【導(dǎo)讀】新的國(guó)際標(biāo)準(zhǔn)和法規(guī)加速了工業(yè)設(shè)備對(duì)安全系統(tǒng)的需求。功能安全的目標(biāo)是保護(hù)人員和財(cái)產(chǎn)免受損害。這可以通過使用針對(duì)特定危險(xiǎn)的安全功能來實(shí)現(xiàn)。安全功能由一系列子系統(tǒng)組成,包括傳感器、邏輯和輸出模塊,因而需要系統(tǒng)層面和集成電路層面的專門技能來提供具有適當(dāng)功能組合的IC。
摘要
新的國(guó)際標(biāo)準(zhǔn)和法規(guī)加速了工業(yè)設(shè)備對(duì)安全系統(tǒng)的需求。功能安全的目標(biāo)是保護(hù)人員和財(cái)產(chǎn)免受損害。這可以通過使用針對(duì)特定危險(xiǎn)的安全功能來實(shí)現(xiàn)。安全功能由一系列子系統(tǒng)組成,包括傳感器、邏輯和輸出模塊,因而需要系統(tǒng)層面和集成電路層面的專門技能來提供具有適當(dāng)功能組合的IC。本文以 AD7770 Σ-Δ ADC 為例,探討如何構(gòu)思和設(shè)計(jì)高性能IC以提供模擬域和數(shù)字域中的先進(jìn)特性組合,從而簡(jiǎn)化安全系統(tǒng)的設(shè)計(jì)。
簡(jiǎn)介
墨菲定律變體之一:"如果幾件事都可能出錯(cuò),首先出錯(cuò)的往往是會(huì)造成最大損失的那一件。"
如果一個(gè)系統(tǒng)可能產(chǎn)生直接或間接的致命威脅,例如機(jī)器故障等,那么設(shè)計(jì)該系統(tǒng)時(shí),必須最大程度地降低故障可能性及其導(dǎo)致的負(fù)面影響。為了確保發(fā)生隨機(jī)性和確定性故障的概率盡可能低,必須遵循特定的設(shè)計(jì)方法。工業(yè)中將這種設(shè)計(jì)方法稱為功能安全方法。這種方法要求對(duì)系統(tǒng)進(jìn)行細(xì)致入微的分析,確定所有潛在的危險(xiǎn)情況,并運(yùn)用最佳做法來將器件、子系統(tǒng)和系統(tǒng)的故障風(fēng)險(xiǎn)(例如電壓過高或診斷失敗等)降至容許的水平。
功能安全背后的理念是當(dāng)檢測(cè)到錯(cuò)誤時(shí)讓系統(tǒng)保持安全狀態(tài),例如:若來自外部傳感器的轉(zhuǎn)換結(jié)果超出范圍,則斷開使能的輸出連接
IEC-61508是工業(yè)設(shè)備功能安全設(shè)計(jì)參考標(biāo)準(zhǔn),已針對(duì)不同行業(yè)進(jìn)行了修改或闡釋,例如ISO-26262適用于汽車行業(yè),IEC-61131-6適用于可編程控制器。
根據(jù)功能安全標(biāo)準(zhǔn)進(jìn)行設(shè)計(jì)可能相當(dāng)繁瑣,因?yàn)楸仨毻瓿蓮纳现料碌募?xì)致分析,從整體系統(tǒng)描述到所用器件的內(nèi)部功能模塊都不能遺漏。為了保證系統(tǒng)具備足夠高的保護(hù)水平,避免出現(xiàn)任何危險(xiǎn)情況,并使未檢出差錯(cuò)的發(fā)生概率最小,這種分析是有必要的。設(shè)計(jì)功能安全系統(tǒng)時(shí),必須確保系統(tǒng)能夠檢測(cè)到所有錯(cuò)誤,并以足夠快的速度作出反應(yīng),使危險(xiǎn)情況的發(fā)生概率最小,如圖1所示。
圖1.功能安全系統(tǒng)的反應(yīng)時(shí)間
如何設(shè)計(jì)功能安全系統(tǒng)
