c) Circuito de Simulação em Solo (RSS)
Associado ao temporizador, existe um circuito para simular a geração de
eventos em solo.
Comandado via umbilical, pelo banco de controle, esse circuito encontra-se em
série na linha dos jumpers do umbilical do veículo e promove o disparo do temporizador para
verificação da geração e sequenciamento das ordens.
É um circuito formado basicamente por um foto-acoplador que além de
promover o disparo do temporizador, possui a função de isolação entre os “terras” do banco
de controle e do circuito.
d) Relés de Linha de Fogo (RFA e RFB)
A atuação de cada ordem pirotécnica é feita por dois relés de linha de fogo,
RFA e RFB, ligados em série, comandados pelo temporizador. A duplicação dos relés é
necessária devido à função segurança.
Os relés são do tipo monoestável com dois conjuntos de contatos reversíveis.
Um dos contatos é utilizado para transmissão da ordem, e o outro é reservado para uso
exclusivo da monitoração da condição passiva pelo banco de controle, e para monitoração da
atuação das ordens correspondentes via telemetria. Lembrar que a monitoração passiva utiliza
os contatos correspondentes de todos os relés de linha de fogo conectados em série.
Para cada ordem existem saídas individuais de alimentação e de retorno, com
os respectivos resistores de equalização para cada elemento pirotécnico. Os resistores de
equalização são do tipo fio com as funções de permitir o disparo simultâneo dos diversos
atuadores pirotécnicos ligados a uma mesma ordem, e de limitar a corrente de acionamento do
elemento pirotécnico caso este entre em curto circuito.
e) Dispositivos de monitoração e telemetria
Em sua maioria, são apenas sinais indicadores e não medidores que são
condicionados e levados aos equipamentos responsáveis pela telemetria ou banco de controle.
26
A monitoração da tensão da bateria de pirotécnicos é realizada após o relé de
segurança por um circuito condicionador constituído por um foto-acoplador. Este circuito
gera um sinal digital indicando a presença de tensão, o que é verificado em vôo pela
telemetria.
Na monitoração da atuação de cada ordem, a indicação dos eventos gerados
pelo temporizador, a indicação da posição do relé RS, a indicação da tensão de alimentação e
a condição passiva são feitas com a geração de níveis digitais. Observar que as indicações da
condição passiva e da condição (armado e segurança) do relé RS são enviadas ao Banco de
Controle durante a fase de pré-lançamento. Já a verificação da atuação dos eventos gerados
pelo temporizador e da indicação da tensão de alimentação, após cada ordem, é feita via
telemetria durante o vôo.
f) Funcionamento
Os gráficos da figura 5 mostram o funcionamento do Circuito de Segurança e
Atuação em modo de teste. O programa de teste fica rodando indefinidamente e gera ordens
seqüenciais de um segundo com intervalos de dois segundos entre ordens.
A figura 5 mostra duas situações, onde o relé RS está na condição de:
segurança, e
armado.
Na condição de segurança, o disparador do circuito é o sinal de simulação RSS
advindo do banco de controle. Uma vez disparado, os sinais “monitoramento de eventos”,
“condição passiva” e “indicação de ordens” começam a ser gerados de acordo como o
programa em execução. Pelo fato de estarmos com o relé RS na condição de segurança, não
há geração de ordens na saída, apenas sua indicação.
Na condição armado (vôo), o disparador do circuito é a desconexão do jumper
do umbilical. Uma vez disparado, os mesmos sinais anteriormente descritos são gerados, com
exceção de se ter agora a geração de ordens.
Figura 5 – Funcionamento do Circuito de Segurança e Atuação.
27
28
2.6-Especificação
O circuito de segurança e atuação possui os seguintes requisitos elétricos:
•
Alimentação primária:
-28 ± 4 Vdc.
-consumo em stand-by < 100 mA.
-máx. 600 mA.
•
Alimentação pirotécnica (bateria piro):
-tensão 14,4V nominal, máxima 18V.
•
Capacidade das linhas de fogo:
-pulsos de 1s 10A máximo.
•
Monitorações via telemetria:
a) Tensão bateria piro:
-utilização de foto-acoplador, impedância entrada
-impedância de saída
5k .
1k .
-Saída analógica proporcional.
-Limite máximo: 18V bateria/ 5V telemetria.
b) Demais indicações digitais:
-Impedância de saída
1k .
-Níveis digitais:
Baixo: entre 0V e 0,4V.
Alto: entre 3,5V e 5V.
•
Monitoração via umbilical:
-Tensões (+) ou (-) 28V, nominal, fornecidas pelo Banco de Controle.
-Relés da Linha de fogo – RF-1,2,3 e 4 A e B
Comutado:0V na condição passiva.
Não comutado:28V na condição passiva.
•
Comando do banco de controle:
-Tensão de comando: 24 a 32Vdc, consumo < 300 mA.
-Comando do relé RS:Vôo: aplicar +28V / 100 mA.
Solo: aplicar -28V / 100 mA.
29
-Comando do circuito RSS: Vôo: aplicar +28V / 60 mA.
Solo: retirar +28V.
•
Referenciais elétricos:
-Zero elétrico de Alimentação:
Destinado às alimentações e uso geral
-Zero elétrico de comandos
Reservado para os comandos dos relés e monitorações de estados
correspondentes e condição passiva, realizados via umbilical pelo banco
de controle. Esse zero elétrico é de uso exclusivo para essas funções e
não deve ter nenhum vínculo com o zero elétrico de alimentação dentro
do circuito.
-Massa:
caixa do equipamento / estrutura metálica do veículo
30
3. ANÁLISE DA CONFIABILIDADE DO CIRCUITO DE SEGURANÇA
E ATUAÇÃO ATUALMENTE EM USO
3.1-Introdução
Para a análise de confiabilidade do circuito de segurança e atuação são
inicialmente abordados a especificação e os requisitos de confiabilidade do circuito. É
realizada uma análise crítica para determinar se o circuito atualmente em uso atinge as
expectativas de projeto. A seguir é abordada a metodologia utilizada para análise da
confiabilidade. São colhidos os dados de confiabilidade de acordo com a metodologia
utilizada e finalmente é feita a análise crítica da confiabilidade com os dados obtidos.
3.2-Conceituação da Confiabilidade
A confiabilidade é a “capacidade de um item realizar uma função requerida sob
condições especificadas, durante um dado intervalo de tempo, iniciando na condição de bom
funcionamento” [2].
Nesta definição, item “é qualquer parte, componente, dispositivo, subsistema,
unidade funcional, equipamento ou sistema que possa ser considerado individualmente” [2], e
função requerida pode ser uma função única ou a combinação de várias funções necessárias
para produzir um serviço específico.
Uma das principais aplicações da confiabilidade em engenharia é na prevenção
de falhas.
Nos sistemas eletrônicos, ao contrário dos dispositivos mecânicos, os
componentes não se desgastam ao longo do tempo, porém pode ocorrer uma falha tão logo o
circuito seja energizado. Os parâmetros dos componentes analógicos tendem a entrar em
deriva ao longo do tempo e os circuitos integrados podem apresentar eletromigração. Quando
considerados os efeitos ambientais como corrosão, vibração e temperatura, a variação dos
parâmetros torna-se de extrema preocupação. A degradação devido a transitórios, como
descargas eletrostáticas e descargas atmosféricas, pode também levar à falha.
Todo sistema ou produto, é composto de subsistemas ou componentes
organizados de forma a desempenhar sua função de projeto, com índices aceitáveis de
desempenho e confiabilidade [3]. Os componentes utilizados, suas qualidades, desempenhos e
aplicações têm efeito direto sobre o desempenho do sistema. Portanto, devem ser analisadas a
31
importância e a confiabilidade de cada componente, para que se possa avaliar a confiabilidade
global do produto ou sistema em questão.
3.3-Requisitos de Confiabilidade
O circuito de segurança e atuação não deve falhar em solo ou em vôo. Em solo,
é necessário que o circuito seja confiável para não acionamento, garantindo que não ocorra o
acionamento indesejado de algum evento. Em vôo, o circuito deve ser confiável para o
acionamento e não-acionamento, garantido que os eventos ocorram única e exclusivamente
quando comandados e no tempo programado.
Para que os requisitos de confiabilidade sejam atingidos, são tomadas algumas
medidas nos projetos do circuito e do foguete que serão discutidas a seguir.
O dimensionamento dos componentes teve que atender aos requisitos técnicos
do circuito, descritos anteriormente. Para tal, no sistema atual, são utilizados, quando
possível, componentes de alta confiabilidade (militares) e todo um método de montagem
necessário para este tipo de equipamento. Cruzando os dados das especificações dos
componentes e da necessidade do circuito, observou-se que todos os relés utilizados suportam
o nível de corrente máxima exigida na especificação. Essa informação, por si só, garante em
parte a confiabilidade do circuito.
Para aumentar a confiabilidade no acionamento, foi adotado o princípio da
pane única, explicado anteriormente, que utiliza o recurso da redundância ativa, obtida com
blocos em paralelo, resultando que no foguete existem dois circuitos de segurança e atuação
trabalhando simultaneamente.
Também na confiabilidade de não-acionamento, o principio da pane única
prevê redundância ativa dos relés, o que na prática se traduz na ligação em série dos relés na
linha de fogo.
Como existem duas situações diferentes para o circuito, as análises das
confiabilidades de acionamento e de não-acionamento foram realizadas para as duas situações.
3.4-Escolha das Ferramentas para Análise de Confiabilidade
São utilizados a Taxa de Falhas, a FMEA (Failure Mode and Effects Analysis
-Análise dos Modos de Pane (Falha) e seus Efeitos) e o RBD (Reliability Block Diagram Diagrama de Blocos da Confiabilidade).
32
A taxa (instantânea) de falhas descreve o comportamento da ocorrência de
falhas ao longo do tempo para intervalos de tempo tendentes a zero. Esta taxa pode ser
calculada através de experimentos ou por modelos preditivos. Neste trabalho é utilizado o
modelo preditivo da análise de esforços (Stress Analysis) da MIL-HDBK-217F – Previsão da
Confiabilidade para Equipamentos Eletrônicos [4].
A FMEA é um conjunto de documentos nos quais se busca registrar todas as
panes possíveis de virem a ocorrer, sendo por isso chamadas de panes potenciais, e os efeitos
que cada uma delas provocaria no sistema.
O RBD é uma forma de representar um sistema, representando os itens que o
compõem na forma de blocos, onde cada bloco representa a função confiabilidade do item.
Foi utilizado o software Relex® versão 7.6 da Relex Software Corporation©.
Este software é um conjunto completo de ferramentas de análise da confiabilidade que realiza
predições e análises da confiabilidade de equipamentos elétricos, eletrônicos, mecânicos e
eletromecânicos. O software permite o desenvolvimento de FMEAs de projeto e de processo,
diagramas de blocos da confiabilidade, cálculo da taxa de falhas, análise de árvores de falha,
análise de árvores de eventos, predição de mantenabilidade e análise dos custos do ciclo de
vida, tudo integrado em um único ambiente de trabalho.
3.5-Identificação dos Componentes-Chave
A partir do diagrama funcional do circuito de segurança e atuação mostrado na
figura 4, o circuito foi desmembrado em seus componentes essenciais, as placas de:
circuitos (Relé RS, Jump, Circuito de Simulação em Solo (RSS) e
Temporizador), e
relés.
A tela do software apresenta-se na forma ilustrada pela figura 6.
Optou-se por realizar a análise das confiabilidades dos circuitos a serem
comparados, usando os itens essenciais e diferentes que os constituem. Os outros
componentes, resistores, fios, conectores, etc, são muito simples, amplamente conhecidos e
estão presentes em todas as configurações a serem estudadas e apresentam taxas de falha
muito menores que as dos componentes-chave, podendo por isto, serem eliminados das
análises. Neste caso, em cada placa existem conjuntos e componentes críticos que foram
identificados como os componentes-chave aos quais se aplicam as análises.
33
Na placa de circuito, tem-se como componentes-chave o RELÉ RS e o JUMP
de disparo do circuito.
Figura 6 – Árvore do Sistema.
Dentro deste subsistema, foram identificados dois outros subsistemas, definidos como RSS e
Temporizador. No subsistema RSS tem-se a componente-chave FOTOACOPLADOR e no
subsistema
Temporizador
tem-se
os
componentes-chave
EPROM,
OSCILADOR,
CONTADOR 4060 e CONTADOR 4040.
Na placa de relés, tem-se como componentes-chave os RELÉS RF.
3.6-Cálculo das Taxas de Falha dos Componentes-Chave
As taxas de falhas dos componentes chaves foram calculados utilizando os
modelos preditivos da confiabilidade contidos na MIL-HDBK217-F.
