摘要

 

新xin的de國guo際ji標biao準zhun和he法fa規gui加jia速su了le工gong業ye設she備bei對dui安an全quan係xi統tong的de需xu求qiu。功gong能neng安an全quan的de目mu標biao是shi保bao護hu人ren員yuan和he財cai產chan免mian受shou損sun害hai。這zhe可ke以yi通tong過guo使shi用yong針zhen對dui特te定ding危wei險xian的de安an全quan功gong能neng來lai實shi現xian。安an全quan功gong能neng由you一yi係xi列lie子zi係xi統tong組zu成cheng，包bao括kuo傳chuan感gan器qi、邏輯和輸出模塊，因而需要係統層麵和集成電路層麵的專門技能來提供具有適當功能組合的IC。本文以 AD7770 Σ-Δ ADC 為例
，探討如何構思和設計高性能IC以提供模擬域和數字域中的先進特性組合
，從而簡化安全係統的設計。

 

簡介

 

墨菲定律變體之一："如果幾件事都可能出錯
，首先出錯的往往是會造成最大損失的那一件。"

 

ruguoyigexitongkenengchanshengzhijiehuojianjiedezhimingweixie，lirujiqiguzhangdeng，nameshejigaixitongshi，bixuzuidachengdudijiangdiguzhangkenengxingjiqidaozhidefumianyingxiang。weilequebaofashengsuijixinghequedingxingguzhangdegailvjinkenengdi
，bixuzunxuntedingdeshejifangfa。gongyezhongjiangzhezhongshejifangfachengweigongnenganquanfangfa。zhezhongfangfayaoqiuduixitongjinxingxizhiruweidefenxi
，quedingsuoyouqianzaideweixianqingkuang，bingyunyongzuijiazuofalaijiangqijian、子係統和係統的故障風險（例如電壓過高或診斷失敗等）降至容許的水平。

 

功能安全背後的理念是當檢測到錯誤時讓係統保持安全狀態
，例如：若來自外部傳感器的轉換結果超出範圍
，則斷開使能的輸出連接

 

IEC-61508是工業設備功能安全設計參考標準
，已針對不同行業進行了修改或闡釋
，例如ISO-26262適用於汽車行業，IEC-61131-6適用於可編程控製器。

 

根(gen)據(ju)功(gong)能(neng)安(an)全(quan)標(biao)準(zhun)進(jin)行(xing)設(she)計(ji)可(ke)能(neng)相(xiang)當(dang)繁(fan)瑣(suo)
，因(yin)為(wei)必(bi)須(xu)完(wan)成(cheng)從(cong)上(shang)至(zhi)下(xia)的(de)細(xi)致(zhi)分(fen)析(xi)
，從(cong)整(zheng)體(ti)係(xi)統(tong)描(miao)述(shu)到(dao)所(suo)用(yong)器(qi)件(jian)的(de)內(nei)部(bu)功(gong)能(neng)模(mo)塊(kuai)都(dou)不(bu)能(neng)遺(yi)漏(lou)。為(wei)了(le)保(bao)證(zheng)係(xi)統(tong)具(ju)備(bei)足(zu)夠(gou)高(gao)的(de)保(bao)護(hu)水(shui)平(ping)，避(bi)免(mian)出(chu)現(xian)任(ren)何(he)危(wei)險(xian)情(qing)況(kuang)
，並(bing)使(shi)未(wei)檢(jian)出(chu)差(cha)錯(cuo)的(de)發(fa)生(sheng)概(gai)率(lv)最(zui)小(xiao)，這(zhe)種(zhong)分(fen)析(xi)是(shi)有(you)必(bi)要(yao)的(de)。設(she)計(ji)功(gong)能(neng)安(an)全(quan)係(xi)統(tong)時(shi)
，必(bi)須(xu)確(que)保(bao)係(xi)統(tong)能(neng)夠(gou)檢(jian)測(ce)到(dao)所(suo)有(you)錯(cuo)誤(wu)，並(bing)以(yi)足(zu)夠(gou)快(kuai)的(de)速(su)度(du)作(zuo)出(chu)反(fan)應(ying)
，使(shi)危(wei)險(xian)情(qing)況(kuang)的(de)發(fa)生(sheng)概(gai)率(lv)最(zui)小(xiao)
，如(ru)圖(tu)1所示。

