傳(chuan) 統的功能安全解決(jue) 方案與(yu) 更佳的方式
在圖1中，我們(men) 看到的例子是一個(ge) 多年以前的功能安全係統，我們(men) 將它與(yu) 更現代的解決(jue) 方案進行比較。其核心是數據采集ADC，它負責轉換模擬輸入並將數據傳(chuan) 輸到微控製器。然而，要實現這一解決(jue) 方案，需要采用許多外部元件，重複執行SPI事務，甚至需要一個(ge) 冗餘(yu) ADC，結果極大地增加了物料成本、PCB麵積、處理開銷和成本。同時還會(hui) 給係統設計人員帶來額外的負擔，比如，增加開發時間，降低可靠性等。

有一種單IC解決(jue) 方案，隻需極少的外部元件即可運行功能安全特性。


圖1.從(cong) 多組件功能安全係統到單芯片ADI解決(jue) 方案的集成。

具有功能安全要求的示例係統
在包含ADC的數據采集係統中，可能發生多種故障，根據具體(ti) 的應用，這些故障可能會(hui) 增加人或機器的健康風險。係統設計師必須區分可接受的風險和不可接受的風險。

圖2.識別壓力傳(chuan) 感器係統中的潛在故障源。

例如，在氣室壓力測量和調節係統中，如果罐內(nei) 壓力不能大幅偏離外部壓力，則可將使用容差為(wei) 5％的傳(chuan) 感器的做法視為(wei) 可接受的風險。然而，如果微控製器接收到錯誤的ADC數據，結果可能導致致命的事故，腔室中的壓力可能導致內(nei) 爆或外爆，這兩(liang) 種情況都有可能導致附近的人受傷(shang) 或死亡。這種風險水平是不可接受的。因此，必須實施一些功能安全措施，確保控製器接收的信息的完整性。

可能導致這類錯誤的一些故障源為(wei)

;電源：電源電壓低，低壓差(LDO)調節器的輸出電壓低。
;模擬前端(AFE)：傳(chuan) 感器受損，或放大器驅動到ADC的電壓不正確。
;數字邏輯：數字域中發生可能影響轉換結果的誤碼。例如，工廠增益或偏移調整係數。
;SPI傳(chuan) 輸：由於(yu) 傳(chuan) 輸線環境嘈雜，轉換數據的傳(chuan) 輸和命令的接收中存在誤碼。
;環境：超出IC的額定環境溫度。

AD7768-1是ADI公司功能安全產(chan) 品組合中的Σ-Δ ADC之一，具有廣泛的診斷特性，能賦予用戶誤碼檢測和診斷以及其他能力。圖2突出顯示了典型壓力檢測係統中的部分可能故障源。

用ADC診斷係統錯誤

借助ADI公司的ADC功能安全產(chan) 品組合，用戶可以用ADC幫助診斷和/或減少係統錯誤。這種係統誤差測量能力對於(yu) 保持精確測量極為(wei) 重要，並且在具有功能安全要求的係統中，這種準確性甚至更加重要。

從(cong) 參考輸入獲取的正負滿量程電壓用於(yu) 測量係統的增益誤差。通過零電平內(nei) 部短路測量失調誤差。然後，用戶可以使用ADC的增益和失調調整寄存器來調整係統的失調和增益誤差性能。

溫度傳(chuan) 感器識別IC局部溫度的變化，包括超範圍溫度。在對失調和增益誤差溫度漂移敏感的係統中，這可能是一項具有吸引力的功能。如果溫度變化較大，用戶可能會(hui) 決(jue) 定在該新溫度下調整增益和失調誤差。圖3說明了如何在AD7768-1內(nei) 部將模擬診斷多路複用器連接到ADC。

圖3.模擬診斷多路複用器轉換開關(guan) 。

診斷錯誤標誌：寄存器映射診斷狀態指示器

可以使能多個(ge) 診斷特性，並且通常可以通過寄存器映射將其狀態告知用戶。發生故障時，會(hui) 在寄存器中設置錯誤標誌。用戶可以在收到故障警報後進一步調查。

接下來，我們(men) 探討可能發生並且可以通過ADI功能安全ADC產(chan) 品組合進行診斷的一些真實故障。我們(men) 首先假設，我們(men) 的壓力傳(chuan) 感器係統裝在一個(ge) 工廠裏，其工作溫度波動不定，由於(yu) 基本維護工作而多次停電，並且周圍工業(ye) 環境產(chan) 生的電磁幹擾(EMI)有可能被傳(chuan) 導至係統PCB上。

