如何設計功能安全系統(tǒng)

新的國際標準和法規(guī)加速了工業(yè)設備對安全系統(tǒng)的需求。功能安全的目標是保護人員和財產免受損害。這可以通過使用針對特定危險的安全功能來實現(xiàn)。安全功能由一系列子系統(tǒng)組成，包括傳感器、邏輯和輸出模塊，因而需要系統(tǒng)層面和集成電路層面的專門技能來提供具有適當功能組合的IC。

墨菲定律變體之一："如果幾件事都可能出錯，首先出錯的往往是會造成最大損失的那一件。"

如果一個系統(tǒng)可能產生直接或間接的致命威脅，例如機器故障等，那么設計該系統(tǒng)時，必須最大程度地降低故障可能性及其導致的負面影響。為了確保發(fā)生隨機性和確定性故障的概率盡可能低，必須遵循特定的設計方法。工業(yè)中將這種設計方法稱為功能安全方法。這種方法要求對系統(tǒng)進行細致入微的分析，確定所有潛在的危險情況，并運用最佳做法來將器件、子系統(tǒng)和系統(tǒng)的故障風險（例如電壓過高或診斷失敗等）降至容許的水平。

功能安全背后的理念是當檢測到錯誤時讓系統(tǒng)保持安全狀態(tài)，例如：若來自外部傳感器的轉換結果超出范圍，則斷開使能的輸出連接。IEC-61508是工業(yè)設備功能安全設計參考標準，已針對不同行業(yè)進行了修改或闡釋，例如ISO-26262適用于汽車行業(yè)，IEC-61131-6適用于可編程控制器。

根據(jù)功能安全標準進行設計可能相當繁瑣，因為必須完成從上至下的細致分析，從整體系統(tǒng)描述到所用器件的內部功能模塊都不能遺漏。為了保證系統(tǒng)具備足夠高的保護水平，避免出現(xiàn)任何危險情況，并使未檢出差錯的發(fā)生概率最小，這種分析是有必要的。設計功能安全系統(tǒng)時，必須確保系統(tǒng)能夠檢測到所有錯誤，并以足夠快的速度作出反應，使危險情況的發(fā)生概率最小，如圖1所示。

圖1.功能安全系統(tǒng)的反應時間

1、如何設計功能安全系統(tǒng)

危害分析的第一步是確定可能致人受傷的方式。對這些情況進行分析之后，系統(tǒng)設計應確保避免危險情況發(fā)生。如果存在無法避免的情況，應增加安全系統(tǒng)來檢測該不安全狀態(tài)并讓系統(tǒng)處于安全狀態(tài)。

為了更好地說明這個問題，假設存在圖2所示的系統(tǒng)。根據(jù)油箱溫度，一個連接到油箱的閥門打開一定的百分比以使爆炸風險最低。一個DAC通過一臺電機控制閥門開口大小。所述系統(tǒng)稱為開環(huán)式。

圖2.開環(huán)閥門控制系統(tǒng)信號鏈

危害分析揭示出有兩種情況可能產生不確定狀態(tài)：溫度測量錯誤。
因此，閥門開口大小也不正確。DAC未能正確打開/關閉閥門。下一步是評估各種危害的風險，公式如下：

確定風險之后，下一步便是設計一個能將風險降至容許水平的功能安全系統(tǒng)。

IEC-61508定義了四個安全完整性等級(SIL)，這些等級規(guī)定了安全功能應將風險降至何種水平。有兩種不同的目標概率：

一是需要時失效，適用于處于待命狀態(tài)且由事件觸發(fā)的系統(tǒng)（安全氣囊是一個很好的例子）；

二是每小時失效，適用于持續(xù)運行的系統(tǒng)，上例就是這種情況。表1總結了以下標準的SIL之間的大致等效性：IEC61508、ISO 26262（ASIL，汽車）和航空電子關于期望需要時失效和每小時失效的標準。

