探討數(shù)據(jù)轉(zhuǎn)換器IP在汽車ADAS SoC上的應(yīng)用

需要數(shù)據(jù)轉(zhuǎn)換器的傳感器應(yīng)用涉及十分廣泛的范圍，例如用于識(shí)別不同發(fā)動(dòng)機(jī)狀態(tài)的溫度傳感器，或者支持汽車駕駛輔助系統(tǒng)（ADAS）的雷達(dá)/激光雷達(dá)等。涉及到數(shù)據(jù)轉(zhuǎn)換器的其他應(yīng)用還包括用于與其他車輛或固定網(wǎng)絡(luò)進(jìn)行通信的無線收發(fā)器。數(shù)據(jù)轉(zhuǎn)換器IP（“模擬-數(shù)字”和“數(shù)字-模擬”）為汽車片上系統(tǒng)（SoC）提供了多種模擬傳感器的接口。對(duì)于ADAS而言，電子系統(tǒng)及其組件，例如SoC和IP，都必須提供最高程度的可靠性和安全性，同時(shí)還要能夠經(jīng)受極端溫度范圍考驗(yàn)并具備較長(zhǎng)的使用壽命。由于這個(gè)原因，汽車電子系統(tǒng)及其組件必須遵守一套嚴(yán)格的汽車可靠性和功能安全性標(biāo)準(zhǔn)。

本文將簡(jiǎn)要介紹汽車可靠性標(biāo)準(zhǔn)，并將重點(diǎn)討論一些用來滿足汽車要求的高效、優(yōu)化的程序。后者主要是通過在IP（例如數(shù)據(jù)轉(zhuǎn)換器）與包含IP的SoC功能模塊之間對(duì)功能安全性要求進(jìn)行審慎劃分而實(shí)現(xiàn)的。

可靠性設(shè)計(jì)

汽車電子委員會(huì)（AEC）已經(jīng)為汽車行業(yè)制定了一套認(rèn)證標(biāo)準(zhǔn)。AEC-Q100標(biāo)準(zhǔn)定義了SoC及其組件（例如IP）必須支持的、規(guī)定的溫度等級(jí)從0級(jí)到3級(jí)不等，具體取決于希望SoC或IP正常運(yùn)行的最高環(huán)境溫度（參見表1）。

表1：環(huán)境溫度等級(jí)的定義

對(duì)于汽車SoC或IP電路仿真而言，設(shè)計(jì)人員必須將環(huán)境溫度轉(zhuǎn)換為(結(jié)溫)晶體接面問度。準(zhǔn)確的轉(zhuǎn)換必須考慮SoC中的平均活動(dòng)（它消耗的平均功率）以及封裝熱阻，這能夠測(cè)量其從芯片中去除熱能并將其消散在環(huán)境中的能力（芯片本身與環(huán)境之間的溫差）。為了測(cè)量溫度對(duì)設(shè)備（SoC或IP）的影響，需要指定溫度一份特征圖，以測(cè)量SoC或IP在其生命周期內(nèi)任何給定溫度范圍內(nèi)處于運(yùn)行狀態(tài)的預(yù)期時(shí)間。

除了滿足溫度要求外，組件還必須滿足最大故障率要求。故障率以每百萬個(gè)產(chǎn)品中的不良數(shù)（dppm）來衡量，要求在整個(gè)15年的汽車產(chǎn)品生命周期中小于1 dppm。dppm考慮以下關(guān)鍵方面：

設(shè)計(jì)變異性（variability）是指導(dǎo)致設(shè)備不匹配的某些制造工藝特性的變化。它從本地（隨機(jī)變化）和整個(gè)芯片（梯度效應(yīng)）兩個(gè)方面影響SoC。為了滿足低故障率要求，對(duì)關(guān)鍵塊進(jìn)行的蒙特卡洛統(tǒng)計(jì)模擬將分析失配分布的極值（例如，高達(dá)5*σ）。