ADC電源錯誤

我們(men) 假設，由於(yu) 工作環境溫度高，並且係統功率循環會(hui) 引起電流衝(chong) 擊，所以，負責ADC的LDO電源輸出的LDO電容已經磨損和損壞。使這些輸出維持在已知電壓，需要采用一個(ge) 外部電容，這對於(yu) 整個(ge) 係統正常工作至關(guan) 重要。如果電容器因該故障損壞，用戶可能會(hui) 發現，轉換後的ADC數據或其他功能的性能會(hui) 出乎意料。通過使能LDO監視器，一旦電壓電平降至某個(ge) 跳變點以下，係統會(hui) 設置錯誤標誌以提醒用戶LDO輸出的問題。

模擬前端錯誤

我們(men) 假設，在該係統中，ADC的輸入不得超過ADC的滿量程範圍。如果用戶意外地將不正確的值編程到增益寄存器，導致ADC看到的電壓大於(yu) 滿量程範圍，結果就會(hui) 極大地影響係統的增益誤差性能，我們(men) 應該將此視為(wei) 一種嚴(yan) 重的風險。但是，濾波器飽和錯誤檢查器監視ADC輸出，會(hui) 提醒用戶注意超出範圍的模擬輸入。

數字邏輯隨機誤碼

在數字邏輯和存儲(chu) 器模塊中偶爾會(hui) 發生隨機誤碼。在我們(men) 的示例壓力係統中，我們(men) 假定，在上電期間加載默認出廠失調設置時發生了一個(ge) 誤碼。這是一種無法容忍的故障，因為(wei) 它會(hui) 擾亂(luan) 係統的默認失調誤差，影響轉換結果。在ADI功能安全ADC係列產(chan) 品中，有一些功能可以定期在各種存儲(chu) 器模塊上運行循環冗餘(yu) 校驗(CRC)，並在發生誤碼時向用戶指示故障。通過重置係統可以解決(jue) 所有這些故障。

SPI傳(chuan) 輸錯誤

每個(ge) 沿介質傳(chuan) 輸數據的係統都會(hui) 產(chan) 生一些誤碼。

可以估算每個(ge) 係統出現這種情況的速率，我們(men) 將其稱為(wei) 誤碼率(BER)。
在我們(men) 的示例壓力係統中，可以假設BER小於(yu) 10-7，通過數字隔離傳(chuan) 輸到同一PCB上的微控製器，傳(chuan) 輸距離為(wei) 10厘米。
我們(men) 假設，部分電磁幹擾被傳(chuan) 導到SPI線路上，結果導致從(cong) AD7768-1到微控製器的轉換ADC數據傳(chuan) 輸中出現誤碼。如果掩蓋了氣室中任何正在積聚的壓力，ADC數據中的誤碼可能造成極大的破壞性。通過在發送數據的末尾附加CRC，用戶可以識別傳(chuan) 輸期間是否發生了誤碼，並且可以重新檢查ADC轉換結果。

外部主時鍾錯誤

如果用戶需要在壓力傳(chuan) 感器應用中拒絕主電源的頻率(50 Hz / 60 Hz)，那麽(me) 精確的低抖動外部主時鍾源對於(yu) 將數字濾波器陷波與(yu) 正確的頻率對齊至關(guan) 重要。如果源斷開、破損或損壞，結果會(hui) 成為(wei) 一個(ge) 大問題，因為(wei) 主電源的某些頻率成分可能在轉換後的ADC數據中可見。
如果外部時鍾源未成功連接或已被移除，則外部時鍾認定器可向用戶指示錯誤。然後，用戶可以使用內(nei) 部RC振蕩器執行緊急轉換，同時在外部主時鍾源上執行基本維護。

POR標誌

係統上電或成功複位後，ADC中的POR標誌將置1。
但如果發生意外複位，用戶可能會(hui) 在ADC數據中看到意外結果。他們(men) 可以通過檢查POR標誌來識別這種意外複位。
圖4顯示了AD7768-1中有多少這些內(nei) 部診斷特性與(yu) 它們(men) 要監控的功能相關(guan) 聯。
圖4.AD7768-1的內(nei) 部診斷監視器。
基於(yu) AD7768-1的終極功能安全解決(jue) 方案