功能安全是諸多行業(yè)整體安全策略的一部分,,其目的是將對人或作業(yè)設(shè)備造成傷害的概率降至可接受的范圍以內(nèi),。近年來,,人們對系統(tǒng)功能安全的要求顯著增長,。從核電站到醫(yī)療設(shè)備,,無故障系統(tǒng)已成為部分應(yīng)用的理想選擇,,也是其他應(yīng)用的必備條件,。例如,,在傳感領(lǐng)域,獲取的數(shù)據(jù)如果不正確或遭到損壞,,結(jié)果可能具有破壞性,,甚至可能致命,具體取決于系統(tǒng)和所涉及的風險級別,。
傳統(tǒng)上,,系統(tǒng)開發(fā)人員有責任將診斷和故障預(yù)防機制集成到其產(chǎn)品當中,確保來自傳感IC的數(shù)據(jù)的完整性,。但其代價是會增加PCB面積,、物料成本和處理開銷,最終會導(dǎo)致費用增加,。從那時起,,通過與系統(tǒng)設(shè)計工程師的廣泛合作,人們開發(fā)出了一種解決方案來解決這個問題。為此,,人們已經(jīng)開始在IC級設(shè)計中考慮功能安全特性,。
本文旨在從確保數(shù)據(jù)采集系統(tǒng)整體完整性的角度,探討通過ADC實現(xiàn)功能安全的潛力,。
傳統(tǒng)的功能安全解決方案與更佳的方式
在圖1中,,我們看到的例子是一個多年以前的功能安全系統(tǒng),我們將它與更現(xiàn)代的解決方案進行比較,。其核心是數(shù)據(jù)采集ADC,,它負責轉(zhuǎn)換模擬輸入并將數(shù)據(jù)傳輸?shù)轿⒖刂破鳌H欢?,要實現(xiàn)這一解決方案,,需要采用許多外部元件,重復(fù)執(zhí)行SPI事務(wù),,甚至需要一個冗余ADC,,結(jié)果極大地增加了物料成本、PCB面積,、處理開銷和成本,。同時還會給系統(tǒng)設(shè)計人員帶來額外的負擔,比如,,增加開發(fā)時間,降低可靠性等,。
有一種單IC解決方案,,只需極少的外部元件即可運行功能安全特性。
圖1.從多組件功能安全系統(tǒng)到單芯片ADI解決方案的集成,。
具有功能安全要求的示例系統(tǒng)
在包含ADC的數(shù)據(jù)采集系統(tǒng)中,,可能發(fā)生多種故障,根據(jù)具體的應(yīng)用,,這些故障可能會增加人或機器的健康風險。系統(tǒng)設(shè)計師必須區(qū)分可接受的風險和不可接受的風險,。
圖2.識別壓力傳感器系統(tǒng)中的潛在故障源,。
例如,在氣室壓力測量和調(diào)節(jié)系統(tǒng)中,,如果罐內(nèi)壓力不能大幅偏離外部壓力,則可將使用容差為5%的傳感器的做法視為可接受的風險,。然而,,如果微控制器接收到錯誤的ADC數(shù)據(jù),,結(jié)果可能導(dǎo)致致命的事故,腔室中的壓力可能導(dǎo)致內(nèi)爆或外爆,,這兩種情況都有可能導(dǎo)致附近的人受傷或死亡。這種風險水平是不可接受的,。因此,,必須實施一些功能安全措施,確??刂破鹘邮盏男畔⒌耐暾?。
可能導(dǎo)致這類錯誤的一些故障源為
·電源:電源電壓低,低壓差(LDO)調(diào)節(jié)器的輸出電壓低,。
·模擬前端(AFE):傳感器受損,,或放大器驅(qū)動到ADC的電壓不正確。
·數(shù)字邏輯:數(shù)字域中發(fā)生可能影響轉(zhuǎn)換結(jié)果的誤碼,。例如,,工廠增益或偏移調(diào)整系數(shù)。
·SPI傳輸:由于傳輸線環(huán)境嘈雜,,轉(zhuǎn)換數(shù)據(jù)的傳輸和命令的接收中存在誤碼,。
·環(huán)境:超出IC的額定環(huán)境溫度。
AD7768-1是ADI公司功能安全產(chǎn)品組合中的Σ-Δ ADC之一,,具有廣泛的診斷特性,,能賦予用戶誤碼檢測和診斷以及其他能力。圖2突出顯示了典型壓力檢測系統(tǒng)中的部分可能故障源,。
用ADC診斷系統(tǒng)錯誤
