Boundary-Scan/JTAG: Решение проблем производительности в реальном времени и избыточности безопасности в печатных платах управления промышленными роботами

technology31 октября 2025 г. 16 мин чтения

Boundary-Scan/JTAGПроверка первого образца (FAI)Тестирование летающими щупамиОбзор DFM/DFT/DFAИнспекция SPI/AOI/рентгенПрослеживаемость/MES

В точном мире систем управления промышленными роботами печатные платы (PCB) - это гораздо больше, чем просто зеленые подложки, несущие электронные компоненты. Они служат нейронной сетью организма, центральным узлом, обеспечивающим точные движения и своевременные реакции, и последней линией обороны, обеспечивающей безопасность сотрудничества человека и машины. Как инженер по управлению с многолетним глубоким опытом в области функциональной безопасности, я был свидетелем остановок производственных линий и даже более серьезных инцидентов безопасности, вызванных незначительными аппаратными дефектами. Этот опыт преподал мне глубокий урок: для высоконадежных, высокобезопасных приложений, таких как промышленные роботы, любое самодовольство - это прямой путь к катастрофе. Поэтому мы должны применять методы тестирования и верификации, выходящие за рамки обычных практик, и Boundary-Scan/JTAG (стандарт IEEE 1149.1) является самым острым скальпелем в нашем инструментарии. Он проникает в «капилляры» аппаратного обеспечения, обеспечивая безупречность сложных, высокоплотных печатных плат в отношении функциональной целостности и соответствия требованиям безопасности. Эта технология не является одноразовым производственным тестом, а охватывает весь жизненный цикл продукта - от концептуального проектирования и валидации прототипов до массового производства и полевого обслуживания - предоставляя беспрецедентную глубину понимания и контроля для достижения строгих целей функциональной безопасности.

Двухканальная архитектура безопасности: Использование Boundary-Scan/JTAG для количественного улучшения диагностического покрытия и периодического тестирования

Краеугольным камнем управления безопасностью промышленных роботов является резервирование, при этом двухканальная (или многоканальная) архитектура является классической парадигмой для достижения отказоустойчивости и безопасного отказа. Основная идея заключается в следующем: два или более независимых канала обработки работают параллельно, выполняя одни и те же критически важные для безопасности задачи, одновременно контролируя друг друга. В случае отказа любого канала система может обнаружить аномалию с помощью механизмов сравнения и арбитража и немедленно перейти в заранее определенное безопасное состояние (например, отключить питание двигателя). Однако эта теоретически идеальная модель сталкивается со значительными проблемами в инженерной практике: Как мы можем гарантировать, что эти два канала действительно независимы физически и электрически? Как мы можем проверить, что их логика перекрестного мониторинга реагирует правильно и оперативно на различные потенциальные неисправности?

Традиционное функциональное тестирование "черного ящика" - включение системы и запуск прикладного программного обеспечения для наблюдения за ее поведением - здесь почти бессильно. Оно может выявить некоторые логические ошибки, но для потенциальных дефектов на аппаратном уровне, таких как крошечные паяльные мостики между каналами или невидимые холодные пайки под корпусами BGA (Ball Grid Array), оно бесполезно. Эти дефекты могут проявляться только при определенных колебаниях температуры, вибрации или напряжения, становясь скрытыми "бомбами замедленного действия". Технология Boundary-Scan/JTAG предлагает революционное решение для тестирования по принципу «белого ящика». Встраивая «ячейку граничного сканирования» между каждым цифровым выводом и основной логикой JTAG-совместимых ИС (таких как микропроцессоры, FPGA и CPLD) и соединяя все эти ячейки в последовательно доступную цепочку сканирования, мы получаем беспрецедентные возможности контроля и наблюдения за этими выводами - без выполнения какого-либо функционального кода.