Esta norma é uma das mais usadas em todo o mundo, embora seu
conservadorismo leve à previsão de taxas de falha muito acima das verificadas em campo. Isto
não impede que em casos de comparação, a norma seja amplamente utilizada.
34
O método da Análise de Esforços prevê, para os componentes, as expressões a
seguir:
a) Relés RS e RFA e B
As taxas de falhas previstas são calculadas pela expressão:
6
p
onde a taxa de falha básica é
b
L
C
cyc
F
Q
E
Falhas 10 horas
, e os fatores de correção associados são:
b
L
- carga de estresse (intensidade de energização),
C
- formato do contato de fechamento,
cyc
(2)
- ciclagem de funcionamento,
F
- aplicação e tecnologia de construção,
Q
- qualidade, e
E
- ambiente.
b) JUMP
Por similaridade, foi adotado para o JUMP a taxa de falhas prevista e calculada
na norma para conectores em geral, que segue a expressão:
p
b
onde a taxa de falha básica é
T
K
Q
E
Falhas 106 horas
(3)
, e os fatores de correção não presentes na expressão
b
relativa ao componente anterior, são:
T
- temperatura, e
K
- conexão e desconexão.
c) Fotoacoplador
A taxa de falhas prevista é calculada pela expressão:
p
onde a taxa de falha básica é
b
b
T
Q
E
Falhas 106 horas
(4)
e os fatores de correção correspondentes são os
anteriormente citados.
d) Contadores 4040 e 4060
As taxas de falhas previstas são calculadas pela expressão:
p
C1
T
C2
E
Q
L
Falhas 106 horas
(5)
35
onde C 1 e
C 2 são as taxas de falha associadas à complexidade e ao encapsulamento,
respectivamente, e o fator de correção não presente nas expressões relativas aos componentes
anteriores, é:
L
- relacionado ao conhecimento que se acumulou relativo ao funcionamento do
componente.
e) EPROM
A taxa de falhas prevista é calculada pela expressão:
p
C1
T
C2
E
cyc
Q
L
Falhas 106 horas
(6)
que difere da expressão (5) apenas por:
cyc
- taxa de falha cíclica de leituras e escritas.
f) Oscilador
Por similaridade, foi adotado para o oscilador a taxa de falhas prevista e
calculada na norma para os cristais de quartzo, que segue a expressão:
p
onde a taxa de falha básica é
b
b
Q
E
Falhas 106 horas
(7)
e os fatores de correções associados são os anteriormente
citados.
Para os cálculos, foram realizadas as escolhas apresentadas na figura 7 e
descritas a seguir.
Para todos os componentes, o ambiente de operação escolhido foi o de vôo
espacial/comercial, e a temperatura ambiente considerada foi de 70ºC, que pode representar
um foguete pronto para lançamento, tendo permanecido por algumas horas sob o sol, no
verão, próximo ao equador.
a) Relés RS e RFA e B
A taxa de falha básica,
b
, é obtida através da temperatura ambiente e da
máxima temperatura de j do dispositivo (125ºC).
Os fatores de correção associados são obtidos considerando:
L
componente (10A).
uma carga resistiva solicitando a máxima corrente suportada pelo
Figura 7 – Fatores de correção (
i
).
36
37
C
o formato do contato de fechamento do tipo DPDT (Double Pole,Double
Throw).
cyc
F
a ciclagem de funcionamento menor que um.
a corrente de operação de 10A, a aplicação em medium power e a
tecnologia de construção como mechanical latching e armature long and short para os relés
RS e RF respectivamente.
Q
de qualidade MIL-SPEC.
E
o ambiente de vôo espacial.
b) JUMP
A taxa de falha básica,
, é obtida considerando o conector militar e
b
retangular.
Os fatores de correção associados são obtidos considerando:
T
a temperatura de operação (70°C).
K
o ciclo de conexão e desconexão inferior a 0,05 em mil horas.
Q
de qualidade MIL-SPEC.
E
o ambiente de vôo espacial.
c) Fotoacoplador
A taxa de falha básica,
opto-isolador com saída transistorizada.
b
, é obtida considerando o componente um único
Os fatores de correção associados são obtidos considerando:
T
a temperatura da junção (70°C), que é praticamente igual à ambiente.
Q
de qualidade JANTXV.
E
o ambiente de vôo espacial.
d) Contadores 4040 e 4060
A taxa de falha C 1 é obtida considerando o CI CMOS e com número de
portas inferior a cem, e a C 2 , considerando o número de pinos do CI (16) e o tipo de
encapsulamento DIP não-hermético.
Os fatores de correção associados são obtidos considerando:
L
o tempo de produção, que é maior que dois anos.
38
T
a temperatura da junção (84,5°C), que é calculada da temperatura de
operação (70°C), da potência dissipada (700mW) e da tecnologia utilizada (CMOS).
Q
de qualidade comercial.
E
o ambiente de vôo espacial.
e) EPROM
A taxa de falha C 1 é obtida considerando o CI CMOS e com o tamanho da
memória (16k), e a C 2 ,considerando o número de pinos do CI (24) e o tipo de
encapsulamento DIP não-hermético.
Os fatores de correção associados são obtidos considerando:
cyc
o tipo de memória (EPROM) e a tecnologia empregada (CMOS),
resultando como valor final igual a zero.
L
o tempo de produção, que é maior que dois anos.
T
a temperatura da junção (78°C), que é calculada da temperatura de
operação (70°C), da potência dissipada (525mW) e da tecnologia utilizada (CMOS).
Q
de qualidade comercial.
E
o ambiente de vôo espacial.
f) Oscilador
A taxa de falha básica,
b
, é obtida através da freqüência de oscilação, sendo
de aproximadamente 32kHz.
Os fatores de correção associados são obtidos considerando:
Q
de qualidade MIL-SPEC.
E
o ambiente de vôo espacial.
As taxas de falhas calculadas com o auxílio do software Relex® são mostradas
na figura 8.
Observe que as taxas de falha global, como as das placas (circuito e relés) e do
circuito, são obtidas pelo somatório das taxas de falha individual de cada componente que as
compõem, o que não representa a realidade do projeto, uma vez que o software admite a
situação de pior caso, supondo que tudo esta ligado em série. No entanto, para os fins
39
comparativos do trabalho, a ferramenta é válida para a verificação do impacto que cada
componente aplica ao sistema. Por isso, as outras ferramentas, são importantes como
complemento da informação.
Figura 8 – Taxas de Falhas em 106 horas.
3.7-Determinação dos Números de Prioridade de Risco
O Número de Prioridade de Risco, RPN (Risk Priority Number), obtido das
FMEAs é usado na avaliação do risco de cada uma das panes potenciais.
Tem como expressão [5]:
RPN
S O D
(8)
onde
S, O e D são valores associados, respectivamente, à severidade (gravidade ou
criticidade), à probabilidade de ocorrência e à facilidade de detecção de cada modo de falha.
Para os cálculos, foram utilizadas as ponderações mostradas na figura 9,
constantes do software Relex® utilizado, com a modificação do fator associado à
40
probabilidade de ocorrência, O, no caso Extremamente Remoto de zero para um, visando
evitar a ocorrência de riscos iguais a zero.
Figura 9 – Ponderações utilizadas na construção das FMEA.
3.8-Construção das FMEAs
Utilizando o diagrama funcional do circuito de segurança e atuação mostrado
na figura 4 e as ponderações definidas na figura 9, foram construídas as FMEAs para a
avaliação dos riscos das panes potenciais, através do número de prioridade de risco RPN.
As FMEAs do texto são “ilustrativas”, uma vez que foram elaboradas
individualmente, o que contraria a idéia principal desta ferramenta, que é promover a
discussão entre diversos especialistas para a validação dos resultados.
As FMEAs potenciais dos componentes-chave aparecem mostradas nas figuras
10 a 16.
Figura 10 – FMEA do RELÉ RS.
41
Figura 11 – FMEA do JUMP de disparo do circuito.
Figura 12 – FMEA do FOTOACOPLADOR.
Figura 13 – FMEA da EPROM.
Figura 14 – FMEA do OSCILADOR.
Figura 15 – FMEA do CONTADOR 4040 e 4060.
42
Figura 16 – FMEA dos RELÉS RF 1, 2, 3 e 4 A e B.
3.9-Construção dos Diagramas de Blocos de Confiabilidade (RDB)
O RDB do circuito permite determinar a relação entre a confiabilidade dos
itens e/ou conjuntos-chave e a confiabilidade do sistema. Foram levantados os RDBs para as
situações de acionamento e de não-acionamento. Para cada uma destas situações foi
considerada apenas uma ordem do temporizador pois a falha de qualquer ordem compromete
a missão do foguete, ao não acionar o pirotécnico ou provocar seu acionamento intempestivo
(figura 4, ordens 1 a 4).
Por destinar-se à comparação entre alternativas, a determinação do valor
preciso para a confiabilidade do sistema é menos importante do que a comparação entre as
confiabilidades das alternativas, desde que obtidas pela mesma ferramenta. Optou-se, por esta
razão, por usar a confiabilidade de cada bloco estimada utilizando os modelos de previsão da
confiabilidade da norma MIL-HDBK-217F.
A MIL-HDBK-217F fornece as taxas de falhas previstas e o software permite
calcular o valor da confiabilidade em função do tempo. Como o tempo de funcionamento do
circuito é relativamente curto (na faixa de minutos e horas), pode-se considerar que a taxa de
falhas é constante ao longo do tempo. Neste caso, o valor da confiabilidade é calculado pela
seguinte expressão:
R t
e
t
p t 0
onde
R(t) é a confiabilidade do equipamento,
é a taxa de falhas considerada constante, e
t é o tempo de operação do foguete durante a missão.
(9)
43
Os foguetes de sondagem são veículos que têm como missão levar uma carga
útil até uma altitude requerida, ou prover uma certa permanência acima de determinada
altitude. Tipicamente, nos foguetes de nosso interesse, os vôos têm duração média de 500s
(podendo chegar a 850s) e atingem até 700km de altitude [6].
Os foguetes lançadores de satélites têm como missão injetar um ou mais
satélites em órbitas. Tipicamente, nos foguetes de nosso interesse, os vôos têm duração de
540s e podem atingir órbitas baixas, na faixa de 200 a 10.000km de altitude [6].
Para o cálculo da confiabilidade, fez-se uso novamente do software Relex®,
considerando dois intervalos de tempo de interesse. Para o acionamento, o intervalo de tempo
considerado foi de 10 minutos (600 segundos), o que representa o tempo de vôo para os
foguetes de interesse (500s e 540s). Para o não-acionamento, o intervalo de tempo
considerado foi de 72 horas (259.200 segundos), o que representa o foguete montado
aguardando condições de lançamento.
Os resultados obtidos para o acionamento são apresentados nas figuras 17 e 18,
enquanto para o não-acionamento nas figuras 19 e 20.
Observar que os dados de não-confiabilidade permitem uma análise do
crescimento com o tempo, ao passo que os valores de confiabilidades foram aproximados para
a unidade, automaticamente pelo software.
Figura 17 – RDB de acionamento do circuito atual para um evento.
44
Figura 18 – Resultado do RBD de acionamento para um evento.
Figura 19 – RDB de não-acionamento do circuito atual para um evento.
Figura 20 – Resultado do RBD de não-acionamento para um evento.
45
3.9-Interpretação dos Resultados
As taxas calculadas e apresentadas na figura 8 mostram as taxas de falhas
previstas para 106 horas de funcionamento. Quanto maior a taxa, maior a probabilidade de
falha dos componentes-chave e portanto pode-se estabelecer prioridades de impacto das falhas
dos componentes-chave na confiabilidade do sistema.
Das taxas calculadas, é possível identificar e ordenar os itens de maior impacto
obtendo-se o resultado apresentado na figura 21.
Os RPNs obtidos das FMEAs apresentadas nas figuras 10 a 16, também
permitem estabelecer prioridades de impacto das falhas dos componentes-chave na
confiabilidade do sistema.
Analisando o conjunto de FMEAs, de forma análoga às taxas de falhas, é
possível identificar e ordenar os itens de maior impacto obtendo-se o resultado apresentado na
figura 22.
A figura 22 deve ser comparada com a figura 21 para observação das alterações
de prioridades com os dois critérios utilizados.
Os RBDs usados na análise consideram os componentes-chaves do circuito de
segurança e atuação no acionamento e não-acionamento de apenas um evento. Na montagem
dos RBDs, o conjunto RSS (cujo item chave é o FOTOACOPLADOR) acabou sendo
excluído, uma vez que sua importância no funcionamento geral do circuito é pequena como
pode ser concluído das ordenações de prioridades mostradas nas figuras 21 e 22 e da FMEA
do FOTOACOPLADOR mostrada na figura 12.