借助ADI公司的ADC功能安全產(chǎn)品組合,,用戶可以用ADC幫助診斷和/或減少系統(tǒng)錯誤。這種系統(tǒng)誤差測量能力對于保持精確測量極為重要,,并且在具有功能安全要求的系統(tǒng)中,,這種準確性甚至更加重要。
從參考輸入獲取的正負滿量程電壓用于測量系統(tǒng)的增益誤差,。通過零電平內(nèi)部短路測量失調(diào)誤差,。然后,用戶可以使用ADC的增益和失調(diào)調(diào)整寄存器來調(diào)整系統(tǒng)的失調(diào)和增益誤差性能,。
溫度傳感器識別IC局部溫度的變化,,包括超范圍溫度,。在對失調(diào)和增益誤差溫度漂移敏感的系統(tǒng)中,,這可能是一項具有吸引力的功能。如果溫度變化較大,,用戶可能會決定在該新溫度下調(diào)整增益和失調(diào)誤差,。圖3說明了如何在AD7768-1內(nèi)部將模擬診斷多路復(fù)用器連接到ADC,。
圖3.模擬診斷多路復(fù)用器轉(zhuǎn)換開關(guān)。
診斷錯誤標志:寄存器映射診斷狀態(tài)指示器
可以使能多個診斷特性,,并且通??梢酝ㄟ^寄存器映射將其狀態(tài)告知用戶。發(fā)生故障時,,會在寄存器中設(shè)置錯誤標志,。用戶可以在收到故障警報后進一步調(diào)查。
接下來,,我們探討可能發(fā)生并且可以通過ADI功能安全ADC產(chǎn)品組合進行診斷的一些真實故障,。我們首先假設(shè),我們的壓力傳感器系統(tǒng)裝在一個工廠里,,其工作溫度波動不定,,由于基本維護工作而多次停電,并且周圍工業(yè)環(huán)境產(chǎn)生的電磁干擾(EMI)有可能被傳導(dǎo)至系統(tǒng)PCB上,。
ADC電源錯誤
我們假設(shè),,由于工作環(huán)境溫度高,并且系統(tǒng)功率循環(huán)會引起電流沖擊,,所以,,負責ADC的LDO電源輸出的LDO電容已經(jīng)磨損和損壞。使這些輸出維持在已知電壓,,需要采用一個外部電容,,這對于整個系統(tǒng)正常工作至關(guān)重要。如果電容器因該故障損壞,,用戶可能會發(fā)現(xiàn),,轉(zhuǎn)換后的ADC數(shù)據(jù)或其他功能的性能會出乎意料。通過使能LDO監(jiān)視器,,一旦電壓電平降至某個跳變點以下,,系統(tǒng)會設(shè)置錯誤標志以提醒用戶LDO輸出的問題。
模擬前端錯誤
我們假設(shè),,在該系統(tǒng)中,,ADC的輸入不得超過ADC的滿量程范圍。如果用戶意外地將不正確的值編程到增益寄存器,,導(dǎo)致ADC看到的電壓大于滿量程范圍,,結(jié)果就會極大地影響系統(tǒng)的增益誤差性能,我們應(yīng)該將此視為一種嚴重的風險,。但是,,濾波器飽和錯誤檢查器監(jiān)視ADC輸出,會提醒用戶注意超出范圍的模擬輸入,。
數(shù)字邏輯隨機誤碼
在數(shù)字邏輯和存儲器模塊中偶爾會發(fā)生隨機誤碼,。在我們的示例壓力系統(tǒng)中,,我們假定,在上電期間加載默認出廠失調(diào)設(shè)置時發(fā)生了一個誤碼,。這是一種無法容忍的故障,,因為它會擾亂系統(tǒng)的默認失調(diào)誤差,影響轉(zhuǎn)換結(jié)果,。在ADI功能安全ADC系列產(chǎn)品中,,有一些功能可以定期在各種存儲器模塊上運行循環(huán)冗余校驗(CRC),并在發(fā)生誤碼時向用戶指示故障,。通過重置系統(tǒng)可以解決所有這些故障。
SPI傳輸錯誤
每個沿介質(zhì)傳輸數(shù)據(jù)的系統(tǒng)都會產(chǎn)生一些誤碼,。
可以估算每個系統(tǒng)出現(xiàn)這種情況的速率,,我們將其稱為誤碼率(BER)。
在我們的示例壓力系統(tǒng)中,,可以假設(shè)BER小于10-7,,通過數(shù)字隔離傳輸?shù)酵籔CB上的微控制器,傳輸距離為10厘米,。
我們假設(shè),,部分電磁干擾被傳導(dǎo)到SPI線路上,結(jié)果導(dǎo)致從AD7768-1到微控制器的轉(zhuǎn)換ADC數(shù)據(jù)傳輸中出現(xiàn)誤碼,。如果掩蓋了氣室中任何正在積聚的壓力,,ADC數(shù)據(jù)中的誤碼可能造成極大的破壞性。通過在發(fā)送數(shù)據(jù)的末尾附加CRC,,用戶可以識別傳輸期間是否發(fā)生了誤碼,,并且可以重新檢查ADC轉(zhuǎn)換結(jié)果。