Используя эту цепочку JTAG, мы можем выполнить ряд ценных структурированных тестов:

Проверка электрической изоляции между каналами: Это первый шаг в проверке независимости избыточных конструкций. Инженеры по тестированию могут записывать тестовые векторы JTAG - например, принудительно устанавливая критический выходной вывод (например, управляющий реле безопасности) на Канале A в высокий уровень через цепочку JTAG, а затем считывая состояние соответствующего входного вывода мониторинга на Канале B. В идеале состояние вывода Канала B должно оставаться неизменным. Если вывод Канала B также переходит в высокий уровень, это явно указывает на непреднамеренное электрическое короткое замыкание между двумя предположительно изолированными каналами. Этот тест обеспечивает 100% покрытие для всех режимов отказа цифровых входов/выходов по короткому замыканию, с точностью и покрытием, недостижимыми никаким другим методом.
Контролируемое, повторяемое внедрение неисправностей: Стандарты функциональной безопасности требуют исчерпывающей проверки механизмов безопасности, и внедрение неисправностей является критически важной частью этого. JTAG делает внедрение неисправностей точным и эффективным. Мы можем имитировать различные аппаратные неисправности, такие как:

Моделирование неисправности типа 'залипание': Принудительное удержание определенного входного вывода на Канале B на высоком уровне (Stuck-at-1) или низком уровне (Stuck-at-0) для имитации обрыва или короткого замыкания в сигнальной линии датчика. Затем мы наблюдаем, может ли логика мониторинга на Канале A обнаружить этот «необоснованный» статический сигнал в течение заданного времени (Интервал времени отказоустойчивости, FTTI) и инициировать безопасное отключение.
Моделирование временных неисправностей: Точное управление временем переходов состояний выводов через JTAG для имитации задержек или дрожания сигнала, проверяя временную толерантность системы и эффективность Блока мониторинга тактовой частоты (CMU).

Количественное улучшение диагностического покрытия (DC): Согласно стандартам функциональной безопасности, таким как IEC 61508 и ISO 13849, диагностическое покрытие (DC) является ключевым показателем для оценки способности системы безопасности обнаруживать собственные аппаратные неисправности, напрямую определяя достижимый уровень полноты безопасности (SIL) или уровень производительности (PL). DC определяется как отношение «опасных, обнаруживаемых частот отказов» к «общим опасным частотам отказов». Тестирование JTAG может охватывать многие «слепые зоны» традиционного функционального тестирования, такие как:
- Неиспользуемые выводы ИС (они плавающие или случайно подключены?).
- Все соединения в сложных шинных топологиях.
- Межсоединения выводов в корпусах высокой плотности, таких как BGA и LGA, которые невозможно физически зондировать.
- Логика граничного сканирования внутри самой ИС. Объединяя результаты тестов межсоединений JTAG с FMEDA (анализ видов, последствий и диагностических возможностей отказов), мы можем значительно увеличить диагностическое покрытие аппаратного обеспечения с 70%-80% (среднее DC), достигаемого функциональным тестированием, до более чем 99% (высокое DC), что является необходимым условием для достижения уровней SIL 3 или PLe.

Основой этого успеха является проведение всесторонних и тщательных обзоров DFM/DFT/DFA (проектирование для технологичности/тестируемости/сборки) на этапе проектирования. Обеспечение правильной реализации цепочек сканирования JTAG в сложных конструкциях с чрезвычайно высокой плотностью трассировки, таких как HDI PCB, включая целостность сигнального тракта, конфигурацию оконечных резисторов и физическое расположение интерфейса TAP, является необходимым условием для раскрытия их полного потенциала.

Цепь аварийной остановки: сквозная проверка целостности от физических паяных соединений до логических функций

Цепь аварийной остановки (E-Stop) является наиболее приоритетным защитным уровнем в системе безопасности промышленного робота. Она должна быть способна отключать источник опасности (обычно питание серводвигателя робота) наиболее прямым и надежным способом при любых обстоятельствах. Типичная цепь E-Stop состоит из последовательного или параллельного расположения таких компонентов, как физические кнопки, реле безопасности или контакторы, оптопары и входные/выходные контакты микроконтроллеров. Ее основной принцип проектирования - «отказоустойчивость» (fail-safe), что означает, что любой отказ одного компонента (например, обрыв кабеля, сваривание контактов реле) должен приводить систему в безопасное состояние.

