探討如何設(shè)計(jì)高性能IC以提供模擬域和數(shù)字域中的先進(jìn)組合，簡(jiǎn)化安全設(shè)計(jì)資料下載

摘要 新的國(guó)際標(biāo)準(zhǔn)和法規(guī)加速了工業(yè)設(shè)備對(duì)安全系統(tǒng)的需求。功能安全的目標(biāo)是保護(hù)人員和財(cái)產(chǎn)免受損害。這可以通過(guò)使用針對(duì)特定危險(xiǎn)的安全功能來(lái)實(shí)現(xiàn)。安全功能由一系列子系統(tǒng)組成，包括傳感器、邏輯和輸出模塊，因而需要系統(tǒng)層面和集成電路層面的專門技能來(lái)提供具有適當(dāng)功能組合的IC。本文以 AD7770 Σ-Δ ADC 為例，探討如何構(gòu)思和設(shè)計(jì)高性能IC以提供模擬域和數(shù)字域中的先進(jìn)特性組合，從而簡(jiǎn)化安全系統(tǒng)的設(shè)計(jì)。 簡(jiǎn)介 墨菲定律變體之一："如果幾件事都可能出錯(cuò)，首先出錯(cuò)的往往是會(huì)造成最大損失的那一件。" 如果一個(gè)系統(tǒng)可能產(chǎn)生直接或間接的致命威脅，例如機(jī)器故障等，那么設(shè)計(jì)該系統(tǒng)時(shí)，必須最大程度地降低故障可能性及其導(dǎo)致的負(fù)面影響。為了確保發(fā)生隨機(jī)性和確定性故障的概率盡可能低，必須遵循特定的設(shè)計(jì)方法。工業(yè)中將這種設(shè)計(jì)方法稱為功能安全方法。這種方法要求對(duì)系統(tǒng)進(jìn)行細(xì)致入微的分析，確定所有潛在的危險(xiǎn)情況，并運(yùn)用最佳做法來(lái)將器件、子系統(tǒng)和系統(tǒng)的故障風(fēng)險(xiǎn)（例如電壓過(guò)高或診斷失敗等）降至容許的水平。 功能安全背后的理念是當(dāng)檢測(cè)到錯(cuò)誤時(shí)讓系統(tǒng)保持安全狀態(tài)，例如：若來(lái)自外部傳感器的轉(zhuǎn)換結(jié)果超出范圍，則斷開(kāi)使能的輸出連接 IEC-61508是工業(yè)設(shè)備功能安全設(shè)計(jì)參考標(biāo)準(zhǔn)，已針對(duì)不同行業(yè)進(jìn)行了修改或闡釋，例如ISO-26262適用于汽車行業(yè)，IEC-61131-6適用于可編程控制器。 根據(jù)功能安全標(biāo)準(zhǔn)進(jìn)行設(shè)計(jì)可能相當(dāng)繁瑣，因?yàn)楸仨毻瓿蓮纳现料碌募?xì)致分析，從整體系統(tǒng)描述到所用器件的內(nèi)部功能模塊都不能遺漏。為了保證系統(tǒng)具備足夠高的保護(hù)水平，避免出現(xiàn)任何危險(xiǎn)情況，并使未檢出差錯(cuò)的發(fā)生概率最小，這種分析是有必要的。設(shè)計(jì)功能安全系統(tǒng)時(shí)，必須確保系統(tǒng)能夠檢測(cè)到所有錯(cuò)誤，并以足夠快的速度作出反應(yīng)，使危險(xiǎn)情況的發(fā)生概率最小，如圖1所示。 圖1.功能安全系統(tǒng)的反應(yīng)時(shí)間 如何設(shè)計(jì)功能安全系統(tǒng) 危害分析的第一步是確定可能致人受傷的方式。對(duì)這些情況進(jìn)行分析之后，系統(tǒng)設(shè)計(jì)應(yīng)確保避免危險(xiǎn)情況發(fā)生。如果存在無(wú)法避免的情況，應(yīng)增加安全系統(tǒng)來(lái)檢測(cè)該不安全狀態(tài)并讓系統(tǒng)處于安全狀態(tài)。 為了更好地說(shuō)明這個(gè)問(wèn)題，假設(shè)存在圖2所示的系統(tǒng)。根據(jù)油箱溫度，一個(gè)連接到油箱的閥門打開(kāi)一定的百分比以使爆炸風(fēng)險(xiǎn)最低。