當(dāng)前位置:首頁 > 模擬 > 模擬
[導(dǎo)讀]新的國際標(biāo)準(zhǔn)和法規(guī)加速了工業(yè)設(shè)備對安全系統(tǒng)的需求。功能安全的目標(biāo)是保護人員和財產(chǎn)免受損害。這可以通過使用針對特定危險的安全功能來實現(xiàn)。安全功能由一系列子系統(tǒng)組成,包括傳感器、邏輯和輸出模塊,因而需要系統(tǒng)層面和集成電路層面的專門技能來提供具有適當(dāng)功能組合的IC。本文以AD7770 Σ-Δ ADC為例,探討如何構(gòu)思和設(shè)計高性能IC以提供模擬域和數(shù)字域中的先進特性組合,從而簡化安全系統(tǒng)的設(shè)計。

 簡介

墨菲定律變體之一:“如果幾件事都可能出錯,首先出錯的往往是會造成最大損失的那一件。”

如果一個系統(tǒng)可能產(chǎn)生直接或間接的致命威脅,例如機器故障等,那么設(shè)計該系統(tǒng)時,必須最大程度地降低故障可能性及其導(dǎo)致的負面影響。為了確保發(fā)生隨機性和確定性故障的概率盡可能低,必須遵循特定的設(shè)計方法。工業(yè)中將這種設(shè)計方法稱為功能安全方法。這種方法要求對系統(tǒng)進行細致入微的分析,確定所有潛在的危險情況,并運用最佳做法來將器件、子系統(tǒng)和系統(tǒng)的故障風(fēng)險(例如電壓過高或診斷失敗等)降至容許的水平。

功能安全背后的理念是當(dāng)檢測到錯誤時讓系統(tǒng)保持安全狀態(tài),例如:若來自外部傳感器的轉(zhuǎn)換結(jié)果超出范圍,則斷開使能的輸出連接。

IEC-61508是工業(yè)設(shè)備功能安全設(shè)計參考標(biāo)準(zhǔn),已針對不同行業(yè)進行了修改或闡釋,例如ISO-26262適用于汽車行業(yè),IEC-61131-6適用于可編程控制器。

根據(jù)功能安全標(biāo)準(zhǔn)進行設(shè)計可能相當(dāng)繁瑣,因為必須完成從上至下的細致分析,從整體系統(tǒng)描述到所用器件的內(nèi)部功能模塊都不能遺漏。為了保證系統(tǒng)具備足夠高的保護水平,避免出現(xiàn)任何危險情況,并使未檢出差錯的發(fā)生概率最小,這種分析是有必要的。設(shè)計功能安全系統(tǒng)時,必須確保系統(tǒng)能夠檢測到所有錯誤,并以足夠快的速度作出反應(yīng),使危險情況的發(fā)生概率最小,如圖1所示。

圖1.功能安全系統(tǒng)的反應(yīng)時間

如何設(shè)計功能安全系統(tǒng)

危害分析的第一步是確定可能致人受傷的方式。對這些情況進行分析之后,系統(tǒng)設(shè)計應(yīng)確保避免危險情況發(fā)生。如果存在無法避免的情況,應(yīng)增加安全系統(tǒng)來檢測該不安全狀態(tài)并讓系統(tǒng)處于安全狀態(tài)。

為了更好地說明這個問題,假設(shè)存在圖2所示的系統(tǒng)。根據(jù)油箱溫度,一個連接到油箱的閥門打開一定的百分比以使爆炸風(fēng)險最低。一個DAC通過一臺電機控制閥門開口大小。所述系統(tǒng)稱為開環(huán)式。

圖2.開環(huán)閥門控制系統(tǒng)信號鏈

危害分析揭示出有兩種情況可能產(chǎn)生不確定狀態(tài):

溫度測量錯誤。因此,閥門開口大小也不正確。

DAC未能正確打開/關(guān)閉閥門。

下一步是評估各種危害的風(fēng)險,公式如下:

確定風(fēng)險之后,下一步便是設(shè)計一個能將風(fēng)險降至容許水平的功能安全系統(tǒng)。

IEC-61508定義了四個安全完整性等級(SIL),這些等級規(guī)定了安全功能應(yīng)將風(fēng)險降至何種水平。有兩種不同的目標(biāo)概率:一是需要時失效,適用于處于待命狀態(tài)且由事件觸發(fā)的系統(tǒng)(安全氣囊是一個很好的例子);二是每小時失效,適用于持續(xù)運行的系統(tǒng),上例就是這種情況。表1總結(jié)了以下標(biāo)準(zhǔn)的SIL之間的大致等效性:IEC61508、ISO 26262(ASIL,汽車)和航空電子關(guān)于期望需要時失效和每小時失效的標(biāo)準(zhǔn)。

表1.不同標(biāo)準(zhǔn)的風(fēng)險水平概算

PGA阻性PGA標(biāo)準(zhǔn)

IEC 61508 SIL等級汽車航空電子

0.1至0.0110–5 – 10–61AD

0.01至0.00110–6 – 10–72BC

0.001至0.000110–7 – 10–83C/DB

0.0001至0.0000110–8 – 10–94 A

SIL等級是基于對未檢出故障的降低和最小化程度來制定的,這里的未檢出故障是指會使系統(tǒng)功能失常并可能觸發(fā)不利狀況的故障。

診斷覆蓋率要求是多少?

未檢出故障的概率隨著診斷覆蓋率的提高而降低。若系統(tǒng)能提供99%的診斷覆蓋率,則可實現(xiàn)SIL3;若診斷覆蓋率為90%,則可實現(xiàn)SIL2;若診斷覆蓋率只有60%,則可實現(xiàn)SIL1。換言之,未檢出故障的發(fā)生概率隨著冗余程度的提高而降低。

實現(xiàn)SIL2或SIL3的較簡單方法是采用已通過相應(yīng)保護等級認證的器件。但這并非總是可行的,因為此類器件針對的是特定應(yīng)用,其與您的電路或系統(tǒng)可能不完全相同。因此,之前通過SIL等級認證的器件,它們當(dāng)初使用的認證標(biāo)準(zhǔn)可能不適用你的系統(tǒng),而且你的系統(tǒng)保護等級也可能不相同。,保護水平可能不相同。

實現(xiàn)高診斷覆蓋率的另一種方法是在器件層面使用冗余設(shè)計。這種情況下,錯誤檢測不是直接進行,而是間接進行,即比較兩個(或更多)理應(yīng)相同的輸出。然而,這種方法會增加功耗、面積和系統(tǒng)的最終成本(成本問題可能最為關(guān)鍵)。

提高器件層面的錯誤檢測水平和冗余度

一個常見的差錯來源是外部接口中的數(shù)據(jù)傳輸:如果任何一位在傳輸中被破壞,數(shù)據(jù)便可能被接收器誤解,并且可能產(chǎn)生不利狀況。為了計算數(shù)據(jù)傳輸中發(fā)生的總差錯,可以使用BER(誤碼率)。BER表示因為噪聲、干擾(EMC)或任何其他物理原因而遭到破壞的位數(shù)和傳輸?shù)目偙忍財?shù)的比值。

系統(tǒng)的BER可通過物理方法加以測量。一般而言,許多標(biāo)準(zhǔn)規(guī)定了這一數(shù)值,例如HDMI®,或者可以使用估計值?,F(xiàn)代數(shù)據(jù)傳輸?shù)淖畹蜆?biāo)準(zhǔn)BER為10–7。對許多應(yīng)用來說,此數(shù)值可能太過保守,但可用于參考。

10–7的BER意味著每1000萬位中有1位遭到破壞。對于SIL3系統(tǒng),每小時的目標(biāo)最大差錯概率為10–7。如果系統(tǒng)在ADC和控制器之間傳輸32位數(shù)據(jù),輸出數(shù)據(jù)速率為1 kSPS,則1小時傳輸?shù)奈粩?shù)為:

這種情況下,誤碼率會提高到1.5e–5,這只是一個接口的貢獻;傳輸差錯的總貢獻應(yīng)保持在總差錯預(yù)算的0.1%到1%之間。

對于這種情況,可通過增加CRC算法來檢測差錯??蓹z測到的損壞位數(shù)由CRC多項式的Hamming距離定義,例如X8 + X2 + X + 1的Hamming距離為4,能夠在傳輸?shù)拿繋袡z測到最多3個損壞位。表2總結(jié)了CRC Hamming距離為4時根據(jù)每小時傳輸?shù)牟煌粩?shù)得出的差錯概率,假設(shè)傳輸32位數(shù)據(jù)加8位CRC。

表2.CRC Hamming距離為4時的差錯概率

每小時數(shù)據(jù)位數(shù)每小時未檢出差錯的概率

144,000,0002e–14

432,000,0006e–14

2,160,000,0003e–13

CRC診斷水平可通過如下方式來加強:回讀寫入的寄存器,確認數(shù)據(jù)傳輸正確。此操作會提高診斷水平,但所用CRC多項式的差錯檢測水平必須能夠檢測BER概率所決定的預(yù)期損壞位數(shù)。

如何使故障概率最小?

若制造商宣稱某個器件針對功能安全系統(tǒng)而設(shè)計,其應(yīng)能夠提供FIT以及更為重要的故障模式、影響和診斷分析(FME(D)A)。此數(shù)據(jù)用于分析特定應(yīng)用中的IC,計算系統(tǒng)的診斷覆蓋率(DC)、安全失效系數(shù)(SFF)和危險故障率。

FIT衡量器件的可靠性。IC的FIT可根據(jù)加速壽命測試或IEC62380、SN29500等工業(yè)標(biāo)準(zhǔn)來計算;工業(yè)標(biāo)準(zhǔn)將應(yīng)用的平均工作溫度、封裝類型和晶體管數(shù)量視為產(chǎn)生FIT預(yù)測結(jié)果的因素。FIT只是關(guān)于器件可靠性的預(yù)測,并不提供關(guān)于故障根源的任何信息。一般而言,除非能夠直接或間接檢查每個功能模塊,否則最終差錯概率將會太高而無法滿足任何SIL2或SIL3安全功能的SIL目標(biāo)。

FME(D)A的目的是提供一個全面的文件來分析芯片中實現(xiàn)的所有模塊、模塊失效的直接或間接后果以及支持故障檢測的不同機制或方法。如之前所述,這些分析是基于特定信號鏈/應(yīng)用而完成的,但其詳細程度應(yīng)足夠高,據(jù)此可以輕松生成針對其他系統(tǒng)/應(yīng)用的FME(D)A分析。

What Can Go Wrong in a Σ-Δ ADC?

Σ-Δ ADC可能出什么錯?

A general analysis of a Σ-Δ ADC highlights multiple sources of errors due to the internal complexity of this device, such as:

對Σ-Δ ADC的一般分析揭示出了此類器件的內(nèi)部復(fù)雜性所引起的多種錯誤來源:

· 基準(zhǔn)電壓斷開連接/受損

· 輸入/輸出緩沖器/PGA受損

· ADC內(nèi)核受損/飽和

· 內(nèi)部穩(wěn)壓器電源不正確

· 外部電源不正確

只有某些問題會在器件模塊中產(chǎn)生故障,但存在其他不像上面所列那么明顯的故障原因:

· 內(nèi)部鍵合線受損

· 鍵合線與鄰近引腳短路

· 漏電流增加

例如,若VREF漏電流增加以致在內(nèi)部基準(zhǔn)電壓上產(chǎn)生壓降,器件能否檢測到這一情形?為檢查此類故障,ADC應(yīng)能選擇不同的基準(zhǔn)電壓進行轉(zhuǎn)換,并將VREF用作轉(zhuǎn)換輸入。

若內(nèi)部熔絲位再生或發(fā)生其他損壞,可能導(dǎo)致上電時加載不正確的配置,對此應(yīng)如何進行檢測?這些都是可能出錯的一些事例,即使其發(fā)生概率非常低。所有潛在故障(尤其是非常罕見的故障)及其檢測方式(如有),都必須在FME(D)A文件中做好記載。此文件總結(jié)了基于特定應(yīng)用和/或配置的故障及所做的假設(shè),目的是最大程度地提高檢測水平,使未檢出差錯最少。

ADI公司的現(xiàn)代化Σ-Δ ADC,比如AD7770、AD7768或AD7764,通過多個診斷檢測器來提高容錯保護,并檢測數(shù)字模塊和模擬模塊中的功能錯誤。下面是此類模塊的一些例子:

· 用于熔絲位、寄存器和接口的CRC校驗器

· 過壓/欠壓檢測器

· 基準(zhǔn)電壓和LDO電壓檢測器

· 用于PGA增益測試的內(nèi)部固定電壓

· 外部時鐘檢測器

· 多個基準(zhǔn)電壓源

除了這些特性,AD7770 ADC還集成了一個輔助12位SAR型ADC,它可以用來提高器件的診斷能力,例如:

· 實現(xiàn)其他架構(gòu)以得到某些好處,比如提供不同的EMC抗擾度

· 它通過不同的電源引腳供電,故而可以用作基準(zhǔn)電壓源

· 其速度非???,用作監(jiān)視器時,在一個Σ-Δ通道的單次轉(zhuǎn)換期間,它可以監(jiān)視8個Σ-Δ通道,但該SAR型ADC的精度和Σ-ΔADC的精度不同

· 它利用不同的串行接口(SPI)提供轉(zhuǎn)換結(jié)果

· 提供所有內(nèi)部電壓節(jié)點的測量進行診斷,比如外部電源、VREF、VCM、LDO輸出電壓或內(nèi)部基準(zhǔn)電壓。

圖3顯示了AD7770 ADC的內(nèi)部框圖。內(nèi)置監(jiān)視器的模塊用綠色突出顯示,對紅色突出顯示的模塊可以進行主動監(jiān)視。

圖3.AD7770 ADC的診斷和監(jiān)控模塊

結(jié)語

為保證功能安全,須提高系統(tǒng)/模塊監(jiān)視和診斷覆蓋率,以降低未檢出錯誤的數(shù)學(xué)概率。提高覆蓋率的較簡單方法是增加冗余,但這會給系統(tǒng)帶來多方面的不利影響,尤其是成本。ADI公司最近的一些Σ-Δ ADC,比如 AD7124或AD7768,實現(xiàn)了許多內(nèi)部錯誤檢測器,這樣可以簡化功能安全系統(tǒng)的設(shè)計,使整體復(fù)雜度低于其他解決方案。AD7770是精密Σ-Δ ADC設(shè)計的典范,集成了監(jiān)視和診斷能力,包括通過內(nèi)置冗余轉(zhuǎn)換器來使診斷覆蓋率達到最大,這使其成為超越一切可能的卓越產(chǎn)品。

Author

作者簡介

Miguel Usach Merino

Miguel Usach Merino獲瓦倫西亞大學(xué)電子工程學(xué)位,2008年加入ADI公司,任西班牙瓦倫西亞線性與精密技術(shù)部的應(yīng)用工程師。

本站聲明: 本文章由作者或相關(guān)機構(gòu)授權(quán)發(fā)布,目的在于傳遞更多信息,并不代表本站贊同其觀點,本站亦不保證或承諾內(nèi)容真實性等。需要轉(zhuǎn)載請聯(lián)系該專欄作者,如若文章內(nèi)容侵犯您的權(quán)益,請及時聯(lián)系本站刪除。
換一批
延伸閱讀

9月2日消息,不造車的華為或?qū)⒋呱龈蟮莫毥谦F公司,隨著阿維塔和賽力斯的入局,華為引望愈發(fā)顯得引人矚目。

關(guān)鍵字: 阿維塔 塞力斯 華為

加利福尼亞州圣克拉拉縣2024年8月30日 /美通社/ -- 數(shù)字化轉(zhuǎn)型技術(shù)解決方案公司Trianz今天宣布,該公司與Amazon Web Services (AWS)簽訂了...

關(guān)鍵字: AWS AN BSP 數(shù)字化

倫敦2024年8月29日 /美通社/ -- 英國汽車技術(shù)公司SODA.Auto推出其旗艦產(chǎn)品SODA V,這是全球首款涵蓋汽車工程師從創(chuàng)意到認證的所有需求的工具,可用于創(chuàng)建軟件定義汽車。 SODA V工具的開發(fā)耗時1.5...

關(guān)鍵字: 汽車 人工智能 智能驅(qū)動 BSP

北京2024年8月28日 /美通社/ -- 越來越多用戶希望企業(yè)業(yè)務(wù)能7×24不間斷運行,同時企業(yè)卻面臨越來越多業(yè)務(wù)中斷的風(fēng)險,如企業(yè)系統(tǒng)復(fù)雜性的增加,頻繁的功能更新和發(fā)布等。如何確保業(yè)務(wù)連續(xù)性,提升韌性,成...

關(guān)鍵字: 亞馬遜 解密 控制平面 BSP

8月30日消息,據(jù)媒體報道,騰訊和網(wǎng)易近期正在縮減他們對日本游戲市場的投資。

關(guān)鍵字: 騰訊 編碼器 CPU

8月28日消息,今天上午,2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會開幕式在貴陽舉行,華為董事、質(zhì)量流程IT總裁陶景文發(fā)表了演講。

關(guān)鍵字: 華為 12nm EDA 半導(dǎo)體

8月28日消息,在2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會上,華為常務(wù)董事、華為云CEO張平安發(fā)表演講稱,數(shù)字世界的話語權(quán)最終是由生態(tài)的繁榮決定的。

關(guān)鍵字: 華為 12nm 手機 衛(wèi)星通信

要點: 有效應(yīng)對環(huán)境變化,經(jīng)營業(yè)績穩(wěn)中有升 落實提質(zhì)增效舉措,毛利潤率延續(xù)升勢 戰(zhàn)略布局成效顯著,戰(zhàn)新業(yè)務(wù)引領(lǐng)增長 以科技創(chuàng)新為引領(lǐng),提升企業(yè)核心競爭力 堅持高質(zhì)量發(fā)展策略,塑強核心競爭優(yōu)勢...

關(guān)鍵字: 通信 BSP 電信運營商 數(shù)字經(jīng)濟

北京2024年8月27日 /美通社/ -- 8月21日,由中央廣播電視總臺與中國電影電視技術(shù)學(xué)會聯(lián)合牽頭組建的NVI技術(shù)創(chuàng)新聯(lián)盟在BIRTV2024超高清全產(chǎn)業(yè)鏈發(fā)展研討會上宣布正式成立。 活動現(xiàn)場 NVI技術(shù)創(chuàng)新聯(lián)...

關(guān)鍵字: VI 傳輸協(xié)議 音頻 BSP

北京2024年8月27日 /美通社/ -- 在8月23日舉辦的2024年長三角生態(tài)綠色一體化發(fā)展示范區(qū)聯(lián)合招商會上,軟通動力信息技術(shù)(集團)股份有限公司(以下簡稱"軟通動力")與長三角投資(上海)有限...

關(guān)鍵字: BSP 信息技術(shù)
關(guān)閉
關(guān)閉