了解并延續Σ-Δ ADC的安全運行

簡(jiǎn)介

墨菲定律變體之一：“如果幾件事都可能出錯，首先出錯的往往是會(huì )造成最大損失的那一件。”

如果一個(gè)系統可能產(chǎn)生直接或間接的致命威脅，例如機器故障等，那么設計該系統時(shí)，必須最大程度地降低故障可能性及其導致的負面影響。為了確保發(fā)生隨機性和確定性故障的概率盡可能低，必須遵循特定的設計方法。工業(yè)中將這種設計方法稱(chēng)為功能安全方法。這種方法要求對系統進(jìn)行細致入微的分析，確定所有潛在的危險情況，并運用最佳做法來(lái)將器件、子系統和系統的故障風(fēng)險(例如電壓過(guò)高或診斷失敗等)降至容許的水平。

功能安全背后的理念是當檢測到錯誤時(shí)讓系統保持安全狀態(tài)，例如：若來(lái)自外部傳感器的轉換結果超出范圍，則斷開(kāi)使能的輸出連接。

IEC-61508是工業(yè)設備功能安全設計參考標準，已針對不同行業(yè)進(jìn)行了修改或闡釋?zhuān)鏘SO-26262適用于汽車(chē)行業(yè)，IEC-61131-6適用于可編程控制器。

根據功能安全標準進(jìn)行設計可能相當繁瑣，因為必須完成從上至下的細致分析，從整體系統描述到所用器件的內部功能模塊都不能遺漏。為了保證系統具備足夠高的保護水平，避免出現任何危險情況，并使未檢出差錯的發(fā)生概率最小，這種分析是有必要的。設計功能安全系統時(shí)，必須確保系統能夠檢測到所有錯誤，并以足夠快的速度作出反應，使危險情況的發(fā)生概率最小，如圖1所示。

圖1.功能安全系統的反應時(shí)間

如何設計功能安全系統

危害分析的第一步是確定可能致人受傷的方式。對這些情況進(jìn)行分析之后，系統設計應確保避免危險情況發(fā)生。如果存在無(wú)法避免的情況，應增加安全系統來(lái)檢測該不安全狀態(tài)并讓系統處于安全狀態(tài)。

為了更好地說(shuō)明這個(gè)問(wèn)題，假設存在圖2所示的系統。根據油箱溫度，一個(gè)連接到油箱的閥門(mén)打開(kāi)一定的百分比以使爆炸風(fēng)險最低。一個(gè)DAC通過(guò)一臺電機控制閥門(mén)開(kāi)口大小。所述系統稱(chēng)為開(kāi)環(huán)式。

圖2.開(kāi)環(huán)閥門(mén)控制系統信號鏈

危害分析揭示出有兩種情況可能產(chǎn)生不確定狀態(tài)：

溫度測量錯誤。因此，閥門(mén)開(kāi)口大小也不正確。

DAC未能正確打開(kāi)/關(guān)閉閥門(mén)。

下一步是評估各種危害的風(fēng)險，公式如下：

確定風(fēng)險之后，下一步便是設計一個(gè)能將風(fēng)險降至容許水平的功能安全系統。

IEC-61508定義了四個(gè)安全完整性等級(SIL)，這些等級規定了安全功能應將風(fēng)險降至何種水平。有兩種不同的目標概率：一是需要時(shí)失效，適用于處于待命狀態(tài)且由事件觸發(fā)的系統(安全氣囊是一個(gè)很好的例子);二是每小時(shí)失效，適用于持續運行的系統，上例就是這種情況。表1總結了以下標準的SIL之間的大致等效性：IEC61508、ISO 26262(ASIL，汽車(chē))和航空電子關(guān)于期望需要時(shí)失效和每小時(shí)失效的標準。

表1.不同標準的風(fēng)險水平概算

PGA阻性PGA標準

IEC 61508 SIL等級汽車(chē)航空電子

0.1至0.0110–5 – 10–61AD

0.01至0.00110–6 – 10–72BC

0.001至0.000110–7 – 10–83C/DB

0.0001至0.0000110–8 – 10–94 A

SIL等級是基于對未檢出故障的降低和最小化程度來(lái)制定的，這里的未檢出故障是指會(huì )使系統功能失常并可能觸發(fā)不利狀況的故障。

診斷覆蓋率要求是多少?

