功能安全系統(tǒng)如何設(shè)計(jì)？你只差一款高性能Σ-Δ ADC

自動(dòng)化如果不安全，就談不上智能。功能安全在工業(yè) 4.0 中發(fā)揮著重要作用，其旨在免于發(fā)生不可接受的風(fēng)險(xiǎn)的自由，保護(hù)人員、資產(chǎn)和環(huán)境免受非惡意行為者造成的無意傷害，例如不良規(guī)劃、不良實(shí)施、一組不良的要求或隨機(jī)故障。面對全球化的工業(yè)4.0浪潮，提供具有診斷功能的產(chǎn)品幫助客戶開發(fā)適用于工業(yè)應(yīng)用的功能安全設(shè)計(jì)成為了包括ADI公司在內(nèi)的各大解決方案提供商的研究重點(diǎn)。

兩個(gè)步驟建立高性能功能安全系統(tǒng)

第一，危害分析，確定可能致人受傷的方式。對危害進(jìn)行分析之后，系統(tǒng)設(shè)計(jì)應(yīng)確保避免危險(xiǎn)情況發(fā)生。如果存在無法避免的情況，應(yīng)增加安全系統(tǒng)來檢測該不安全狀態(tài)并讓系統(tǒng)處于安全狀態(tài)。例如一個(gè)開環(huán)式閥門控制系統(tǒng)，根據(jù)油箱溫度，一個(gè)連接到油箱的閥門打開一定的百分比以使爆炸風(fēng)險(xiǎn)最低。一個(gè)DAC通過一臺電機(jī)控制閥門開口大小。危害分析揭示出有兩種情況可能產(chǎn)生不確定狀態(tài)：溫度測量錯(cuò)誤以及DAC未能正確打開/關(guān)閉閥門。然后評估各種危害的風(fēng)險(xiǎn)，公式如下：

開環(huán)閥門控制系統(tǒng)信號鏈

第二，設(shè)計(jì)一個(gè)能將風(fēng)險(xiǎn)降至容許水平的功能安全系統(tǒng)。功能安全國際標(biāo)準(zhǔn)IEC-61508定義了四個(gè)安全完整性等級(SIL)，這些等級規(guī)定了安全功能應(yīng)將風(fēng)險(xiǎn)降至何種水平。這是基于對未檢出故障的降低和最小化程度來制定的，未檢出故障是指會(huì)使系統(tǒng)功能失常并可能觸發(fā)不利狀況的故障。

不同標(biāo)準(zhǔn)的風(fēng)險(xiǎn)水平概算

若系統(tǒng)能提供99%的診斷覆蓋率，則可實(shí)現(xiàn)SIL3；若診斷覆蓋率為90%，則可實(shí)現(xiàn)SIL2；若診斷覆蓋率只有60%，則可實(shí)現(xiàn)SIL1。換言之，未檢出故障的概率隨著診斷覆蓋率的提高而降低。目前，常見的實(shí)現(xiàn)高診斷覆蓋率分別是采用已通過相應(yīng)保護(hù)等級認(rèn)證的器件以及在器件層面使用冗余設(shè)計(jì)。這兩種方法都有不容忽視的弊病，前者的認(rèn)證標(biāo)準(zhǔn)可能不適用你的系統(tǒng)，而且系統(tǒng)保護(hù)等級也可能不匹配。后者在進(jìn)行錯(cuò)誤檢測時(shí)，并不是直接進(jìn)行，而是間接將兩個(gè)（或更多）理應(yīng)相同的輸出進(jìn)行比較。這種方法極大地增加了物料成本、PCB面積、處理開銷和成本。同時(shí)還會(huì)給系統(tǒng)設(shè)計(jì)人員帶來額外的負(fù)擔(dān)，比如，增加開發(fā)時(shí)間，降低可靠性等。

從核心器件層面減少故障概率

一個(gè)常見的差錯(cuò)來源是外部接口中的數(shù)據(jù)傳輸：如果任何一位在傳輸中被破壞，數(shù)據(jù)便可能被接收器誤解，并且可能產(chǎn)生不利狀況。因此數(shù)據(jù)鏈上的每一個(gè)器件都很重要，若制造商宣稱某個(gè)器件針對功能安全系統(tǒng)而設(shè)計(jì)，其應(yīng)能夠提供FIT以及更為重要的故障模式、影響和診斷分析。此數(shù)據(jù)用于分析特定應(yīng)用中的IC，計(jì)算系統(tǒng)的診斷覆蓋率(DC)、安全失效系數(shù)(SFF)和危險(xiǎn)故障率。 相對而言，其中常用的Σ-Δ ADC的功能安全尤其關(guān)鍵。

對Σ-Δ ADC的一般分析揭示出了此類器件的內(nèi)部復(fù)雜性所引起的多種錯(cuò)誤來源，包括：基準(zhǔn)電壓斷開連接/受損；輸入/輸出緩沖器/PGA受損；ADC內(nèi)核受損/飽和內(nèi)部穩(wěn)壓器電源不正確，以及外部電源不正確。此外，只有某些問題會(huì)在器件模塊中產(chǎn)生故障，但存在其他不像上面所列那么明顯的故障原因：內(nèi)部鍵合線受損；鍵合線與鄰近引腳短路；漏電流增加；等。例如，若VREF漏電流增加以致在內(nèi)部基準(zhǔn)電壓上產(chǎn)生壓降，器件能否檢測到這一情形？為檢查此類故障，ADC應(yīng)能選擇不同的基準(zhǔn)電壓進(jìn)行轉(zhuǎn)換，并將V_REF用作轉(zhuǎn)換輸入。ADI公司的現(xiàn)代化Σ-Δ ADC，比如 AD7770, AD7768, 或 AD7764, 通過多個(gè)診斷檢測器來提高容錯(cuò)保護(hù)，并檢測數(shù)字模塊和模擬模塊中的功能錯(cuò)誤。下面以AD7770為例分析其關(guān)鍵特性。