Contrariamente ao esperado, na condição de não-acionamento o RBD
evidênciou uma inversão de redundâncias. Pelos dados obtidos, o mais lógico seria a
redundância no temporizador e não nos relés, uma vez que a confiabilidade do temporizador é
menor que a dos relés.
46
Figura 21 – Ordenação de prioridades dos componentes-chave pela taxa de falhas.
Figura 22 – Ordenação de prioridades dos componentes-chave pelo RPN.
3.10-Análise Detalhada dos Componentes-chave
Propõe-se que se modifique o mínimo possível e gradativamente o sistema,
para que os efeitos das modificações sejam sentidos na confiabilidade do sistema.
A análise detalhada da confiabilidade do sistema é realizada seguindo as
ordenações de prioridades apresentadas nas figuras 21 e 22, partindo dos itens de maior
prioridade para os de menor prioridade.
Os Relés RS, RF1,2,3,4A e B, são identificados como de prioridade média na
ordenação pela taxa de falhas, e de prioridade alta na ordenação pelo RPN, cujas FMEAs
potenciais são apresentadas nas figuras 10 e 16 e suas respectivas taxas de falhas na figura 8.
Observe que, por se tratarem de componentes de mesma natureza, os modos de falha
observados e suas taxas são idênticos.
Analisando os RPNs, verifica-se que os dois maiores valores obtidos são
relativos aos modos de falha “Não Acionamento por Vibração” e “Não Acionamento por
Aceleração”.
47
O modo de acionamento por vibração pode ocorrer devido à vibração a que o
foguete é submetido durante todo o vôo.
O modo de acionamento por aceleração está relacionado ao empuxo fornecido
pelos motores durante a aceleração do foguete.
Os resultados mostram que os relés RF e RS não apresentam tolerância boa aos
fenômenos mecânicos de aceleração e vibração. Neste sentido, a melhora implica em diminuir
os RPN destes modos de falha, de forma a se aumentar à confiabilidade global do sistema.
Analisando as taxas de falhas obtidas, observa-se que os relés possuem taxas
inferiores a outros componentes. No entanto, visto que as FMEAs evidenciaram um problema,
é justo tentar-se melhorar suas taxas de falhas. Assim, para que estas sejam diminuídas são
necessárias mudanças construtivas ou tecnológicas. Logo, para que seja possível sua
diminuição é necessária a substituição dos componentes por outros com menores taxas.
Os CONTADORES 4060 e 4040 são identificados de prioridade alta na
ordenação pela taxa de falhas, e de prioridade média alta na ordenação pelos RPN. Já a
EPROM, é identificada de prioridade média alta na ordenação pela taxa de falha, e de
prioridade média alta na ordenação pelo RPN.
A análise das FMEAs das figuras 13 e 15 e das taxas de falhas da figura 8,
mostram equivalência de resultados, de vez que os itens são da mesma natureza, com exceção
da EPROM.
Analisando os RPNs obtidos, verifica-se que os três maiores valores obtidos
são relativos aos modos de falha “Falha por Radiação”, “Falha por Interferência
Eletromagnética” e “Falha por Temperatura”, modos comuns a qualquer circuito que utiliza
semicondutores. De forma análoga ao realizado anteriormente, a melhora deve diminuir o
RPN destes modos para se aumentar à confiabilidade global do sistema.
A análise das taxas de falhas, mostra que a EPROM é menos suscetível a falhas
que os CONTADORES, devido a sua natureza construtiva e tecnológica. De forma análoga,
para que as taxas sejam diminuídas é necessária a substituição dos componentes por outros
com taxas menores.
Com prioridade média baixa, aparece o JUMP de disparo do circuito, tanto na
ordenação pela taxa de falhas como pelo RPN, cuja FMEA está na figura 11, onde pode ser
verificado que o maior valor obtido é relativo ao modo de falha “Falha do Sinal de Comando
do Computador de Bordo”. Neste caso, a falha seria externa e não interna ao circuito, e a
solução seria atuar no computador de bordo aplicando as ferramentas de confiabilidade.
48
Na figura 8, para que a taxa de falha obtida para o JUMP seja diminuída,de
forma análoga, é necessária a substituição da forma de desconexão, ou acionamento, por outra
com taxas menores.
Com prioridade baixa, aparecem o FOTOACOPLADOR e o OSCILADOR. O
FOTOACOPLADOR é identificado de prioridade média baixa na ordenação pela taxa de
falhas, e de prioridade baixa na ordenação pelo RPN. O OSCILADOR é identificado de
prioridade baixa na ordenação pela taxa de falhas, e de prioridade média baixa na ordenação
pelo RPN.
As FMEAs são apresentadas nas figuras 12 e 14 onde se verifica que os
maiores valores de RPN obtidos no OSCILADOR são relativos ao modo de falha “Falha por
Radiação”, “Falha por Interferência Eletromagnética” e “Falha por Vibração”. Já no
FOTOACOPLADOR não há um modo de falha de maior importância. Nestes casos, os RPNs
foram tão baixos que, na prática, não compensaria o esforço de tentar melhorá-los.
Analogamente ao JUMP, na figura 8, para que as taxas de falhas obtidas para o
FOTOACOPLADOR e o OSCILADOR sejam diminuídas, é necessária a substituição dos
componentes por outros com taxas menores.
No geral, de todos os conjuntos de FMEAs, observa-se que os maiores RPNs
foram os relativos à vibração, à interferência eletromagnética, à radiação e à temperatura. Das
taxas de falhas observa-se algumas alterações de prioridades em comparação à ordenação pelo
RPN.
Como a norma MIL-HDBK-217F desconsidera nos cálculos das taxas de falha
vários fatores (como exemplo os fatores mecânicos, humanos, interferência eletromagnética e
descargas eletrostáticas), fato que se comprova com a realidade, onde os ensaios de vibração
costumam danificar o equipamento, decidiu-se utilizar a ordenação pelo RPN.
Seguindo a idéia inicial de modificar o mínimo possível, inicialmente serão
modificados apenas os relés RF e RS. Em seguida serão modificados os CONTADORES
4060 e 4040, seguidos pela EPROM. Os demais itens devem ser analisados, pois apresentam
baixos RPNs e talvez não compense o esforço de modificá-los.
No RBD de acionamento, verifica-se que os itens se relacionam de forma
serial, ou seja, se algum item falhar não ocorrerá o acionamento. Isto mostra que no circuito
não existem redundâncias paralelas, mas no foguete o circuito está duplicado, trabalhando em
redundância paralela ativa.
49
No RBD de não-acionamento, verifica-se a existência de redundâncias
paralelas, e houve a constatação de uma inversão de prioridades. O circuito, neste caso, acaba
tendo a forma mais complexa mostrada na figura 19.
As FMEAs consideradas em conjunto com as taxas de falhas permitem
identificar os itens que devem ser tratados inicialmente para melhorar a confiabilidade do
circuito e os RDBs explicitam a topologia de inter-relacionamento da confiabilidade dos itens.
Pode-se constatar que as FMEAs e as taxas de falhas são uma ferramenta eficaz de
identificação de itens fracos na cadeia de confiabilidade enquanto o RDB é uma ferramenta
eficaz de análise de topologias confiáveis.
50
4. PROPOSTAS PARA AUMENTO DA CONFIABILIDADE
4.1-Introdução
Os resultados obtidos na análise da confiabilidade do circuito de segurança e
atuação mostram o que deve ser mudado e qual a melhor seqüência de alteração,
recomendadas pelas ordenações de prioridades, para o aumento da confiabilidade.
Da análise, pode-se concluir que há várias possibilidades para o aumento da
confiabilidade global do circuito, de forma a se atender à especificação inicial de que o
circuito de segurança e atuação não deve falhar em solo ou em vôo, respeitando as ordenações
de prioridades.
A situação limite de modificar simultaneamente todos os itens possíveis
equivaleria a projetar um novo circuito, o que é válido na tentativa de se obter um circuito
mais confiável. Por razões de tempo de implementação e custo, deve-se escolher as
modificações que resultarão em maior impacto no ganho de confiabilidade global do sistema.
Os dados obtidos com a análise podem ser resumidos a seguir:
os relés RS e RF apresentam sensibilidade elevada a fenômenos mecânicos
como vibração e aceleração;
os semicondutores apresentam uma sensibilidade elevada à interferência
eletromagnética, à radiação e à temperatura; e
o circuito possui redundância nula para acionamento e redundâncias
paralelas ativas para não-acionamento.
Partindo da proposta inicial de se alterar o mínimo possível do sistema e
respeitando a ordenação de prioridades dos componentes pelo RPN, como indicado na figura
22, serão inicialmente considerados os Relés RF e RS, sendo proposto um circuito alternativo
àquele formado pelos relés.
Em seguida, serão considerados os semicondutores (EPROM e Contadores), o
que levará a um segundo circuito alternativo que englobará a mudança dos relés juntamente
com a mudança dos semicondutores.
Propõe-se usar a ordenação pelo RPN ao invés da ordenação pela taxa de falhas
pelo fato da primeira considerar não somente a taxa de falha do componente, mas todo o
ambiente como o perfil de operação ao longo da missão.
51
4.2-Alternativas de Substituição dos Relés RF e RS
Os problemas de vibração e aceleração são intrínsecos ao sistema, sendo sua
eliminação praticamente impossível. Para minimizar suas conseqüências no circuito, deve-se
atuar na tecnologia dos Relés, ou na topologia de interligação ou em ambas. A topologia
apresenta redundância paralela ativa, através da existência de dois circuitos idênticos
trabalhando conjuntamente, que será considerado satisfatório dada a curta duração da missão.
Decidiu-se, então, examinar o ganho de confiabilidade atuando-se apenas na tecnologia dos
relés.
Atualmente, estes relés possuem qualificação militar e supostamente deveriam
suportar os níveis de vibração e aceleração. No entanto, a prática mostra o contrário, o que
levou à opção de substituir os relés RF e RS por dispositivos de estado sólido.
Três possibilidades foram levantadas para a substituição: relés de estado sólido,
IGBT (Insulated Gate Bipolar Transistor) e MOSFET (Metal Oxide Field Effect Transistor).
4.2.1-Relés de Estado Sólido
Os relés de estado sólido [7] são dispositivos que não possuem contados
móveis e realizam a função de chaveamento através de dispositivos semicondutores. Estes
dispositivos semicondutores, internos ao relé, podem ser tiristores, triacs, diodos ou
transistores, que são acionados internamente por um fotoacoplador cuja principal função é
promover o isolamento entre a entrada e a saída. A principal vantagem em se utilizar tal
dispositivo, é a isolação da entrada com a saída do dispositivo. As principais desvantagens é
que são dispositivos caros, volumosos, pesados para correntes e tensões elevadas na saída e
normalmente projetados para trabalhar com correntes alternadas. Também, apresentam o
perigo de acionamento acidental devido ao efeito latching.
A figura 23 ilustra uma possível configuração interna do relé de estado sólido.
4.2.2-MOSFETs
Os MOSFETs [8] são dispositivos semicondutores utilizados para amplificação
e chaveamento. Estes dispositivos possuem um terminal porta que é isolado do semicondutor
por uma camada de SiO2.
Nos dispositivos de canal N, a junção PN- define um diodo entre fonte e dreno
o qual conduz quando Vds<0. A operação como transistor ocorre quando Vds>0. A figura 24
mostra a estrutura básica do MOSFET de canal N.
52
Quando uma tensão Vgs>0 é aplicada, o potencial positivo na porta repele as
lacunas na região P, deixando uma carga negativa, mas sem portadores livres. Quando esta
tensão atinge um certo limiar (Vth), elétrons livres (gerados principalmente por efeito térmico)
presentes na região P são atraídos e formam um canal N dentro da região P, pelo qual torna-se
possível a passagem de corrente entre dreno e fonte. Elevando Vgs, mais portadores são
atraídos, ampliando o canal, reduzindo sua resistência (Rds), permitindo o aumento de Id. Este
comportamento caracteriza a chamada "região resistiva".
A passagem de Id pelo canal produz uma queda de tensão que leva ao seu
afunilamento, ou seja, o canal é mais largo na fronteira com a região N+ do que quando se liga
à região N-. Um aumento de Id leva a uma maior queda de tensão no canal e a um maior
afunilamento, o que conduziria ao seu colapso e à extinção da corrente. Obviamente o
fenômeno tende a um ponto de equilíbrio, no qual a corrente Id se mantém constante para
qualquer Vds, caracterizando a região ativa do MOSFET.
Figura 23 – Relé de Estado Sólido.
53
Figura 24 – Estrutura Básica do MOSFET.