危害分析的第一步是確定可能致人受傷的方式。對(duì)這些情況進(jìn)行分析之后,系統(tǒng)設(shè)計(jì)應(yīng)確保避免危險(xiǎn)情況發(fā)生。如果存在無法避免的情況,應(yīng)增加安全系統(tǒng)來檢測(cè)該不安全狀態(tài)并讓系統(tǒng)處于安全狀態(tài)。
為了更好地說明這個(gè)問題,假設(shè)存在圖2所示的系統(tǒng)。根據(jù)油箱溫度,一個(gè)連接到油箱的閥門打開一定的百分比以使爆炸風(fēng)險(xiǎn)最低。一個(gè)DAC通過一臺(tái)電機(jī)控制閥門開口大小。所述系統(tǒng)稱為開環(huán)式。
圖2.開環(huán)閥門控制系統(tǒng)信號(hào)鏈
危害分析揭示出有兩種情況可能產(chǎn)生不確定狀態(tài):
溫度測(cè)量錯(cuò)誤。因此,閥門開口大小也不正確。
DAC未能正確打開/關(guān)閉閥門。
下一步是評(píng)估各種危害的風(fēng)險(xiǎn),公式如下:
確定風(fēng)險(xiǎn)之后,下一步便是設(shè)計(jì)一個(gè)能將風(fēng)險(xiǎn)降至容許水平的功能安全系統(tǒng)。
IEC-61508定義了四個(gè)安全完整性等級(jí)(SIL),這些等級(jí)規(guī)定了安全功能應(yīng)將風(fēng)險(xiǎn)降至何種水平。有兩種不同的目標(biāo)概率:一是需要時(shí)失效,適用于處于待命狀態(tài)且由事件觸發(fā)的系統(tǒng)(安全氣囊是一個(gè)很好的例子);二是每小時(shí)失效,適用于持續(xù)運(yùn)行的系統(tǒng),上例就是這種情況。表1總結(jié)了以下標(biāo)準(zhǔn)的SIL之間的大致等效性:IEC61508、ISO 26262(ASIL,汽車)和航空電子關(guān)于期望需要時(shí)失效和每小時(shí)失效的標(biāo)準(zhǔn)。
表1.不同標(biāo)準(zhǔn)的風(fēng)險(xiǎn)水平概算
SIL等級(jí)是基于對(duì)未檢出故障的降低和最小化程度來制定的,這里的未檢出故障是指會(huì)使系統(tǒng)功能失常并可能觸發(fā)不利狀況的故障。
診斷覆蓋率要求是多少?
未檢出故障的概率隨著診斷覆蓋率的提高而降低。若系統(tǒng)能提供99%的診斷覆蓋率,則可實(shí)現(xiàn)SIL3;若診斷覆蓋率為90%,則可實(shí)現(xiàn)SIL2;若診斷覆蓋率只有60%,則可實(shí)現(xiàn)SIL1。換言之,未檢出故障的發(fā)生概率隨著冗余程度的提高而降低。
實(shí)現(xiàn)SIL2或SIL3的較簡(jiǎn)單方法是采用已通過相應(yīng)保護(hù)等級(jí)認(rèn)證的器件。但這并非總是可行的,因?yàn)榇祟惼骷槍?duì)的是特定應(yīng)用,其與您的電路或系統(tǒng)可能不完全相同。因此,之前通過SIL等級(jí)認(rèn)證的器件,它們當(dāng)初使用的認(rèn)證標(biāo)準(zhǔn)可能不適用你的系統(tǒng),而且你的系統(tǒng)保護(hù)等級(jí)也可能不相同。
實(shí)現(xiàn)高診斷覆蓋率的另一種方法是在器件層面使用冗余設(shè)計(jì)。這種情況下,錯(cuò)誤檢測(cè)不是直接進(jìn)行,而是間接進(jìn)行,即比較兩個(gè)(或更多)理應(yīng)相同的輸出。然而,這種方法會(huì)增加功耗、面積和系統(tǒng)的最終成本(成本問題可能最為關(guān)鍵)。
提高器件層面的錯(cuò)誤檢測(cè)水平和冗余度
一個(gè)常見的差錯(cuò)來源是外部接口中的數(shù)據(jù)傳輸:如果任何一位在傳輸中被破壞,數(shù)據(jù)便可能被接收器誤解,并且可能產(chǎn)生不利狀況。為了計(jì)算數(shù)據(jù)傳輸中發(fā)生的總差錯(cuò),可以使用BER(誤碼率)。BER表示因?yàn)樵肼?、干擾(EMC)或任何其他物理原因而遭到破壞的位數(shù)和傳輸?shù)目偙忍財(cái)?shù)的比值。