 

圖1.功能安全係統的反應時間

 

如何設計功能安全係統

 

危wei害hai分fen析xi的de第di一yi步bu是shi確que定ding可ke能neng致zhi人ren受shou傷shang的de方fang式shi。對dui這zhe些xie情qing況kuang進jin行xing分fen析xi之zhi後hou
，係xi統tong設she計ji應ying確que保bao避bi免mian危wei險xian情qing況kuang發fa生sheng。如ru果guo存cun在zai無wu法fa避bi免mian的de情qing況kuang，應ying增zeng加jia安an全quan係xi統tong來lai檢jian測ce該gai不bu安an全quan狀zhuang態tai並bing讓rang係xi統tong處chu於yu安an全quan狀zhuang態tai。

 

為了更好地說明這個問題
，假設存在圖2所示的係統。根據油箱溫度
，一個連接到油箱的閥門打開一定的百分比以使爆炸風險最低。一個DAC通過一台電機控製閥門開口大小。所述係統稱為開環式。

 

圖2.開環閥門控製係統信號鏈

 

危害分析揭示出有兩種情況可能產生不確定狀態：

 

溫度測量錯誤。因此，閥門開口大小也不正確。

 

DAC未能正確打開/關閉閥門。

 

下一步是評估各種危害的風險
，公式如下：

 

 

確定風險之後
，下一步便是設計一個能將風險降至容許水平的功能安全係統。

 

IEC-61508定義了四個安全完整性等級(SIL)
，這些等級規定了安全功能應將風險降至何種水平。有兩種不同的目標概率：一是需要時失效，適用於處於待命狀態且由事件觸發的係統（安全氣囊是一個很好的例子）；二是每小時失效，適用於持續運行的係統
，上例就是這種情況。表1總結了以下標準的SIL之間的大致等效性：IEC61508、ISO 26262（ASIL
，汽車）和航空電子關於期望需要時失效和每小時失效的標準。

 

表1.不同標準的風險水平概算

 

SIL等級是基於對未檢出故障的降低和最小化程度來製定的，這裏的未檢出故障是指會使係統功能失常並可能觸發不利狀況的故障。

 

診斷覆蓋率要求是多少
？

 

未檢出故障的概率隨著診斷覆蓋率的提高而降低。若係統能提供99%的診斷覆蓋率，則可實現SIL3；若診斷覆蓋率為90%
，則可實現SIL2；若診斷覆蓋率隻有60%，則可實現SIL1。換言之
，未檢出故障的發生概率隨著冗餘程度的提高而降低。

 

實現SIL2或SIL3的de較jiao簡jian單dan方fang法fa是shi采cai用yong已yi通tong過guo相xiang應ying保bao護hu等deng級ji認ren證zheng的de器qi件jian。但dan這zhe並bing非fei總zong是shi可ke行xing的de，因yin為wei此ci類lei器qi件jian針zhen對dui的de是shi特te定ding應ying用yong
，其qi與yu您nin的de電dian路lu或huo係xi統tong可ke能neng不bu完wan全quan相xiang同tong。因yin此ci

，之zhi前qian通tong過guoSIL等級認證的器件，它們當初使用的認證標準可能不適用你的係統，而且你的係統保護等級也可能不相同。

 

實現高診斷覆蓋率的另一種方法是在器件層麵使用冗餘設計。這種情況下
，錯誤檢測不是直接進行，而是間接進行，即比較兩個（或更多）理應相同的輸出。然而，這種方法會增加功耗、麵積和係統的最終成本（成本問題可能最為關鍵）。

