了解和擴(kuò)展Σ-Δ型ADC中的安全操作

新的國際標(biāo)準(zhǔn)和法規(guī)加速了對工業(yè)設(shè)備安全系統(tǒng)的需求。功能安全的目標(biāo)是保護(hù)人員和資產(chǎn)免受傷害。這是通過使用針對特定危險(xiǎn)的安全功能來實(shí)現(xiàn)的。安全功能由一系列子系統(tǒng)組成，包括傳感器、邏輯和輸出模塊，需要系統(tǒng)級和集成電路級專業(yè)知識才能提供具有正確功能集的IC。本文探討AD7770 Σ-Δ型ADC作為高性能IC的一個(gè)例子，該IC旨在為模擬和數(shù)字域提供一組高級特性，從而簡化安全系統(tǒng)的設(shè)計(jì)。

介紹

套用墨菲定律之一：“如果存在幾件事出錯(cuò)的可能性，那么出錯(cuò)的就是造成最大損害的那件事。

一個(gè)可能對人的生命產(chǎn)生直接威脅或間接威脅的系統(tǒng)，如機(jī)器故障，必須設(shè)計(jì)成盡量減少故障的可能性及其隨之而來的負(fù)面影響。為了保證概率隨機(jī)和確定性故障的水平盡可能低，必須遵循特定的設(shè)計(jì)方法。在工業(yè)中，這種設(shè)計(jì)方法稱為功能安全。這種方法需要對系統(tǒng)進(jìn)行細(xì)致的分析，以識別任何潛在的危險(xiǎn)情況，并應(yīng)用最佳實(shí)踐將組件、子系統(tǒng)或系統(tǒng)中的故障風(fēng)險(xiǎn)降低到可容忍的水平，例如不安全狀態(tài)（即電壓過高或診斷失?。?/p>

功能安全背后的理念是在檢測到錯(cuò)誤時(shí)使系統(tǒng)保持安全狀態(tài)，例如，如果外部傳感器的轉(zhuǎn)換結(jié)果未連接，則斷開有源輸出。

IEC-61508是工業(yè)設(shè)備功能安全設(shè)計(jì)的標(biāo)準(zhǔn)參考，并已針對不同行業(yè)進(jìn)行了調(diào)整/解釋，例如用于汽車的ISO-26262或用于可編程控制器的IEC-61131-6。

按照功能安全標(biāo)準(zhǔn)進(jìn)行設(shè)計(jì)可能非常繁瑣，因?yàn)楸仨氝M(jìn)行自上而下的細(xì)致分析，從整體系統(tǒng)描述到所用組件的內(nèi)部功能塊。這種分析對于保證足夠的保護(hù)水平以避免任何危險(xiǎn)情況并最大限度地減少未檢測到的錯(cuò)誤發(fā)生的可能性是必要的。功能安全系統(tǒng)的設(shè)計(jì)應(yīng)使系統(tǒng)能夠檢測任何錯(cuò)誤并做出足夠快的反應(yīng)，以最大程度地降低危險(xiǎn)情況的可能性，如圖1所示。

圖1.功能安全系統(tǒng)中的反應(yīng)時(shí)間。

如何設(shè)計(jì)功能安全系統(tǒng)

第一步是危害分析，以確定某人可能受傷的方式。在對這些情況進(jìn)行分析之后，系統(tǒng)的設(shè)計(jì)應(yīng)避免危險(xiǎn)情況。如果存在不可避免的情況，請?zhí)砑右粋€(gè)功能系統(tǒng)來檢測不安全狀態(tài)并使系統(tǒng)進(jìn)入安全狀態(tài)。

為了說明這個(gè)問題，讓我們假設(shè)假設(shè)的系統(tǒng)如圖 2 所示。根據(jù)儲(chǔ)罐溫度，連接到儲(chǔ)罐的閥門會(huì)打開一個(gè)百分比，以最大程度地降低爆炸風(fēng)險(xiǎn)。DAC通過電機(jī)控制閥門的孔徑。所描述的系統(tǒng)是開環(huán)的。

圖2.開環(huán)閥控制系統(tǒng)信號鏈。

危害分析揭示了可能產(chǎn)生不確定狀態(tài)的兩種情況：

溫度測量不正確。因此，閥門的孔徑不正確。

DAC無法正確打開/關(guān)閉閥門。

下一步是評估與每種危害相關(guān)的風(fēng)險(xiǎn)，

一旦確定了風(fēng)險(xiǎn)，下一步就是設(shè)計(jì)一個(gè)能夠?qū)L(fēng)險(xiǎn)降低到可容忍水平的功能安全系統(tǒng)。

IEC-61508定義了四個(gè)安全完整性等級（SIL），定義了安全功能實(shí)現(xiàn)的風(fēng)險(xiǎn)降低水平。有兩種不同的目標(biāo)概率：按需故障，適用于在事件觸發(fā)之前處于待機(jī)狀態(tài)的系統(tǒng)（安全氣囊就是一個(gè)很好的示例）和每小時(shí)故障概率，適用于持續(xù)運(yùn)行的系統(tǒng)，如上一個(gè)示例所示。表 1 總結(jié)了符合 IEC61508、ISO 26262（ASIL、汽車）和航空電子標(biāo)準(zhǔn)對按需和每小時(shí)預(yù)期故障的 SIL 之間的粗略等效性。

表 1.不同標(biāo)準(zhǔn)的風(fēng)險(xiǎn)水平近似值

SIL基于對未檢測到的故障進(jìn)行所需的減少和最小化，從而在系統(tǒng)上產(chǎn)生故障并可能觸發(fā)不良情況。

什么是診斷覆蓋范圍要求？

未檢測到故障的可能性隨著診斷覆蓋率的增加而降低。如果系統(tǒng)可以提供99%的診斷覆蓋率，則可以實(shí)現(xiàn)SIL3;對于 90% 的診斷覆蓋率，可以聲明 SIL2。如果覆蓋率僅為60%，則可以實(shí)現(xiàn)SIL1。換句話說，未檢測到錯(cuò)誤的發(fā)生率隨著冗余級別的增加而減少。

實(shí)現(xiàn) SIL2 或 SIL3 的更簡單方法是使用已經(jīng)符合此等級保護(hù)的組件。這并不總是可行的，因?yàn)檫@些類型的組件針對特定的應(yīng)用，這些應(yīng)用可能與您的電路或系統(tǒng)不同。因此，用于限定設(shè)備的假設(shè)可能不適用，并且保護(hù)級別可能不同。

實(shí)現(xiàn)高診斷覆蓋率的另一種方法是在組件級別應(yīng)用冗余。在這種情況下，錯(cuò)誤檢測不是直接完成的，而是通過比較兩個(gè)（或多個(gè)）應(yīng)該相同的輸出來間接完成的。然而，這種方法會(huì)增加功耗、面積，可能更重要的是，會(huì)增加系統(tǒng)的最終成本。

在組件級別增加錯(cuò)誤檢測和冗余

常見的錯(cuò)誤來源是外部接口中的數(shù)據(jù)傳輸;如果任何單個(gè)比特在傳輸過程中損壞，數(shù)據(jù)可能會(huì)被接收器誤解，并可能產(chǎn)生不良情況。要計(jì)算傳輸數(shù)據(jù)時(shí)發(fā)生的總誤差，可以使用BER（誤碼率）。誤碼率表示由于噪聲、干擾 （EMC） 或任何其他物理原因而損壞的位數(shù)。

誤碼率可以在系統(tǒng)中進(jìn)行物理測量。通常，該數(shù)字在許多標(biāo)準(zhǔn)中都有定義，例如HDMI中的情況，或者可以使用估計(jì)值。現(xiàn)代數(shù)據(jù)流量的最低標(biāo)準(zhǔn) BER 為 10?–7.對于許多應(yīng)用程序來說，這個(gè)數(shù)字可能被認(rèn)為過于悲觀，但它可以用于參考目的。

誤碼率為 10–7意味著每 1000 萬位中有 1 位將被損壞。對于 SIL3 系統(tǒng)，每小時(shí)的目標(biāo)最大錯(cuò)誤概率為 10–7.如果我們的系統(tǒng)在ADC之間以1 kSPS的輸出數(shù)據(jù)速率向控制器傳輸32位數(shù)據(jù)，那么它將在一小時(shí)內(nèi)傳輸：

在這種情況下，錯(cuò)誤率將增加到 1.5e–5，這只是一個(gè)接口的貢獻(xiàn);傳輸誤差的總貢獻(xiàn)應(yīng)保持在總誤差預(yù)算的0.1%至1%之間。

在這種情況下，可以通過添加CRC算法來檢測錯(cuò)誤?？梢詸z測到的損壞位數(shù)由CRC多項(xiàng)式的漢明距離定義，例如X8+ X2+ X + 1，其漢明距離為 4，每傳輸一幀最多能夠檢測到三個(gè)損壞的位。表2總結(jié)了當(dāng)傳輸32位數(shù)據(jù)加上8位CRC時(shí)，CRC漢明距離為4，每小時(shí)不同位時(shí)每小時(shí)傳輸?shù)奈粩?shù)的誤差概率。

表 2.CRC 漢明距離為 4 的誤差概率

通過回讀已寫入的寄存器并確認(rèn)數(shù)據(jù)已正確傳輸，可以提高使用CRC的診斷級別。此操作將提高診斷級別，但所使用的CRC多項(xiàng)式上的錯(cuò)誤檢測級別必須能夠根據(jù)BER概率檢測預(yù)期的損壞位數(shù)。

可以做些什么來最小化故障概率？

聲稱組件是為功能安全系統(tǒng)設(shè)計(jì)的制造商應(yīng)該能夠提供FIT，更重要的是，提供故障模式，影響和診斷分析（FME（D）A）。此數(shù)據(jù)用于分析特定應(yīng)用中的 IC，以計(jì)算系統(tǒng)的診斷覆蓋率 （DC）、安全故障率 （SFF） 和危險(xiǎn)故障率。

FIT是衡量設(shè)備可靠性的指標(biāo)。IC的FIT可以根據(jù)加速壽命測試或行業(yè)標(biāo)準(zhǔn)（如IEC62380和SN29500）計(jì)算，其中應(yīng)用的平均工作溫度、封裝類型和晶體管數(shù)量用于生成FIT預(yù)測。FIT 不提供有關(guān)故障根本原因的任何信息，僅提供設(shè)備的可靠性預(yù)測。一般來說，除非可以直接或間接檢查每個(gè)功能塊，否則最終誤差概率將太高，無法滿足任何SIL2或SIL3安全功能的SIL目標(biāo)。

FME（D）A的目標(biāo)是提供一份全面的文檔，涵蓋對硅中實(shí)現(xiàn)的所有模塊的分析，直接或間接模塊中故障的后果，以及允許檢測故障的不同機(jī)制或方法。如前所述，這些分析是基于給定的信號鏈/應(yīng)用完成的，但提供的詳細(xì)程度應(yīng)足夠高，以便輕松生成針對不同系統(tǒng)/應(yīng)用的FME（D）A分析。

Σ-Δ型ADC會(huì)出什么問題？

對Σ-Δ型ADC的一般分析突出了由于該器件內(nèi)部復(fù)雜性而導(dǎo)致的多個(gè)誤差源，例如：

參考斷開/損壞

輸入/輸出緩沖器/PGA 損壞

ADC 內(nèi)核損壞/飽和

內(nèi)部穩(wěn)壓器電源不正確

外部電源不正確

這些只是可能在設(shè)備塊中產(chǎn)生故障的一些問題，但還有其他故障來源可能不如前面列出的故障來源那么明顯，例如：

內(nèi)部粘接損壞

與相鄰引腳的接合短路

漏電流增量

例如，組件能否檢測到 V裁判漏電流增加，導(dǎo)致內(nèi)部基準(zhǔn)電壓下降？為了檢查這種類型的故障，ADC應(yīng)該能夠在不同的基準(zhǔn)電壓源之間進(jìn)行轉(zhuǎn)換，并具有V。裁判作為轉(zhuǎn)換的輸入。

如何檢測內(nèi)部保險(xiǎn)絲是否再生或損壞，從而可能在上電時(shí)加載不正確的配置？這些是即使概率真的很低也可能出錯(cuò)的例子。所有潛在的故障，尤其是那些非常罕見的故障，以及檢測它們的方式（如果有的話），都必須在FME（D）A文檔中詳細(xì)記錄。本文檔總結(jié)了故障和基于特定應(yīng)用程序和/或配置所做的假設(shè)，以最大程度地檢測和最小化未檢測到的錯(cuò)誤。

ADI公司的現(xiàn)代ADI Σ-Δ ADC（如AD7770、AD7768或AD7764）采用多個(gè)診斷檢波器，以增強(qiáng)容錯(cuò)保護(hù)，并檢測數(shù)字和模擬模塊中的功能錯(cuò)誤。這些塊的示例包括：

用于保險(xiǎn)絲、寄存器和接口的 CRC 檢查器

過壓/欠壓檢測器

基準(zhǔn)電壓源和LDO電壓檢測器

用于PGA增益測試的內(nèi)部固定電壓

外部時(shí)鐘檢測器

多個(gè)基準(zhǔn)電壓源

除這些特性外，AD7770 ADC還集成了一個(gè)輔助12位SAR ADC，可用于提高器件的診斷能力，用途包括：

它實(shí)施了一種替代體系結(jié)構(gòu)，該體系結(jié)構(gòu)可以提供一些好處，例如提供不同級別的 EMC 抗擾度。

它通過不同的電源引腳供電，可用作基準(zhǔn)。

它足夠快，可以監(jiān)視八個(gè)Σ-Δ通道，以便將Σ-Δ通道作為監(jiān)視器進(jìn)行單次轉(zhuǎn)換，但精度不同。

它使用不同的串行接口 （SPI） 提供轉(zhuǎn)換結(jié)果。

它提供對所有內(nèi)部電壓節(jié)點(diǎn)的訪問，以進(jìn)行診斷，如外部電源、V裁判/ 5厘米、LDO 輸出電壓或內(nèi)部基準(zhǔn)電壓源。

圖3所示為AD7770 ADC的內(nèi)部框圖。包含內(nèi)部監(jiān)視器的塊以紫色突出顯示，以綠色突出顯示的塊可以主動(dòng)監(jiān)視，以藍(lán)色突出顯示的塊包含內(nèi)部和活動(dòng)監(jiān)視功能。

圖3.AD7770 ADC的診斷和監(jiān)控模塊。

結(jié)論

功能安全包括通過增加系統(tǒng)/模塊監(jiān)控和診斷覆蓋率來降低未檢測到錯(cuò)誤的數(shù)學(xué)概率。增加覆蓋范圍的更簡單方法是增加冗余，但這會(huì)在多種方面對系統(tǒng)造成不利影響，尤其是成本。最近的ADI Σ-Δ型ADC（如AD7124或AD7768）集成了許多內(nèi)部誤差檢測器，簡化了功能安全系統(tǒng)的設(shè)計(jì)，與其他解決方案相比，總體復(fù)雜度較低。AD7770是精密Σ-Δ型ADC設(shè)計(jì)的一個(gè)很好的例子，由于其集成的監(jiān)控和診斷功能，包括一個(gè)內(nèi)部冗余轉(zhuǎn)換器，可最大限度地?cái)U(kuò)大診斷覆蓋范圍，因此它領(lǐng)先于其他方面。

審核編輯：郭婷