新的國際標準和法規加速了對工業設備安全系統的需求。功能安全的目標是保護人員和資產免受傷害。這是通過使用針對特定危險的安全功能來實現的。安全功能由一系列子系統組成，包括傳感器、邏輯和輸出模塊，需要系統級和集成電路級專業知識才能提供具有正確功能集的IC。本文探討AD7770 Σ-Δ型ADC作為高性能IC的一個例子，該IC旨在為模擬和數字域提供一組高級特性，從而簡化安全系統的設計。

介紹

套用墨菲定律之一：“如果存在幾件事出錯的可能性，那么出錯的就是造成最大損害的那件事。

一個可能對人的生命產生直接威脅或間接威脅的系統，如機器故障，必須設計成盡量減少故障的可能性及其隨之而來的負面影響。為了保證概率隨機和確定性故障的水平盡可能低，必須遵循特定的設計方法。在工業中，這種設計方法稱為功能安全。這種方法需要對系統進行細致的分析，以識別任何潛在的危險情況，并應用最佳實踐將組件、子系統或系統中的故障風險降低到可容忍的水平，例如不安全狀態（即電壓過高或診斷失?。?。

功能安全背后的理念是在檢測到錯誤時使系統保持安全狀態，例如，如果外部傳感器的轉換結果未連接，則斷開有源輸出。

IEC-61508是工業設備功能安全設計的標準參考，并已針對不同行業進行了調整/解釋，例如用于汽車的ISO-26262或用于可編程控制器的IEC-61131-6。

按照功能安全標準進行設計可能非常繁瑣，因為必須進行自上而下的細致分析，從整體系統描述到所用組件的內部功能塊。這種分析對于保證足夠的保護水平以避免任何危險情況并最大限度地減少未檢測到的錯誤發生的可能性是必要的。功能安全系統的設計應使系統能夠檢測任何錯誤并做出足夠快的反應，以最大程度地降低危險情況的可能性，如圖1所示。

圖1.功能安全系統中的反應時間。

如何設計功能安全系統

第一步是危害分析，以確定某人可能受傷的方式。在對這些情況進行分析之后，系統的設計應避免危險情況。如果存在不可避免的情況，請添加一個功能系統來檢測不安全狀態并使系統進入安全狀態。

為了說明這個問題，讓我們假設假設的系統如圖 2 所示。根據儲罐溫度，連接到儲罐的閥門會打開一個百分比，以最大程度地降低爆炸風險。DAC通過電機控制閥門的孔徑。所描述的系統是開環的。

圖2.開環閥控制系統信號鏈。

危害分析揭示了可能產生不確定狀態的兩種情況：

溫度測量不正確。因此，閥門的孔徑不正確。

DAC無法正確打開/關閉閥門。

下一步是評估與每種危害相關的風險，

一旦確定了風險，下一步就是設計一個能夠將風險降低到可容忍水平的功能安全系統。

IEC-61508定義了四個安全完整性等級（SIL），定義了安全功能實現的風險降低水平。有兩種不同的目標概率：按需故障，適用于在事件觸發之前處于待機狀態的系統（安全氣囊就是一個很好的示例）和每小時故障概率，適用于持續運行的系統，如上一個示例所示。表 1 總結了符合 IEC61508、ISO 26262（ASIL、汽車）和航空電子標準對按需和每小時預期故障的 SIL 之間的粗略等效性。

表 1.不同標準的風險水平近似值

SIL基于對未檢測到的故障進行所需的減少和最小化，從而在系統上產生故障并可能觸發不良情況。

什么是診斷覆蓋范圍要求？

未檢測到故障的可能性隨著診斷覆蓋率的增加而降低。如果系統可以提供99%的診斷覆蓋率，則可以實現SIL3;對于 90% 的診斷覆蓋率，可以聲明 SIL2。如果覆蓋率僅為60%，則可以實現SIL1。換句話說，未檢測到錯誤的發生率隨著冗余級別的增加而減少。

實現 SIL2 或 SIL3 的更簡單方法是使用已經符合此等級保護的組件。這并不總是可行的，因為這些類型的組件針對特定的應用，這些應用可能與您的電路或系統不同。因此，用于限定設備的假設可能不適用，并且保護級別可能不同。

實現高診斷覆蓋率的另一種方法是在組件級別應用冗余。在這種情況下，錯誤檢測不是直接完成的，而是通過比較兩個（或多個）應該相同的輸出來間接完成的。然而，這種方法會增加功耗、面積，可能更重要的是，會增加系統的最終成本。

在組件級別增加錯誤檢測和冗余

常見的錯誤來源是外部接口中的數據傳輸;如果任何單個比特在傳輸過程中損壞，數據可能會被接收器誤解，并可能產生不良情況。要計算傳輸數據時發生的總誤差，可以使用BER（誤碼率）。誤碼率表示由于噪聲、干擾 （EMC） 或任何其他物理原因而損壞的位數。

誤碼率可以在系統中進行物理測量。通常，該數字在許多標準中都有定義，例如HDMI中的情況，或者可以使用估計值。現代數據流量的最低標準 BER 為 10?–7.對于許多應用程序來說，這個數字可能被認為過于悲觀，但它可以用于參考目的。

誤碼率為 10–7意味著每 1000 萬位中有 1 位將被損壞。對于 SIL3 系統，每小時的目標最大錯誤概率為 10–7.如果我們的系統在ADC之間以1 kSPS的輸出數據速率向控制器傳輸32位數據，那么它將在一小時內傳輸：

