了解和扩展Σ-Δ型ADC中的安全操作

新的国际标准和法规加速了对工业设备安全系统的需求。功能安全的目标是保护人员和资产免受伤害。这是通过使用针对特定危险的安全功能来实现的。安全功能由一系列子系统组成，包括传感器、逻辑和输出模块，需要系统级和集成电路级专业知识才能提供具有正确功能集的IC。本文探讨AD7770 Σ-Δ型ADC作为高性能IC的一个例子，该IC旨在为模拟和数字域提供一组高级特性，从而简化安全系统的设计。

介绍

套用墨菲定律之一：“如果存在几件事出错的可能性，那么出错的就是造成最大损害的那件事。

一个可能对人的生命产生直接威胁或间接威胁的系统，如机器故障，必须设计成尽量减少故障的可能性及其随之而来的负面影响。为了保证概率随机和确定性故障的水平尽可能低，必须遵循特定的设计方法。在工业中，这种设计方法称为功能安全。这种方法需要对系统进行细致的分析，以识别任何潜在的危险情况，并应用最佳实践将组件、子系统或系统中的故障风险降低到可容忍的水平，例如不安全状态（即电压过高或诊断失败）。

功能安全背后的理念是在检测到错误时使系统保持安全状态，例如，如果外部传感器的转换结果未连接，则断开有源输出。

IEC-61508是工业设备功能安全设计的标准参考，并已针对不同行业进行了调整/解释，例如用于汽车的ISO-26262或用于可编程控制器的IEC-61131-6。

按照功能安全标准进行设计可能非常繁琐，因为必须进行自上而下的细致分析，从整体系统描述到所用组件的内部功能块。这种分析对于保证足够的保护水平以避免任何危险情况并最大限度地减少未检测到的错误发生的可能性是必要的。功能安全系统的设计应使系统能够检测任何错误并做出足够快的反应，以最大程度地降低危险情况的可能性，如图1所示。

图1.功能安全系统中的反应时间。

如何设计功能安全系统

第一步是危害分析，以确定某人可能受伤的方式。在对这些情况进行分析之后，系统的设计应避免危险情况。如果存在不可避免的情况，请添加一个功能系统来检测不安全状态并使系统进入安全状态。

为了说明这个问题，让我们假设假设的系统如图 2 所示。根据储罐温度，连接到储罐的阀门会打开一个百分比，以最大程度地降低爆炸风险。DAC通过电机控制阀门的孔径。所描述的系统是开环的。

图2.开环阀控制系统信号链。

危害分析揭示了可能产生不确定状态的两种情况：

温度测量不正确。因此，阀门的孔径不正确。

DAC无法正确打开/关闭阀门。

下一步是评估与每种危害相关的风险，

一旦确定了风险，下一步就是设计一个能够将风险降低到可容忍水平的功能安全系统。

IEC-61508定义了四个安全完整性等级（SIL），定义了安全功能实现的风险降低水平。有两种不同的目标概率：按需故障，适用于在事件触发之前处于待机状态的系统（安全气囊就是一个很好的示例）和每小时故障概率，适用于持续运行的系统，如上一个示例所示。表 1 总结了符合 IEC61508、ISO 26262（ASIL、汽车）和航空电子标准对按需和每小时预期故障的 SIL 之间的粗略等效性。

表 1.不同标准的风险水平近似值

SIL基于对未检测到的故障进行所需的减少和最小化，从而在系统上产生故障并可能触发不良情况。

什么是诊断覆盖范围要求？

未检测到故障的可能性随着诊断覆盖率的增加而降低。如果系统可以提供99%的诊断覆盖率，则可以实现SIL3;对于 90% 的诊断覆盖率，可以声明 SIL2。如果覆盖率仅为60%，则可以实现SIL1。换句话说，未检测到错误的发生率随着冗余级别的增加而减少。

实现 SIL2 或 SIL3 的更简单方法是使用已经符合此等级保护的组件。这并不总是可行的，因为这些类型的组件针对特定的应用，这些应用可能与您的电路或系统不同。因此，用于限定设备的假设可能不适用，并且保护级别可能不同。

实现高诊断覆盖率的另一种方法是在组件级别应用冗余。在这种情况下，错误检测不是直接完成的，而是通过比较两个（或多个）应该相同的输出来间接完成的。然而，这种方法会增加功耗、面积，可能更重要的是，会增加系统的最终成本。

在组件级别增加错误检测和冗余

常见的错误来源是外部接口中的数据传输;如果任何单个比特在传输过程中损坏，数据可能会被接收器误解，并可能产生不良情况。要计算传输数据时发生的总误差，可以使用BER（误码率）。误码率表示由于噪声、干扰 （EMC） 或任何其他物理原因而损坏的位数。

误码率可以在系统中进行物理测量。通常，该数字在许多标准中都有定义，例如HDMI中的情况，或者可以使用估计值。现代数据流量的最低标准 BER 为 10®–7.对于许多应用程序来说，这个数字可能被认为过于悲观，但它可以用于参考目的。

误码率为 10–7意味着每 1000 万位中有 1 位将被损坏。对于 SIL3 系统，每小时的目标最大错误概率为 10–7.如果我们的系统在ADC之间以1 kSPS的输出数据速率向控制器传输32位数据，那么它将在一小时内传输：