簡化功能安全設(shè)計(jì)，ADI打造精密設(shè)計(jì)典范

對此，全球領(lǐng)先的高性能模擬技術(shù)解決方案提供商ADI公司推出了一系列現(xiàn)代化Σ-Δ ADC，實(shí)現(xiàn)了許多內(nèi)部錯(cuò)誤檢測器，不僅能夠檢測數(shù)字模塊和模擬模塊中的功能錯(cuò)誤，還簡化了功能安全系統(tǒng)的設(shè)計(jì)，使整體復(fù)雜度低于其他解決方案。其中AD7770更是精密Σ-Δ ADC設(shè)計(jì)的典范，包含以下特性：

· 用于熔絲位、寄存器和接口的CRC校驗(yàn)器

· 過壓/欠壓檢測器

· 基準(zhǔn)電壓和LDO電壓檢測器

· 用于PGA增益測試的內(nèi)部固定電壓

· 外部時(shí)鐘檢測器

· 多個(gè)基準(zhǔn)電壓源

AD7770是一款8通道同步采樣ADC，片內(nèi)集成8個(gè)完整的Σ-Δ型ADC。能夠提供低輸入電流，允許直接連接傳感器。每個(gè)輸入通道都有一個(gè)增益為1、2、4和8的可編程增益級，可將低幅度傳感器輸出映射到滿量程ADC輸入范圍，從而使信號鏈的動(dòng)態(tài)范圍最大。AD7770接受1 V至3.6 V的V_REF電壓。模擬輸入接受單極性（0 V至V_REF）或真雙極性(±V_REF/2)模擬輸入信號，模擬電源電壓分別為3.3 V或±1.65 V (PGAGAIN = 1）。模擬輸入可接受真差分、偽差分或單端信號以匹配不同的傳感器輸出配置。

AD7770 的診斷和監(jiān)控模塊

其每個(gè)通道包含一個(gè)PGA、一個(gè)ADC調(diào)制器和一個(gè)sinc3低延遲數(shù)字濾波器。采用SRC來對AD7770 ODR進(jìn)行精細(xì)分辨率控制。這種控制可用于線頻率變化為0.01 Hz時(shí)，ODR分辨率需要維持相干性的應(yīng)用。SRC可通過串行端口接口(SPI)編程。AD7770實(shí)現(xiàn)了兩種不同接口：數(shù)據(jù)輸出接口和SPI控制接口。ADC數(shù)據(jù)輸出接口專門用于將ADC轉(zhuǎn)換結(jié)果從AD7770發(fā)送至處理器。SPI寫入或讀取AD7770配置寄存器，并控制和讀取SAR ADC數(shù)據(jù)。SPI還可配置為輸出Σ-Δ轉(zhuǎn)換數(shù)據(jù)。

除了以上特性，AD7770還內(nèi)置了一個(gè)輔助12位SAR型ADC，它可以使診斷覆蓋率達(dá)到最大，例如：

· 實(shí)現(xiàn)其他架構(gòu)以得到某些好處，比如提供不同的EMC抗擾度

· 它通過不同的電源引腳供電，故而可以用作基準(zhǔn)電壓源

· 其速度非?？?，用作監(jiān)視器時(shí)，在一個(gè)Σ-Δ 通道的單次轉(zhuǎn)換期間，它可以監(jiān)視8個(gè)Σ-Δ通道，但該SAR型ADC的精度和Σ-Δ ADC的精度不同

· 它利用不同的串行接口(SPI)提供轉(zhuǎn)換結(jié)果

· 提供所有內(nèi)部電壓節(jié)點(diǎn)的測量進(jìn)行診斷，比如外部電源、V_REF、V_CM、LDO輸出電壓或內(nèi)部基準(zhǔn)電壓。

除此之外，也無需為系統(tǒng)測量功能專門騰出一個(gè)Σ-Δ型ADC通道。通過外部多路復(fù)用器（可利用3個(gè)通用輸入/輸出引腳(GPIO)加以控制）和信號調(diào)理，SAR ADC可在需要功能安全性的應(yīng)用中用于驗(yàn)證Σ-Δ型ADC測量結(jié)果。值得一提的是，AD7770 SAR ADC還內(nèi)置一個(gè)多路復(fù)用器，可用來檢測內(nèi)部節(jié)點(diǎn)。

結(jié)語

新的國際標(biāo)準(zhǔn)和法規(guī)加速了工業(yè)設(shè)備對安全系統(tǒng)的需求。不僅因?yàn)榘踩俏磥砉S的基本要素，更是因?yàn)楣δ馨踩纱_保更高的可靠性、更精確的診斷和更大的彈性。ADI 公司一直采用IEC 61508 標(biāo)準(zhǔn)來擴(kuò)展其已經(jīng)非常嚴(yán)格的功能安全新產(chǎn)品開發(fā)流程，確保了IEC61508 要求的額外安全計(jì)劃、安全分析、驗(yàn)證和確認(rèn)得以執(zhí)行，幫助系統(tǒng)設(shè)計(jì)師實(shí)現(xiàn)功能安全理想。