As principais vantagens em se utilizar tais dispositivos, são a alta isolação no
comando da porta, a alta capacidade de corrente entre os terminais de dreno e fonte, a
facilidade de acionamento, o tamanho e o preço reduzidos comparados aos dos relés de estado
sólido de capacidade semelhante. As principais desvantagens são que a isolação entre o
acionamento e a saída não é perfeita, pois o terminal de fonte acaba sendo um ponto comum
entre a entrada e saída, e as perdas em condução entre o dreno e a fonte são significativas.
4.2.3-IGBTs
Os IGBTs [8] aliam a facilidade de acionamento dos MOSFETs com as
pequenas perdas em condução dos transistores bipolares. Sua velocidade de chaveamento, em
princípio semelhante à dos transistores bipolares, tem crescido nos últimos anos, permitindo
operação em dezenas de kHz, nos componentes para correntes na faixa de algumas dezenas de
ampéres.
A estrutura do IGBT é similar à do MOSFET, mas com a inclusão de uma
camada P+ que forma o coletor do IGBT, como se vê na figura 25. Os IGBTs são comumente
utilizados em chaveamento de circuitos de potência e possuem um terminal de porta isolado
semelhante ao dos MOSFETs. A junção emissor-coletor conduz quando uma tensão Vge é
aplicada na porta.
54
Figura 25 – Estrutura Básica do IGBT.
As principais vantagens em se utilizar tais dispositivos, são a existência de
isolação no comando da porta, a alta capacidade de corrente entre os terminais de emissorcoletor, a facilidade de acionamento, o tamanho e o preço reduzidos comparados aos relés de
estado sólido de capacidade semelhante. As principais desvantagens são que a isolação entre o
acionamento e a saída não é perfeita, pois o terminal de emissor acaba sendo um ponto
comum entre a entrada e saída, e que a velocidade de chaveamento é bem menor que a dos
MOSFETs.
4.2.4-Escolha entre as alternativas
Um primeiro critério de escolha é os limites de tensão e de corrente. Todas as
possibilidades atendem aos requisitos do circuito, no entanto os MOSFET possuem uma faixa
mais reduzida de valores em relação aos IGBT. Os MOSFET ficam tipicamente entre
100V/200A e 1000V/20A. Já os IGBT atingem potências mais elevadas, indo até
1200V/500A. Tais limites, especialmente para os IGBT têm-se ampliado rapidamente em
função do intenso trabalho de desenvolvimento que tem sido realizado.
Os relés de estado sólido atingem tanto os limites dos MOSFET como dos
IGBT dependendo da tecnologia utilizada na sua construção. No entanto, relés de estado
sólido de capacidade semelhante aos MOSFET e IGBT são volumosos e inadequados para o
uso em circuito eletrônicos embarcados nos foguetes de interesse para este trabalho.
55
Outros importantes critérios para seleção referem-se ao acionamento, às perdas
de potência no componente e à freqüência de chaveamento.
Todos os três dispositivos são de fácil acionamento, bastando uma tensão na
faixa da 10VDC nos terminais correspondentes e uma corrente da ordem de micro-ampéres
(praticamente desprezível). No entanto, apenas os relés de estado sólido apresentam o efeito
latching, o que poderia levar a um acionamento acidental devido a sinais espúrios. Também, a
questão de sinais espúrios é pouco provável nos MOSFETs e IGBTs, uma vez que para
acioná-los é necessário uma tensão na ordem de 10V na porta, o que seria improvável.
As perdas em condução dos IGBTs e dos relés de estado sólido são
sensivelmente menores que as dos MOSFETs. Aplicações em alta freqüência (acima de
50kHz) devem utilizar MOSFETs. Em freqüências mais baixas, quaisquer dos três
componentes respondem satisfatoriamente.
Os relés de estado sólido apresentam tamanho, peso e custos elevados, que
foram decisivos na eliminação desta alternativa. Os MOSFETs apresentam perdas de potência
maiores do que as dos IGBTs e sua elevada velocidade de chaveamento não apresenta
utilidade pois o circuito chaveia uma única vez.
Resultou, portanto, a análise da substituição dos relés RF e RS por IGBTs.
4.3-Alternativa de Substituição do Temporizador
Na proposta anterior, a mudança deu-se em função da redução da
suscetibilidade do circuito aos fenômenos mecânicos, sendo proposta a substituição dos relés
mecânicos por IGBTs. Nesta segunda abordagem, seguindo a ordenação de prioridades pelo
RPN, atuaremos nos dispositivos semicondutores, mais especificamente no circuito
temporizador, composto pelos itens chaves memória EPROM, contador 4060, contador 4040
e oscilador. Neste caso, não há uma tecnologia que substitua o conjunto. Assim, resta como
alternativa a questão topológica para melhoria da confiabilidade.
Na topologia atual, o circuito temporizador é composto pelos quatro itens
acima descritos ligados de forma serial no diagrama de blocos da confiabilidade, tanto no
acionamento como no não-acionamento, como mostrado na figura 26.
Existem duas possibilidades para a melhoria da confiabilidade do circuito
temporizador, atuando na topologia: uma seria a tentativa de inserir itens paralelos que se
traduzam em redundâncias, ativas ou não, de forma a se aumentar à confiabilidade do circuito.
56
Outra seria simplificar o circuito de forma a se diminuir o número de itens ligados em série,
traduzindo uma simplificação do circuito atual.
Figura 26 – RDB de acionamento e não-acionamento do circuito temporizador
Criar uma topologia redundante parece uma solução apropriada, no entanto
como o circuito é um temporizador, para que os itens em redundância funcionem a contento, é
necessário que haja sincronia. Manter essa sincronia de forma confiável não é uma tarefa
simples e conseqüentemente essa idéia fica como uma proposta futura de melhoria.
A segunda idéia mostra-se mais adequada. Primeiro pela facilidade de
implementação e segundo pela necessidade de se poder programar o circuito sem que haja
necessidade de desmontá-lo. Atualmente, a programação do temporizador é feita através de
um gravador de EPROM que impõe a desmontagem do circuito e a remoção da mesma.
Assim, a idéia é procurar por algum chip semicondutor que substitua todos ou
parte dos itens do temporizador e que permita a programação pela disponibilização de uma
interface de fácil acesso.
Procurou-se inicialmente um chip temporizador dedicado que fosse
programável. Várias possibilidades foram levantadas, no entanto nenhuma delas atendeu as
necessidades do circuito. A grande maioria destes chips dedicados consistem em contadores
que uma vez programados, realizam uma contagem regressiva, sendo que no final gera-se um
pulso de sinalização indicando o final da contagem. Para o circuito em questão, essa solução
não é viável pelos seguintes motivos:
necessidade de quatro contadores em um único chip (o maior encontrado possuía no
máximo três);
necessidade de sinalização de quatro contagens;
57
necessidade de programação. Na maioria isto era possível com o ajuste de um
registrador interno. No entanto, o acesso a esse registrador era facilitado para
interfaceamento com microcontroladores. Não havia uma solução programável que
independesse deles.
Devido à dificuldade e à falta de opções que satisfizessem a necessidade,
optou-se pela utilização de um microcontrolador. Pode parecer um exagero, visto que o
mesmo será utilizado como um simples contador, mas justifica-se pela simplificação
topológica, pela facilidade de programação e pelas possibilidades futuras.
Atualmente existem microcontroladores que são soluções completas, possuindo
memória flash, conversores AD´s, PWM´s, oscilador interno e diversas outras funções. A
quantidade e a diversidade são tão grandes que existem microcontroladores dedicados, como
os DSP´s, otimizados para processamento de sinais. A questão custo, que alguns anos atrás era
um fator limitante já não o é mais, pois atualmente existem soluções de baixíssimo custo na
faixa de U$ 1,00 até os mais sofisticados acima de U$ 100,00.
Portanto, resulta viável a substituição de todos ou de parte do conjunto de
componentes discretos por um único microcontrolador.
58
5. ANÁLISE DA CONFIABILIDADE DO CIRCUITO ALTERNATIVO
USANDO IGBTs
5.1-Introdução
Utilizando a metodologia proposta no capítulo 3, é realizada a análise da
confiabilidade do circuito alternativo usando IGBTs.
É feita uma análise crítica do circuito, mantida a topologia, com a substituição
dos relés por IGBTs. Com isto, pode-se verificar se o circuito proposto atingiu as expectativas
de projeto.
A seguir, são obtidos os dados de confiabilidade de acordo com a metodologia
utilizada para, finalmente, ser feita a análise crítica.
5.2-Requisitos de Confiabilidade
Analogamente ao que foi considerado na análise do circuito com relés, o
circuito alternativo não deve falhar em solo ou em vôo. Em solo, é necessário que o circuito
seja confiável para não-acionamento, garantindo que não ocorra o acionamento indesejado de
algum evento. Em vôo, o circuito deve ser confiável para o acionamento e não-acionamento,
garantido que os eventos ocorram única e exclusivamente no tempo programado.
Para que os requisitos de confiabilidade sejam atingidos, são tomadas algumas
medidas no projeto proposto que serão discutidas a seguir.
As capacidades máximas dos componentes a serem substituídos foram
superdimensionadas. Esta técnica, conhecida como solicitação reduzida (derating), consiste
em aumentar a confiabilidade do componente fazendo-o trabalhar abaixo de sua capacidade
nominal. Para tal, foram utilizados componentes comerciais com corrente máxima de 55A à
100ºC, muito acima dos 10A necessários. Cruzando os dados das especificações dos
componentes e da necessidade do circuito, observou-se que todos os IGBTs utilizados
suportam o nível de corrente máxima exigida na especificação com grande folga. Essa
informação, por si só, garante em parte a confiabilidade do circuito, pois a solicitação
reduzida (derating) permite que o componente trabalhe com uma folga razoável.
Para aumentar a confiabilidade no acionamento, foi mantido o princípio da
pane única, discutida anteriormente, que utiliza o recurso da redundância ativa obtida com
59
blocos em paralelo, resultando que no foguete continuarão existindo dois circuitos de
segurança e atuação trabalhando simultaneamente.
Também na confiabilidade de não-acionamento, o principio da pane única
prevê redundância ativa dos IGBTs, o que na prática se traduz na ligação em série dos IGBTs
na linha de fogo. Neste caso, foi mantido o projeto original utilizando dois IGBTs em série
controlados por apenas um temporizador.
Deve ser reiterado que o circuito proposto manteve a topologia do circuito
atualmente em uso, sendo apenas substituídos os relés RF e RS por IGBTs, chamados agora
IGBTs TF e TS.
5.3-Escolha das Ferramentas para Análise de Confiabilidade
Para avaliação da confiabilidade serão utilizados os mesmos métodos propostos
anteriormente: a Taxa de Falhas, a FMEA (Failure Mode and Effects Analysis -Análise dos
modos de pane e seus efeitos) e o RBD (Reliability Block Diagram - Diagrama de blocos da
confiabilidade).
Foi utilizado o software Relex® versão 7.6 da Relex Software Corporation ©.
5.4-Identificação dos Componentes-Chave
A partir do diagrama funcional do circuito de segurança e atuação proposto,
mostrado na figura 27, o circuito foi desmembrado em seus componentes essenciais, as placas
de:
circuitos (IGBT TS, Jump, Circuito de Simulação em Solo (RSS) e
Temporizador), e
IGBTs TF.
A árvore do sistema, tal como aparece na tela do software utilizado, esta
mostrada na figura 28.
Em cada placa existem conjuntos e componentes críticos que foram
identificados como componentes-chave para a aplicação das ferramentas de confiabilidade.
Na placa de circuito, tem-se como componentes-chave o IGBT TS e o JUMP de
disparo do circuito. Dentro deste subsistema, foram identificados dois outros subsistemas,
definidos como RSS e Temporizador. No subsistema RSS tem-se o componente-chave
FOTOACOPLADOR e no subsistema Temporizador tem-se os componentes-chave EPROM,
OSCILADOR, CONTADOR 4060 e CONTADOR 4040.
60
Figura 27 – Diagrama funcional do circuito alternativo usando IGBTs.
61
Figura 28 – Árvore do sistema alternativo usando IGBTs.
Na placa de IGBTs, tem-se como componentes-chave os IGBT TF.
5.5-Cálculo das Taxas de Falha dos Componentes-Chave
As taxas de falhas dos componentes-chave foram calculadas utilizando os
modelos preditivos da confiabilidade contidos na MIL-HDBK217-F, método da análise de
esforços (Stress Analysis), que prevê para os componentes mantidos, as expressões (3) a (7)
anteriormente descritas, e para os novos componentes, a expressão a seguir.
A operação física do IGBT é muito mais parecida com o transistor bipolar do
que com o MOSFET de potência [9]. Logo, por similaridade, foi adotado para os IGBTs TS,
TFA e B a taxa de falhas prevista e calculada na norma para transistores bipolares de baixa
freqüência, que segue a expressão:
p
onde a taxa de falha básica é
A
T
b
, e os fatores de correção associados são:
T
- temperatura da junção,
A
- aplicação,
R
- potência dissipada,
S
- tensão aplicada,
R
S
Q
E
Falhas 106 horas
b
(10)
62
Q
- qualidade, e
E
- ambiente.