晶體管老化是指構(gòu)成SoC的晶體管的特性發(fā)生的變化，這種變化是工作時(shí)間以及該時(shí)間內(nèi)工作條件的函數(shù)。它是諸如HCI（熱載流子注入）、NBTI（負(fù)偏置溫度不穩(wěn)定）、PBTI（正偏置溫度不穩(wěn)定）之類的結(jié)果，其能夠改變晶體管的閾值電壓，是其生命周期內(nèi)工作條件的函數(shù)。它必須考慮任務(wù)配置文件、晶體管的預(yù)期總開機(jī)時(shí)間（POH）以及汽車應(yīng)用的低故障率要求。在設(shè)計(jì)階段，通過運(yùn)行模擬來滿足目標(biāo)故障率，這包括在規(guī)定溫度下在等效POH期間的老化效應(yīng)。

電遷移是指存在顯著電流密度時(shí)互連導(dǎo)線和觸點(diǎn)中導(dǎo)體原子的位移，這會(huì)改變互連跡線（trace）的電阻率（甚至可能會(huì)中斷它）以及電路的時(shí)序特性。電遷移效應(yīng)也取決于溫度特性以及SoC中預(yù)期POH的總數(shù)。特定的仿真模型能夠驗(yàn)證SoC生命周期內(nèi)沒有電遷移問題。

除上述內(nèi)容外，還必須保證在預(yù)期最大功能溫度下的瞬時(shí)工作，即使該溫度特性表明SoC或IP可能能夠在該溫度下僅在總工作時(shí)間的一小部分內(nèi)進(jìn)行工作。這一要求確保了當(dāng)SoC或IP在最高溫度下工作時(shí)，它能夠滿足功能和性能規(guī)范，同時(shí)不會(huì)發(fā)生可能限制功能的時(shí)序違規(guī)等情形。

功能安全設(shè)計(jì)

ISO 26262規(guī)格適用于任何汽車SoC或IP，用于安全關(guān)鍵型ADAS應(yīng)用，而且該規(guī)格還在目標(biāo)“汽車安全完整性等級(jí)”（ASIL）范圍內(nèi)定義了SoC或IP的功能安全性。該等級(jí)的范圍是從A（低風(fēng)險(xiǎn)潛能）到D（最高風(fēng)險(xiǎn)潛能）。用于汽車ADAS應(yīng)用的SoC或IP必須按照預(yù)期的ASIL實(shí)現(xiàn)安全性功能。汽車IP的關(guān)鍵功能安全性考慮因素包括：

該IP能夠檢測(cè)、報(bào)告并自行糾正故障嗎？利用糾錯(cuò)碼（ECC）檢查、多數(shù)表決、某些形式的本地冗余等功能可以幫助檢測(cè)和糾正故障

IP能否檢測(cè)到故障并在可接受的短時(shí)間內(nèi)將其報(bào)告，以便讓系統(tǒng)中的其他層面及時(shí)執(zhí)行安全措施？

是否可以采取外部措施在IP以上的某個(gè)層次保護(hù)系統(tǒng)？

數(shù)據(jù)轉(zhuǎn)換器的功能安全方面

數(shù)據(jù)轉(zhuǎn)換器實(shí)現(xiàn)了低層級(jí)的功能，例如，與某個(gè)模擬傳感器之間建立接口，其唯一的用途就是把模擬信號(hào)轉(zhuǎn)換為其數(shù)字表示，以便在其他SoC塊中進(jìn)行處理。汽車?yán)走_(dá)、激光雷達(dá)（LiDAR）和攝像頭都是需要ADC接口的模擬傳感器的例子。由于傳感器上產(chǎn)生的模擬信號(hào)是未知的，而且不攜帶任何協(xié)議或糾錯(cuò)信息，因此，傳統(tǒng)的協(xié)議級(jí)故障檢測(cè)和糾正機(jī)制不適用。模-數(shù)轉(zhuǎn)換器（ADC）沒有信號(hào)動(dòng)態(tài)的處理能力或知識(shí)，因此無法確定信號(hào)是否已經(jīng)被破壞。ADC的自檢功能可能不適用，因?yàn)樗?jīng)常會(huì)中斷ADC運(yùn)行前臺(tái)測(cè)試的正常操作。對(duì)于此類低級(jí)別功能塊，必須以其他方式來解決汽車安全方面的問題。表征和生產(chǎn)測(cè)試能夠發(fā)現(xiàn)潛在的 故障，它們可能會(huì)影響產(chǎn)品的功能和性能。由于制造缺陷而引入的功能故障通過故障模型（如單點(diǎn)故障、潛在故障等）來描述，這可以利用具有高覆蓋率的“自動(dòng)測(cè)試模式生成”（ATPG）測(cè)試方法來識(shí)別。在表征期間進(jìn)行全范圍檢查的數(shù)據(jù)轉(zhuǎn)換器測(cè)試（例如掃描瞬變輸入信號(hào)），以及在生產(chǎn)測(cè)試中使用純正弦輸入信號(hào)進(jìn)行快速操作檢查，都有助于發(fā)現(xiàn)模擬模塊中具有高覆蓋率的故障。

