功能安全是許多行業整體安全戰略的一部分，旨在將人類或操作設備受到傷害的可能性降低到可容忍的水平。近年來，對系統功能安全的要求顯著增長。從核電站到醫療設備，無差錯系統已成為某些人的理想之選，而另一些人則成為必需品。例如，在傳感領域，獲取不正確或損壞的數據可能是毀滅性的，并且可能致命，具體取決于系統和所涉及的風險水平。

傳統上，系統開發人員有責任將診斷和故障預防機制整合到其產品中，以確保來自傳感IC的數據的完整性。這是以PCB面積，物料清單，處理開銷以及最終費用為代價的。從那時起，通過與系統設計工程師的廣泛接觸，已經開發出一種解決方案來為他們解決這個問題。為此，功能安全特性已開始在IC級別進行設計。

本文探討了ADC在確保數據采集系統整體完整性方面的功能安全潛力。

傳統功能安全解決方案與更好的方法

在圖 1 中，我們看到了一個功能安全系統的示例，就像過去幾年一樣，我們將它與更現代的解決方案進行了比較。中心是數據采集ADC，用于轉換模擬輸入并將數據傳輸到微控制器。然而，要實現此解決方案，需要許多外部元件、重復的SPI事務，甚至冗余ADC，這大大增加了物料清單、PCB面積、處理開銷和成本。它還給系統設計人員帶來了額外的負擔，例如開發時間和可靠性，以開發此解決方案。

提供單一 IC 解決方案，只需極少的外部元件即可實現功能安全特性。

圖1.從多元件功能安全系統集成到單芯片ADI解決方案。

具有功能安全要求的示例系統

在包含ADC的數據采集系統中，可能會發生許多故障，這些故障可能會增加對人員或機器健康的風險，具體取決于應用。系統設計人員必須區分可接受的風險和不可接受的風險。

例如，在測量和調節氣室壓力的系統中，如果儲罐內的壓力不應與外部壓力有很大偏差，則使用公差為5%的傳感器可能被視為可接受的風險。但是，如果微控制器接收到不正確的ADC數據，則可能導致潛在的致命事件，即腔室中的壓力會導致內爆或爆炸，這兩者都可能傷害或殺死附近的人。這種程度的風險是不可接受的。因此，應采取一些功能安全措施，以確保控制器接收的信息的完整性。

可能導致這些類型錯誤的一些故障源是

電源：低壓差（LDO）穩壓器的低電源電壓、低壓輸出。

模擬前端（AFE）：損壞的傳感器或放大器導致ADC的電壓不正確。

數字邏輯：數字域中可能影響轉換結果的位錯誤。例如，工廠增益或失調微調系數。

SPI傳輸：由于傳輸線的嘈雜環境，轉換后的數據傳輸和命令接收中的位錯誤。

環境：超出IC的指定環境溫度。

AD7768-1是ADI功能安全產品組合中的Σ-Δ型ADC之一，具有大量診斷功能，旨在使用戶能夠檢測和診斷錯誤等。圖2突出顯示了典型壓力傳感系統中一些可能故障的來源。

圖2.識別壓力傳感器系統中的潛在故障源。

使用 ADC 診斷系統錯誤

在ADI ADC產品的功能安全產品組合中，能夠使用ADC來幫助診斷和/或減少系統誤差。這種測量系統誤差的能力對于保持準確的測量非常重要，而在具有功能安全要求的系統中，這種精度更為重要。

從基準輸入獲取的正負滿量程電壓用于測量系統的增益誤差。零電平內部短路用于測量失調誤差。然后，用戶可以使用ADC的增益和失調調整寄存器來調整系統的失調和增益誤差性能。

溫度傳感器可識別IC局部溫度的變化，包括越界溫度。在對失調和增益誤差隨溫度漂移敏感的系統中，這可能是一個有吸引力的功能。如果發生了相當大的溫度變化，用戶可以決定在這個新溫度下調整增益和失調誤差。圖3顯示了模擬診斷多路復用器如何連接到AD7768-1內部的ADC。

圖3.切換以轉換模擬診斷多路復用器。

診斷錯誤標志：寄存器映射診斷狀態指示器

可以啟用多個診斷功能，并且通常可以通過寄存器映射向用戶標記其狀態。如果發生故障，則會在寄存器中設置錯誤標志。用戶在收到故障警報后可以進一步調查。

讓我們推測一些可能發生的現實故障，這些故障可以使用ADI功能安全ADC產品組合進行診斷。讓我們首先假設我們的壓力傳感器系統位于工業工廠中，溫度波動，由于基本維護而導致的幾次電源停機，以及來自周圍工業環境的電磁干擾（EMI）可以傳導到系統PCB上。