Para os cálculos, foram realizadas as escolhas apresentadas na figura 7,
descritas anteriormente, e 29, descritas a seguir.
Para os IGBTs, o ambiente de operação escolhido (vôo espacial/comercial), e a
temperatura ambiente considerada (70ºC) foram às mesmas utilizadas anteriormente.
A taxa de falha básica,
b
, é obtida considerando o transistor do tipo NPN.
Os fatores de correção associados são obtidos considerando:
T
a temperatura da junção (78,4°C), calculada da resistência térmica (0,64°
C/W) e da potência dissipada (13,2W).
A
a aplicação em chaveamento.
R
a máxima potência dissipada a 100ºC,
S
a relação da tensão aplicada (20V) sobre a máxima tensão admitida entre
coletor e emissor (250V).
Q
de qualidade comercial.
E
o ambiente de vôo espacial.
Figura 29 – Fatores de correção (
i
) dos IGBTs.
63
As taxas de falhas calculadas com o auxílio do software Relex® são mostradas
na figura 30.
Figura 30 – Taxas de Falhas em 106 horas.
5.6-Determinação dos Números de Prioridade de Risco
O RPN é obtido através do produto mostrado na equação (8) e para o cálculo
desse parâmetro, foram utilizadas as ponderações mostradas na figura 9.
5.7-Construção das FMEAs
Utilizando o diagrama funcional do circuito de segurança e atuação proposto
mostrado na figura 27 e as ponderações definidas na figura 9, foi construída a FMEA dos
novos dispositivos para a verificação e avaliação dos riscos das panes potenciais, através do
número de prioridade de risco RPN.
A FMEA potencial dos novos componentes-chave aparece mostrada na figura
31.
64
Figura 31 – FMEA do IGBT TS e TFs.
5.8-Construção dos Diagramas de Blocos de Confiabilidade (RDB)
Foram levantados os RDBs para as situações de acionamento e nãoacionamento e, para cada uma destas situações, foi considerada apenas uma ordem do
temporizador, pois a falha de qualquer ordem compromete a missão do foguete.
Por destinar-se à comparação entre alternativas, a confiabilidade de cada bloco
foi estimada utilizando os modelos de previsão da confiabilidade da norma MIL-HDBK-217F.
Como o tempo de funcionamento do circuito é relativamente curto (na faixa de
minutos e horas), pode-se considerar que a taxa de falhas é constante ao longo do tempo e o
valor da confiabilidade é calculado pela expressão (9).
Para o cálculo da confiabilidade, fez-se uso novamente do software Relex®,
considerando os dois intervalos de tempo de interesse (10 minutos no acionamento e 72 horas
no não-acionamento).
Os resultados obtidos para o acionamento são apresentados nas figuras 32 e 33,
enquanto para o não-acionamento nas figuras 34 e 35.
65
Figura 32 – RDB de acionamento do circuito alternativo com IGBTs para um evento.
Figura 33 – Resultado do RBD de acionamento do circuito alternativo com IGBTs para um
evento.
Figura 34 – RDB de não-acionamento do circuito alternativo com IGBTs para um evento.
66
Figura 35 – Resultado do RBD de não-acionamento do circuito alternativo com IGBTS para
um evento.
5.9-Interpretação dos Resultados
As taxas calculadas e apresentadas na figura 30 mostram as taxas de falhas
previstas em
106 horas de funcionamento. Quanto maior a taxa, maior a probabilidade de
falha dos componentes-chave e portanto pode-se estabelecer prioridades de impacto das falhas
dos componentes-chave na confiabilidade do sistema.
Das taxas calculadas, é possível identificar e ordenar os itens de maior impacto
obtendo-se o resultado apresentado na figura 36.
Figura 36 – Ordenação de prioridades dos componentes-chave do circuito alternativo com
IGBTs pela taxa de falhas.
67
Os RPNs obtidos das FMEAs apresentadas nas figuras 11 a 15 e da figura 31,
também permitem estabelecer prioridades de impacto das falhas dos componentes-chave na
confiabilidade do sistema.
Analisando o conjunto de FMEAs, de forma análoga às taxas de falhas, é
possível identificar e ordenar os itens de maior impacto obtendo-se o resultado apresentado na
figura 37.
Figura 37 – Ordenação de prioridades dos componentes-chave do circuito alternativo com
IGBTs pelo RPN.
A figura 37 deve ser comparada com a figura 36 para observação das alterações
de prioridades com os dois critérios utilizados.
Os RBDs usados na análise consideram os componentes-chave do circuito de
segurança e atuação no acionamento e não-acionamento de apenas um evento. Na montagem
dos RBDs, o conjunto RSS (cujo item chave é o FOTOACOPLADOR) acabou sendo
excluído, uma vez que sua importância no funcionamento geral do circuito é pequena como
pôde ser concluído das ordenações de prioridades anteriores mostradas nas figuras 21 e 22 e
da FMEA do FOTOACOPLADOR mostrada na figura 12.
5.10-Análise Detalhada dos Componentes-chave
A análise detalhada da confiabilidade do sistema é realizada seguindo a
ordenação de prioridades apresentada nas figuras 36 e 37, partindo dos itens de maior
prioridade para os de menor prioridade.
68
Com a substituição dos relés pelos IGBTs as ordenações de prioridades foram
alteradas, e os relés, que anteriormente foram identificados como de prioridade média na
ordenação pela taxa de falhas, e de prioridade alta na ordenação pelo RPN, substituídos pelos
IGBTs, provocaram a redução drástica da prioridade na ordenação pela taxa de falhas, e a
redução de um nível de prioridade na ordenação pelo RPN.
Na ordenação pelas taxas de falhas, os IGBTs agora possuem uma baixa
prioridade, evidenciando que a troca melhorou a confiabilidade do sistema. Os
CONTADORES 4060 e 4040 continuam identificados de prioridade alta e a EPROM de
prioridade média alta.
Na ordenação pelo RPN, os IGBTs apresentam prioridade média alta e os
CONTADORES 4060 e 4040 juntamente com a EPROM apresentam-se agora com prioridade
alta.
A análise da figura 30 mostra a diminuição das taxas de falhas nos
componentes que foram substituídos.
A análise da FMEA da figura 31 evidencia a diminuição dos RPNs relativos à
vibração, aceleração e choque. Para o novo componente, os maiores RPNs são relativos a
“Sinal de comando recebido involuntariamente” e “Sinal de comando não recebido”. Caso
procure-se melhorar ainda mais o sistema, seriam os modos de falha a serem estudados.
No RBD, como a topologia do circuito não foi modificada, a análise anterior
mantém-se válida, exceto pela alteração dos valores da confiabilidade dos IGBTs TF e TS em
substituição aos relés RF e RS que resultaram num aumento global da confiabilidade
conforme verificado com a diminuição da não-confiabilidade mostrada nas figuras 33 e 35.
Como resultado final, as modificações implementadas melhoraram a
confiabilidade do sistema, reduzindo a taxa de falha global do sistema em cerca de 49,62%.
69
6. ANÁLISE DA CONFIABILIDADE DO CIRCUITO ALTERNATIVO
USANDO IGBTs E MICROCONTROLADOR
6.1-Introdução
Utilizando a metodologia proposta no capítulo 3 e utilizada no capítulo 5, a
análise da confiabilidade do circuito alternativo usando IGBTs e microcontrolador é realizada.
É feita a análise de uma nova proposta de circuito, no qual ficam mantidas a
topologia e a substituição dos relés pelos IGBTs, e propõe-se a substituição do temporizador
pelo microcontrolador.
Os dados de confiabilidade são obtidos de acordo com a metodologia proposta
e já utilizada nos capítulos anteriores para, finalmente, ser feita a análise crítica da nova
configuração.
6.2-Requisitos de Confiabilidade
Analogamente ao que foi considerado na análise do circuito com os relés, o
circuito alternativo não deve falhar em solo ou em vôo. Em solo, é necessário que o circuito
seja confiável para não-acionamento, garantindo que não ocorra o acionamento indesejado de
algum evento. Em vôo, o circuito deve ser confiável para o acionamento e não-acionamento,
garantido que os eventos ocorram única e exclusivamente no tempo programado.
Para que os requisitos de confiabilidade sejam atingidos, são tomadas algumas
medidas no projeto proposto que serão discutidas a seguir.
A substituição dos relés pelos IGBTs foi mantida, visto que a confiabilidade
global do sistema foi aumentada. Assim, nesta nova proposta teremos os IGBTs juntamente
com um novo circuito temporizador, respeitando a idéia inicial de mudar gradativamente o
sistema.
Nesta modificação, optou-se por simplificar para que a confiabilidade seja
aumentada. Assim, o temporizador, atualmente composto por dois contadores e uma memória,
foi substituído por um microcontrolador.
Também, o microcontrolador escolhido foi “superestimado”. Neste caso, a
solicitação reduzida (derating) não foi sobre os requisitos elétricos, mas sim sobre a
freqüência de operação e as funções adicionais de forma que o circuito possa ser incrementado
com o mínimo de reprojeto.
70
Para aumentar a confiabilidade no acionamento, foi mantido o princípio da
pane única, discutida anteriormente, que utiliza o recurso da redundância ativa obtida com
blocos em paralelo, resultando que no foguete continuarão existindo dois circuitos de
segurança e atuação trabalhando simultaneamente.
Também na confiabilidade de não-acionamento, o principio da pane única
prevê redundância ativa dos IGBT, o que na prática se traduz na ligação em série dos IGBTs
na linha de fogo. Neste caso, foi mantido o projeto original utilizando dois IGBTs em série
controlados por apenas um único microcontrolador.
Deve ser reiterado que o circuito proposto manteve a topologia do circuito
atualmente em uso, sendo substituídos os relés pelos IGBTs e o circuito temporizador pelo
microcontrolador.
6.3-Critérios de Escolha do Microcontrolador
Como a função básica do microcontrolador será de temporizar o sistema, não
há necessidade que o mesmo seja complexo, mas sim robusto, para que satisfaça os requisitos
de confiabilidade.
6.3.1-Preferência pelo COTS
No mercado, há várias opções de microcontroladores de diversos fabricantes,
que podem ser categorizados em duas “famílias”:
os COTS (Commercial Off-The-Shelf) - componentes de linha, para aplicação em
geral, disponíveis no comércio, que são utilizados “como estão”, e os
militares – componentes voltados para aplicações críticas.
Desde o final da guerra fria, com a indústria militar representando menos de
1% de consumo dos componentes eletrônicos, os militares perceberam que não poderiam
manter uma infra-estrutura independente da comercial [10]. Logo, viram a necessidade de
utilizar COTS para suas aplicações, traduzindo-se atualmente em uma tendência para
aplicações críticas [10].
A escolha privilegiará componente COTS, exceto quando o mesmo não atingir
as expectativas de confiabilidade. Também, nas pesquisas realizadas, não foi constatada a
existência de microcontroladores militares, e sim microprocessadores, o que levaria à
necessidade de se utilizar outros componentes para que o sistema atinja os objetivos, como
por exemplo, de poder ser reprogramado em campo.
71
6.3.2-Proposta de utilização da solicitação reduzida (derating) em freqüência
A solicitação reduzida (derating) em freqüência, baseia-se na premissa de que
a diminuição da potência consumida aumenta a confiabilidade do componente [11]. Justificase a afirmação pelo fato da potência dissipada ser diretamente proporcional à diferença de
temperatura de trabalho, que é um fator que afeta diretamente o valor da confiabilidade do
componente através do fator de correção
T
.
Para os dispositivos CMOS, há dois componentes que determinam o consumo
de potência em um circuito [11], as potências:
estática, e
dinâmica.
Os fatores estáticos são relativos às correntes de fuga, diretamente relacionadas
com a tecnologia de fabricação.
Os fatores dinâmicos são relativos à freqüência de operação e às correntes de
curto-circuito, que ocorrem durante o chaveamento quando os transistores PMOS e NMOS
estão ativos simultaneamente.
Os três fatores, somados, resultam na potência total dissipada, apresentada na
expressão a seguir [12].
P total
pt C L V V dd f clk
I sc V dd I leakage V dd
(11)
onde: P total é a soma das potências dinâmica (1° e 2° parcelas) e estática (3° parcela),
C L é a capacitância de carga,
f clk é a freqüência do clock,
pt é a probabilidade que ocorra um transiente no consumo,
V é a tensão de oscilação,
V dd é a tensão de alimentação,
I sc é a corrente de curto-circuito, e
I leakage é a corrente de fuga.
