功能安全是諸多行業(yè)整體安全策略的一部分，其目的是將對(duì)人或作業(yè)設(shè)備造成傷害的概率降至可接受的范圍以內(nèi)。近年來(lái),，人們對(duì)系統(tǒng)功能安全的要求顯著增長(zhǎng),。從核電站到醫(yī)療設(shè)備，無(wú)故障系統(tǒng)已成為部分應(yīng)用的理想選擇,，也是其他應(yīng)用的必備條件,。例如，在傳感領(lǐng)域,，獲取的數(shù)據(jù)如果不正確或遭到損壞,，結(jié)果可能具有破壞性，甚至可能致命,，具體取決于系統(tǒng)和所涉及的風(fēng)險(xiǎn)級(jí)別,。

　　傳統(tǒng)上，系統(tǒng)開發(fā)人員有責(zé)任將診斷和故障預(yù)防機(jī)制集成到其產(chǎn)品當(dāng)中,，確保來(lái)自傳感IC的數(shù)據(jù)的完整性,。但其代價(jià)是會(huì)增加PCB面積,、物料成本和處理開銷，最終會(huì)導(dǎo)致費(fèi)用增加,。從那時(shí)起,，通過(guò)與系統(tǒng)設(shè)計(jì)工程師的廣泛合作，人們開發(fā)出了一種解決方案來(lái)解決這個(gè)問(wèn)題,。為此,，人們已經(jīng)開始在IC級(jí)設(shè)計(jì)中考慮功能安全特性。

　　本文旨在從確保數(shù)據(jù)采集系統(tǒng)整體完整性的角度,，探討通過(guò)ADC實(shí)現(xiàn)功能安全的潛力,。

傳統(tǒng)的功能安全解決方案與更佳的方式

　　在圖1中，我們看到的例子是一個(gè)多年以前的功能安全系統(tǒng),，我們將它與更現(xiàn)代的解決方案進(jìn)行比較,。其核心是數(shù)據(jù)采集ADC，它負(fù)責(zé)轉(zhuǎn)換模擬輸入并將數(shù)據(jù)傳輸?shù)轿⒖刂破?。然而,，要?shí)現(xiàn)這一解決方案，需要采用許多外部元件,，重復(fù)執(zhí)行SPI事務(wù),，甚至需要一個(gè)冗余ADC，結(jié)果極大地增加了物料成本,、PCB面積,、處理開銷和成本。同時(shí)還會(huì)給系統(tǒng)設(shè)計(jì)人員帶來(lái)額外的負(fù)擔(dān),，比如,，增加開發(fā)時(shí)間，降低可靠性等,。

　　有一種單IC解決方案,，只需極少的外部元件即可運(yùn)行功能安全特性。

圖1.從多組件功能安全系統(tǒng)到單芯片ADI解決方案的集成,。

具有功能安全要求的示例系統(tǒng)

　　在包含ADC的數(shù)據(jù)采集系統(tǒng)中,，可能發(fā)生多種故障，根據(jù)具體的應(yīng)用,，這些故障可能會(huì)增加人或機(jī)器的健康風(fēng)險(xiǎn),。系統(tǒng)設(shè)計(jì)師必須區(qū)分可接受的風(fēng)險(xiǎn)和不可接受的風(fēng)險(xiǎn)。

圖2.識(shí)別壓力傳感器系統(tǒng)中的潛在故障源,。

　　例如,，在氣室壓力測(cè)量和調(diào)節(jié)系統(tǒng)中，如果罐內(nèi)壓力不能大幅偏離外部壓力，則可將使用容差為5％的傳感器的做法視為可接受的風(fēng)險(xiǎn),。然而,，如果微控制器接收到錯(cuò)誤的ADC數(shù)據(jù)，結(jié)果可能導(dǎo)致致命的事故,，腔室中的壓力可能導(dǎo)致內(nèi)爆或外爆,，這兩種情況都有可能導(dǎo)致附近的人受傷或死亡。這種風(fēng)險(xiǎn)水平是不可接受的,。因此,，必須實(shí)施一些功能安全措施，確?？刂破鹘邮盏男畔⒌耐暾?。