未檢出故障的概率隨著(zhù)診斷覆蓋率的提高而降低。若系統能提供99%的診斷覆蓋率，則可實(shí)現SIL3;若診斷覆蓋率為90%，則可實(shí)現SIL2;若診斷覆蓋率只有60%，則可實(shí)現SIL1。換言之，未檢出故障的發(fā)生概率隨著(zhù)冗余程度的提高而降低。

實(shí)現SIL2或SIL3的較簡(jiǎn)單方法是采用已通過(guò)相應保護等級認證的器件。但這并非總是可行的，因為此類(lèi)器件針對的是特定應用，其與您的電路或系統可能不完全相同。因此，之前通過(guò)SIL等級認證的器件，它們當初使用的認證標準可能不適用你的系統，而且你的系統保護等級也可能不相同。，保護水平可能不相同。

實(shí)現高診斷覆蓋率的另一種方法是在器件層面使用冗余設計。這種情況下，錯誤檢測不是直接進(jìn)行，而是間接進(jìn)行，即比較兩個(gè)(或更多)理應相同的輸出。然而，這種方法會(huì )增加功耗、面積和系統的最終成本(成本問(wèn)題可能最為關(guān)鍵)。

提高器件層面的錯誤檢測水平和冗余度

一個(gè)常見(jiàn)的差錯來(lái)源是外部接口中的數據傳輸：如果任何一位在傳輸中被破壞，數據便可能被接收器誤解，并且可能產(chǎn)生不利狀況。為了計算數據傳輸中發(fā)生的總差錯，可以使用BER(誤碼率)。BER表示因為噪聲、干擾(EMC)或任何其他物理原因而遭到破壞的位數和傳輸的總比特數的比值。

系統的BER可通過(guò)物理方法加以測量。一般而言，許多標準規定了這一數值，例如HDMI®，或者可以使用估計值?，F代數據傳輸的最低標準BER為10–7。對許多應用來(lái)說(shuō)，此數值可能太過(guò)保守，但可用于參考。

10–7的BER意味著(zhù)每1000萬(wàn)位中有1位遭到破壞。對于SIL3系統，每小時(shí)的目標最大差錯概率為10–7。如果系統在A(yíng)DC和控制器之間傳輸32位數據，輸出數據速率為1 kSPS，則1小時(shí)傳輸的位數為：

這種情況下，誤碼率會(huì )提高到1.5e–5，這只是一個(gè)接口的貢獻;傳輸差錯的總貢獻應保持在總差錯預算的0.1%到1%之間。

對于這種情況，可通過(guò)增加CRC算法來(lái)檢測差錯?？蓹z測到的損壞位數由CRC多項式的Hamming距離定義，例如X8 + X2 + X + 1的Hamming距離為4，能夠在傳輸的每幀中檢測到最多3個(gè)損壞位。表2總結了CRC Hamming距離為4時(shí)根據每小時(shí)傳輸的不同位數得出的差錯概率，假設傳輸32位數據加8位CRC。

表2.CRC Hamming距離為4時(shí)的差錯概率

每小時(shí)數據位數每小時(shí)未檢出差錯的概率

144,000,0002e–14

432,000,0006e–14

2,160,000,0003e–13

CRC診斷水平可通過(guò)如下方式來(lái)加強：回讀寫(xiě)入的寄存器，確認數據傳輸正確。此操作會(huì )提高診斷水平，但所用CRC多項式的差錯檢測水平必須能夠檢測BER概率所決定的預期損壞位數。

如何使故障概率最小?

若制造商宣稱(chēng)某個(gè)器件針對功能安全系統而設計，其應能夠提供FIT以及更為重要的故障模式、影響和診斷分析(FME(D)A)。此數據用于分析特定應用中的IC，計算系統的診斷覆蓋率(DC)、安全失效系數(SFF)和危險故障率。

FIT衡量器件的可靠性。IC的FIT可根據加速壽命測試或IEC62380、SN29500等工業(yè)標準來(lái)計算;工業(yè)標準將應用的平均工作溫度、封裝類(lèi)型和晶體管數量視為產(chǎn)生FIT預測結果的因素。FIT只是關(guān)于器件可靠性的預測，并不提供關(guān)于故障根源的任何信息。一般而言，除非能夠直接或間接檢查每個(gè)功能模塊，否則最終差錯概率將會(huì )太高而無(wú)法滿(mǎn)足任何SIL2或SIL3安全功能的SIL目標。

FME(D)A的目的是提供一個(gè)全面的文件來(lái)分析芯片中實(shí)現的所有模塊、模塊失效的直接或間接后果以及支持故障檢測的不同機制或方法。如之前所述，這些分析是基于特定信號鏈/應用而完成的，但其詳細程度應足夠高，據此可以輕松生成針對其他系統/應用的FME(D)A分析。

What Can Go Wrong in a Σ-Δ ADC?