系統(tǒng)的BER可通過物理方法加以測(cè)量。一般而言,許多標(biāo)準(zhǔn)規(guī)定了這一數(shù)值,例如HDMI®,或者可以使用估計(jì)值?,F(xiàn)代數(shù)據(jù)傳輸?shù)淖畹蜆?biāo)準(zhǔn)BER為10–7。對(duì)許多應(yīng)用來說,此數(shù)值可能太過保守,但可用于參考。
10–7的BER意味著每1000萬位中有1位遭到破壞。對(duì)于SIL3系統(tǒng),每小時(shí)的目標(biāo)最大差錯(cuò)概率為10–7。如果系統(tǒng)在ADC和控制器之間傳輸32位數(shù)據(jù),輸出數(shù)據(jù)速率為1 kSPS,則1小時(shí)傳輸?shù)奈粩?shù)為:
這種情況下,誤碼率會(huì)提高到1.5e–5,這只是一個(gè)接口的貢獻(xiàn);傳輸差錯(cuò)的總貢獻(xiàn)應(yīng)保持在總差錯(cuò)預(yù)算的0.1%到1%之間。
對(duì)于這種情況,可通過增加CRC算法來檢測(cè)差錯(cuò)。可檢測(cè)到的損壞位數(shù)由CRC多項(xiàng)式的Hamming距離定義,例如X8 + X2 + X + 1的Hamming距離為4,能夠在傳輸?shù)拿繋袡z測(cè)到最多3個(gè)損壞位。表2總結(jié)了CRC Hamming距離為4時(shí)根據(jù)每小時(shí)傳輸?shù)牟煌粩?shù)得出的差錯(cuò)概率,假設(shè)傳輸32位數(shù)據(jù)加8位CRC。
表2.CRC Hamming距離為4時(shí)的差錯(cuò)概率
CRC診斷水平可通過如下方式來加強(qiáng):回讀寫入的寄存器,確認(rèn)數(shù)據(jù)傳輸正確。此操作會(huì)提高診斷水平,但所用CRC多項(xiàng)式的差錯(cuò)檢測(cè)水平必須能夠檢測(cè)BER概率所決定的預(yù)期損壞位數(shù)。
如何使故障概率最???
若制造商宣稱某個(gè)器件針對(duì)功能安全系統(tǒng)而設(shè)計(jì),其應(yīng)能夠提供FIT以及更為重要的故障模式、影響和診斷分析(FME(D)A)。此數(shù)據(jù)用于分析特定應(yīng)用中的IC,計(jì)算系統(tǒng)的診斷覆蓋率(DC)、安全失效系數(shù)(SFF)和危險(xiǎn)故障率。
FIT衡量器件的可靠性。IC的FIT可根據(jù)加速壽命測(cè)試或IEC62380、SN29500等工業(yè)標(biāo)準(zhǔn)來計(jì)算;工業(yè)標(biāo)準(zhǔn)將應(yīng)用的平均工作溫度、封裝類型和晶體管數(shù)量視為產(chǎn)生FIT預(yù)測(cè)結(jié)果的因素。FIT只是關(guān)于器件可靠性的預(yù)測(cè),并不提供關(guān)于故障根源的任何信息。一般而言,除非能夠直接或間接檢查每個(gè)功能模塊,否則最終差錯(cuò)概率將會(huì)太高而無法滿足任何SIL2或SIL3安全功能的SIL目標(biāo)。
FME(D)A的目的是提供一個(gè)全面的文件來分析芯片中實(shí)現(xiàn)的所有模塊、模塊失效的直接或間接后果以及支持故障檢測(cè)的不同機(jī)制或方法。如之前所述,這些分析是基于特定信號(hào)鏈/應(yīng)用而完成的,但其詳細(xì)程度應(yīng)足夠高,據(jù)此可以輕松生成針對(duì)其他系統(tǒng)/應(yīng)用的FME(D)A分析。
Σ-Δ ADC可能出什么錯(cuò)?
