數(shù)據(jù)采集系統(tǒng)中的功能安全

功能安全是許多行業(yè)整體安全戰(zhàn)略的一部分，旨在將人類(lèi)或操作設(shè)備受到傷害的可能性降低到可容忍的水平。近年來(lái)，對(duì)系統(tǒng)功能安全的要求顯著增長(zhǎng)。從核電站到醫(yī)療設(shè)備，無(wú)差錯(cuò)系統(tǒng)已成為某些人的理想之選，而另一些人則成為必需品。例如，在傳感領(lǐng)域，獲取不正確或損壞的數(shù)據(jù)可能是毀滅性的，并且可能致命，具體取決于系統(tǒng)和所涉及的風(fēng)險(xiǎn)水平。

傳統(tǒng)上，系統(tǒng)開(kāi)發(fā)人員有責(zé)任將診斷和故障預(yù)防機(jī)制整合到其產(chǎn)品中，以確保來(lái)自傳感IC的數(shù)據(jù)的完整性。這是以PCB面積，物料清單，處理開(kāi)銷(xiāo)以及最終費(fèi)用為代價(jià)的。從那時(shí)起，通過(guò)與系統(tǒng)設(shè)計(jì)工程師的廣泛接觸，已經(jīng)開(kāi)發(fā)出一種解決方案來(lái)為他們解決這個(gè)問(wèn)題。為此，功能安全特性已開(kāi)始在IC級(jí)別進(jìn)行設(shè)計(jì)。

本文探討了ADC在確保數(shù)據(jù)采集系統(tǒng)整體完整性方面的功能安全潛力。

傳統(tǒng)功能安全解決方案與更好的方法

在圖 1 中，我們看到了一個(gè)功能安全系統(tǒng)的示例，就像過(guò)去幾年一樣，我們將它與更現(xiàn)代的解決方案進(jìn)行了比較。中心是數(shù)據(jù)采集ADC，用于轉(zhuǎn)換模擬輸入并將數(shù)據(jù)傳輸?shù)?a target="_blank">微控制器。然而，要實(shí)現(xiàn)此解決方案，需要許多外部元件、重復(fù)的SPI事務(wù)，甚至冗余ADC，這大大增加了物料清單、PCB面積、處理開(kāi)銷(xiāo)和成本。它還給系統(tǒng)設(shè)計(jì)人員帶來(lái)了額外的負(fù)擔(dān)，例如開(kāi)發(fā)時(shí)間和可靠性，以開(kāi)發(fā)此解決方案。

提供單一 IC 解決方案，只需極少的外部元件即可實(shí)現(xiàn)功能安全特性。

圖1.從多元件功能安全系統(tǒng)集成到單芯片ADI解決方案。

具有功能安全要求的示例系統(tǒng)

在包含ADC的數(shù)據(jù)采集系統(tǒng)中，可能會(huì)發(fā)生許多故障，這些故障可能會(huì)增加對(duì)人員或機(jī)器健康的風(fēng)險(xiǎn)，具體取決于應(yīng)用。系統(tǒng)設(shè)計(jì)人員必須區(qū)分可接受的風(fēng)險(xiǎn)和不可接受的風(fēng)險(xiǎn)。

例如，在測(cè)量和調(diào)節(jié)氣室壓力的系統(tǒng)中，如果儲(chǔ)罐內(nèi)的壓力不應(yīng)與外部壓力有很大偏差，則使用公差為5%的傳感器可能被視為可接受的風(fēng)險(xiǎn)。但是，如果微控制器接收到不正確的ADC數(shù)據(jù)，則可能導(dǎo)致潛在的致命事件，即腔室中的壓力會(huì)導(dǎo)致內(nèi)爆或爆炸，這兩者都可能傷害或殺死附近的人。這種程度的風(fēng)險(xiǎn)是不可接受的。因此，應(yīng)采取一些功能安全措施，以確保控制器接收的信息的完整性。

