簡介
墨菲定律變體之一:“如果幾件事都可能出錯,首先出錯的往往是會造成最大損失的那一件。”
如果一個系統(tǒng)可能產(chǎn)生直接或間接的致命威脅,例如機器故障等,那么設(shè)計該系統(tǒng)時,必須最大程度地降低故障可能性及其導(dǎo)致的負面影響。為了確保發(fā)生隨機性和確定性故障的概率盡可能低,必須遵循特定的設(shè)計方法。工業(yè)中將這種設(shè)計方法稱為功能安全方法。這種方法要求對系統(tǒng)進行細致入微的分析,確定所有潛在的危險情況,并運用最佳做法來將器件、子系統(tǒng)和系統(tǒng)的故障風(fēng)險(例如電壓過高或診斷失敗等)降至容許的水平。
功能安全背后的理念是當(dāng)檢測到錯誤時讓系統(tǒng)保持安全狀態(tài),例如:若來自外部傳感器的轉(zhuǎn)換結(jié)果超出范圍,則斷開使能的輸出連接。
IEC-61508是工業(yè)設(shè)備功能安全設(shè)計參考標(biāo)準(zhǔn),已針對不同行業(yè)進行了修改或闡釋,例如ISO-26262適用于汽車行業(yè),IEC-61131-6適用于可編程控制器。
根據(jù)功能安全標(biāo)準(zhǔn)進行設(shè)計可能相當(dāng)繁瑣,因為必須完成從上至下的細致分析,從整體系統(tǒng)描述到所用器件的內(nèi)部功能模塊都不能遺漏。為了保證系統(tǒng)具備足夠高的保護水平,避免出現(xiàn)任何危險情況,并使未檢出差錯的發(fā)生概率最小,這種分析是有必要的。設(shè)計功能安全系統(tǒng)時,必須確保系統(tǒng)能夠檢測到所有錯誤,并以足夠快的速度作出反應(yīng),使危險情況的發(fā)生概率最小,如圖1所示。
圖1.功能安全系統(tǒng)的反應(yīng)時間
如何設(shè)計功能安全系統(tǒng)
危害分析的第一步是確定可能致人受傷的方式。對這些情況進行分析之后,系統(tǒng)設(shè)計應(yīng)確保避免危險情況發(fā)生。如果存在無法避免的情況,應(yīng)增加安全系統(tǒng)來檢測該不安全狀態(tài)并讓系統(tǒng)處于安全狀態(tài)。
為了更好地說明這個問題,假設(shè)存在圖2所示的系統(tǒng)。根據(jù)油箱溫度,一個連接到油箱的閥門打開一定的百分比以使爆炸風(fēng)險最低。一個DAC通過一臺電機控制閥門開口大小。所述系統(tǒng)稱為開環(huán)式。
圖2.開環(huán)閥門控制系統(tǒng)信號鏈
危害分析揭示出有兩種情況可能產(chǎn)生不確定狀態(tài):
溫度測量錯誤。因此,閥門開口大小也不正確。
DAC未能正確打開/關(guān)閉閥門。
下一步是評估各種危害的風(fēng)險,公式如下:
確定風(fēng)險之后,下一步便是設(shè)計一個能將風(fēng)險降至容許水平的功能安全系統(tǒng)。
IEC-61508定義了四個安全完整性等級(SIL),這些等級規(guī)定了安全功能應(yīng)將風(fēng)險降至何種水平。有兩種不同的目標(biāo)概率:一是需要時失效,適用于處于待命狀態(tài)且由事件觸發(fā)的系統(tǒng)(安全氣囊是一個很好的例子);二是每小時失效,適用于持續(xù)運行的系統(tǒng),上例就是這種情況。表1總結(jié)了以下標(biāo)準(zhǔn)的SIL之間的大致等效性:IEC61508、ISO 26262(ASIL,汽車)和航空電子關(guān)于期望需要時失效和每小時失效的標(biāo)準(zhǔn)。
表1.不同標(biāo)準(zhǔn)的風(fēng)險水平概算
PGA阻性PGA標(biāo)準(zhǔn)
IEC 61508 SIL等級汽車航空電子
0.1至0.0110–5 – 10–61AD
0.01至0.00110–6 – 10–72BC
0.001至0.000110–7 – 10–83C/DB
0.0001至0.0000110–8 – 10–94 A
SIL等級是基于對未檢出故障的降低和最小化程度來制定的,這里的未檢出故障是指會使系統(tǒng)功能失常并可能觸發(fā)不利狀況的故障。
診斷覆蓋率要求是多少?