Na aplicação em estudo, a 2° parcela da potência dinâmica e a potência estática
podem ser desprezadas face à 1° parcela da potência dinâmica [12]. Com isto, a potência total
dissipada torna-se diretamente proporcional à freqüência de operação, cuja expressão é
apresentada a seguir.
P total
p t C L V V dd f clk
(12)
72
Atualmente, com o avanço da tecnologia na fabricação de semicondutores cada
vez menores e cada vez mais rápidos, a 2° parcela da potência dinâmica e a potência estática
estão se tornando não desprezíveis face a 1° parcela da potência dinâmica. No entanto, não é o
caso da aplicação em estudo.
Na expressão (12), pode ser constatado que baixando a freqüência de operação,
a potência total dissipada diminui.
A diferença de temperatura é diretamente proporcional à potência total
dissipada [4][13]:
T
onde
P total
(13)
é a resistência térmica que depende do dispositivo (material, tecnologia de fabricação,
etc), e
T é a diferença entre a temperatura da junção do dispositivo e a temperatura
ambiente.
T T j Ta
(14)
Substituindo a potência total e a diferença de temperatura da expressão (13)
pelas expressões (12) e (14), considerando os demais termos constantes, temos a expressão a
seguir:
T j k f clk T a
onde k
pt C L V V dd
(15)
cte .
Portanto, a solicitação reduzida (derating) em freqüência pode ser traduzida
por uma solicitação reduzida (derating) em temperatura.
Outra justificativa para a proposta de tradução da solicitação reduzida
(derating) em freqüência para a solicitação reduzida (derating) em temperatura pode ser
verificada na forma a seguir. Com o aumento da freqüência de operação, o tempo médio que
os transistores ficam desligados torna-se menor, fazendo com que a potência média dissipada
aumente. A geração de calor é mais rápida que a sua exaustão, o que implica em aumento da
temperatura, conforme ilustrado na figura 38.
Na prática, a MIL-HDBK217-F não discrimina todos os parâmetros de um
microcontrolador. Portanto, a solicitação reduzida (derating) em freqüência não é considerada
no cálculo da taxa de falha.
Propõe-se que a norma seja “ajustada” para acomodar esta solicitação reduzida
(derating), tornando o resultado de sua previsão mais próximo da realidade.
73
Figura 38 – Temperatura média da junção em função da freqüência de operação.
6.3.3-Escolha do microcontrolador
Entre as muitas alternativas de microcontroladores, foram considerados para o
projeto os PICs, que são conhecidos pelo baixo custo, pela simplicidade e pela robustez, o que
vem a ser reforçado pela preocupação do fabricante com a confiabilidade do componente [14]
[15], o que fortalece a justificativa para a sua utilização.
Dentre as várias famílias e modelos, o microcontrolador escolhido foi o
PIC16F877 que resumidamente, possui as seguintes características:
memória de dados de 368x8bits,
freqüência de operação de 20MHz,
portas de comunicação paralela e serial,
dois PWMs,
oito A/Ds de 10bits,
programação via interface serial (ICSP),
um timer de 16 bits,
dois timers de 8 bits, e
memória flash de 8k.
Essas características, do ponto de vista funcional, atendem o projeto com uma
folga razoável para futuras atualizações.
A proposta da solicitação reduzida (derating) em freqüência é válida para
dispositivos que permitam este tipo de ajuste. Existem componentes que possuem elementos
internos que necessitam de uma freqüência mínima de operação, o que não é o caso do
componente escolhido que até pode trabalhar em DC.
74
Aplicando a proposta da solicitação reduzida (derating) em freqüência,
propõe-se que o componente trabalhe com a freqüência de 4MHz.
Das expressões (13) e (15), obtemos a seguinte expressão:
P Total
k f clk
(16)
Aplicando os valores sem e com “ajuste” (20MHz e 4MHz respectivamente) na
expressão (16), obtém-se uma redução da potência total dissipada em
1
de seu valor
5
máximo.
Pelos dados do fabricante [16], existem duas informações relativas à potência
dissipada pelo componente. Uma, a 4MHz e 3V apresentando um consumo menor que
1,8mW, e outra na situação de pior caso (Absolute Maximum Ratings) apresentando consumo
de 1W. Considerando a situação de “pior caso”, a 20MHz temos uma potência dissipada de
1W. Portanto, a 4MHz, a potência total dissipada pelo componente é de 0,2W, que substituído
na expressão (13) e utilizando o valor de
geral fornecido na norma MIL-HDBK217-F,
obtém-se como resultado final, que a solicitação reduzida (derating) traduzida em
temperatura equivale à redução desta de 14,12% de seu valor máximo.
6.4-Escolha das Ferramentas para Análise de Confiabilidade
Para avaliação da confiabilidade serão utilizados os mesmos métodos propostos
anteriormente: a Taxa de Falhas, a FMEA (Failure Mode and Effects Analysis -Análise dos
modos de pane e seus efeitos) e o RBD (Reliability Block Diagram - Diagrama de blocos da
confiabilidade).
Foi utilizado o software Relex® versão 7.6 da Relex Software Corporation ©.
6.5-Identificação dos Componentes-Chave
A partir do diagrama funcional do circuito de segurança e atuação proposto,
mostrado na figura 39, o circuito foi desmembrado em seus componentes essenciais, as placas
de:
circuitos (IGBT TS, Jump, circuito de simulação em solo (RSS), e
microcontrolador), e
IGBTs TF.
75
A árvore do sistema, tal como aparece na tela do software utilizado, está
mostrada na figura 40.
Em cada placa existem conjuntos e componentes críticos que foram
identificados como componentes-chave para aplicação das ferramentas de confiabilidade.
Na placa de circuito, tem-se como componentes-chave o IGBT TS e o JUMP de
disparo do circuito. Dentro deste subsistema, foram identificados dois outros subsistemas,
definidos como RSS e TEMPORIZADOR. No subsistema RSS tem-se a componente-chave
FOTOACOPLADOR e no subsistema TEMPORIZADOR tem-se o componente-chave
MICROCONTROLADOR.
Na placa de IGBTs, tem-se como componentes-chave os IGBT TF.
6.6-Cálculo das Taxas de Falha dos Componentes-Chave
As taxas de falhas dos componentes-chave foram calculadas utilizando os
modelos preditivos da confiabilidade contidos na MIL-HDBK217-F, método da análise de
esforços (Stress Analysis), que prevê para os componentes mantidos, as expressões (3), (4) e
(10) anteriormente descritas, e para o novo componente, por similaridade ao
microprocessador, a mesma expressão utilizada para os contadores 4040 e 4060, mostrada na
expressão (5).
No cálculo da taxa de falha global do sistema, também foram consideradas as
seguintes situações para o microcontrolador:
modelo da MIL-HDBK217-F “ajustado” com a solicitação reduzida (derating) em
freqüência traduzida em temperatura,
e a taxa de falha fornecida pelo fabricante [14].
76
Figura 39 – Diagrama funcional do circuito alternativo usando IGBTs e microcontrolador.
77
Figura 40 – Árvore do sistema alternativo usando IGBTs e microcontrolador.
Para os cálculos, foram realizadas as escolhas apresentadas nas figuras 7 e 29,
descritas anteriormente, e nas figuras 41 e 42, descritas a seguir.
Figura 41 – Fatores de correção (
i
) do Microcontrolador sem solicitação reduzida
(derating) em freqüência.
78
Figura 42 – Fatores de correção (
i
) do Microcontrolador com solicitação reduzida
(derating) em freqüência.
Para o microcontrolador, o valor de C 1 é obtido considerando um
microprocessador de 8 bits de tecnologia MOS, e o valor de C 2 considerando o número de
pinos do microcontrolador (40) e o tipo de encapsulamento DIP não-hermético.
Os fatores de correção associados são obtidos considerando:
L
o tempo de produção, que é maior que dois anos.
T
as temperaturas da junção (85°C sem solicitação reduzida (derating) em
freqüência e 73°C com solicitação reduzida (derating) em freqüência), que são calculadas da
temperatura de operação (70°C), das potências dissipadas (1W sem solicitação reduzida
(derating) em freqüência e 0,2W com solicitação reduzida (derating) em freqüência) e da
tecnologia utilizada (CMOS).
Q
de qualidade comercial.
E
o ambiente de vôo espacial.
A taxa de falha fornecida pelo fabricante [14], é de 2 FIT (2 falhas em
109
horas) com um nível de confiança de 60%, que equivale a 0,002 falhas em 10 6 horas.
As taxas de falhas calculadas com o auxílio do software Relex® são mostradas
nas figuras 43, 44 e 45.
79
Figura 43 – Taxas de Falhas em 106 horas sem solicitação reduzida (derating) em
freqüência.
Figura 44 – Taxas de Falhas em 106 horas com solicitação reduzida (derating) em
freqüência.
80
Figura 45 – Taxas de Falhas em 10 6 horas com a taxa do fabricante.
6.7-Determinação dos Números de Prioridade de Risco
O RPN é obtido através do produto mostrado na equação (8) e para o cálculo
desse parâmetro, foram utilizadas as ponderações mostradas na figura 9.
6.8-Construção das FMEAs
Utilizando o diagrama funcional do circuito de segurança e atuação proposto
mostrado na figura 39 e as ponderações definidas na figura 9, foi construída a FMEA do novo
dispositivo para a verificação e avaliação dos riscos das panes potenciais, através do número
de prioridade de risco RPN.
A FMEA potencial do novo componente-chave aparece mostrada na figura 46.
Figura 46 – FMEA do microcontrolador.
81
6.9-Construção dos Diagramas de Blocos de Confiabilidade (RDB)
Foram levantados os RDBs para as situações de acionamento e nãoacionamento e, para cada uma destas situações, foi considerada apenas uma ordem do
microcontrolador, pois a falha de qualquer ordem compromete a missão do foguete.
Por destinar-se à comparação entre alternativas, a confiabilidade de cada bloco
foi estimada utilizando os modelos de previsão da confiabilidade da norma MIL-HDBK217-F.
Assim como no cálculo das taxas de falha global do sistema, também foram consideradas as
situações do modelo “ajustado” com solicitação reduzida (derating) em freqüência traduzida
em temperatura, e a taxa de falha fornecida pelo fabricante [14] para o microcontrolador.
Como o tempo de funcionamento do circuito é relativamente curto (na faixa de
minutos e horas), pode-se considerar que a taxa de falhas é constante ao longo do tempo e o
valor da confiabilidade é calculado pela expressão (9).
Para os cálculos da confiabilidade, fez-se uso novamente do software Relex®,
considerando os dois intervalos de tempo de interesse (10 minutos no acionamento e 72 horas
no não-acionamento).
Os resultados obtidos para o acionamento são apresentados nas figuras 47 a 50,
enquanto para o não-acionamento nas figuras 51 a 56.
Figura 47 – RDB de acionamento do circuito alternativo com IGBTs e microcontrolador para
um evento nas situações sem/com solicitação reduzida (derating) em freqüência e com a taxa
do fabricante.
82
Figura 48 – Resultado do RBD de acionamento do circuito alternativo com IGBTs e
microcontrolador para um evento sem solicitação reduzida (derating) em freqüência.
Figura 49 – Resultado do RBD de acionamento do circuito alternativo com IGBTs e
microcontrolador para um evento com solicitação reduzida (derating) em freqüência.
83
Figura 50 – Resultado do RBD de acionamento do circuito alternativo com IGBTs e
microcontrolador para um evento com a taxa de falha do fabricante.
Figura 51 – RDB de não-acionamento do circuito alternativo com IGBTs e microcontrolador
para um evento sem solicitação reduzida (derating) em freqüência.
84
Figura 52 – RDB de não-acionamento do circuito alternativo com IGBTs e microcontrolador
para um evento com solicitação reduzida (derating) em freqüência.
Figura 53 – RDB de não-acionamento do circuito alternativo com IGBTs e microcontrolador
para um evento com a taxa do fabricante.
85
Figura 54 – Resultado do RBD de não-acionamento do circuito alternativo com IGBTs e
microcontrolador para um evento sem solicitação reduzida (derating) em freqüência.
Figura 55 – Resultado do RBD de não-acionamento do circuito alternativo com IGBTs e
microcontrolador para um evento com solicitação reduzida (derating) em freqüência.
86
Figura 56 – Resultado do RBD de não-acionamento do circuito alternativo com IGBTs e
microcontrolador para um evento com a taxa de falha do fabricante.
6.10-Interpretação dos Resultados
As taxas calculadas e apresentadas nas figuras 43, 44 e 45 mostram as taxas de
falhas previstas em
106 horas de funcionamento. Quanto maior a taxa, maior a
probabilidade de falha dos componentes-chave e podemos estabelecer prioridades de impacto
das falhas dos componentes-chave na confiabilidade do sistema.