　　可能導(dǎo)致這類錯(cuò)誤的一些故障源為

　　·電源：電源電壓低，低壓差(LDO)調(diào)節(jié)器的輸出電壓低,。

　　·模擬前端(AFE)：傳感器受損,，或放大器驅(qū)動(dòng)到ADC的電壓不正確。

　　·數(shù)字邏輯：數(shù)字域中發(fā)生可能影響轉(zhuǎn)換結(jié)果的誤碼,。例如，工廠增益或偏移調(diào)整系數(shù),。

　　·SPI傳輸：由于傳輸線環(huán)境嘈雜,，轉(zhuǎn)換數(shù)據(jù)的傳輸和命令的接收中存在誤碼。

　　·環(huán)境：超出IC的額定環(huán)境溫度,。

　　AD7768-1是ADI公司功能安全產(chǎn)品組合中的Σ-Δ ADC之一,，具有廣泛的診斷特性，能賦予用戶誤碼檢測(cè)和診斷以及其他能力,。圖2突出顯示了典型壓力檢測(cè)系統(tǒng)中的部分可能故障源,。

用ADC診斷系統(tǒng)錯(cuò)誤

　　借助ADI公司的ADC功能安全產(chǎn)品組合，用戶可以用ADC幫助診斷和/或減少系統(tǒng)錯(cuò)誤,。這種系統(tǒng)誤差測(cè)量能力對(duì)于保持精確測(cè)量極為重要,，并且在具有功能安全要求的系統(tǒng)中，這種準(zhǔn)確性甚至更加重要,。

　　從參考輸入獲取的正負(fù)滿量程電壓用于測(cè)量系統(tǒng)的增益誤差,。通過(guò)零電平內(nèi)部短路測(cè)量失調(diào)誤差。然后,，用戶可以使用ADC的增益和失調(diào)調(diào)整寄存器來(lái)調(diào)整系統(tǒng)的失調(diào)和增益誤差性能,。

　　溫度傳感器識(shí)別IC局部溫度的變化，包括超范圍溫度,。在對(duì)失調(diào)和增益誤差溫度漂移敏感的系統(tǒng)中,，這可能是一項(xiàng)具有吸引力的功能。如果溫度變化較大，用戶可能會(huì)決定在該新溫度下調(diào)整增益和失調(diào)誤差,。圖3說(shuō)明了如何在AD7768-1內(nèi)部將模擬診斷多路復(fù)用器連接到ADC,。

圖3.模擬診斷多路復(fù)用器轉(zhuǎn)換開關(guān)。

診斷錯(cuò)誤標(biāo)志：寄存器映射診斷狀態(tài)指示器

　　可以使能多個(gè)診斷特性,，并且通?？梢酝ㄟ^(guò)寄存器映射將其狀態(tài)告知用戶。發(fā)生故障時(shí),，會(huì)在寄存器中設(shè)置錯(cuò)誤標(biāo)志,。用戶可以在收到故障警報(bào)后進(jìn)一步調(diào)查。

　　接下來(lái),，我們探討可能發(fā)生并且可以通過(guò)ADI功能安全ADC產(chǎn)品組合進(jìn)行診斷的一些真實(shí)故障,。我們首先假設(shè)，我們的壓力傳感器系統(tǒng)裝在一個(gè)工廠里,，其工作溫度波動(dòng)不定,，由于基本維護(hù)工作而多次停電，并且周圍工業(yè)環(huán)境產(chǎn)生的電磁干擾(EMI)有可能被傳導(dǎo)至系統(tǒng)PCB上,。

ADC電源錯(cuò)誤

　　我們假設(shè),，由于工作環(huán)境溫度高，并且系統(tǒng)功率循環(huán)會(huì)引起電流沖擊,，所以,，負(fù)責(zé)ADC的LDO電源輸出的LDO電容已經(jīng)磨損和損壞。使這些輸出維持在已知電壓,，需要采用一個(gè)外部電容,，這對(duì)于整個(gè)系統(tǒng)正常工作至關(guān)重要。如果電容器因該故障損壞,，用戶可能會(huì)發(fā)現(xiàn),，轉(zhuǎn)換后的ADC數(shù)據(jù)或其他功能的性能會(huì)出乎意料。通過(guò)使能LDO監(jiān)視器,，一旦電壓電平降至某個(gè)跳變點(diǎn)以下,，系統(tǒng)會(huì)設(shè)置錯(cuò)誤標(biāo)志以提醒用戶LDO輸出的問(wèn)題。