對(duì)Σ-Δ ADC的一般分析揭示出了此類器件的內(nèi)部復(fù)雜性所引起的多種錯(cuò)誤來源:
1.基準(zhǔn)電壓斷開連接/受損
2.輸入/輸出緩沖器/PGA受損
3.ADC內(nèi)核受損/飽和
4.內(nèi)部穩(wěn)壓器電源不正確
5.外部電源不正確
只有某些問題會(huì)在器件模塊中產(chǎn)生故障,但存在其他不像上面所列那么明顯的故障原因:
1.內(nèi)部鍵合線受損
2.鍵合線與鄰近引腳短路
3.漏電流增加
例如,若VREF漏電流增加以致在內(nèi)部基準(zhǔn)電壓上產(chǎn)生壓降,器件能否檢測(cè)到這一情形?為檢查此類故障,ADC應(yīng)能選擇不同的基準(zhǔn)電壓進(jìn)行轉(zhuǎn)換,并將VREF用作轉(zhuǎn)換輸入。
若內(nèi)部熔絲位再生或發(fā)生其他損壞,可能導(dǎo)致上電時(shí)加載不正確的配置,對(duì)此應(yīng)如何進(jìn)行檢測(cè)?這些都是可能出錯(cuò)的一些事例,即使其發(fā)生概率非常低。所有潛在故障(尤其是非常罕見的故障)及其檢測(cè)方式(如有),都必須在FME(D)A文件中做好記載。此文件總結(jié)了基于特定應(yīng)用和/或配置的故障及所做的假設(shè),目的是最大程度地提高檢測(cè)水平,使未檢出差錯(cuò)最少。
ADI公司的現(xiàn)代化Σ-Δ ADC,比如 AD7770, AD7768, 或 AD7764, 通過多個(gè)診斷檢測(cè)器來提高容錯(cuò)保護(hù),并檢測(cè)數(shù)字模塊和模擬模塊中的功能錯(cuò)誤。下面是此類模塊的一些例子:
1.用于熔絲位、寄存器和接口的CRC校驗(yàn)器
2.過壓/欠壓檢測(cè)器
3.基準(zhǔn)電壓和LDO電壓檢測(cè)器
4.用于PGA增益測(cè)試的內(nèi)部固定電壓
5.外部時(shí)鐘檢測(cè)器
6.多個(gè)基準(zhǔn)電壓源
除了這些特性,AD7770 ADC還集成了一個(gè)輔助12位SAR型ADC,它可以用來提高器件的診斷能力,例如:
1.實(shí)現(xiàn)其他架構(gòu)以得到某些好處,比如提供不同的EMC抗擾度
2.它通過不同的電源引腳供電,故而可以用作基準(zhǔn)電壓源
3.其速度非常快,用作監(jiān)視器時(shí),在一個(gè)Σ-Δ 通道的單次轉(zhuǎn)換期間,它可以監(jiān)視8個(gè)Σ-Δ通道,但該SAR型
4.ADC的精度和Σ-Δ ADC的精 度不同
5.它利用不同的串行接口(SPI)提供轉(zhuǎn)換結(jié)果
6.提供所有內(nèi)部電壓節(jié)點(diǎn)的測(cè)量進(jìn)行診斷,比如外部電源、VREF、VCM、LDO輸出電壓或內(nèi)部基準(zhǔn)電壓。
圖3顯示了AD7770 ADC的內(nèi)部框圖。內(nèi)置監(jiān)視器的模塊用綠色突出顯示,對(duì)紅色突出顯示的模塊可以進(jìn)行主動(dòng)監(jiān)視。
圖3.AD7770 ADC的診斷和監(jiān)控模塊
結(jié)語
為保證功能安全,須提高系統(tǒng)/模塊監(jiān)視和診斷覆蓋率,以降低未檢出錯(cuò)誤的數(shù)學(xué)概率。提高覆蓋率的較簡(jiǎn)單方法是增加冗余,但這會(huì)給系統(tǒng)帶來多方面的不利影響,尤其是成本。ADI公司最近的一些Σ-Δ ADC,比如 AD7124 或AD7768,實(shí)現(xiàn)了許多內(nèi)部錯(cuò)誤檢測(cè)器,這樣可以簡(jiǎn)化功能安全系統(tǒng)的設(shè)計(jì),使整體復(fù)雜度低于其他解決方案。AD7770是精密Σ-Δ ADC設(shè)計(jì)的典范,集成了監(jiān)視和診斷能力,包括通過內(nèi)置冗余轉(zhuǎn)換器來使診斷覆蓋率達(dá)到最大,這使其成為超越一切可能的卓越產(chǎn)品。
推薦閱讀:
