通過電壓基準(zhǔn)和監(jiān)控器幫助設(shè)計(jì)者實(shí)現(xiàn) ASIL 功能安全目標(biāo)

許多與安全相關(guān)的汽車系統(tǒng)都需要滿足國(guó)際標(biāo)準(zhǔn)化組織 (ISO) 26262 定義的汽車安全完整性等級(jí) (ASIL)。

不遵循 ISO 26262 標(biāo)準(zhǔn)開發(fā)的集成電路 (IC) 不能用于實(shí)現(xiàn)功能安全目標(biāo)，這是一種常見的誤解。許多汽車原始設(shè)備制造商已經(jīng)能夠使用不符合 ASIL 標(biāo)準(zhǔn)的半導(dǎo)體設(shè)備的特性和可靠性來開發(fā)針對(duì) ASIL 要求的系統(tǒng)。在這篇文章中，將演示電壓基準(zhǔn)和監(jiān)控器如何幫助您實(shí)現(xiàn)汽車系統(tǒng)的 ASIL 合規(guī)性。

電壓參考和監(jiān)控器

電壓基準(zhǔn)和監(jiān)控器（復(fù)位 IC）等設(shè)備是常見的半導(dǎo)體設(shè)備，可幫助汽車系統(tǒng)集成商開發(fā)功能安全的系統(tǒng)。在汽車應(yīng)用中使用時(shí)，這些設(shè)備提供診斷覆蓋或冗余監(jiān)控功能。

圖 1 取自 ISO26262-10:2018, 9.2.3.4，是脫離上下文的安全元件 (SEooC) 如何實(shí)施電壓監(jiān)控器和看門狗作為安全機(jī)制的示例。

圖 1：基于 ISO 26262 的 SEooC 系統(tǒng)級(jí)設(shè)計(jì)假設(shè)

?

電壓參考和監(jiān)控器的特性和機(jī)制

電壓監(jiān)控器可以通過提供電源故障檢測(cè)來幫助實(shí)現(xiàn)系統(tǒng)級(jí)功能安全目標(biāo)。當(dāng)在電源上檢測(cè)到過壓或欠壓故障模式時(shí)，電壓監(jiān)控器會(huì)對(duì)微控制器 (MCU) 實(shí)施安全機(jī)制。一些電壓監(jiān)控器還可以提供帶有看門狗定時(shí)器的數(shù)字診斷功能，可以檢測(cè) MCU 的時(shí)鐘故障。時(shí)鐘故障包括 MCU 發(fā)送的延遲脈沖或過早脈沖。窗口看門狗定時(shí)器可以監(jiān)視這些脈沖并警告系統(tǒng)發(fā)生了故障。欠壓和過壓監(jiān)控的另一種方法是使用具有精密參考電壓的模數(shù)轉(zhuǎn)換器 (ADC) 來監(jiān)控多個(gè)電壓軌。圖 2 顯示了窗口看門狗定時(shí)器的工作原理。在某些情況下，具有很高診斷覆蓋率目標(biāo)的系統(tǒng)可能需要冗余安全機(jī)制以實(shí)現(xiàn)系統(tǒng)級(jí)功能安全目標(biāo)。這意味著除了用于監(jiān)控潛在電壓供應(yīng)故障的 ADC 和電壓參考之外，還需要一個(gè)監(jiān)控器來監(jiān)控相同的電壓軌以確保安全性和診斷范圍。

圖 2：窗口看門狗時(shí)序圖

設(shè)備功能安全抵押品

汽車系統(tǒng)的風(fēng)險(xiǎn)評(píng)估表明，由于 IC 故障可能會(huì)發(fā)生故障；因此，某些功能安全系統(tǒng)需要在設(shè)備級(jí)別進(jìn)行評(píng)估。TI 可以提供評(píng)估 IC 所需的設(shè)備信息以及功能安全系統(tǒng)概念的要求。TI 可以為電壓基準(zhǔn)和監(jiān)控器提供設(shè)備附屬資料，例如資格報(bào)告、及時(shí)故障 (FS-FIT)、故障模式分布 (FMD) 以及設(shè)計(jì)故障模式和影響分析 (DFMEA)。