Das taxas calculadas, é possível identificar e ordenar os itens de maior impacto
obtendo-se os resultados apresentados nas figuras 57 e 58.
Figura 57 – Ordenação de prioridades dos componentes-chave do circuito alternativo com
IGBTs e microcontrolador pela taxa de falhas nas situações do microcontrolador estar sem e
com solicitação reduzida (derating) em freqüência.
87
Figura 58 – Ordenação de prioridades dos componentes-chave do circuito alternativo com
IGBTs e microcontrolador pela taxa de falhas na situação do microcontrolador estar com a
taxa do fabricante.
Os RPNs obtidos das FMEAs apresentadas nas figuras 11, 12, 14, 31 e da
figura 46, também permitem estabelecer prioridades de impacto das falhas dos componenteschave na confiabilidade do sistema.
Analisando o conjunto de FMEAs, de forma análoga às taxas de falhas, é
possível identificar e ordenar os itens de maior impacto obtendo-se o resultado apresentado na
figura 59.
Figura 59 – Ordenação de prioridades dos componentes-chave do circuito alternativo com
IGBTs e microcontrolador pelo RPN.
A figura 59 deve ser comparada com as figuras 57 e 58 para observação das
alterações de prioridades com os dois critérios utilizados.
88
Os RBDs usados na análise consideram os componentes-chave do circuito de
segurança e atuação no acionamento e não-acionamento de apenas um evento. Analogamente
à análise anterior, na montagem dos RBDs, o conjunto RSS (cujo item chave é o
FOTOACOPLADOR) acabou sendo excluído.
6.11-Análise Detalhada dos Componentes-chave
A análise detalhada da confiabilidade do sistema é realizada seguindo a
ordenação de prioridades apresentadas nas figuras 57, 58 e 59 partindo dos itens de maior
prioridade para os de menor prioridade.
Na ordenação pelas taxas de falha, o microcontrolador continuou ocupando a
mesma posição que o temporizador nas situações considerando e não-considerando a
solicitação reduzida (derating) em freqüência, mas na situação com a taxa de falha do
fabricante, este passou por uma redução drástica na ordenação.
Na ordenação pelo RPN, também, o microcontrolador continuou ocupando a
mesma posição que o temporizador.
A análise das figuras 43, 44 e 45 mostra que na substituição do temporizador
pelo microcontrolador, na situação sem solicitação reduzida (derating) em freqüência, o
microcontrolador apresentou-se com taxa de falha maior que o temporizador em 319,59%. Na
situação considerando a solicitação reduzida (derating) em freqüência, o microcontrolador
apresentou-se com taxa de falha maior que o temporizador em 192,84% e com a utilização da
taxa de falha do fabricante, o microcontrolador apresentou-se com taxa de falha menor que o
temporizador em 96,89%.
A análise da FMEA da figura 46 evidencia que tanto para o temporizador como
para o microcontrolador, os modos de falhas e os RPNs são iguais, fato que pode ser
explicado devido aos componentes serem do mesmo tipo.
No RBD, como a topologia do circuito não foi modificada, as análises
anteriores mantêm-se válidas, exceto pela alteração dos valores da confiabilidade do
microcontrolador em substituição ao temporizador que resultaram numa aumento global da
confiabilidade, com a taxa de falha do fabricante, e uma diminuição global da confiabilidade,
nas situações sem e com a solicitação reduzida (derating) em freqüência, conforme verificado
com a diminuição e aumento da não-confiabilidade, respectivamente, mostrada nas figuras 48,
49, 50, 54, 55 e 56.
89
Percebe-se que a norma “ajustada” está muito mais próxima da realidade do
componente do que a norma sem “ajuste”, visto que os dados do fabricante mostram taxas de
falhas bem inferiores. Portanto, justifica-se utilizar a norma “ajustada” por termos um ganho
significativo na melhoria da qualidade da informação.
Como resultado final, pela norma “ajustada”, as modificações implementadas
não foram suficientes para melhorar a confiabilidade do sistema. Ao contrário do esperado, a
taxa de falha global do sistema aumentou em 168,92%, em relação ao circuito alternativo
usando IGBTs, e 35,49%, em relação ao circuito atualmente em uso.
90
7.
ANÁLISE
COMPARATIVA
DAS
CONFIABILIDADES
DO
CIRCUITO ATUAL COM OS CIRCUITOS PROPOSTOS
7.1-Introdução
A proposta inicial era de aumentar gradativamente a confiabilidade global do
circuito, testando diferentes alternativas.
Na primeira proposta, buscou-se uma diminuição da sensibilidade do circuito
aos fenômenos mecânicos, substituindo os Relés por IGBTs.
Na segunda proposta, buscou-se uma melhoria por simplificação, substituindo
o temporizador por um microcontrolador.
Neste capítulo, são analisadas as modificações implementadas com relação à
confiabilidade do sistema. É feito ainda, um estudo da variação das taxas de falha com a
temperatura para verificação de seu comportamento.
7.2-Circuito Alternativo Usando IGBTs
A proposta era de aumentar a confiabilidade global do circuito atuando nos
relés RF e RS, que são muito sensíveis aos fenômenos mecânicos. O novo circuito foi
projetado substituindo a tecnologia de acionamento por um novo dispositivo menos sensível.
Da análise anterior, conclui-se que a utilização de IGBTs no lugar dos Relés é
uma alternativa viável para os propósitos do trabalho.
Analisando as taxas de falha, observa-se uma redução em 97,33% dos IGBTs
em relação aos Relés, que se traduz numa redução global de 49,62% do circuito alternativo
em relação ao circuito atual. Isto pôde ser visualizado nas ordenações de prioridades pela taxa
de falha, onde os Relés, depois de substituídos pelos IGBTs, mostraram-se com prioridade
menor. As figuras 60 e 61 mostram, respectivamente, as taxas de falha e suas ordenações para
os dois circuitos.
Analisando o conjunto de FMEAs e seus respectivos RPNs, verifica-se a
diminuição dos RPNs dos modos de falha mecânicos, traduzindo-se em um aumento da
confiabilidade no circuito alternativo. Isto pôde ser visualizado nas ordenações de prioridades
pelo RPN, onde os Relés, depois de substituídos pelos IGBTs, mostrou-se com prioridade
menor. As figuras 62 e 63 mostram, respectivamente, os RPNs e suas ordenações para os dois
circuitos.
91
Figura 60 – Taxas de falha dos circuitos atual e alternativo utilizando IGBTs.
Figura 61 – Ordenação de prioridades pelas taxas de Falha dos circuitos atual e alternativo
utilizando IGBTs.
92
Figura 62 – RPN dos relés do circuitos atual e IGBTs do alternativo.
93
Figura 63 – Ordenação de prioridades pelo RPN dos circuitos atual e alternativo utilizando
IGBTs.
Nos RDBs, houve apenas alteração dos valores calculados, pois a topologia do
circuito foi mantida. Os cálculos realizados pelo software Relex®, mostram que, na situação
de acionamento, houve um incremento na confiabilidade global através da diminuição da nãoconfiabilidade em 24,48%. Na situação de não-acionamento, houve um incremento na
confiabilidade global através da diminuição da não-confiabilidade em 97,33%. As figuras 64 e
65 mostram, respectivamente, o cálculo da confiabilidade e não-confiabilidade para os tempos
de interesse nas situações de acionamento e não-acionamento para os dois circuitos.
94
Figura 64 – Confiabilidade dos circuitos atual e alternativo utilizando IGBTs no acionamento.
Figura 65 – Confiabilidade dos circuitos atual e alternativo utilizando IGBTs no nãoacionamento.
95
7.2-Circuito Alternativo Usando IGBTs e Microcontrolador
A proposta era de aumentar a confiabilidade global do circuito atuando no
temporizador, mantendo a substituição anterior, visto que esta melhorou a confiabilidade do
sistema. Neste caso, o novo circuito foi projetado substituindo o temporizador, composto por
três componentes, por um único componente, o microcontrolador.
Das análises anteriores, conclui-se que a utilização do microcontrolador no
lugar do temporizador não é uma alternativa viável para os propósitos do trabalho.
Analisando as taxas de falha em comparação com o primeiro circuito
alternativo e o circuito atualmente em uso, observa-se um aumento em 192,84% do
temporizador em relação ao microcontrolador, que se traduz num aumento global de 168,92%
em relação à primeira alternativa, e 35,49% em relação ao circuito atual. A mudança dos relés
pelos IGBTs pôde ser visualizada nas ordenações de prioridades pela taxa de falha, mas a
mudança do temporizador pelo microcontrolador manteve a prioridade. Isto ocorreu porque,
apesar do aumento da taxa de falha, esta se manteve acima dos demais componentes. As
figuras 66 e 67 mostram, respectivamente, as taxas de falha e suas ordenações para os três
circuitos.
Analisando o conjunto de FMEAs e seus respectivos RPNs, verifica-se a
manutenção dos RPNs dos modos de falha, visto que os componentes são do mesmo tipo. Isto
pôde ser visualizado nas ordenações de prioridades pelo RPN, onde o microcontrolador
manteve a mesma posição que os componentes do temporizador. As figuras 68 e 69 mostram,
respectivamente, os RPNs e suas ordenações para os dois circuitos.
Nos RDBs, houve apenas alteração dos valores calculados, pois a topologia do
circuito foi mantida. Os cálculos realizados pelo software Relex®, mostram que, na situação
de acionamento, houve uma diminuição na confiabilidade global do primeiro circuito
alternativo através do aumento da não-confiabilidade em 296,75%. Com relação ao circuito
atualmente em uso, o aumento da não-confiabilidade foi de 199,62%. Na situação de nãoacionamento, houve uma diminuição na confiabilidade global do primeiro circuito alternativo
através do aumento da não-confiabilidade em 180,78%. Com relação ao circuito atualmente
em uso, houve um incremento na confiabilidade global através da diminuição da nãoconfiabilidade de 92,50%. As figuras 70 e 71 mostram, respectivamente, o cálculo da
confiabilidade e não-confiabilidade para os tempos de interesse nas situações de acionamento
e não-acionamento para os dois circuitos.
96
Figura 66 – Taxas de falha dos circuitos atual, alternativo utilizando IGBTs e alternativo
utilizando IGBTs e microcontrolador.
Figura 67 – Ordenação de prioridades pelas taxas de Falha dos circuitos atual, alternativo
utilizando IGBTs e alternativo utilizando IGBTs e microcontrolador.
97
Figura 68 – RPN dos componentes do temporizador do circuitos atual e microcontrolador do
alternativo.
Figura 69 – Ordenação de prioridades pelo RPN dos circuitos atual, alternativo utilizando
IGBTs e alternativo utilizando IGBTs e microcontrolador.
98
Figura 70 – Confiabilidade dos circuitos atual, alternativo utilizando IGBTs e alternativo
utilizando IGBTs e microcontrolador no acionamento.
99
Figura 71 – Confiabilidade dos circuitos atual, alternativo utilizando IGBTs e alternativo
utilizando IGBTs e microcontrolador no não-acionamento.
100
7.3-Estudo da Variação das Taxas de Falha com a Temperatura dos Circuitos Atual e
Propostos
Para analisarmos as variações das taxas de falha dos circuitos atual e propostos
com a temperatura, é feito através do software Relex®, os cálculos das taxas de falha, com a
temperatura variando de 0°C a 150°C, apresentados nas figuras 72 a 74.
Figura 72 – Taxa de Falhas em Função da Temperatura Ambiente para o Circuito Atualmente
em Uso.
101
Figura 73 – Taxa de Falhas em Função da Temperatura Ambiente para o Circuito Alternativo
Usando IGBTs.
Figura 74 – Taxa de Falhas em Função da Temperatura Ambiente para o Circuito Alternativo
Usando IGBTs e Microcontrolador com solicitação reduzida (derating).
102
A árvore do sistema do circuito atual, apresentada na figura 6, é composta por
uma placa de circuitos, que possui os componentes relé RS e Jump, e os subsistemas RSS e
temporizador; e uma de relés, composta pelos relés RF. Portanto, a taxa de falha global é o
somatório da taxa da placa de circuitos com a de relés, e a taxa da placa de circuitos, é o
somatório das taxas dos componentes com as taxas dos subsistemas RSS e temporizador.
Na figura 72, que apresenta as variações das taxas de falha do circuito atual,
observa-se que a placa de circuitos possui taxas maiores que a placa de relés e que nesta placa
o sistema mais crítico é o temporizador. Logo, o gráfico, de forma análoga à ordenação de
prioridades, mostra quais componentes podem ser alterados para reduzirmos a taxa de falha
global do sistema.
Para o circuito alternativo utilizando IGBTs, da árvore do sistema apresentada
na figura 28, verifica-se que a taxa de falha global é o somatório da taxa da placa de circuitos
com a de IGBTs, e a taxa da placa de circuitos, é o somatório das taxas dos componentes com
as taxas dos subsistemas RSS e temporizador.