在这种情况下，错误率将增加到 1.5e–5，这只是一个接口的贡献;传输误差的总贡献应保持在总误差预算的0.1%至1%之间。

在这种情况下，可以通过添加CRC算法来检测错误。可以检测到的损坏位数由CRC多项式的汉明距离定义，例如X8+ X2+ X + 1，其汉明距离为 4，每传输一帧最多能够检测到三个损坏的位。表2总结了当传输32位数据加上8位CRC时，CRC汉明距离为4，每小时不同位时每小时传输的位数的误差概率。

表 2.CRC 汉明距离为 4 的误差概率

通过回读已写入的寄存器并确认数据已正确传输，可以提高使用CRC的诊断级别。此操作将提高诊断级别，但所使用的CRC多项式上的错误检测级别必须能够根据BER概率检测预期的损坏位数。

可以做些什么来最小化故障概率？

声称组件是为功能安全系统设计的制造商应该能够提供FIT，更重要的是，提供故障模式，影响和诊断分析（FME（D）A）。此数据用于分析特定应用中的 IC，以计算系统的诊断覆盖率 （DC）、安全故障率 （SFF） 和危险故障率。

FIT是衡量设备可靠性的指标。IC的FIT可以根据加速寿命测试或行业标准（如IEC62380和SN29500）计算，其中应用的平均工作温度、封装类型和晶体管数量用于生成FIT预测。FIT 不提供有关故障根本原因的任何信息，仅提供设备的可靠性预测。一般来说，除非可以直接或间接检查每个功能块，否则最终误差概率将太高，无法满足任何SIL2或SIL3安全功能的SIL目标。

FME（D）A的目标是提供一份全面的文档，涵盖对硅中实现的所有模块的分析，直接或间接模块中故障的后果，以及允许检测故障的不同机制或方法。如前所述，这些分析是基于给定的信号链/应用完成的，但提供的详细程度应足够高，以便轻松生成针对不同系统/应用的FME（D）A分析。

Σ-Δ型ADC会出什么问题？

对Σ-Δ型ADC的一般分析突出了由于该器件内部复杂性而导致的多个误差源，例如：

参考断开/损坏

输入/输出缓冲器/PGA 损坏

ADC 内核损坏/饱和

内部稳压器电源不正确

外部电源不正确

这些只是可能在设备块中产生故障的一些问题，但还有其他故障来源可能不如前面列出的故障来源那么明显，例如：

内部粘接损坏

与相邻引脚的接合短路

漏电流增量

例如，组件能否检测到 V裁判漏电流增加，导致内部基准电压下降？为了检查这种类型的故障，ADC应该能够在不同的基准电压源之间进行转换，并具有V。裁判作为转换的输入。

如何检测内部保险丝是否再生或损坏，从而可能在上电时加载不正确的配置？这些是即使概率真的很低也可能出错的例子。所有潜在的故障，尤其是那些非常罕见的故障，以及检测它们的方式（如果有的话），都必须在FME（D）A文档中详细记录。本文档总结了故障和基于特定应用程序和/或配置所做的假设，以最大程度地检测和最小化未检测到的错误。

ADI公司的现代ADI Σ-Δ ADC（如AD7770、AD7768或AD7764）采用多个诊断检波器，以增强容错保护，并检测数字和模拟模块中的功能错误。这些块的示例包括：

用于保险丝、寄存器和接口的 CRC 检查器

过压/欠压检测器

基准电压源和LDO电压检测器

用于PGA增益测试的内部固定电压

外部时钟检测器

多个基准电压源

除这些特性外，AD7770 ADC还集成了一个辅助12位SAR ADC，可用于提高器件的诊断能力，用途包括：

它实施了一种替代体系结构，该体系结构可以提供一些好处，例如提供不同级别的 EMC 抗扰度。

它通过不同的电源引脚供电，可用作基准。

它足够快，可以监视八个Σ-Δ通道，以便将Σ-Δ通道作为监视器进行单次转换，但精度不同。

它使用不同的串行接口 （SPI） 提供转换结果。

它提供对所有内部电压节点的访问，以进行诊断，如外部电源、V裁判/ 5厘米、LDO 输出电压或内部基准电压源。

图3所示为AD7770 ADC的内部框图。包含内部监视器的块以紫色突出显示，以绿色突出显示的块可以主动监视，以蓝色突出显示的块包含内部和活动监视功能。

图3.AD7770 ADC的诊断和监控模块。

结论

功能安全包括通过增加系统/模块监控和诊断覆盖率来降低未检测到错误的数学概率。增加覆盖范围的更简单方法是增加冗余，但这会在多种方面对系统造成不利影响，尤其是成本。最近的ADI Σ-Δ型ADC（如AD7124或AD7768）集成了许多内部误差检测器，简化了功能安全系统的设计，与其他解决方案相比，总体复杂度较低。AD7770是精密Σ-Δ型ADC设计的一个很好的例子，由于其集成的监控和诊断功能，包括一个内部冗余转换器，可最大限度地扩大诊断覆盖范围，因此它领先于其他方面。

审核编辑：郭婷