具有功能安全考慮的汽車參考設(shè)計(jì)

“改進(jìn)電壓的ADAS電源參考設(shè)計(jì)”展示了電壓參考和監(jiān)控器如何幫助實(shí)現(xiàn)功能安全系統(tǒng)。此參考設(shè)計(jì)中使用的電壓基準(zhǔn)和監(jiān)控器可以幫助設(shè)計(jì)人員在結(jié)合設(shè)備的功能、特性和設(shè)備附屬品時(shí)實(shí)現(xiàn)系統(tǒng)級(jí)功能安全目標(biāo)。

該參考設(shè)計(jì)為高級(jí)駕駛輔助系統(tǒng) (ADAS) 中的安全 MCU 提供具有額外電壓監(jiān)控和窗口看門狗的汽車電源解決方案。該設(shè)計(jì)有助于實(shí)現(xiàn)準(zhǔn)確的電壓監(jiān)控，并在整個(gè)溫度范圍內(nèi)精確監(jiān)控 1% 的最大值，并包括靈活的復(fù)位延遲和手動(dòng)復(fù)位等功能。TPS3703-Q1 以小尺寸提供過壓和欠壓監(jiān)控，對(duì)外部組件的需求最少，有助于解決空間受限問題。

圖 3 描述了 TPS3703-Q1 如何檢測(cè)過壓和欠壓。對(duì)于潛在的時(shí)鐘故障，TPS3850-Q1 兼作過壓/欠壓監(jiān)視器和窗口看門狗定時(shí)器，如圖 2 和圖 3 所示。它還具有更改看門狗超時(shí)和窗口比率以及禁用看門狗定時(shí)器的靈活性.?在僅需要欠壓監(jiān)控的情況下，TPS3890-Q1 可以以極低的靜態(tài)電流提供準(zhǔn)確的電壓監(jiān)控，以節(jié)省系統(tǒng)功耗。最后但并非最不重要的是，LM4132-Q1 提供精密電壓以參考 ADC 以進(jìn)行電壓監(jiān)控。LM4132-Q1 具有 0.05% 的初始精度和 10 ppm/°C 的低溫漂移，以 60 μA 的低電源電流成本解決了準(zhǔn)確的電壓監(jiān)控問題。

圖 3：欠壓和過壓窗口檢測(cè)器時(shí)序圖

在 ADAS 電源參考設(shè)計(jì)中適應(yīng) ISO 26262 標(biāo)準(zhǔn)

該參考設(shè)計(jì)考慮了 ISO 26262 及其有關(guān)電源電壓監(jiān)控和看門狗診斷的指南。圖 4 解釋了檢測(cè)電源故障和有缺陷的程序序列故障的必要性。圖 4 取自 ISO26262-5:2018 的附錄 D。本附錄旨在評(píng)估診斷覆蓋率，并用作選擇合適的安全機(jī)制以檢測(cè)可能的系統(tǒng)故障的指南。該參考設(shè)計(jì)有助于實(shí)現(xiàn)圖 4 所示的系統(tǒng)級(jí)安全機(jī)制。

圖 4：基于 ISO 26262 的電源和看門狗故障的安全機(jī)制示例

此參考設(shè)計(jì)中使用的電壓監(jiān)控器和基準(zhǔn)電壓源可以通過提供額外的診斷覆蓋范圍、安全機(jī)制或冗余安全監(jiān)控來提供額外的安全層。該產(chǎn)品的故障檢測(cè)性能和功能有助于實(shí)現(xiàn)汽車系統(tǒng)的功能安全目標(biāo)。此外，TI 可以提供抵押品以縮短系統(tǒng)集成商的上市時(shí)間。