可能導(dǎo)致這些類(lèi)型錯(cuò)誤的一些故障源是

電源：低壓差（LDO）穩(wěn)壓器的低電源電壓、低壓輸出。

模擬前端（AFE）：損壞的傳感器或放大器導(dǎo)致ADC的電壓不正確。

數(shù)字邏輯：數(shù)字域中可能影響轉(zhuǎn)換結(jié)果的位錯(cuò)誤。例如，工廠增益或失調(diào)微調(diào)系數(shù)。

SPI傳輸：由于傳輸線(xiàn)的嘈雜環(huán)境，轉(zhuǎn)換后的數(shù)據(jù)傳輸和命令接收中的位錯(cuò)誤。

環(huán)境：超出IC的指定環(huán)境溫度。

AD7768-1是ADI功能安全產(chǎn)品組合中的Σ-Δ型ADC之一，具有大量診斷功能，旨在使用戶(hù)能夠檢測(cè)和診斷錯(cuò)誤等。圖2突出顯示了典型壓力傳感系統(tǒng)中一些可能故障的來(lái)源。

圖2.識(shí)別壓力傳感器系統(tǒng)中的潛在故障源。

使用 ADC 診斷系統(tǒng)錯(cuò)誤

在ADI ADC產(chǎn)品的功能安全產(chǎn)品組合中，能夠使用ADC來(lái)幫助診斷和/或減少系統(tǒng)誤差。這種測(cè)量系統(tǒng)誤差的能力對(duì)于保持準(zhǔn)確的測(cè)量非常重要，而在具有功能安全要求的系統(tǒng)中，這種精度更為重要。

從基準(zhǔn)輸入獲取的正負(fù)滿(mǎn)量程電壓用于測(cè)量系統(tǒng)的增益誤差。零電平內(nèi)部短路用于測(cè)量失調(diào)誤差。然后，用戶(hù)可以使用ADC的增益和失調(diào)調(diào)整寄存器來(lái)調(diào)整系統(tǒng)的失調(diào)和增益誤差性能。

溫度傳感器可識(shí)別IC局部溫度的變化，包括越界溫度。在對(duì)失調(diào)和增益誤差隨溫度漂移敏感的系統(tǒng)中，這可能是一個(gè)有吸引力的功能。如果發(fā)生了相當(dāng)大的溫度變化，用戶(hù)可以決定在這個(gè)新溫度下調(diào)整增益和失調(diào)誤差。圖3顯示了模擬診斷多路復(fù)用器如何連接到AD7768-1內(nèi)部的ADC。

圖3.切換以轉(zhuǎn)換模擬診斷多路復(fù)用器。

診斷錯(cuò)誤標(biāo)志：寄存器映射診斷狀態(tài)指示器

可以啟用多個(gè)診斷功能，并且通常可以通過(guò)寄存器映射向用戶(hù)標(biāo)記其狀態(tài)。如果發(fā)生故障，則會(huì)在寄存器中設(shè)置錯(cuò)誤標(biāo)志。用戶(hù)在收到故障警報(bào)后可以進(jìn)一步調(diào)查。

讓我們推測(cè)一些可能發(fā)生的現(xiàn)實(shí)故障，這些故障可以使用ADI功能安全ADC產(chǎn)品組合進(jìn)行診斷。讓我們首先假設(shè)我們的壓力傳感器系統(tǒng)位于工業(yè)工廠中，溫度波動(dòng)，由于基本維護(hù)而導(dǎo)致的幾次電源停機(jī)，以及來(lái)自周?chē)I(yè)環(huán)境的電磁干擾（EMI）可以傳導(dǎo)到系統(tǒng)PCB上。

模數(shù)轉(zhuǎn)換器電源誤差

假設(shè)環(huán)境中存在高溫和系統(tǒng)電源循環(huán)引起的電流浪涌，負(fù)責(zé)在ADC的LDO電源輸出附近保持電荷的LDO電容器已經(jīng)磨損和損壞。將這些輸出保持在已知電壓需要外部電容器，這對(duì)于正確操作至關(guān)重要。如果電容器由于該故障而損壞，用戶(hù)可以注意到轉(zhuǎn)換后的ADC數(shù)據(jù)或其他功能的性能是意外的。通過(guò)啟用LDO監(jiān)視器，一旦電壓電平降至某個(gè)跳變點(diǎn)以下，將設(shè)置一個(gè)錯(cuò)誤標(biāo)志，以提醒用戶(hù)LDO輸出端的問(wèn)題。