未檢出故障的概率隨著診斷覆蓋率的提高而降低。若系統(tǒng)能提供99%的診斷覆蓋率,則可實現(xiàn)SIL3;若診斷覆蓋率為90%,則可實現(xiàn)SIL2;若診斷覆蓋率只有60%,則可實現(xiàn)SIL1。換言之,未檢出故障的發(fā)生概率隨著冗余程度的提高而降低。
實現(xiàn)SIL2或SIL3的較簡單方法是采用已通過相應(yīng)保護等級認證的器件。但這并非總是可行的,因為此類器件針對的是特定應(yīng)用,其與您的電路或系統(tǒng)可能不完全相同。因此,之前通過SIL等級認證的器件,它們當(dāng)初使用的認證標(biāo)準(zhǔn)可能不適用你的系統(tǒng),而且你的系統(tǒng)保護等級也可能不相同。,保護水平可能不相同。
實現(xiàn)高診斷覆蓋率的另一種方法是在器件層面使用冗余設(shè)計。這種情況下,錯誤檢測不是直接進行,而是間接進行,即比較兩個(或更多)理應(yīng)相同的輸出。然而,這種方法會增加功耗、面積和系統(tǒng)的最終成本(成本問題可能最為關(guān)鍵)。
提高器件層面的錯誤檢測水平和冗余度
一個常見的差錯來源是外部接口中的數(shù)據(jù)傳輸:如果任何一位在傳輸中被破壞,數(shù)據(jù)便可能被接收器誤解,并且可能產(chǎn)生不利狀況。為了計算數(shù)據(jù)傳輸中發(fā)生的總差錯,可以使用BER(誤碼率)。BER表示因為噪聲、干擾(EMC)或任何其他物理原因而遭到破壞的位數(shù)和傳輸?shù)目偙忍財?shù)的比值。
系統(tǒng)的BER可通過物理方法加以測量。一般而言,許多標(biāo)準(zhǔn)規(guī)定了這一數(shù)值,例如HDMI®,或者可以使用估計值?,F(xiàn)代數(shù)據(jù)傳輸?shù)淖畹蜆?biāo)準(zhǔn)BER為10–7。對許多應(yīng)用來說,此數(shù)值可能太過保守,但可用于參考。
10–7的BER意味著每1000萬位中有1位遭到破壞。對于SIL3系統(tǒng),每小時的目標(biāo)最大差錯概率為10–7。如果系統(tǒng)在ADC和控制器之間傳輸32位數(shù)據(jù),輸出數(shù)據(jù)速率為1 kSPS,則1小時傳輸?shù)奈粩?shù)為:
這種情況下,誤碼率會提高到1.5e–5,這只是一個接口的貢獻;傳輸差錯的總貢獻應(yīng)保持在總差錯預(yù)算的0.1%到1%之間。
對于這種情況,可通過增加CRC算法來檢測差錯??蓹z測到的損壞位數(shù)由CRC多項式的Hamming距離定義,例如X8 + X2 + X + 1的Hamming距離為4,能夠在傳輸?shù)拿繋袡z測到最多3個損壞位。表2總結(jié)了CRC Hamming距離為4時根據(jù)每小時傳輸?shù)牟煌粩?shù)得出的差錯概率,假設(shè)傳輸32位數(shù)據(jù)加8位CRC。
表2.CRC Hamming距離為4時的差錯概率
每小時數(shù)據(jù)位數(shù)每小時未檢出差錯的概率
144,000,0002e–14
432,000,0006e–14
2,160,000,0003e–13
CRC診斷水平可通過如下方式來加強:回讀寫入的寄存器,確認數(shù)據(jù)傳輸正確。此操作會提高診斷水平,但所用CRC多項式的差錯檢測水平必須能夠檢測BER概率所決定的預(yù)期損壞位數(shù)。
如何使故障概率最小?
若制造商宣稱某個器件針對功能安全系統(tǒng)而設(shè)計,其應(yīng)能夠提供FIT以及更為重要的故障模式、影響和診斷分析(FME(D)A)。此數(shù)據(jù)用于分析特定應(yīng)用中的IC,計算系統(tǒng)的診斷覆蓋率(DC)、安全失效系數(shù)(SFF)和危險故障率。
FIT衡量器件的可靠性。IC的FIT可根據(jù)加速壽命測試或IEC62380、SN29500等工業(yè)標(biāo)準(zhǔn)來計算;工業(yè)標(biāo)準(zhǔn)將應(yīng)用的平均工作溫度、封裝類型和晶體管數(shù)量視為產(chǎn)生FIT預(yù)測結(jié)果的因素。FIT只是關(guān)于器件可靠性的預(yù)測,并不提供關(guān)于故障根源的任何信息。一般而言,除非能夠直接或間接檢查每個功能模塊,否則最終差錯概率將會太高而無法滿足任何SIL2或SIL3安全功能的SIL目標(biāo)。
FME(D)A的目的是提供一個全面的文件來分析芯片中實現(xiàn)的所有模塊、模塊失效的直接或間接后果以及支持故障檢測的不同機制或方法。如之前所述,這些分析是基于特定信號鏈/應(yīng)用而完成的,但其詳細程度應(yīng)足夠高,據(jù)此可以輕松生成針對其他系統(tǒng)/應(yīng)用的FME(D)A分析。
What Can Go Wrong in a Σ-Δ ADC?