模擬前端錯(cuò)誤

　　我們假設(shè),，在該系統(tǒng)中,，ADC的輸入不得超過(guò)ADC的滿量程范圍。如果用戶意外地將不正確的值編程到增益寄存器,，導(dǎo)致ADC看到的電壓大于滿量程范圍,，結(jié)果就會(huì)極大地影響系統(tǒng)的增益誤差性能，我們應(yīng)該將此視為一種嚴(yán)重的風(fēng)險(xiǎn),。但是,，濾波器飽和錯(cuò)誤檢查器監(jiān)視ADC輸出,，會(huì)提醒用戶注意超出范圍的模擬輸入。

數(shù)字邏輯隨機(jī)誤碼

　　在數(shù)字邏輯和存儲(chǔ)器模塊中偶爾會(huì)發(fā)生隨機(jī)誤碼,。在我們的示例壓力系統(tǒng)中,，我們假定，在上電期間加載默認(rèn)出廠失調(diào)設(shè)置時(shí)發(fā)生了一個(gè)誤碼,。這是一種無(wú)法容忍的故障,，因?yàn)樗鼤?huì)擾亂系統(tǒng)的默認(rèn)失調(diào)誤差，影響轉(zhuǎn)換結(jié)果,。在ADI功能安全ADC系列產(chǎn)品中,，有一些功能可以定期在各種存儲(chǔ)器模塊上運(yùn)行循環(huán)冗余校驗(yàn)(CRC)，并在發(fā)生誤碼時(shí)向用戶指示故障,。通過(guò)重置系統(tǒng)可以解決所有這些故障,。

SPI傳輸錯(cuò)誤

　　每個(gè)沿介質(zhì)傳輸數(shù)據(jù)的系統(tǒng)都會(huì)產(chǎn)生一些誤碼。

　　可以估算每個(gè)系統(tǒng)出現(xiàn)這種情況的速率,，我們將其稱為誤碼率(BER),。

　　在我們的示例壓力系統(tǒng)中，可以假設(shè)BER小于10-7,，通過(guò)數(shù)字隔離傳輸?shù)酵籔CB上的微控制器,，傳輸距離為10厘米。

　　我們假設(shè),，部分電磁干擾被傳導(dǎo)到SPI線路上,，結(jié)果導(dǎo)致從AD7768-1到微控制器的轉(zhuǎn)換ADC數(shù)據(jù)傳輸中出現(xiàn)誤碼。如果掩蓋了氣室中任何正在積聚的壓力,，ADC數(shù)據(jù)中的誤碼可能造成極大的破壞性,。通過(guò)在發(fā)送數(shù)據(jù)的末尾附加CRC,，用戶可以識(shí)別傳輸期間是否發(fā)生了誤碼,，并且可以重新檢查ADC轉(zhuǎn)換結(jié)果。

外部主時(shí)鐘錯(cuò)誤

　　如果用戶需要在壓力傳感器應(yīng)用中拒絕主電源的頻率(50 Hz / 60 Hz),，那么精確的低抖動(dòng)外部主時(shí)鐘源對(duì)于將數(shù)字濾波器陷波與正確的頻率對(duì)齊至關(guān)重要,。如果源斷開、破損或損壞,，結(jié)果會(huì)成為一個(gè)大問(wèn)題,，因?yàn)橹麟娫吹哪承╊l率成分可能在轉(zhuǎn)換后的ADC數(shù)據(jù)中可見(jiàn)。

　　如果外部時(shí)鐘源未成功連接或已被移除,，則外部時(shí)鐘認(rèn)定器可向用戶指示錯(cuò)誤,。然后，用戶可以使用內(nèi)部RC振蕩器執(zhí)行緊急轉(zhuǎn)換,，同時(shí)在外部主時(shí)鐘源上執(zhí)行基本維護(hù),。

POR標(biāo)志

　　系統(tǒng)上電或成功復(fù)位后，ADC中的POR標(biāo)志將置1。

　　但如果發(fā)生意外復(fù)位,，用戶可能會(huì)在ADC數(shù)據(jù)中看到意外結(jié)果,。他們可以通過(guò)檢查POR標(biāo)志來(lái)識(shí)別這種意外復(fù)位。

       圖4顯示了AD7768-1中有多少這些內(nèi)部診斷特性與它們要監(jiān)控的功能相關(guān)聯(lián),。

圖4.AD7768-1的內(nèi)部診斷監(jiān)視器,。

基于AD7768-1的終極功能安全解決方案

　　使用AD7768-1提供的功能安全特性，可以實(shí)現(xiàn)以下數(shù)據(jù)采集系統(tǒng),。用戶可以啟動(dòng)器件并使能以下功能安全特性：

　　·SPI完整性監(jiān)視器

　　·LDO調(diào)節(jié)器輸出電平監(jiān)控

　　·濾波器飽和度監(jiān)視器

　　·外部時(shí)鐘認(rèn)定器

　　·內(nèi)部邏輯和存儲(chǔ)器CRC監(jiān)視器

　　可以使用內(nèi)部模擬診斷多路復(fù)用器驗(yàn)證系統(tǒng)校準(zhǔn),。LDO調(diào)節(jié)器輸出也可以通過(guò)這種方式進(jìn)行驗(yàn)證。

　　接下來(lái),，用戶可以使能這些功能,，將8位狀態(tài)字節(jié)附加到24位數(shù)據(jù)流和8位SPI CRC字的末尾?；?位命令字,、24位數(shù)據(jù)流和8位狀態(tài)字計(jì)算8位CRC。如果用戶關(guān)注處理開銷量,，可以使能連續(xù)回讀模式,，這樣就無(wú)需提供8位命令。相反,，用戶可以在為器件提供串行時(shí)鐘時(shí)輸出數(shù)據(jù)寄存器的內(nèi)容,，如圖6所示。

　　這樣即可實(shí)現(xiàn)一種數(shù)據(jù)采集系統(tǒng),，其增益和失調(diào)誤差已經(jīng)過(guò)驗(yàn)證,，每次回讀ADC數(shù)據(jù)時(shí)都會(huì)向用戶提供診斷信息。

　　連續(xù)監(jiān)視LDO調(diào)節(jié)器輸出,、模擬前端輸入,、內(nèi)部數(shù)字邏輯和存儲(chǔ)器。用戶可以確定SPI通信的完整性,，確保IC溫度已知,。

結(jié)論

　　許多行業(yè)對(duì)功能安全的要求不斷提高，對(duì)于對(duì)這些要求起到支撐作用的技術(shù)的要求也要相應(yīng)提高,。ADI公司將在我們的產(chǎn)品組合范圍內(nèi)繼續(xù)開發(fā)這種技術(shù),，幫助系統(tǒng)設(shè)計(jì)師實(shí)現(xiàn)功能安全理想。

　　AD7768-1可以大幅減輕客戶的負(fù)擔(dān),，并且該解決方案更緊湊,、更簡(jiǎn)單，還能降低處理開銷,，滿足所需解決方案對(duì)物料成本的要求,。這種單一組件模式還可以減輕系統(tǒng)設(shè)計(jì)師的負(fù)擔(dān),，幫助他們?nèi)〉迷O(shè)計(jì)安全完整性等級(jí)(SIL)認(rèn)證。

圖5.在連續(xù)回讀模式下,，使用AD7768-1的附加狀態(tài)字節(jié)和CRC字節(jié)讀回?cái)?shù)據(jù)寄存器,。

CHRIS NORRIS

　　Chris Norris [[email protected]]是愛(ài)爾蘭利默里克市ADI公司的ADC設(shè)計(jì)評(píng)估工程師。他于2012年獲得沃特福德理工學(xué)院電子工程理學(xué)學(xué)士學(xué)位,，并于同年加入ADI公司,。