數(shù)據(jù)采集系統(tǒng)中的功能安全

功能安全是許多行業(yè)整體安全戰(zhàn)略的一部分，旨在將人類或操作設(shè)備受到傷害的可能性降低到可容忍的水平。近年來，對系統(tǒng)功能安全的要求顯著增長。從核電站到醫(yī)療設(shè)備，無差錯系統(tǒng)已成為某些人的理想之選，而另一些人則成為必需品。例如，在傳感領(lǐng)域，獲取不正確或損壞的數(shù)據(jù)可能是毀滅性的，并且可能致命，具體取決于系統(tǒng)和所涉及的風(fēng)險水平。

傳統(tǒng)上，系統(tǒng)開發(fā)人員有責(zé)任將診斷和故障預(yù)防機制整合到其產(chǎn)品中，以確保來自傳感IC的數(shù)據(jù)的完整性。這是以PCB面積，物料清單，處理開銷以及最終費用為代價的。從那時起，通過與系統(tǒng)設(shè)計工程師的廣泛接觸，已經(jīng)開發(fā)出一種解決方案來為他們解決這個問題。為此，功能安全特性已開始在IC級別進(jìn)行設(shè)計。

本文探討了ADC在確保數(shù)據(jù)采集系統(tǒng)整體完整性方面的功能安全潛力。

傳統(tǒng)功能安全解決方案與更好的方法

在圖 1 中，我們看到了一個功能安全系統(tǒng)的示例，就像過去幾年一樣，我們將它與更現(xiàn)代的解決方案進(jìn)行了比較。中心是數(shù)據(jù)采集ADC，用于轉(zhuǎn)換模擬輸入并將數(shù)據(jù)傳輸?shù)?a target="_blank">微控制器。然而，要實現(xiàn)此解決方案，需要許多外部元件、重復(fù)的SPI事務(wù)，甚至冗余ADC，這大大增加了物料清單、PCB面積、處理開銷和成本。它還給系統(tǒng)設(shè)計人員帶來了額外的負(fù)擔(dān)，例如開發(fā)時間和可靠性，以開發(fā)此解決方案。

提供單一 IC 解決方案，只需極少的外部元件即可實現(xiàn)功能安全特性。

圖1.從多元件功能安全系統(tǒng)集成到單芯片ADI解決方案。

具有功能安全要求的示例系統(tǒng)

在包含ADC的數(shù)據(jù)采集系統(tǒng)中，可能會發(fā)生許多故障，這些故障可能會增加對人員或機器健康的風(fēng)險，具體取決于應(yīng)用。系統(tǒng)設(shè)計人員必須區(qū)分可接受的風(fēng)險和不可接受的風(fēng)險。

例如，在測量和調(diào)節(jié)氣室壓力的系統(tǒng)中，如果儲罐內(nèi)的壓力不應(yīng)與外部壓力有很大偏差，則使用公差為5%的傳感器可能被視為可接受的風(fēng)險。但是，如果微控制器接收到不正確的ADC數(shù)據(jù)，則可能導(dǎo)致潛在的致命事件，即腔室中的壓力會導(dǎo)致內(nèi)爆或爆炸，這兩者都可能傷害或殺死附近的人。這種程度的風(fēng)險是不可接受的。因此，應(yīng)采取一些功能安全措施，以確?？刂破鹘邮盏?a target="_blank">信息的完整性。

可能導(dǎo)致這些類型錯誤的一些故障源是

電源：低壓差（LDO）穩(wěn)壓器的低電源電壓、低壓輸出。

模擬前端（AFE）：損壞的傳感器或放大器導(dǎo)致ADC的電壓不正確。

數(shù)字邏輯：數(shù)字域中可能影響轉(zhuǎn)換結(jié)果的位錯誤。例如，工廠增益或失調(diào)微調(diào)系數(shù)。

SPI傳輸：由于傳輸線的嘈雜環(huán)境，轉(zhuǎn)換后的數(shù)據(jù)傳輸和命令接收中的位錯誤。

環(huán)境：超出IC的指定環(huán)境溫度。

AD7768-1是ADI功能安全產(chǎn)品組合中的Σ-Δ型ADC之一，具有大量診斷功能，旨在使用戶能夠檢測和診斷錯誤等。圖2突出顯示了典型壓力傳感系統(tǒng)中一些可能故障的來源。

圖2.識別壓力傳感器系統(tǒng)中的潛在故障源。

使用 ADC 診斷系統(tǒng)錯誤

在ADI ADC產(chǎn)品的功能安全產(chǎn)品組合中，能夠使用ADC來幫助診斷和/或減少系統(tǒng)誤差。這種測量系統(tǒng)誤差的能力對于保持準(zhǔn)確的測量非常重要，而在具有功能安全要求的系統(tǒng)中，這種精度更為重要。