 

提高器件層麵的錯誤檢測水平和冗餘度

 

一個常見的差錯來源是外部接口中的數據傳輸：如果任何一位在傳輸中被破壞，數據便可能被接收器誤解
，並且可能產生不利狀況。為了計算數據傳輸中發生的總差錯，可以使用BER（誤碼率）。BER表示因為噪聲、幹擾(EMC)或任何其他物理原因而遭到破壞的位數和傳輸的總比特數的比值。

 

 

係統的BER可通過物理方法加以測量。一般而言，許多標準規定了這一數值
，例如HDMI®，或者可以使用估計值。現代數據傳輸的最低標準BER為10–7。對許多應用來說，此數值可能太過保守，但可用於參考。

 

10–7的BER意味著每1000萬位中有1位遭到破壞。對於SIL3係統，每小時的目標最大差錯概率為10–7。如果係統在ADC和控製器之間傳輸32位數據，輸出數據速率為1 kSPS，則1小時傳輸的位數為：

 

 

這種情況下，誤碼率會提高到1.5e–5，這隻是一個接口的貢獻；傳輸差錯的總貢獻應保持在總差錯預算的0.1%到1%之間。

 

對於這種情況，可通過增加CRC算法來檢測差錯。可檢測到的損壞位數由CRC多項式的Hamming距離定義，例如X8 + X2 + X + 1的Hamming距離為4
，能夠在傳輸的每幀中檢測到最多3個損壞位。表2總結了CRC Hamming距離為4時根據每小時傳輸的不同位數得出的差錯概率
，假設傳輸32位數據加8位CRC。

 

表2.CRC Hamming距離為4時的差錯概率

 

CRC診斷水平可通過如下方式來加強：回讀寫入的寄存器，確認數據傳輸正確。此操作會提高診斷水平

，但所用CRC多項式的差錯檢測水平必須能夠檢測BER概率所決定的預期損壞位數。

 

如何使故障概率最小

？

 

若製造商宣稱某個器件針對功能安全係統而設計
，其應能夠提供FIT以及更為重要的故障模式、影響和診斷分析(FME(D)A)。此數據用於分析特定應用中的IC
，計算係統的診斷覆蓋率(DC)、安全失效係數(SFF)和危險故障率。

 

FIT衡量器件的可靠性。IC的FIT可根據加速壽命測試或IEC62380
、SN29500等工業標準來計算
；工業標準將應用的平均工作溫度、封裝類型和晶體管數量視為產生FIT預測結果的因素。FIT隻zhi是shi關guan於yu器qi件jian可ke靠kao性xing的de預yu測ce，並bing不bu提ti供gong關guan於yu故gu障zhang根gen源yuan的de任ren何he信xin息xi。一yi般ban而er言yan
，除chu非fei能neng夠gou直zhi接jie或huo間jian接jie檢jian查zha每mei個ge功gong能neng模mo塊kuai，否fou則ze最zui終zhong差cha錯cuo概gai率lv將jiang會hui太tai高gao而er無wu法fa滿man足zu任ren何heSIL2或SIL3安全功能的SIL目標。

 

FME(D)A的目的是提供一個全麵的文件來分析芯片中實現的所有模塊、模塊失效的直接或間接後果以及支持故障檢測的不同機製或方法。如之前所述，這些分析是基於特定信號鏈/應用而完成的，但其詳細程度應足夠高，據此可以輕鬆生成針對其他係統/應用的FME(D)A分析。

 

Σ-Δ ADC可能出什麼錯
？

 

對Σ-Δ ADC的一般分析揭示出了此類器件的內部複雜性所引起的多種錯誤來源：

 

1.基準電壓斷開連接/受損

2.輸入/輸出緩衝器/PGA受損

3.ADC內核受損/飽和 

4.內部穩壓器電源不正確

5.外部電源不正確

 