模數轉換器電源誤差

假設環境中存在高溫和系統電源循環引起的電流浪涌，負責在ADC的LDO電源輸出附近保持電荷的LDO電容器已經磨損和損壞。將這些輸出保持在已知電壓需要外部電容器，這對于正確操作至關重要。如果電容器由于該故障而損壞，用戶可以注意到轉換后的ADC數據或其他功能的性能是意外的。通過啟用LDO監視器，一旦電壓電平降至某個跳變點以下，將設置一個錯誤標志，以提醒用戶LDO輸出端的問題。

模擬前端誤差

假設這是一個ADC輸入不應超過ADC滿量程范圍的系統。如果用戶不小心對增益寄存器編程了一個不正確的值，使ADC看到的電壓增加到大于滿量程范圍，那么這將極大地影響系統的增益誤差性能，并應被視為嚴重的風險。但是，濾波器飽和錯誤檢查器會監控ADC輸出，并提醒用戶模擬輸入超出范圍。

數字邏輯隨機位錯誤

數字邏輯和存儲器塊中偶爾會發生隨機位錯誤。在我們的示例壓力系統中，假設在上電期間加載默認出廠偏移設置時發生了位錯誤。這是一個無法容忍的錯誤，因為它會干擾系統的默認失調誤差，影響轉換結果。在ADI的功能安全ADC產品組合中，有一些功能可以定期對各種存儲器塊運行循環冗余校驗（CRC），并在發生位錯誤時向用戶標記故障。系統復位將解決所有這些故障。

SPI 傳輸錯誤

每個沿介質傳輸數據的系統都會在此過程中產生一些位錯誤。

可以估計每個系統發生這種情況的速率，稱為誤碼率（BER）。

在我們的壓力系統中，誤碼率小于 10–7如果通過數字隔離在 10 cm 的距離內傳輸到同一 PCB 上的微控制器，則可以假設。

假設SPI線路上傳導了一些電磁干擾，這會導致轉換后的ADC數據從AD7768-1傳輸到微控制器時出現位誤差。如果ADC數據中的位錯誤掩蓋了氣室中的任何建筑壓力，則可能會造成潛在的破壞性。通過將CRC附加到傳輸數據的末尾，用戶可以識別傳輸過程中是否發生誤碼，并可以重新檢查ADC轉換結果。

外部主時鐘錯誤

如果用戶擔心在壓力傳感器應用中抑制主電源的頻率（50 Hz/60 Hz），那么精確的低抖動外部主時鐘源對于將數字濾波器的陷波對齊到正確的頻率非常重要。如果電源斷開、磨損或損壞，這是一個巨大的問題，因為主電源的某些頻率成分可能會在轉換后的ADC數據中變得可見。

如果外部時鐘源未成功連接或已被移除，則外部時鐘限定符可以向用戶標記錯誤。然后，用戶可以使用內部RC振蕩器執行緊急轉換，同時對外部主時鐘源進行必要的維護。

波蘭郵政標志

系統上電或成功復位后，ADC內的POR標志將被設置。

但是，如果發生意外復位，用戶可能會在ADC數據中看到意外結果。他們可以通過檢查 POR 標志來識別此意外重置。

圖4顯示了AD7768-1中有多少內部診斷功能連接到它們將要監控的功能。

圖4.AD7768-1的內部診斷監視器。

采用AD7768-1的終極功能安全解決方案

利用AD7768-1提供的功能安全特性，可以實現以下數據采集系統。用戶可以為器件通電并啟用以下功能安全特性：

SPI 完整性監視器

LDO穩壓器輸出電平監控

濾波器飽和度監視器

外部時鐘限定符

內部邏輯和存儲器CRC監視器

系統校準可通過內部模擬診斷多路復用器進行驗證。LDO穩壓器輸出也可以通過這種方式進行驗證。

接下來，用戶可以啟用將 8 位狀態字節附加到 24 位數據流和 8 位 SPI CRC 字末尾的功能。8位CRC是根據8位命令字、24位數據流和8位狀態字計算的。如果用戶擔心處理開銷，他們可以啟用連續回讀模式，這樣就無需提供 8 位命令。相反，用戶可以在為器件提供串行時鐘時輸出數據寄存器內容，如圖6所示。

圖5.在連續回讀模式下回讀AD7768-1的數據寄存器，并附有狀態字節和CRC字節。

此過程的結果是一個數據采集系統，其增益和失調誤差已經過驗證，并且每次用戶回讀ADC數據時都會向用戶提供診斷信息。

LDO穩壓器輸出、模擬前端輸入、內部數字邏輯和存儲器受到連續監控。用戶可以確定SPI通信的完整性以及IC的溫度是已知的。

結論

隨著許多行業對功能安全的要求不斷提高，支持這些要求的技術也必須如此。ADI公司將繼續開發我們產品組合中的技術，以支持系統設計人員尋求功能安全操作。

AD7768-1減輕了客戶的大部分負擔，提供了一種更緊湊、更簡單的解決方案，減少了生產所需解決方案所需的處理開銷和物料清單。這種單組件方法還可以減輕希望為其設計獲得安全完整性等級（SIL）認證的系統設計人員的負擔。

審核編輯：郭婷