摘要 新的國際標準和法規加速了工業設備對安全系統的需求。功能安全的目標是保護人員和財產免受損害。這可以通過使用針對特定危險的安全功能來實現。安全功能由一系列子系統組成，包括傳感器、邏輯和輸出模塊，因而需要系統層面和集成電路層面的專門技能來提供具有適當功能組合的IC。本文以 AD7770 Σ-Δ ADC 為例，探討如何構思和設計高性能IC以提供模擬域和數字域中的先進特性組合，從而簡化安全系統的設計。 簡介 墨菲定律變體之一："如果幾件事都可能出錯，首先出錯的往往是會造成最大損失的那一件。" 如果一個系統可能產生直接或間接的致命威脅，例如機器故障等，那么設計該系統時，必須最大程度地降低故障可能性及其導致的負面影響。為了確保發生隨機性和確定性故障的概率盡可能低，必須遵循特定的設計方法。工業中將這種設計方法稱為功能安全方法。這種方法要求對系統進行細致入微的分析，確定所有潛在的危險情況，并運用最佳做法來將器件、子系統和系統的故障風險（例如電壓過高或診斷失敗等）降至容許的水平。 功能安全背后的理念是當檢測到錯誤時讓系統保持安全狀態，例如：若來自外部傳感器的轉換結果超出范圍，則斷開使能的輸出連接 IEC-61508是工業設備功能安全設計參考標準，已針對不同行業進行了修改或闡釋，例如ISO-26262適用于汽車行業，IEC-61131-6適用于可編程控制器。 根據功能安全標準進行設計可能相當繁瑣，因為必須完成從上至下的細致分析，從整體系統描述到所用器件的內部功能模塊都不能遺漏。為了保證系統具備足夠高的保護水平，避免出現任何危險情況，并使未檢出差錯的發生概率最小，這種分析是有必要的。設計功能安全系統時，必須確保系統能夠檢測到所有錯誤，并以足夠快的速度作出反應，使危險情況的發生概率最小，如圖1所示。 圖1.功能安全系統的反應時間 如何設計功能安全系統 危害分析的第一步是確定可能致人受傷的方式。對這些情況進行分析之后，系統設計應確保避免危險情況發生。如果存在無法避免的情況，應增加安全系統來檢測該不安全狀態并讓系統處于安全狀態。 為了更好地說明這個問題，假設存在圖2所示的系統。根據油箱溫度，一個連接到油箱的閥門打開一定的百分比以使爆炸風險最低。一個DAC通過一臺電機控制閥門開口大小。所述系統稱為開環式。 圖2.開環閥門控制系統信號鏈 危害分析揭示出有兩種情況可能產生不確定狀態： 溫度測量錯誤。因此，閥門開口大小也不正確。 DAC未能正確打開/關閉閥門。 下一步是評估各種危害的風險，公式如下： 確定風險之后，下一步便是設計一個能將風險降至容許水平的功能安全系統。 IEC-61508定義了四個安全完整性等級(SIL)，這些等級規定了安全功能應將風險降至何種水平。有兩種不同的目標概率：一是需要時失效，適用于處于待命狀態且由事件觸發的系統（安全氣囊是一個很好的例子）；二是每小時失效，適用于持續運行的系統，上例就是這種情況。表1總結了以下標準的SIL之間的大致等效性：IEC61508、ISO 26262（ASIL，汽車）和航空電子關于期望需要時失效和每小時失效的標準。 表1.不同標準的風險水平概算 SIL等級是基于對未檢出故障的降低和最小化程度來制定的，這里的未檢出故障是指會使系統功能失常并可能觸發不利狀況的故障。 診斷覆蓋率要求是多少？ 未檢出故障的概率隨著診斷覆蓋率的提高而降低。若系統能提供99%的診斷覆蓋率，則可實現SIL3；若診斷覆蓋率為90%，則可實現SIL2；若診斷覆蓋率只有60%，則可實現SIL1。換言之，未檢出故障的發生概率隨著冗余程度的提高而降低。 實現SIL2或SIL3的較簡單方法是采用已通過相應保護等級認證的器件。