那些能夠影響ADC，但只在正常操作時(shí)才被觸發(fā)的操作故障，可以借助于ADC中實(shí)現(xiàn)的測(cè)試功能進(jìn)行有效檢測(cè)并在系統(tǒng)級(jí)做出響應(yīng)：

檢測(cè)輸出堵塞（stuck）故障條件（如果輸出字固定在一個(gè)恒定的水平上）

檢測(cè)長(zhǎng)時(shí)間延遲故障條件（用于觸發(fā)的轉(zhuǎn)換）

檢測(cè)不完整的校準(zhǔn)故障條件（對(duì)于校準(zhǔn)的轉(zhuǎn)換器）

檢測(cè)已知輸入電壓的錯(cuò)誤轉(zhuǎn)換（使用輸入多路復(fù)用器（MUX）中的專用輸入通道為測(cè)試提供固定輸入電平），如圖1所示。

圖1：使用MUX測(cè)量已知電壓以檢測(cè)故障

要想滿足汽車功能安全性要求，上述的方法可能不足以實(shí)現(xiàn)高覆蓋率，它們應(yīng)該通過應(yīng)用額外的外部功能安全性措施來補(bǔ)充。這些外部功能安全性措施能夠識(shí)別并解決系統(tǒng)級(jí)上的ADC安全風(fēng)險(xiǎn)，而不會(huì)影響整個(gè)系統(tǒng)的安全性。一種用于ADC的此類外部功能安全性措施能夠在識(shí)別操作故障的同時(shí)，還可以發(fā)揮功能冗余作用。功能冗余不斷地檢查并行運(yùn)行的兩條信號(hào)路徑的輸出一致性。如果檢測(cè)到不一致，那么，系統(tǒng)就會(huì)知道出現(xiàn)了故障，并且應(yīng)該根據(jù)該故障來采取措施，以消除功能安全性問題。在圖2中，兩個(gè)數(shù)據(jù)轉(zhuǎn)換器用于功能冗余。通過兩個(gè)獨(dú)立的轉(zhuǎn)換器處理相同的傳感器輸出信號(hào)；系統(tǒng)對(duì)它們的結(jié)果進(jìn)行一致性檢查。

任何這些實(shí)現(xiàn)都可以提高系統(tǒng)范圍的功能安全覆蓋率，即使是在ADC等單個(gè)模塊內(nèi)部實(shí)施這些措施可能并不太令人滿意或者不太高效。在所示的三個(gè)例子中，冗余從ADC延伸到傳感器。擴(kuò)展的冗余把外部安全性措施的范圍擴(kuò)展至所有的冗余模塊，從而降低了對(duì)單個(gè)模塊內(nèi)部功能安全性措施的要求，但代價(jià)是需要重復(fù)這些模塊。

圖2：用于識(shí)別ADC中操作故障的功能冗余

結(jié)論

為了滿足汽車ADAS應(yīng)用的可靠性和功能安全性要求，IP和SoC設(shè)計(jì)人員必須滿足AEC-Q100和ISO 26262等標(biāo)準(zhǔn)中所規(guī)定的所有強(qiáng)制性汽車要求。充分了解這些要求以及在SoC中有效地實(shí)施這些要求的方法，可以使集成商把所面臨的挑戰(zhàn)分解為多個(gè)可管理的部分，同時(shí)又能夠利用集成IP的特性（和認(rèn)證）來實(shí)現(xiàn)汽車資格認(rèn)證并加快SoC級(jí)認(rèn)證。在實(shí)現(xiàn)內(nèi)部安全性功能可能不太容易或者不太令人滿意的情況下，可以在采用功能塊（例如數(shù)據(jù)轉(zhuǎn)換器）的同時(shí)，采用實(shí)現(xiàn)功能安全性目標(biāo)的其他替代方法，這有助于實(shí)現(xiàn)SoC級(jí)的功能安全性目標(biāo)。