從基準(zhǔn)輸入獲取的正負(fù)滿量程電壓用于測量系統(tǒng)的增益誤差。零電平內(nèi)部短路用于測量失調(diào)誤差。然后，用戶可以使用ADC的增益和失調(diào)調(diào)整寄存器來調(diào)整系統(tǒng)的失調(diào)和增益誤差性能。

溫度傳感器可識別IC局部溫度的變化，包括越界溫度。在對失調(diào)和增益誤差隨溫度漂移敏感的系統(tǒng)中，這可能是一個有吸引力的功能。如果發(fā)生了相當(dāng)大的溫度變化，用戶可以決定在這個新溫度下調(diào)整增益和失調(diào)誤差。圖3顯示了模擬診斷多路復(fù)用器如何連接到AD7768-1內(nèi)部的ADC。

圖3.切換以轉(zhuǎn)換模擬診斷多路復(fù)用器。

診斷錯誤標(biāo)志：寄存器映射診斷狀態(tài)指示器

可以啟用多個診斷功能，并且通?？梢酝ㄟ^寄存器映射向用戶標(biāo)記其狀態(tài)。如果發(fā)生故障，則會在寄存器中設(shè)置錯誤標(biāo)志。用戶在收到故障警報后可以進(jìn)一步調(diào)查。

讓我們推測一些可能發(fā)生的現(xiàn)實故障，這些故障可以使用ADI功能安全ADC產(chǎn)品組合進(jìn)行診斷。讓我們首先假設(shè)我們的壓力傳感器系統(tǒng)位于工業(yè)工廠中，溫度波動，由于基本維護(hù)而導(dǎo)致的幾次電源停機，以及來自周圍工業(yè)環(huán)境的電磁干擾（EMI）可以傳導(dǎo)到系統(tǒng)PCB上。

模數(shù)轉(zhuǎn)換器電源誤差

假設(shè)環(huán)境中存在高溫和系統(tǒng)電源循環(huán)引起的電流浪涌，負(fù)責(zé)在ADC的LDO電源輸出附近保持電荷的LDO電容器已經(jīng)磨損和損壞。將這些輸出保持在已知電壓需要外部電容器，這對于正確操作至關(guān)重要。如果電容器由于該故障而損壞，用戶可以注意到轉(zhuǎn)換后的ADC數(shù)據(jù)或其他功能的性能是意外的。通過啟用LDO監(jiān)視器，一旦電壓電平降至某個跳變點以下，將設(shè)置一個錯誤標(biāo)志，以提醒用戶LDO輸出端的問題。

模擬前端誤差

假設(shè)這是一個ADC輸入不應(yīng)超過ADC滿量程范圍的系統(tǒng)。如果用戶不小心對增益寄存器編程了一個不正確的值，使ADC看到的電壓增加到大于滿量程范圍，那么這將極大地影響系統(tǒng)的增益誤差性能，并應(yīng)被視為嚴(yán)重的風(fēng)險。但是，濾波器飽和錯誤檢查器會監(jiān)控ADC輸出，并提醒用戶模擬輸入超出范圍。

數(shù)字邏輯隨機位錯誤

數(shù)字邏輯和存儲器塊中偶爾會發(fā)生隨機位錯誤。在我們的示例壓力系統(tǒng)中，假設(shè)在上電期間加載默認(rèn)出廠偏移設(shè)置時發(fā)生了位錯誤。這是一個無法容忍的錯誤，因為它會干擾系統(tǒng)的默認(rèn)失調(diào)誤差，影響轉(zhuǎn)換結(jié)果。在ADI的功能安全ADC產(chǎn)品組合中，有一些功能可以定期對各種存儲器塊運行循環(huán)冗余校驗（CRC），并在發(fā)生位錯誤時向用戶標(biāo)記故障。系統(tǒng)復(fù)位將解決所有這些故障。

SPI 傳輸錯誤

每個沿介質(zhì)傳輸數(shù)據(jù)的系統(tǒng)都會在此過程中產(chǎn)生一些位錯誤。

可以估計每個系統(tǒng)發(fā)生這種情況的速率，稱為誤碼率（BER）。

在我們的壓力系統(tǒng)中，誤碼率小于 10–7如果通過數(shù)字隔離在 10 cm 的距離內(nèi)傳輸?shù)酵?PCB 上的微控制器，則可以假設(shè)。