Традиционные методы оказываются недостаточными при проверке такой «жизненно важной» цепи. Мультиметры могут измерять только статическую непрерывность, а осциллографы могут наблюдать формы сигналов, но ни один из них не может решить основную проблему - те паяные соединения, скрытые под корпусами BGA, недоступные невооруженному глазу или щупам. Паяное соединение BGA с дефектами типа «голова-в-подушке» может выглядеть безупречно при рентгеновском контроле и даже случайно пройти функциональное тестирование при комнатной температуре. Однако при повышении рабочей температуры или механических вибрациях оно может образовывать переходные обрывы цепи, что приводит к потере сигналов аварийной остановки с потенциально катастрофическими последствиями. Boundary-Scan/JTAG точно устраняет этот критический пробел. Он переносит акцент тестирования с физической формы на саму электрическую связность. Мы можем разработать тестовую программу JTAG для тщательной проверки целостности всей цифровой цепи - от сигнала аварийной остановки (E-Stop), поступающего на входной вывод микроконтроллера (MCU), через внутреннюю логическую обработку MCU, до выходного вывода, управляющего реле безопасности.

Конкретный рабочий процесс выглядит следующим образом:

Проверка входной цепи: Имитируйте нажатие и отпускание кнопки аварийной остановки на тестовом приспособлении и отслеживайте ячейки граничного сканирования соответствующих входных выводов MCU в реальном времени через порт JTAG. Подтвердите, может ли их состояние корректно переходить с высокого уровня на низкий и обратно на высокий. Это не только проверяет внешние соединения, но и попутно тестирует правильность конфигурации подтягивающих/стягивающих резисторов выводов.
Проверка внутреннего логического пути: Хотя JTAG не может напрямую тестировать основную логику чипа, мы можем комбинировать JTAG с возможностями отладки процессора (обычно также доступными через интерфейс JTAG) для пошагового выполнения процедуры обработки прерывания, обрабатывающей сигнал аварийной остановки. Наблюдайте за изменениями в соответствующих регистрах, чтобы убедиться, что алгоритм подавления дребезга на программном уровне и логика фильтрации сигнала работают должным образом.
Проверка выходной связи: Используйте JTAG для принудительного переключения выходного контакта микроконтроллера, управляющего реле безопасности, между безопасными (например, низкий уровень) и небезопасными (высокий уровень) состояниями. Одновременно контролируйте управляющий сигнал катушки реле безопасности с помощью внешних приборов или другой цепочки JTAG, чтобы убедиться, что путь от контакта микроконтроллера до входа реле беспрепятственен.

Это глубокое сквозное тестирование соединений имеет неизмеримую ценность на этапе Инспекции первого образца (FAI). Цель FAI - убедиться, что первая партия продукции соответствует проектному замыслу с точки зрения электрических характеристик, размещения компонентов и производственных процессов. Документ FAI, включающий отчеты о тестировании JTAG, может обеспечить 100% покрытие, чтобы доказать, что электрические соединения всех цифровых сетей корректны, устанавливая надежную основу качества для последующего массового производства.

Конечно, JTAG не является панацеей - он должен работать в тандеме с методами физического контроля, такими как инспекция SPI/AOI/рентген. SPI (Solder Paste Inspection) гарантирует, что «сырье» для пайки соответствует требованиям, AOI (Automated Optical Inspection) проверяет «внешний вид» компонентов, рентген исследует «скелетную» морфологию паяных соединений изнутри, а JTAG в конечном итоге подтверждает, подключена ли «нервная система» всей цепи. Вместе эти четыре метода создают комплексную систему обеспечения качества, охватывающую от физической формы до электрической функциональности.