表1.不同標準的風險水平概算

SIL等級是基于對未檢出故障的降低和最小化程度來制定的，這里的未檢出故障是指會使系統(tǒng)功能失常并可能觸發(fā)不利狀況的故障。

2、診斷覆蓋率要求是多少？

未檢出故障的概率隨著診斷覆蓋率的提高而降低。若系統(tǒng)能提供99%的診斷覆蓋率，則可實現(xiàn)SIL3；若診斷覆蓋率為90%，則可實現(xiàn)SIL2；若診斷覆蓋率只有60%，則可實現(xiàn)SIL1。換言之，未檢出故障的發(fā)生概率隨著冗余程度的提高而降低。

實現(xiàn)SIL2或SIL3的較簡單方法是采用已通過相應保護等級認證的器件。但這并非總是可行的，因為此類器件針對的是特定應用，其與您的電路或系統(tǒng)可能不完全相同。因此，之前通過SIL等級認證的器件，它們當初使用的認證標準可能不適用你的系統(tǒng)，而且你的系統(tǒng)保護等級也可能不相同。

實現(xiàn)高診斷覆蓋率的另一種方法是在器件層面使用冗余設計。這種情況下，錯誤檢測不是直接進行，而是間接進行，即比較兩個（或更多）理應相同的輸出。然而，這種方法會增加功耗、面積和系統(tǒng)的最終成本（成本問題可能最為關鍵）。

3、提高器件層面的錯誤檢測水平和冗余度

一個常見的差錯來源是外部接口中的數(shù)據(jù)傳輸：如果任何一位在傳輸中被破壞，數(shù)據(jù)便可能被接收器誤解，并且可能產生不利狀況。為了計算數(shù)據(jù)傳輸中發(fā)生的總差錯，可以使用BER（誤碼率）。BER表示因為噪聲、干擾(EMC)或任何其他物理原因而遭到破壞的位數(shù)和傳輸?shù)目偙忍財?shù)的比值。

系統(tǒng)的BER可通過物理方法加以測量。一般而言，許多標準規(guī)定了這一數(shù)值，例如HDMI?，或者可以使用估計值?，F(xiàn)代數(shù)據(jù)傳輸?shù)淖畹蜆藴蔅ER為10–7。對許多應用來說，此數(shù)值可能太過保守，但可用于參考。

10–7的BER意味著每1000萬位中有1位遭到破壞。對于SIL3系統(tǒng)，每小時的目標最大差錯概率為10–7。如果系統(tǒng)在ADC和控制器之間傳輸32位數(shù)據(jù)，輸出數(shù)據(jù)速率為1 kSPS，則1小時傳輸?shù)奈粩?shù)為：

這種情況下，誤碼率會提高到1.5e–5，這只是一個接口的貢獻；傳輸差錯的總貢獻應保持在總差錯預算的0.1%到1%之間。

對于這種情況，可通過增加CRC算法來檢測差錯?？蓹z測到的損壞位數(shù)由CRC多項式的Hamming距離定義，例如X8 + X2 + X + 1的Hamming距離為4，能夠在傳輸?shù)拿繋袡z測到最多3個損壞位。表2總結了CRC Hamming距離為4時根據(jù)每小時傳輸?shù)牟煌粩?shù)得出的差錯概率，假設傳輸32位數(shù)據(jù)加8位CRC。

表2.CRC Hamming距離為4時的差錯概率

CRC診斷水平可通過如下方式來加強：回讀寫入的寄存器，確認數(shù)據(jù)傳輸正確。此操作會提高診斷水平，但所用CRC多項式的差錯檢測水平必須能夠檢測BER概率所決定的預期損壞位數(shù)。

4、如何使故障概率最?。?/p>

若制造商宣稱某個器件針對功能安全系統(tǒng)而設計，其應能夠提供FIT以及更為重要的故障模式、影響和診斷分析(FME(D)A)。此數(shù)據(jù)用于分析特定應用中的IC，計算系統(tǒng)的診斷覆蓋率(DC)、安全失效系數(shù)(SFF)和危險故障率。

FIT衡量器件的可靠性。IC的FIT可根據(jù)加速壽命測試或IEC62380、SN29500等工業(yè)標準來計算；工業(yè)標準將應用的平均工作溫度、封裝類型和晶體管數(shù)量視為產生FIT預測結果的因素。FIT只是關于器件可靠性的預測，并不提供關于故障根源的任何信息。一般而言，除非能夠直接或間接檢查每個功能模塊，否則最終差錯概率將會太高而無法滿足任何SIL2或SIL3安全功能的SIL目標。