模擬前端誤差

假設(shè)這是一個(gè)ADC輸入不應(yīng)超過(guò)ADC滿(mǎn)量程范圍的系統(tǒng)。如果用戶(hù)不小心對(duì)增益寄存器編程了一個(gè)不正確的值，使ADC看到的電壓增加到大于滿(mǎn)量程范圍，那么這將極大地影響系統(tǒng)的增益誤差性能，并應(yīng)被視為嚴(yán)重的風(fēng)險(xiǎn)。但是，濾波器飽和錯(cuò)誤檢查器會(huì)監(jiān)控ADC輸出，并提醒用戶(hù)模擬輸入超出范圍。

數(shù)字邏輯隨機(jī)位錯(cuò)誤

數(shù)字邏輯和存儲(chǔ)器塊中偶爾會(huì)發(fā)生隨機(jī)位錯(cuò)誤。在我們的示例壓力系統(tǒng)中，假設(shè)在上電期間加載默認(rèn)出廠偏移設(shè)置時(shí)發(fā)生了位錯(cuò)誤。這是一個(gè)無(wú)法容忍的錯(cuò)誤，因?yàn)樗鼤?huì)干擾系統(tǒng)的默認(rèn)失調(diào)誤差，影響轉(zhuǎn)換結(jié)果。在ADI的功能安全ADC產(chǎn)品組合中，有一些功能可以定期對(duì)各種存儲(chǔ)器塊運(yùn)行循環(huán)冗余校驗(yàn)（CRC），并在發(fā)生位錯(cuò)誤時(shí)向用戶(hù)標(biāo)記故障。系統(tǒng)復(fù)位將解決所有這些故障。

SPI 傳輸錯(cuò)誤

每個(gè)沿介質(zhì)傳輸數(shù)據(jù)的系統(tǒng)都會(huì)在此過(guò)程中產(chǎn)生一些位錯(cuò)誤。

可以估計(jì)每個(gè)系統(tǒng)發(fā)生這種情況的速率，稱(chēng)為誤碼率（BER）。

在我們的壓力系統(tǒng)中，誤碼率小于 10–7如果通過(guò)數(shù)字隔離在 10 cm 的距離內(nèi)傳輸?shù)酵?PCB 上的微控制器，則可以假設(shè)。

假設(shè)SPI線(xiàn)路上傳導(dǎo)了一些電磁干擾，這會(huì)導(dǎo)致轉(zhuǎn)換后的ADC數(shù)據(jù)從AD7768-1傳輸?shù)轿⒖刂破鲿r(shí)出現(xiàn)位誤差。如果ADC數(shù)據(jù)中的位錯(cuò)誤掩蓋了氣室中的任何建筑壓力，則可能會(huì)造成潛在的破壞性。通過(guò)將CRC附加到傳輸數(shù)據(jù)的末尾，用戶(hù)可以識(shí)別傳輸過(guò)程中是否發(fā)生誤碼，并可以重新檢查ADC轉(zhuǎn)換結(jié)果。

外部主時(shí)鐘錯(cuò)誤

如果用戶(hù)擔(dān)心在壓力傳感器應(yīng)用中抑制主電源的頻率（50 Hz/60 Hz），那么精確的低抖動(dòng)外部主時(shí)鐘源對(duì)于將數(shù)字濾波器的陷波對(duì)齊到正確的頻率非常重要。如果電源斷開(kāi)、磨損或損壞，這是一個(gè)巨大的問(wèn)題，因?yàn)橹麟娫吹哪承╊l率成分可能會(huì)在轉(zhuǎn)換后的ADC數(shù)據(jù)中變得可見(jiàn)。