Σ-Δ ADC可能出什么錯?

A general analysis of a Σ-Δ ADC highlights multiple sources of errors due to the internal complexity of this device, such as:

對Σ-Δ ADC的一般分析揭示出了此類(lèi)器件的內部復雜性所引起的多種錯誤來(lái)源：

· 基準電壓斷開(kāi)連接/受損

· 輸入/輸出緩沖器/PGA受損

· ADC內核受損/飽和

· 內部穩壓器電源不正確

· 外部電源不正確

只有某些問(wèn)題會(huì )在器件模塊中產(chǎn)生故障，但存在其他不像上面所列那么明顯的故障原因：

· 內部鍵合線(xiàn)受損

· 鍵合線(xiàn)與鄰近引腳短路

· 漏電流增加

例如，若VREF漏電流增加以致在內部基準電壓上產(chǎn)生壓降，器件能否檢測到這一情形?為檢查此類(lèi)故障，ADC應能選擇不同的基準電壓進(jìn)行轉換，并將VREF用作轉換輸入。

若內部熔絲位再生或發(fā)生其他損壞，可能導致上電時(shí)加載不正確的配置，對此應如何進(jìn)行檢測?這些都是可能出錯的一些事例，即使其發(fā)生概率非常低。所有潛在故障(尤其是非常罕見(jiàn)的故障)及其檢測方式(如有)，都必須在FME(D)A文件中做好記載。此文件總結了基于特定應用和/或配置的故障及所做的假設，目的是最大程度地提高檢測水平，使未檢出差錯最少。

ADI公司的現代化Σ-Δ ADC，比如AD7770、AD7768或AD7764，通過(guò)多個(gè)診斷檢測器來(lái)提高容錯保護，并檢測數字模塊和模擬模塊中的功能錯誤。下面是此類(lèi)模塊的一些例子：

· 用于熔絲位、寄存器和接口的CRC校驗器

· 過(guò)壓/欠壓檢測器

· 基準電壓和LDO電壓檢測器

· 用于PGA增益測試的內部固定電壓

· 外部時(shí)鐘檢測器

· 多個(gè)基準電壓源

除了這些特性，AD7770 ADC還集成了一個(gè)輔助12位SAR型ADC，它可以用來(lái)提高器件的診斷能力，例如：

· 實(shí)現其他架構以得到某些好處，比如提供不同的EMC抗擾度

· 它通過(guò)不同的電源引腳供電，故而可以用作基準電壓源

· 其速度非?？?，用作監視器時(shí)，在一個(gè)Σ-Δ通道的單次轉換期間，它可以監視8個(gè)Σ-Δ通道，但該SAR型ADC的精度和Σ-ΔADC的精度不同

· 它利用不同的串行接口(SPI)提供轉換結果

· 提供所有內部電壓節點(diǎn)的測量進(jìn)行診斷，比如外部電源、VREF、VCM、LDO輸出電壓或內部基準電壓。

圖3顯示了AD7770 ADC的內部框圖。內置監視器的模塊用綠色突出顯示，對紅色突出顯示的模塊可以進(jìn)行主動(dòng)監視。

圖3.AD7770 ADC的診斷和監控模塊

結語(yǔ)

為保證功能安全，須提高系統/模塊監視和診斷覆蓋率，以降低未檢出錯誤的數學(xué)概率。提高覆蓋率的較簡(jiǎn)單方法是增加冗余，但這會(huì )給系統帶來(lái)多方面的不利影響，尤其是成本。ADI公司最近的一些Σ-Δ ADC，比如 AD7124或AD7768，實(shí)現了許多內部錯誤檢測器，這樣可以簡(jiǎn)化功能安全系統的設計，使整體復雜度低于其他解決方案。AD7770是精密Σ-Δ ADC設計的典范，集成了監視和診斷能力，包括通過(guò)內置冗余轉換器來(lái)使診斷覆蓋率達到最大，這使其成為超越一切可能的卓越產(chǎn)品。

Author

作者簡(jiǎn)介

Miguel Usach Merino

Miguel Usach Merino獲瓦倫西亞大學(xué)電子工程學(xué)位，2008年加入ADI公司，任西班牙瓦倫西亞線(xiàn)性與精密技術(shù)部的應用工程師。