FME(D)A的目的是提供一個全面的文件來分析芯片中實現(xiàn)的所有模塊、模塊失效的直接或間接后果以及支持故障檢測的不同機制或方法。如之前所述，這些分析是基于特定信號鏈/應用而完成的，但其詳細程度應足夠高，據(jù)此可以輕松生成針對其他系統(tǒng)/應用的FME(D)A分析。

5、Σ-Δ ADC可能出什么錯？

對Σ-Δ ADC的一般分析揭示出了此類器件的內部復雜性所引起的多種錯誤來源：
基準電壓斷開連接/受損
輸入/輸出緩沖器/PGA受損
ADC內核受損/飽和
內部穩(wěn)壓器電源不正確
外部電源不正確

只有某些問題會在器件模塊中產生故障，但存在其他不像上面所列那么明顯的故障原因：
內部鍵合線受損
鍵合線與鄰近引腳短路
漏電流增加

例如，若VREF漏電流增加以致在內部基準電壓上產生壓降，器件能否檢測到這一情形？為檢查此類故障，ADC應能選擇不同的基準電壓進行轉換，并將VREF用作轉換輸入。

若內部熔絲位再生或發(fā)生其他損壞，可能導致上電時加載不正確的配置，對此應如何進行檢測？這些都是可能出錯的一些事例，即使其發(fā)生概率非常低。所有潛在故障（尤其是非常罕見的故障）及其檢測方式（如有），都必須在FME(D)A文件中做好記載。此文件總結了基于特定應用和/或配置的故障及所做的假設，目的是最大程度地提高檢測水平，使未檢出差錯最少。

ADI公司的現(xiàn)代化Σ-Δ ADC，比如 AD7770, AD7768, 或 AD7764, 通過多個診斷檢測器來提高容錯保護，并檢測數(shù)字模塊和模擬模塊中的功能錯誤。下面是此類模塊的一些例子：
用于熔絲位、寄存器和接口的CRC校驗器
過壓/欠壓檢測器
基準電壓和LDO電壓檢測器
用于PGA增益測試的內部固定電壓
外部時鐘檢測器
多個基準電壓源

除了這些特性，AD7770 ADC還集成了一個輔助12位SAR型ADC，它可以用來提高器件的診斷能力，例如：
實現(xiàn)其他架構以得到某些好處，比如提供不同的EMC抗擾度
它通過不同的電源引腳供電，故而可以用作基準電壓源
其速度非常快，用作監(jiān)視器時，在一個Σ-Δ 通道的單次轉換期間，它可以監(jiān)視8個Σ-Δ通道，但該SAR型ADC的精度和Σ-Δ ADC的精度不同
它利用不同的串行接口(SPI)提供轉換結果
提供所有內部電壓節(jié)點的測量進行診斷，比如外部電源、VREF、VCM、LDO輸出電壓或內部基準電壓。

圖3顯示了AD7770 ADC的內部框圖。內置監(jiān)視器的模塊用綠色突出顯示，對紅色突出顯示的模塊可以進行主動監(jiān)視。

圖3.AD7770 ADC的診斷和監(jiān)控模塊

6、結 語

為保證功能安全，須提高系統(tǒng)/模塊監(jiān)視和診斷覆蓋率，以降低未檢出錯誤的數(shù)學概率。提高覆蓋率的較簡單方法是增加冗余，但這會給系統(tǒng)帶來多方面的不利影響，尤其是成本。

ADI公司的一些 Σ-Δ ADC，比如 AD7124 或AD7768，實現(xiàn)了許多內部錯誤檢測器，這樣可以簡化功能安全系統(tǒng)的設計，使整體復雜度低于其他解決方案。AD7770是精密Σ-Δ ADC設計的典范，集成了監(jiān)視和診斷能力，包括通過內置冗余轉換器來使診斷覆蓋率達到最大，這使其成為超越一切可能的卓越產品。

審核編輯：何安