一個(gè)DAC通過(guò)一臺(tái)電機(jī)控制閥門開(kāi)口大小。所述系統(tǒng)稱為開(kāi)環(huán)式。 圖2.開(kāi)環(huán)閥門控制系統(tǒng)信號(hào)鏈 危害分析揭示出有兩種情況可能產(chǎn)生不確定狀態(tài)： 溫度測(cè)量錯(cuò)誤。因此，閥門開(kāi)口大小也不正確。 DAC未能正確打開(kāi)/關(guān)閉閥門。 下一步是評(píng)估各種危害的風(fēng)險(xiǎn)，公式如下： 確定風(fēng)險(xiǎn)之后，下一步便是設(shè)計(jì)一個(gè)能將風(fēng)險(xiǎn)降至容許水平的功能安全系統(tǒng)。 IEC-61508定義了四個(gè)安全完整性等級(jí)(SIL)，這些等級(jí)規(guī)定了安全功能應(yīng)將風(fēng)險(xiǎn)降至何種水平。有兩種不同的目標(biāo)概率：一是需要時(shí)失效，適用于處于待命狀態(tài)且由事件觸發(fā)的系統(tǒng)（安全氣囊是一個(gè)很好的例子）；二是每小時(shí)失效，適用于持續(xù)運(yùn)行的系統(tǒng)，上例就是這種情況。表1總結(jié)了以下標(biāo)準(zhǔn)的SIL之間的大致等效性：IEC61508、ISO 26262（ASIL，汽車）和航空電子關(guān)于期望需要時(shí)失效和每小時(shí)失效的標(biāo)準(zhǔn)。 表1.不同標(biāo)準(zhǔn)的風(fēng)險(xiǎn)水平概算 SIL等級(jí)是基于對(duì)未檢出故障的降低和最小化程度來(lái)制定的，這里的未檢出故障是指會(huì)使系統(tǒng)功能失常并可能觸發(fā)不利狀況的故障。 診斷覆蓋率要求是多少？ 未檢出故障的概率隨著診斷覆蓋率的提高而降低。若系統(tǒng)能提供99%的診斷覆蓋率，則可實(shí)現(xiàn)SIL3；若診斷覆蓋率為90%，則可實(shí)現(xiàn)SIL2；若診斷覆蓋率只有60%，則可實(shí)現(xiàn)SIL1。換言之，未檢出故障的發(fā)生概率隨著冗余程度的提高而降低。 實(shí)現(xiàn)SIL2或SIL3的較簡(jiǎn)單方法是采用已通過(guò)相應(yīng)保護(hù)等級(jí)認(rèn)證的器件。但這并非總是可行的，因?yàn)榇祟惼骷槍?duì)的是特定應(yīng)用，其與您的電路或系統(tǒng)可能不完全相同。因此，之前通過(guò)SIL等級(jí)認(rèn)證的器件，它們當(dāng)初使用的認(rèn)證標(biāo)準(zhǔn)可能不適用你的系統(tǒng)，而且你的系統(tǒng)保護(hù)等級(jí)也可能不相同。 實(shí)現(xiàn)高診斷覆蓋率的另一種方法是在器件層面使用冗余設(shè)計(jì)。這種情況下，錯(cuò)誤檢測(cè)不是直接進(jìn)行，而是間接進(jìn)行，即比較兩個(gè)（或更多）理應(yīng)相同的輸出。然而，這種方法會(huì)增加功耗、面積和系統(tǒng)的最終成本（成本問(wèn)題可能最為關(guān)鍵）。 提高器件層面的錯(cuò)誤檢測(cè)水平和冗余度 一個(gè)常見(jiàn)的差錯(cuò)來(lái)源是外部接口中的數(shù)據(jù)傳輸：如果任何一位在傳輸中被破壞，數(shù)據(jù)便可能被接收器誤解，并且可能產(chǎn)生不利狀況。為了計(jì)算數(shù)據(jù)傳輸中發(fā)生的總差錯(cuò)，可以使用BER（誤碼率）。BER表示因?yàn)樵肼?、干擾(EMC)或任何其他物理原因而遭到破壞的位數(shù)和傳輸?shù)目偙忍財(cái)?shù)的比值。 系統(tǒng)的BER可通過(guò)物理方法加以測(cè)量。一般而言，許多標(biāo)準(zhǔn)規(guī)定了這一數(shù)值，例如HDMI?，或者可以使用估計(jì)值?，F(xiàn)代數(shù)據(jù)傳輸?shù)淖畹蜆?biāo)準(zhǔn)BER為10–7。