假設(shè)SPI線路上傳導(dǎo)了一些電磁干擾，這會導(dǎo)致轉(zhuǎn)換后的ADC數(shù)據(jù)從AD7768-1傳輸?shù)轿⒖刂破鲿r出現(xiàn)位誤差。如果ADC數(shù)據(jù)中的位錯誤掩蓋了氣室中的任何建筑壓力，則可能會造成潛在的破壞性。通過將CRC附加到傳輸數(shù)據(jù)的末尾，用戶可以識別傳輸過程中是否發(fā)生誤碼，并可以重新檢查ADC轉(zhuǎn)換結(jié)果。

外部主時鐘錯誤

如果用戶擔(dān)心在壓力傳感器應(yīng)用中抑制主電源的頻率（50 Hz/60 Hz），那么精確的低抖動外部主時鐘源對于將數(shù)字濾波器的陷波對齊到正確的頻率非常重要。如果電源斷開、磨損或損壞，這是一個巨大的問題，因為主電源的某些頻率成分可能會在轉(zhuǎn)換后的ADC數(shù)據(jù)中變得可見。

如果外部時鐘源未成功連接或已被移除，則外部時鐘限定符可以向用戶標(biāo)記錯誤。然后，用戶可以使用內(nèi)部RC振蕩器執(zhí)行緊急轉(zhuǎn)換，同時對外部主時鐘源進(jìn)行必要的維護(hù)。

波蘭郵政標(biāo)志

系統(tǒng)上電或成功復(fù)位后，ADC內(nèi)的POR標(biāo)志將被設(shè)置。

但是，如果發(fā)生意外復(fù)位，用戶可能會在ADC數(shù)據(jù)中看到意外結(jié)果。他們可以通過檢查 POR 標(biāo)志來識別此意外重置。

圖4顯示了AD7768-1中有多少內(nèi)部診斷功能連接到它們將要監(jiān)控的功能。

圖4.AD7768-1的內(nèi)部診斷監(jiān)視器。

采用AD7768-1的終極功能安全解決方案

利用AD7768-1提供的功能安全特性，可以實現(xiàn)以下數(shù)據(jù)采集系統(tǒng)。用戶可以為器件通電并啟用以下功能安全特性：

SPI 完整性監(jiān)視器

LDO穩(wěn)壓器輸出電平監(jiān)控

濾波器飽和度監(jiān)視器

外部時鐘限定符

內(nèi)部邏輯和存儲器CRC監(jiān)視器

系統(tǒng)校準(zhǔn)可通過內(nèi)部模擬診斷多路復(fù)用器進(jìn)行驗證。LDO穩(wěn)壓器輸出也可以通過這種方式進(jìn)行驗證。

接下來，用戶可以啟用將 8 位狀態(tài)字節(jié)附加到 24 位數(shù)據(jù)流和 8 位 SPI CRC 字末尾的功能。8位CRC是根據(jù)8位命令字、24位數(shù)據(jù)流和8位狀態(tài)字計算的。如果用戶擔(dān)心處理開銷，他們可以啟用連續(xù)回讀模式，這樣就無需提供 8 位命令。相反，用戶可以在為器件提供串行時鐘時輸出數(shù)據(jù)寄存器內(nèi)容，如圖6所示。

圖5.在連續(xù)回讀模式下回讀AD7768-1的數(shù)據(jù)寄存器，并附有狀態(tài)字節(jié)和CRC字節(jié)。

此過程的結(jié)果是一個數(shù)據(jù)采集系統(tǒng)，其增益和失調(diào)誤差已經(jīng)過驗證，并且每次用戶回讀ADC數(shù)據(jù)時都會向用戶提供診斷信息。

LDO穩(wěn)壓器輸出、模擬前端輸入、內(nèi)部數(shù)字邏輯和存儲器受到連續(xù)監(jiān)控。用戶可以確定SPI通信的完整性以及IC的溫度是已知的。

結(jié)論

隨著許多行業(yè)對功能安全的要求不斷提高，支持這些要求的技術(shù)也必須如此。ADI公司將繼續(xù)開發(fā)我們產(chǎn)品組合中的技術(shù)，以支持系統(tǒng)設(shè)計人員尋求功能安全操作。

AD7768-1減輕了客戶的大部分負(fù)擔(dān)，提供了一種更緊湊、更簡單的解決方案，減少了生產(chǎn)所需解決方案所需的處理開銷和物料清單。這種單組件方法還可以減輕希望為其設(shè)計獲得安全完整性等級（SIL）認(rèn)證的系統(tǒng)設(shè)計人員的負(fù)擔(dān)。

審核編輯：郭婷