Сравнение стратегий тестирования печатных плат систем безопасности

Метод тестирования	Покрытие	Преимущества	Ограничения
Boundary-Scan/JTAG	Межсоединения между цифровыми ИС, выводы под BGA/корпусами высокой плотности, выводы разъемов	Не требуются физические зонды, может тестировать обрывы/короткие замыкания/мостовые неисправности, программируемая инжекция неисправностей, многоразовая разработка тестов	Не может тестировать аналоговые схемы, сети питания или параметры пассивных компонентов; требует, чтобы ИС поддерживали стандарт JTAG
Тест летающим зондом

Все физически доступные сетевые узлы (пассивные/активные), могут тестировать аналоговые параметры Нет необходимости в дорогостоящих приспособлениях, гибкое и быстрое программирование, идеально для прототипов и мелкосерийного производства Чрезвычайно низкая скорость тестирования, непригодно для массового производства, не может тестировать недоступные узлы (например, внутри BGA) Инспекция SPI/AOI/Рентген Качество паяных соединений, внешний вид компонентов (неправильные/отсутствующие/перевернутые), морфология внутренних шариков припоя BGA/QFN Высокоточное, высокоскоростное обнаружение физических дефектов, основа для контроля качества процесса Не может обнаруживать электрические функциональные неисправности (например, внутренние повреждения ИС, неправильные модели компонентов)

Сторожевой таймер и тестовые импульсы: Точная проверка механизмов обнаружения сбоев и быстрое время отклика на неисправности

В динамически работающих системах одной лишь избыточности недостаточно; необходимы механизмы непрерывного мониторинга состояния. Сторожевой таймер (WDT) и тестовые импульсы ввода/вывода являются двумя наиболее часто используемыми методами динамического самотестирования.

Сторожевой таймер (Watchdog): Основной принцип заключается в том, что главный процессор должен периодически "кормить сторожевой таймер" (сбрасывать таймер сторожевого таймера) в течение заданного временного окна, чтобы показать, что он все еще работает нормально. Если процессор не сможет "покормить сторожевой таймер" вовремя из-за программных зависаний, аппаратных блокировок или других причин, сторожевой таймер истечет и сгенерирует сигнал сброса системы или активирует выход безопасности.
Тестовый импульс: В основном используется для периодического обнаружения того, имеют ли цифровые выходные каналы и их подключенные линии неисправности типа "залипание" (Stuck-at-0 или Stuck-at-1). Например, выход, управляющий исполнительным механизмом безопасности, должен обычно оставаться в высоком состоянии во время работы. Система будет периодически переводить его в низкое состояние на чрезвычайно короткое время (несколько микросекунд), а затем немедленно проверять через независимый путь обратного считывания, действительно ли уровень вывода упал. Если уровень обратного считывания остается высоким, это указывает на потенциальное короткое замыкание на источник питания или поврежденный драйвер.

Проверка эффективности этих динамических механизмов, в частности их времени реакции на неисправность, имеет решающее значение для соответствия стандартам безопасности. Стандарты явно определяют максимально допустимое время от возникновения неисправности до перехода системы в безопасное состояние.

Boundary-Scan/JTAG играет незаменимую роль как "судья", так и "высокоточный секундомер" в этом процессе. Во время разработки и проверки системы мы можем:

Точная проверка таймаута сторожевого таймера: Используя отладочный интерфейс JTAG, мы можем остановить ядро процессора непосредственно перед выполнением инструкции "feed watchdog", имитируя наихудший сценарий "зависания" процессора. Одновременно мы запускаем внешний высокоточный таймер и отслеживаем линию сигнала сброса, генерируемого сторожевым таймером. Время от остановки процессора до активации сигнала сброса представляет собой наиболее точное измерение таймаута сторожевого таймера. Этот метод исключает все программные задержки, напрямую измеряя возможности аппаратного ответа.
Проверка полной цепочки тестовых импульсов: Мы можем использовать JTAG для инициации и проверки тестовых импульсов. Например, JTAG может принудительно заставить выходной контакт FPGA генерировать тестовый импульс, а затем, через ту же цепочку JTAG, считать состояние входного контакта микроконтроллера, подключенного к нему, после сотен тактовых циклов. Это проверяет, был ли импульс микросекундного уровня успешно захвачен, обеспечивая целостность всего физического пути от генерации импульса до передачи по трассе печатной платы и приема сигнала. Для валидации мелкосерийных или прототипных изделий, хотя тест летающего зонда может предоставить информацию об электрическом соединении между любыми двумя точками на плате, это статический тест. В отличие от JTAG, он не может проверять зависящие от времени механизмы безопасности в контексте динамической работы системы. Тест летающего зонда может подтвердить, что точки A и B соединены, но JTAG может проверить, правильно ли импульс длительностью 1 микросекунда, испущенный из точки A, принят в точке B в течение 500 наносекунд. В критически важных системах реального времени это различие является решающим.

Декомпозиция целевых показателей SIL/PL и интеграция стратегии DFT в аппаратную архитектуру

Достижение конкретного целевого показателя SIL (Safety Integrity Level) или PL (Performance Level) - это задача системной инженерии, которая следует процессу разработки по V-модели. Она начинается с требований безопасности верхнего уровня и каскадно спускается до мер по реализации и валидации аппаратного и программного обеспечения. Проектирование для тестируемости (DFT) играет ключевую связующую роль в этом процессе - это уже не второстепенная мысль после проектирования, а основная деятельность, параллельная функциональному проектированию и проектированию безопасности. Хорошо продуманная стратегия DFT упрощает последующую валидацию, производственное тестирование и полевую диагностику, одновременно предоставляя надежные объективные доказательства для сертификации безопасности.

Превращение Boundary-Scan/JTAG в краеугольный камень стратегии DFT требует тщательного планирования на этапах разработки принципиальной схемы и трассировки печатной платы в начале проекта:

Проектирование цепочки сканирования: Определите, какие ИС должны быть включены в цепочку сканирования JTAG. В идеале, все критически важные цифровые ИС с большим количеством выводов должны быть соединены последовательно (daisy-chained). Учитывайте длину цепочки сканирования, так как чрезмерно длинные цепочки увеличивают время тестирования. Для сложных плат несколько независимых цепочек сканирования могут быть спроектированы и управляться параллельно одним контроллером JTAG.
Целостность сигнала: Тактовый сигнал JTAG (TCK) очень чувствителен к качеству сигнала. При проектировании печатной платы убедитесь, что трассы TCK максимально короткие,远离噪声源 (вдали от источников шума), и правильно согласованы по импедансу и терминированы для предотвращения сбоев тестирования, вызванных отражением сигнала.
Физический интерфейс: Разработайте стандартный, легко подключаемый физический интерфейс (например, разъемы с шагом 2,54 мм или 1,27 мм) для порта JTAG TAP и расположите его на печатной плате в легкодоступном для тестовых приспособлений или программаторов месте.

Эта серия задач требует тесного сотрудничества с опытными профессиональными производителями печатных плат, такими как HILPCB, на этапе анализа DFM/DFT/DFA. Их инженеры могут рассмотреть ваш дизайн с точки зрения производства и тестирования, предлагая предложения по оптимизации, такие как корректировка расположения тестовых точек для улучшения доступности тестирования летающим зондом или оптимизация расположения разъемов JTAG для упрощения процесса сборки. Все тестовые данные, будь то данные структурных тестов JTAG, физических проверок (инспекция SPI/AOI/рентген) или окончательных функциональных тестов, должны систематически записываться и управляться. Именно здесь вступает в игру Прослеживаемость/MES (Manufacturing Execution System). Каждая печатная плата, покидающая завод, должна иметь уникальный серийный номер, и все тестовые данные, записи о ремонте и информация о партиях компонентов во время производства должны быть привязаны к этому серийному номеру и храниться в базе данных. Это не только соответствует обязательным требованиям для сертификации безопасной продукции (например, TÜV, UL), но и обеспечивает полную прослеживаемость жизненного цикла продукта. Когда возникают проблемы на месте эксплуатации, мы можем быстро получить полные «свидетельства о рождении» платы для анализа первопричин или даже превентивно отозвать продукты из той же партии, которые могут иметь потенциальные риски. Выбор поставщика, предлагающего комплексные услуги по сборке под ключ, обеспечивает строгое выполнение всей стратегии DFT, от анализа проекта до прослеживаемости данных.