隻有某些問題會在器件模塊中產生故障，但存在其他不像上麵所列那麼明顯的故障原因：

 

1.內部鍵合線受損

2.鍵合線與鄰近引腳短路 

3.漏電流增加

 

例如，若VREF漏電流增加以致在內部基準電壓上產生壓降，器件能否檢測到這一情形
？為檢查此類故障
，ADC應能選擇不同的基準電壓進行轉換，並將VREF用作轉換輸入。

 

ruoneiburongsiweizaishenghuofashengqitasunhuai，kenengdaozhishangdianshijiazaibuzhengquedepeizhi，duiciyingruhejinxingjiance？zhexiedoushikenengchucuodeyixieshili

，jishiqifashenggailvfeichangdi。suoyouqianzaiguzhang（尤其是非常罕見的故障）及其檢測方式（如有），都必須在FME(D)A文件中做好記載。此文件總結了基於特定應用和/或配置的故障及所做的假設，目的是最大程度地提高檢測水平，使未檢出差錯最少。

 

ADI公司的現代化Σ-Δ ADC，比如 AD7770, AD7768, 或 AD7764, 通過多個診斷檢測器來提高容錯保護，並檢測數字模塊和模擬模塊中的功能錯誤。下麵是此類模塊的一些例子：

 

1.用於熔絲位、寄存器和接口的CRC校驗器 

2.過壓/欠壓檢測器

3.基準電壓和LDO電壓檢測器

4.用於PGA增益測試的內部固定電壓 

5.外部時鍾檢測器 

6.多個基準電壓源

 

除了這些特性，AD7770 ADC還集成了一個輔助12位SAR型ADC

，它可以用來提高器件的診斷能力，例如：

 

1.實現其他架構以得到某些好處，比如提供不同的EMC抗擾度 

2.它通過不同的電源引腳供電，故而可以用作基準電壓源 

3.其速度非常快，用作監視器時
，在一個Σ-Δ 通道的單次轉換期間，它可以監視8個Σ-Δ通道，但該SAR型 

4.ADC的精度和Σ-Δ ADC的精 度不同 

5.它利用不同的串行接口(SPI)提供轉換結果

6.提供所有內部電壓節點的測量進行診斷，比如外部電源、VREF

、VCM
、LDO輸出電壓或內部基準電壓。

 

圖3顯示了AD7770 ADC的內部框圖。內置監視器的模塊用綠色突出顯示
，對紅色突出顯示的模塊可以進行主動監視。

 

圖3.AD7770 ADC的診斷和監控模塊

 

結語

 

為保證功能安全，須提高係統/模(mo)塊(kuai)監(jian)視(shi)和(he)診(zhen)斷(duan)覆(fu)蓋(gai)率(lv)，以(yi)降(jiang)低(di)未(wei)檢(jian)出(chu)錯(cuo)誤(wu)的(de)數(shu)學(xue)概(gai)率(lv)。提(ti)高(gao)覆(fu)蓋(gai)率(lv)的(de)較(jiao)簡(jian)單(dan)方(fang)法(fa)是(shi)增(zeng)加(jia)冗(rong)餘(yu)，但(dan)這(zhe)會(hui)給(gei)係(xi)統(tong)帶(dai)來(lai)多(duo)方(fang)麵(mian)的(de)不(bu)利(li)影(ying)響(xiang)，尤(you)其(qi)是(shi)成(cheng)本(ben)。ADI公司最近的一些Σ-Δ ADC，比如  AD7124 或AD7768，實現了許多內部錯誤檢測器，這樣可以簡化功能安全係統的設計，使整體複雜度低於其他解決方案。AD7770是精密Σ-Δ ADC設計的典範，集成了監視和診斷能力
，包括通過內置冗餘轉換器來使診斷覆蓋率達到最大，這使其成為超越一切可能的卓越產品。

 

 

推薦閱讀：