Na figura 73, que apresenta as variações das taxas de falha do circuito
alternativo usando IGBTs, nota-se o efeito que a substituição causou no sistema. A taxa dos
relés que se apresentavam razoavelmente elevadas, com a substituição pelos IGBTs,
diminuíram a taxa de falha global do sistema. Com a diminuição, a taxa da placa de circuitos,
cujo temporizador é o componente mais crítico, tornou-se muito próxima da taxa global.
No circuito alternativo utilizando IGBTs e microcontrolador, da árvore do
sistema apresentada na figura 40, verifica-se que a taxa de falha global é o somatório da taxa
da placa de circuitos com a de IGBTs, e a taxa da placa de circuitos, é o somatório das taxas
dos componentes com as taxas dos subsistemas RSS e temporizador, composto pelo
microcontrolador.
Na figura 74 que apresenta as variações das taxas de falha do circuito
alternativo usando IGBTs e microcontrolador, observa-se praticamente o mesmo
comportamento observado na figura 73. No entanto, apesar da similaridade das curvas, as
taxas resultantes foram maiores, evidenciando a piora do sistema.
Finalmente, as variações das taxas de falha global dos circuitos são reunidas
em um único gráfico apresentado na figura 75.
103
Figura 75 – Taxa de Falhas Global em Função da Temperatura Ambiente para os Circuitos
Atual, Alternativo Usando IGBTs e Alternativo Usando IGBTs e Microcontrolador com
solicitação reduzida (derating).
Na figura 75, conclui-se que houve uma diminuição da taxa de falha global do
sistema na substituição dos relés pelos IGBTs, e um aumento da taxa de falha global do
sistema na substiuição do temporizador pelo microcontrolador.
A substituição dos relés pelos IGBTs fez com que a taxa diminuísse
razoavelmente. Na substituição do temporizador pelo microcontrolador, até 40°C, a taxa de
falha manteve-se bem próxima do circuito atual; depois dos 40°C, a taxa de falha começa a
subir rapidamente.
Cabe salientar que nas substituições, priorizou-se a utilização de componentes
COTS, mostrando que é possível melhorar a confiabilidade sem ter que, necessariamente,
utilizar componentes militares. Também, a utilização de componentes COTS leva a uma
redução de custos, que sempre é bem vinda nos projetos.
104
8. CONCLUSÕES E DESDOBRAMENTOS:
8.1-Introdução
Neste capítulo, são realizadas as conclusões finais com relação à confiabilidade
do circuito, bem como o levantamento das contribuições do trabalho. É feito ainda, o
levantamento dos possíveis desdobramentos em pesquisas futuras.
8.2-Contribuições do Trabalho
O autor julga que as principais contribuições conseguidas foram:
uma análise detalhada da possibilidade de substituição de relés por dispositivos de
estado sólido;
uma proposta de procedimento de análise usando tanto a taxa de falha do sistema
quanto o impacto do RPN nas alterações;
um procedimento de análise geral que pode ser aplicado a foguetes de diferentes
tempos de vôo;
uma proposta de “ordenação”, tanto pela taxa de falha quanto pelo RPN, em função
do impacto na confiabilidade dos componentes do sistema;
uma prova da viabilidade de se utilizar a solicitação reduzida (derating) em
freqüência traduzido em temperatura , ausente na literatura;
a identificação das contribuições dos vários componentes do sistema à taxa de
falha global (pareto), que indicou a conveniência de, futuramente, buscar-se
menores taxas de falha do temporizador;
a possibilidade de substituição de componentes militares por comerciais (COTS);
os métodos usados são gerais e se aplicam, com ajustes adequados, a praticamente
todos os sistemas (inclusive os não eletrônicos).
8.3-Conclusões
Dos resultados pôde-se concluir que:
a substituição do circuito atual, com relés, por um circuito com IGBTs é viável,
uma vez que reduz em 49,62% a taxa de falha global;
a substituição do circuito atual, com relés, por um circuito com IGBTs e
microcontrolador não é viável, uma vez que aumenta em 168,92% a taxa de falha
global.
105
8.4-Desdobramentos
O trabalho poderia ser continuado considerando:
a modelagem do comportamento da taxa de falha do fabricante, o que permitiria
examinar seu comportamento com a temperatura;
a substituição do temporizador, dada a importância da taxa de falha dos seus
componentes no comportamento da taxa global (pareto);
a validade da modelagem e da análise apresentada através de experimentos;
a melhoria da confiabilidade do circuito atuando na questão topológica, visto que o
RBD evidenciou que o circuito atual apresenta redundância nula no acionamento;
um aprofundamento na proposta da solicitação reduzida (derating) em freqüência,
visto que devido ao conservadorismo da MIL-HDBK-217F, as taxas de falha
mantiveram-se elevadas. Justifica-se este aprofundamento devido à taxa de falha
extremamente baixa fornecida pelo fabricante, que deve estar muito mais próxima
da realidade do componente;
uma possível arquitetura com dois microcontroladores para que, caso um falhe o
outro assuma.
106
Referências Bibliográficas:
[1] DEVALE, J.; Traditional Reliability. Carnegie Mellon University: Spring
1998.Disponível:http://www.ece.cmu.edu/~koopman/des_s99/traditional_reliability/[acessado
em 29 nov 2004].
[2] NBR 5462 – Confiabilidade e Mantenabilidade. – Terminologia, ABNT,SP,1994
[3] ELSAYED,E.A.; Reliability Engineering. Reading,MA: Adisson Wesley
Longmann,1996
[4] MIL-HDBK-217-F; Reliability Prediction of Electronic Equipment. Military
Handbook: 02 December 1991. Notice 1 (10 july 1992) e Notice 2 (28 february 1995)
[5] MIL-STD-1629A; Procedures for Performing a Failure Mode, Effects and Criticality
Analysis. Military Handbook: 04 august 1998.
[6] PALMERIO, A.F.; Introdução à Engenharia de Foguetes. São José dos Campos: agosto
a novembro de 2002.
[7] OMRON ®; Solid State Relay. Disponível:
http://oeiwcsnts1.omron.com/pdfcatal.nsf/0/C370DE71E014ACC286256AAF00477A5F/$Fil
e/C20Y108E11.pdf?OpenElement [acessado em 29 nov 2004].
[8] POMILIO, J.A.; Eletrônica de Potência. Publicação FEEC 01/98 UNICAMP: janeiro de
2002.
[9] INTERNATIONAL RECTIFIER®; Quarterly Reliability Report for T0247/T0220
Products Manufactured at IRGB IGBT/CoPack, Issue.3, October 1997 -Disponível:
http://www.irf.com/product-info/reliability/rrigbt.pdf [acessado em 29 nov 2004].
107
[10] BIRDSONG,B.;WALKER,K.; Criteria for Selection of COTS Equipment in a
Military System, Diminishing Manufacturing Sources and Material Shortages Conference ,
25-28 March, 2002 New Orleans, Louisiana. Disponível:
http://smaplab.ri.uah.edu/dmsms02/papers/birdsong.pdf [acessado em 29 nov 2004].
[11] TEXAS INSTRUMENTS®; CMOS Power Consumption and Cpd Calculation,
SCAA035B, June 1997 Disponível: http://www-s.ti.com/sc/psheets/scaa035b/scaa035b.pdf
[acessado em 29 nov 2004].
[12] CHANDRAKASAN,A.P.;SHENG,S.;BRODERSEN,R.W.; Low Power CMOS Digital
Design, EECS Department, University of California at Berkeley. Disponível:
http://citeseer.ist.psu.edu/rd/89839159%2C91007%2C1%2C0.25%
2CDownload/http://citeseer.ist.psu.edu/cache/papers/cs/1265/http:zSzzSzinfopad.eecs.berkele
y.eduzSz~sshengzSzwirelesszSz%3DpaperszSzjssc.pdf/chandrakasan95low.pdf [acessado em
29 nov 2004].
[13]BOYLESTAD,R.;NASHELSKY,L.; Dispositivos Eletrônicos e Teoria de Circuitos. 3º
edição, Prentice-Hall do Brasil: 1984.
[14] MICROCHIP®; Reliability Report, – 2° quarter 2004. Disponível:
http://ww1.microchip.com/downloads/en/Quality_ReliabilityDocs/00097T.pdf [acessado em
29 nov 2004].
[15] MICROCHIP®; Microchip Overview, Quality Systems and Customer Interface
Systems Handbook, 2005. Disponível:
http://ww1.microchip.com/downloads/en/DeviceDoc/00169C.pdf [acessado em 29 nov 2004].
[16] MICROCHIP®; PIC16F87X Data Sheet, 2001. Disponível:
http://ww1.microchip.com/downloads/en/DeviceDoc/30292c.pdf [acessado em 29 nov 2004].
108
Páginas da Internet:
North American Electric Reliability Council (NERC) - http://www.nerc.com/.
Reliability Center, Inc. - http://www.reliability.com/.
Equipment Reliability Institute - http://www.equipment-reliability.com/.
ReliaSoft Brasil - http://www.reliasoft.com.br/.
Teledyne Relays - http://www.teledynerelays.com/.
Deutsch Relays Inc. - http://www.deutschrelays.com/.
Crydom (SSR) - http://www.crydom.com/.
Society of Reliability Engineers - http://www.sre.org/.
Mil Index - http://www.sre.org/pubs/.
Relex Reliability Software - http://www.relexsoftware.com/index.asp.
Hitech El. Ind. Com. Ltda. - http://www.hitech.com.br/.
VTB Consultoria e Treinamento - http://www.vtb.com.br/.
International Rectifier - http://www.irf.com/.
Microchip - http://www.microchip.com/
klabs.org : NASA Office of Logic Design - A scientific study of the problems of digital
engineering for space flight systems, with a view to their practical solution. http://klabs.org/
FOLHA DE REGISTRO DO DOCUMENTO
1.
CLASSIFICAÇÃO/TIPO
5.
TÍTULO E SUBTÍTULO:
2.
TM
DATA
3.
4.
DOCUMENTO N°
02 de março de 2005 CTA/ITA-IEM/TM-026/2004
N° DE PÁGINAS
108
Modelagem e Análise Comparativa da Confiabilidade em Sistemas de Segurança e Atuação com
Aplicação em Foguetes
6.
AUTOR(ES):
Alexandre Souza Campello
7.
INSTITUIÇÃO(ÕES)/ÓRGÃO(S) INTERNO(S)/DIVISÃO(ÕES):
Instituto Tecnológico de Aeronáutica - Divisão de Dispositivos e Sistemas Eletrônicos – ITA/EEC/D
8.
PALAVRAS-CHAVE SUGERIDAS PELO AUTOR:
Confiabilidade; Foguetes; Pirotécnicos; Atuação; Segurança
9.PALAVRAS-CHAVE RESULTANTES DE INDEXAÇÃO:
Confiabilidade; Sistemas de segurança; Pirotécnicos; Circuitos; Dispositivos eletromecânicos; Atuadores;
Foguetes; Engenharia eletrônica; Engenharia aeroespacial
10.
X Nacional
APRESENTAÇÃO:
Internacional
ITA, São José dos Campos, 2004, 108 páginas
11.
RESUMO:
O circuito de segurança e atuação, utilizado tanto em foguetes de sondagem como em lançadores de
satélite, é um dispositivo eletrônico responsável pelo acionamento dos elementos pirotécnicos de bordo
desde o pré-lançamento até a fase de vôo. Tais circuitos consistem, atualmente, de um temporizador e de
relés mecânicos que apresentam, como principal vantagem, a baixa resistência elétrica dos contatos, e
como principal desvantagem, problemas mecânicos inerentes às vibrações presentes no lançamento e
durante o vôo. Uma análise das principais alternativas mostra existirem duas configurações com
características que apresentam viabilidade de virem a substituí-la: uma delas usa um temporizador e
transistores bipolares de porta isolada, IGBTs, enquanto a outra usa microcontrolador e IGBTs. Uma vez
que o uso de apenas uma das ferramentas de análise provou-se ineficaz, foram utilizados, em conjunto, a
Estimativa da Taxa de Falhas (FRD), a Análise dos Modos de Falha e seus Efeitos (FMEA) e a Análise
pelo Diagrama de Blocos da Confiabilidade (RBD). Foi proposta uma forma de interpretar como
solicitação reduzida (derating) em temperatura, uma solicitação reduzida (derating) em freqüência a que
está submetido o microcontrolador. Comparados os desempenhos de confiabilidade dos três circuitos, a
solução envolvendo temporizador e IGBTs mostrou-se a mais promissora.
12.
GRAU DE SIGILO:
(X ) OSTENSIVO
( ) RESERVADO
( ) CONFIDENCIAL
( ) SECRETO