如果外部時(shí)鐘源未成功連接或已被移除，則外部時(shí)鐘限定符可以向用戶(hù)標(biāo)記錯(cuò)誤。然后，用戶(hù)可以使用內(nèi)部RC振蕩器執(zhí)行緊急轉(zhuǎn)換，同時(shí)對(duì)外部主時(shí)鐘源進(jìn)行必要的維護(hù)。

波蘭郵政標(biāo)志

系統(tǒng)上電或成功復(fù)位后，ADC內(nèi)的POR標(biāo)志將被設(shè)置。

但是，如果發(fā)生意外復(fù)位，用戶(hù)可能會(huì)在ADC數(shù)據(jù)中看到意外結(jié)果。他們可以通過(guò)檢查 POR 標(biāo)志來(lái)識(shí)別此意外重置。

圖4顯示了AD7768-1中有多少內(nèi)部診斷功能連接到它們將要監(jiān)控的功能。

圖4.AD7768-1的內(nèi)部診斷監(jiān)視器。

采用AD7768-1的終極功能安全解決方案

利用AD7768-1提供的功能安全特性，可以實(shí)現(xiàn)以下數(shù)據(jù)采集系統(tǒng)。用戶(hù)可以為器件通電并啟用以下功能安全特性：

SPI 完整性監(jiān)視器

LDO穩(wěn)壓器輸出電平監(jiān)控

濾波器飽和度監(jiān)視器

外部時(shí)鐘限定符

內(nèi)部邏輯和存儲(chǔ)器CRC監(jiān)視器

系統(tǒng)校準(zhǔn)可通過(guò)內(nèi)部模擬診斷多路復(fù)用器進(jìn)行驗(yàn)證。LDO穩(wěn)壓器輸出也可以通過(guò)這種方式進(jìn)行驗(yàn)證。

接下來(lái)，用戶(hù)可以啟用將 8 位狀態(tài)字節(jié)附加到 24 位數(shù)據(jù)流和 8 位 SPI CRC 字末尾的功能。8位CRC是根據(jù)8位命令字、24位數(shù)據(jù)流和8位狀態(tài)字計(jì)算的。如果用戶(hù)擔(dān)心處理開(kāi)銷(xiāo)，他們可以啟用連續(xù)回讀模式，這樣就無(wú)需提供 8 位命令。相反，用戶(hù)可以在為器件提供串行時(shí)鐘時(shí)輸出數(shù)據(jù)寄存器內(nèi)容，如圖6所示。

圖5.在連續(xù)回讀模式下回讀AD7768-1的數(shù)據(jù)寄存器，并附有狀態(tài)字節(jié)和CRC字節(jié)。

此過(guò)程的結(jié)果是一個(gè)數(shù)據(jù)采集系統(tǒng)，其增益和失調(diào)誤差已經(jīng)過(guò)驗(yàn)證，并且每次用戶(hù)回讀ADC數(shù)據(jù)時(shí)都會(huì)向用戶(hù)提供診斷信息。

LDO穩(wěn)壓器輸出、模擬前端輸入、內(nèi)部數(shù)字邏輯和存儲(chǔ)器受到連續(xù)監(jiān)控。用戶(hù)可以確定SPI通信的完整性以及IC的溫度是已知的。

結(jié)論

隨著許多行業(yè)對(duì)功能安全的要求不斷提高，支持這些要求的技術(shù)也必須如此。ADI公司將繼續(xù)開(kāi)發(fā)我們產(chǎn)品組合中的技術(shù)，以支持系統(tǒng)設(shè)計(jì)人員尋求功能安全操作。

AD7768-1減輕了客戶(hù)的大部分負(fù)擔(dān)，提供了一種更緊湊、更簡(jiǎn)單的解決方案，減少了生產(chǎn)所需解決方案所需的處理開(kāi)銷(xiāo)和物料清單。這種單組件方法還可以減輕希望為其設(shè)計(jì)獲得安全完整性等級(jí)（SIL）認(rèn)證的系統(tǒng)設(shè)計(jì)人員的負(fù)擔(dān)。

審核編輯：郭婷