但這并非總是可行的，因為此類器件針對的是特定應用，其與您的電路或系統可能不完全相同。因此，之前通過SIL等級認證的器件，它們當初使用的認證標準可能不適用你的系統，而且你的系統保護等級也可能不相同。 實現高診斷覆蓋率的另一種方法是在器件層面使用冗余設計。這種情況下，錯誤檢測不是直接進行，而是間接進行，即比較兩個（或更多）理應相同的輸出。然而，這種方法會增加功耗、面積和系統的最終成本（成本問題可能最為關鍵）。 提高器件層面的錯誤檢測水平和冗余度 一個常見的差錯來源是外部接口中的數據傳輸：如果任何一位在傳輸中被破壞，數據便可能被接收器誤解，并且可能產生不利狀況。為了計算數據傳輸中發生的總差錯，可以使用BER（誤碼率）。BER表示因為噪聲、干擾(EMC)或任何其他物理原因而遭到破壞的位數和傳輸的總比特數的比值。 系統的BER可通過物理方法加以測量。一般而言，許多標準規定了這一數值，例如HDMI?，或者可以使用估計值。現代數據傳輸的最低標準BER為10–7。對許多應用來說，此數值可能太過保守，但可用于參考。 10–7的BER意味著每1000萬位中有1位遭到破壞。對于SIL3系統，每小時的目標最大差錯概率為10–7。如果系統在ADC和控制器之間傳輸32位數據，輸出數據速率為1 kSPS，則1小時傳輸的位數為： 這種情況下，誤碼率會提高到1.5e–5，這只是一個接口的貢獻；傳輸差錯的總貢獻應保持在總差錯預算的0.1%到1%之間。 對于這種情況，可通過增加CRC算法來檢測差錯。可檢測到的損壞位數由CRC多項式的Hamming距離定義，例如X8 X2 X 1的Hamming距離為4，能夠在傳輸的每幀中檢測到最多3個損壞位。表2總結了CRC Hamming距離為4時根據每小時傳輸的不同位數得出的差錯概率，假設傳輸32位數據加8位CRC。 表2.CRC Hamming距離為4時的差錯概率 CRC診斷水平可通過如下方式來加強：回讀寫入的寄存器，確認數據傳輸正確。此操作會提高診斷水平，但所用CRC多項式的差錯檢測水平必須能夠檢測BER概率所決定的預期損壞位數。 如何使故障概率最小？ 若制造商宣稱某個器件針對功能安全系統而設計，其應能夠提供FIT以及更為重要的故障模式、影響和診斷分析(FME(D)A)。此數據用于分析特定應用中的IC，計算系統的診斷覆蓋率(DC)、安全失效系數(SFF)和危險故障率。 FIT衡量器件的可靠性。IC的FIT可根據加速壽命測試或IEC62380、SN29500等工業標準來計算；工業標準將應用的平均工作溫度、封裝類型和晶體管數量視為產生FIT預測結果的因素。FIT只是關于器件可靠性的預測，并不提供關于故障根源的任何信息。一般而言，除非能夠直接或間接檢查每個功能模塊，否則最終差錯概率將會太高而無法滿足任何SIL2或SIL3安全功能的SIL目標。 FME(D)A的目的是提供一個全面的文件來分析芯片中實現的所有模塊、模塊失效的直接或間接后果以及支持故障檢測的不同機制或方法。如之前所述，這些分析是基于特定信號鏈/應用而完成的，但其詳細程度應足夠高，據此可以輕松生成針對其他系統/應用的FME(D)A分析。 Σ-Δ ADC可能出什么錯？ 對Σ-Δ ADC的一般分析揭示出了此類器件的內部復雜性所引起的多種錯誤來源： * 基準電壓斷開連接/受損 * 輸入/輸出緩沖器/PGA受損 * ADC內核受損/飽和 * 內部穩壓器電源不正確 * 外部電源不正確 只有某些問題會在器件模塊中產生故障，但存在其他不像上面所列那么明顯的故障原因： * 內部鍵合線受損 * 鍵合線與鄰近引腳短路 * 漏電流增加