Σ-Δ ADC可能出什么錯?
A general analysis of a Σ-Δ ADC highlights multiple sources of errors due to the internal complexity of this device, such as:
對Σ-Δ ADC的一般分析揭示出了此類器件的內(nèi)部復(fù)雜性所引起的多種錯誤來源:
· 基準(zhǔn)電壓斷開連接/受損
· 輸入/輸出緩沖器/PGA受損
· ADC內(nèi)核受損/飽和
· 內(nèi)部穩(wěn)壓器電源不正確
· 外部電源不正確
只有某些問題會在器件模塊中產(chǎn)生故障,但存在其他不像上面所列那么明顯的故障原因:
· 內(nèi)部鍵合線受損
· 鍵合線與鄰近引腳短路
· 漏電流增加
例如,若VREF漏電流增加以致在內(nèi)部基準(zhǔn)電壓上產(chǎn)生壓降,器件能否檢測到這一情形?為檢查此類故障,ADC應(yīng)能選擇不同的基準(zhǔn)電壓進行轉(zhuǎn)換,并將VREF用作轉(zhuǎn)換輸入。
若內(nèi)部熔絲位再生或發(fā)生其他損壞,可能導(dǎo)致上電時加載不正確的配置,對此應(yīng)如何進行檢測?這些都是可能出錯的一些事例,即使其發(fā)生概率非常低。所有潛在故障(尤其是非常罕見的故障)及其檢測方式(如有),都必須在FME(D)A文件中做好記載。此文件總結(jié)了基于特定應(yīng)用和/或配置的故障及所做的假設(shè),目的是最大程度地提高檢測水平,使未檢出差錯最少。
ADI公司的現(xiàn)代化Σ-Δ ADC,比如AD7770、AD7768或AD7764,通過多個診斷檢測器來提高容錯保護,并檢測數(shù)字模塊和模擬模塊中的功能錯誤。下面是此類模塊的一些例子:
· 用于熔絲位、寄存器和接口的CRC校驗器
· 過壓/欠壓檢測器
· 基準(zhǔn)電壓和LDO電壓檢測器
· 用于PGA增益測試的內(nèi)部固定電壓
· 外部時鐘檢測器
· 多個基準(zhǔn)電壓源
除了這些特性,AD7770 ADC還集成了一個輔助12位SAR型ADC,它可以用來提高器件的診斷能力,例如:
· 實現(xiàn)其他架構(gòu)以得到某些好處,比如提供不同的EMC抗擾度
· 它通過不同的電源引腳供電,故而可以用作基準(zhǔn)電壓源
· 其速度非???,用作監(jiān)視器時,在一個Σ-Δ通道的單次轉(zhuǎn)換期間,它可以監(jiān)視8個Σ-Δ通道,但該SAR型ADC的精度和Σ-ΔADC的精度不同
· 它利用不同的串行接口(SPI)提供轉(zhuǎn)換結(jié)果
· 提供所有內(nèi)部電壓節(jié)點的測量進行診斷,比如外部電源、VREF、VCM、LDO輸出電壓或內(nèi)部基準(zhǔn)電壓。
圖3顯示了AD7770 ADC的內(nèi)部框圖。內(nèi)置監(jiān)視器的模塊用綠色突出顯示,對紅色突出顯示的模塊可以進行主動監(jiān)視。
圖3.AD7770 ADC的診斷和監(jiān)控模塊
結(jié)語
為保證功能安全,須提高系統(tǒng)/模塊監(jiān)視和診斷覆蓋率,以降低未檢出錯誤的數(shù)學(xué)概率。提高覆蓋率的較簡單方法是增加冗余,但這會給系統(tǒng)帶來多方面的不利影響,尤其是成本。ADI公司最近的一些Σ-Δ ADC,比如 AD7124或AD7768,實現(xiàn)了許多內(nèi)部錯誤檢測器,這樣可以簡化功能安全系統(tǒng)的設(shè)計,使整體復(fù)雜度低于其他解決方案。AD7770是精密Σ-Δ ADC設(shè)計的典范,集成了監(jiān)視和診斷能力,包括通過內(nèi)置冗余轉(zhuǎn)換器來使診斷覆蓋率達到最大,這使其成為超越一切可能的卓越產(chǎn)品。
Author
作者簡介
Miguel Usach Merino
Miguel Usach Merino獲瓦倫西亞大學(xué)電子工程學(xué)位,2008年加入ADI公司,任西班牙瓦倫西亞線性與精密技術(shù)部的應(yīng)用工程師。