🛡️ Преимущества сборки HILPCB: Защита ваших систем управления безопасностью

Наши возможности по сборке и тестированию обеспечивают функциональную безопасность и высочайшую надежность.

🔍

Комплексные возможности тестирования

Сочетание Boundary-Scan/JTAG, Flying Probe и рентгеновского контроля для обеспечения полного охвата от физических паяных соединений до электрической функциональности, а также от статической структуры до динамических характеристик.

🔐

Строгий контроль процессов

Надежная система отслеживания/MES обеспечивает прослеживаемость на каждом этапе, от закупки компонентов и SMT-монтажа до окончательного тестирования, предоставляя полную цепочку данных для сертификации безопасности.

⚙

Экспертная поддержка DFM/DFT/DFA

Раннее вмешательство на этапе проектирования предоставляет экспертные рекомендации по компоновке печатных плат и проектированию цепочек JTAG, обеспечивая высокую технологичность и 100% тестируемость для снижения рисков и затрат на начальном этапе.

📚

Опыт поддержки сертификации

Знаком со стандартами функциональной безопасности, такими как IEC 61508/ISO 13849, способен предоставлять исчерпывающие отчеты об испытаниях и документацию производственного процесса, соответствующие требованиям органов по сертификации.

Получить предложение по печатным платам

Заключение: JTAG, выходящий за рамки тестирования, как краеугольный камень безопасности и качества

Анализируя полный текст, Boundary-Scan/JTAG в разработке и производстве печатных плат управления промышленными роботами играет роль, выходящую далеко за рамки простой «технологии тестирования». Это систематическая методология обеспечения качества и безопасности, охватывающая весь жизненный цикл продукта.

На этапе проектирования это ядро стратегии DFT, направляющее нас на создание надежной, изначально проверяемой аппаратной архитектуры.
На этапе проверки прототипа это помогает нам проверять независимость двухканального резервирования, целостность цепей аварийной остановки и динамическое время отклика механизмов безопасности, таких как сторожевые таймеры, с беспрецедентной глубиной и точностью.
На этапе производства он становится мощным инструментом против скрытых производственных дефектов (таких как холодные пайки BGA) в упаковке высокой плотности, работая в тандеме с SPI/AOI/рентгеном для создания нерушимого брандмауэра качества.
На протяжении всего жизненного цикла продукта он интегрируется с системами отслеживания/MES для создания несмываемой "цифровой ДНК" для каждой печатной платы, обеспечивая основу данных для сертификации безопасности, полевого обслуживания и постоянного улучшения.

На волне Индустрии 4.0 роботы станут умнее, сотрудничество человека и робота станет теснее, а требования к функциональной безопасности достигнут беспрецедентных высот. Преодоление этих вызовов требует внедрения генов качества и безопасности с самого начала проектирования. Партнерство с HILPCB - компанией с глубокой технической экспертизой, строгими системами контроля качества и комплексными возможностями тестирования - для максимизации потенциала Boundary-Scan/JTAG является мудрым выбором, чтобы обеспечить стабильную, надежную и безопасную работу ваших систем управления безопасностью в самых суровых промышленных условиях. Это не только ответственность перед продуктом, но и благоговение перед жизнью.