在這種情況下，錯誤率將增加到 1.5e–5，這只是一個接口的貢獻;傳輸誤差的總貢獻應保持在總誤差預算的0.1%至1%之間。

在這種情況下，可以通過添加CRC算法來檢測錯誤。可以檢測到的損壞位數由CRC多項式的漢明距離定義，例如X8+ X2+ X + 1，其漢明距離為 4，每傳輸一幀最多能夠檢測到三個損壞的位。表2總結了當傳輸32位數據加上8位CRC時，CRC漢明距離為4，每小時不同位時每小時傳輸的位數的誤差概率。

表 2.CRC 漢明距離為 4 的誤差概率

通過回讀已寫入的寄存器并確認數據已正確傳輸，可以提高使用CRC的診斷級別。此操作將提高診斷級別，但所使用的CRC多項式上的錯誤檢測級別必須能夠根據BER概率檢測預期的損壞位數。

可以做些什么來最小化故障概率？

聲稱組件是為功能安全系統設計的制造商應該能夠提供FIT，更重要的是，提供故障模式，影響和診斷分析（FME（D）A）。此數據用于分析特定應用中的 IC，以計算系統的診斷覆蓋率 （DC）、安全故障率 （SFF） 和危險故障率。

FIT是衡量設備可靠性的指標。IC的FIT可以根據加速壽命測試或行業標準（如IEC62380和SN29500）計算，其中應用的平均工作溫度、封裝類型和晶體管數量用于生成FIT預測。FIT 不提供有關故障根本原因的任何信息，僅提供設備的可靠性預測。一般來說，除非可以直接或間接檢查每個功能塊，否則最終誤差概率將太高，無法滿足任何SIL2或SIL3安全功能的SIL目標。

FME（D）A的目標是提供一份全面的文檔，涵蓋對硅中實現的所有模塊的分析，直接或間接模塊中故障的后果，以及允許檢測故障的不同機制或方法。如前所述，這些分析是基于給定的信號鏈/應用完成的，但提供的詳細程度應足夠高，以便輕松生成針對不同系統/應用的FME（D）A分析。

Σ-Δ型ADC會出什么問題？

對Σ-Δ型ADC的一般分析突出了由于該器件內部復雜性而導致的多個誤差源，例如：

參考斷開/損壞

輸入/輸出緩沖器/PGA 損壞

ADC 內核損壞/飽和

內部穩壓器電源不正確

外部電源不正確

這些只是可能在設備塊中產生故障的一些問題，但還有其他故障來源可能不如前面列出的故障來源那么明顯，例如：

內部粘接損壞

與相鄰引腳的接合短路

漏電流增量

例如，組件能否檢測到 V裁判漏電流增加，導致內部基準電壓下降？為了檢查這種類型的故障，ADC應該能夠在不同的基準電壓源之間進行轉換，并具有V。裁判作為轉換的輸入。

如何檢測內部保險絲是否再生或損壞，從而可能在上電時加載不正確的配置？這些是即使概率真的很低也可能出錯的例子。所有潛在的故障，尤其是那些非常罕見的故障，以及檢測它們的方式（如果有的話），都必須在FME（D）A文檔中詳細記錄。本文檔總結了故障和基于特定應用程序和/或配置所做的假設，以最大程度地檢測和最小化未檢測到的錯誤。

ADI公司的現代ADI Σ-Δ ADC（如AD7770、AD7768或AD7764）采用多個診斷檢波器，以增強容錯保護，并檢測數字和模擬模塊中的功能錯誤。這些塊的示例包括：

用于保險絲、寄存器和接口的 CRC 檢查器

過壓/欠壓檢測器

基準電壓源和LDO電壓檢測器

用于PGA增益測試的內部固定電壓

外部時鐘檢測器

多個基準電壓源

除這些特性外，AD7770 ADC還集成了一個輔助12位SAR ADC，可用于提高器件的診斷能力，用途包括：

它實施了一種替代體系結構，該體系結構可以提供一些好處，例如提供不同級別的 EMC 抗擾度。

它通過不同的電源引腳供電，可用作基準。

它足夠快，可以監視八個Σ-Δ通道，以便將Σ-Δ通道作為監視器進行單次轉換，但精度不同。

它使用不同的串行接口 （SPI） 提供轉換結果。

它提供對所有內部電壓節點的訪問，以進行診斷，如外部電源、V裁判/ 5厘米、LDO 輸出電壓或內部基準電壓源。

圖3所示為AD7770 ADC的內部框圖。包含內部監視器的塊以紫色突出顯示，以綠色突出顯示的塊可以主動監視，以藍色突出顯示的塊包含內部和活動監視功能。

圖3.AD7770 ADC的診斷和監控模塊。

結論

功能安全包括通過增加系統/模塊監控和診斷覆蓋率來降低未檢測到錯誤的數學概率。增加覆蓋范圍的更簡單方法是增加冗余，但這會在多種方面對系統造成不利影響，尤其是成本。最近的ADI Σ-Δ型ADC（如AD7124或AD7768）集成了許多內部誤差檢測器，簡化了功能安全系統的設計，與其他解決方案相比，總體復雜度較低。AD7770是精密Σ-Δ型ADC設計的一個很好的例子，由于其集成的監控和診斷功能，包括一個內部冗余轉換器，可最大限度地擴大診斷覆蓋范圍，因此它領先于其他方面。

審核編輯：郭婷