對(duì)許多應(yīng)用來(lái)說(shuō)，此數(shù)值可能太過(guò)保守，但可用于參考。 10–7的BER意味著每1000萬(wàn)位中有1位遭到破壞。對(duì)于SIL3系統(tǒng)，每小時(shí)的目標(biāo)最大差錯(cuò)概率為10–7。如果系統(tǒng)在ADC和控制器之間傳輸32位數(shù)據(jù)，輸出數(shù)據(jù)速率為1 kSPS，則1小時(shí)傳輸?shù)奈粩?shù)為： 這種情況下，誤碼率會(huì)提高到1.5e–5，這只是一個(gè)接口的貢獻(xiàn)；傳輸差錯(cuò)的總貢獻(xiàn)應(yīng)保持在總差錯(cuò)預(yù)算的0.1%到1%之間。 對(duì)于這種情況，可通過(guò)增加CRC算法來(lái)檢測(cè)差錯(cuò)?？蓹z測(cè)到的損壞位數(shù)由CRC多項(xiàng)式的Hamming距離定義，例如X8 X2 X 1的Hamming距離為4，能夠在傳輸?shù)拿繋袡z測(cè)到最多3個(gè)損壞位。表2總結(jié)了CRC Hamming距離為4時(shí)根據(jù)每小時(shí)傳輸?shù)牟煌粩?shù)得出的差錯(cuò)概率，假設(shè)傳輸32位數(shù)據(jù)加8位CRC。 表2.CRC Hamming距離為4時(shí)的差錯(cuò)概率 CRC診斷水平可通過(guò)如下方式來(lái)加強(qiáng)：回讀寫(xiě)入的寄存器，確認(rèn)數(shù)據(jù)傳輸正確。此操作會(huì)提高診斷水平，但所用CRC多項(xiàng)式的差錯(cuò)檢測(cè)水平必須能夠檢測(cè)BER概率所決定的預(yù)期損壞位數(shù)。 如何使故障概率最??？ 若制造商宣稱某個(gè)器件針對(duì)功能安全系統(tǒng)而設(shè)計(jì)，其應(yīng)能夠提供FIT以及更為重要的故障模式、影響和診斷分析(FME(D)A)。此數(shù)據(jù)用于分析特定應(yīng)用中的IC，計(jì)算系統(tǒng)的診斷覆蓋率(DC)、安全失效系數(shù)(SFF)和危險(xiǎn)故障率。 FIT衡量器件的可靠性。IC的FIT可根據(jù)加速壽命測(cè)試或IEC62380、SN29500等工業(yè)標(biāo)準(zhǔn)來(lái)計(jì)算；工業(yè)標(biāo)準(zhǔn)將應(yīng)用的平均工作溫度、封裝類型和晶體管數(shù)量視為產(chǎn)生FIT預(yù)測(cè)結(jié)果的因素。FIT只是關(guān)于器件可靠性的預(yù)測(cè)，并不提供關(guān)于故障根源的任何信息。一般而言，除非能夠直接或間接檢查每個(gè)功能模塊，否則最終差錯(cuò)概率將會(huì)太高而無(wú)法滿足任何SIL2或SIL3安全功能的SIL目標(biāo)。 FME(D)A的目的是提供一個(gè)全面的文件來(lái)分析芯片中實(shí)現(xiàn)的所有模塊、模塊失效的直接或間接后果以及支持故障檢測(cè)的不同機(jī)制或方法。如之前所述，這些分析是基于特定信號(hào)鏈/應(yīng)用而完成的，但其詳細(xì)程度應(yīng)足夠高，據(jù)此可以輕松生成針對(duì)其他系統(tǒng)/應(yīng)用的FME(D)A分析。 Σ-Δ ADC可能出什么錯(cuò)？ 對(duì)Σ-Δ ADC的一般分析揭示出了此類器件的內(nèi)部復(fù)雜性所引起的多種錯(cuò)誤來(lái)源： * 基準(zhǔn)電壓斷開(kāi)連接/受損 * 輸入/輸出緩沖器/PGA受損 * ADC內(nèi)核受損/飽和 * 內(nèi)部穩(wěn)壓器電源不正確 * 外部電源不正確 只有某些問(wèn)題會(huì)在器件模塊中產(chǎn)生故障，但存在其他不像上面所列那么明顯的故障原因： * 內(nèi)部鍵合線受損 * 鍵合線與鄰近引腳短路 * 漏電流增加