外部主時鐘錯誤
如果用戶需要在壓力傳感器應(yīng)用中拒絕主電源的頻率(50 Hz / 60 Hz),,那么精確的低抖動外部主時鐘源對于將數(shù)字濾波器陷波與正確的頻率對齊至關(guān)重要,。如果源斷開、破損或損壞,,結(jié)果會成為一個大問題,,因為主電源的某些頻率成分可能在轉(zhuǎn)換后的ADC數(shù)據(jù)中可見。
如果外部時鐘源未成功連接或已被移除,,則外部時鐘認定器可向用戶指示錯誤,。然后,用戶可以使用內(nèi)部RC振蕩器執(zhí)行緊急轉(zhuǎn)換,,同時在外部主時鐘源上執(zhí)行基本維護,。
POR標志
系統(tǒng)上電或成功復(fù)位后,ADC中的POR標志將置1,。
但如果發(fā)生意外復(fù)位,,用戶可能會在ADC數(shù)據(jù)中看到意外結(jié)果,。他們可以通過檢查POR標志來識別這種意外復(fù)位。
圖4顯示了AD7768-1中有多少這些內(nèi)部診斷特性與它們要監(jiān)控的功能相關(guān)聯(lián),。
圖4.AD7768-1的內(nèi)部診斷監(jiān)視器,。
基于AD7768-1的終極功能安全解決方案
使用AD7768-1提供的功能安全特性,可以實現(xiàn)以下數(shù)據(jù)采集系統(tǒng),。用戶可以啟動器件并使能以下功能安全特性:
·SPI完整性監(jiān)視器
·LDO調(diào)節(jié)器輸出電平監(jiān)控
·濾波器飽和度監(jiān)視器
·外部時鐘認定器
·內(nèi)部邏輯和存儲器CRC監(jiān)視器
可以使用內(nèi)部模擬診斷多路復(fù)用器驗證系統(tǒng)校準,。LDO調(diào)節(jié)器輸出也可以通過這種方式進行驗證。
接下來,,用戶可以使能這些功能,,將8位狀態(tài)字節(jié)附加到24位數(shù)據(jù)流和8位SPI CRC字的末尾?;?位命令字,、24位數(shù)據(jù)流和8位狀態(tài)字計算8位CRC。如果用戶關(guān)注處理開銷量,,可以使能連續(xù)回讀模式,,這樣就無需提供8位命令。相反,,用戶可以在為器件提供串行時鐘時輸出數(shù)據(jù)寄存器的內(nèi)容,,如圖6所示。
這樣即可實現(xiàn)一種數(shù)據(jù)采集系統(tǒng),,其增益和失調(diào)誤差已經(jīng)過驗證,,每次回讀ADC數(shù)據(jù)時都會向用戶提供診斷信息。
連續(xù)監(jiān)視LDO調(diào)節(jié)器輸出,、模擬前端輸入,、內(nèi)部數(shù)字邏輯和存儲器。用戶可以確定SPI通信的完整性,,確保IC溫度已知,。
結(jié)論
許多行業(yè)對功能安全的要求不斷提高,對于對這些要求起到支撐作用的技術(shù)的要求也要相應(yīng)提高,。ADI公司將在我們的產(chǎn)品組合范圍內(nèi)繼續(xù)開發(fā)這種技術(shù),,幫助系統(tǒng)設(shè)計師實現(xiàn)功能安全理想。
AD7768-1可以大幅減輕客戶的負擔,,并且該解決方案更緊湊,、更簡單,還能降低處理開銷,,滿足所需解決方案對物料成本的要求,。這種單一組件模式還可以減輕系統(tǒng)設(shè)計師的負擔,幫助他們?nèi)〉迷O(shè)計安全完整性等級(SIL)認證,。
圖5.在連續(xù)回讀模式下,,使用AD7768-1的附加狀態(tài)字節(jié)和CRC字節(jié)讀回數(shù)據(jù)寄存器,。
CHRIS NORRIS
Chris Norris [[email protected]]是愛爾蘭利默里克市ADI公司的ADC設(shè)計評估工程師。他于2012年獲得沃特福德理工學(xué)院電子工程理學(xué)學(xué)士學(xué)位,,并于同年加入ADI公司,。