数据采集系统中的功能安全

功能安全是许多行业整体安全战略的一部分，旨在将人类或操作设备受到伤害的可能性降低到可容忍的水平。近年来，对系统功能安全的要求显著增长。从核电站到医疗设备，无差错系统已成为某些人的理想之选，而另一些人则成为必需品。例如，在传感领域，获取不正确或损坏的数据可能是毁灭性的，并且可能致命，具体取决于系统和所涉及的风险水平。

传统上，系统开发人员有责任将诊断和故障预防机制整合到其产品中，以确保来自传感IC的数据的完整性。这是以PCB面积，物料清单，处理开销以及最终费用为代价的。从那时起，通过与系统设计工程师的广泛接触，已经开发出一种解决方案来为他们解决这个问题。为此，功能安全特性已开始在IC级别进行设计。

本文探讨了ADC在确保数据采集系统整体完整性方面的功能安全潜力。

传统功能安全解决方案与更好的方法

在图 1 中，我们看到了一个功能安全系统的示例，就像过去几年一样，我们将它与更现代的解决方案进行了比较。中心是数据采集ADC，用于转换模拟输入并将数据传输到微控制器。然而，要实现此解决方案，需要许多外部元件、重复的SPI事务，甚至冗余ADC，这大大增加了物料清单、PCB面积、处理开销和成本。它还给系统设计人员带来了额外的负担，例如开发时间和可靠性，以开发此解决方案。

提供单一 IC 解决方案，只需极少的外部元件即可实现功能安全特性。

图1.从多元件功能安全系统集成到单芯片ADI解决方案。

具有功能安全要求的示例系统

在包含ADC的数据采集系统中，可能会发生许多故障，这些故障可能会增加对人员或机器健康的风险，具体取决于应用。系统设计人员必须区分可接受的风险和不可接受的风险。

例如，在测量和调节气室压力的系统中，如果储罐内的压力不应与外部压力有很大偏差，则使用公差为5%的传感器可能被视为可接受的风险。但是，如果微控制器接收到不正确的ADC数据，则可能导致潜在的致命事件，即腔室中的压力会导致内爆或爆炸，这两者都可能伤害或杀死附近的人。这种程度的风险是不可接受的。因此，应采取一些功能安全措施，以确保控制器接收的信息的完整性。

可能导致这些类型错误的一些故障源是

电源：低压差（LDO）稳压器的低电源电压、低压输出。

模拟前端（AFE）：损坏的传感器或放大器导致ADC的电压不正确。

数字逻辑：数字域中可能影响转换结果的位错误。例如，工厂增益或失调微调系数。

SPI传输：由于传输线的嘈杂环境，转换后的数据传输和命令接收中的位错误。

环境：超出IC的指定环境温度。

AD7768-1是ADI功能安全产品组合中的Σ-Δ型ADC之一，具有大量诊断功能，旨在使用户能够检测和诊断错误等。图2突出显示了典型压力传感系统中一些可能故障的来源。

图2.识别压力传感器系统中的潜在故障源。

使用 ADC 诊断系统错误

在ADI ADC产品的功能安全产品组合中，能够使用ADC来帮助诊断和/或减少系统误差。这种测量系统误差的能力对于保持准确的测量非常重要，而在具有功能安全要求的系统中，这种精度更为重要。

从基准输入获取的正负满量程电压用于测量系统的增益误差。零电平内部短路用于测量失调误差。然后，用户可以使用ADC的增益和失调调整寄存器来调整系统的失调和增益误差性能。

温度传感器可识别IC局部温度的变化，包括越界温度。在对失调和增益误差随温度漂移敏感的系统中，这可能是一个有吸引力的功能。如果发生了相当大的温度变化，用户可以决定在这个新温度下调整增益和失调误差。图3显示了模拟诊断多路复用器如何连接到AD7768-1内部的ADC。

图3.切换以转换模拟诊断多路复用器。

诊断错误标志：寄存器映射诊断状态指示器

可以启用多个诊断功能，并且通常可以通过寄存器映射向用户标记其状态。如果发生故障，则会在寄存器中设置错误标志。用户在收到故障警报后可以进一步调查。

让我们推测一些可能发生的现实故障，这些故障可以使用ADI功能安全ADC产品组合进行诊断。让我们首先假设我们的压力传感器系统位于工业工厂中，温度波动，由于基本维护而导致的几次电源停机，以及来自周围工业环境的电磁干扰（EMI）可以传导到系统PCB上。

模数转换器电源误差

假设环境中存在高温和系统电源循环引起的电流浪涌，负责在ADC的LDO电源输出附近保持电荷的LDO电容器已经磨损和损坏。将这些输出保持在已知电压需要外部电容器，这对于正确操作至关重要。如果电容器由于该故障而损坏，用户可以注意到转换后的ADC数据或其他功能的性能是意外的。通过启用LDO监视器，一旦电压电平降至某个跳变点以下，将设置一个错误标志，以提醒用户LDO输出端的问题。

模拟前端误差

假设这是一个ADC输入不应超过ADC满量程范围的系统。如果用户不小心对增益寄存器编程了一个不正确的值，使ADC看到的电压增加到大于满量程范围，那么这将极大地影响系统的增益误差性能，并应被视为严重的风险。但是，滤波器饱和错误检查器会监控ADC输出，并提醒用户模拟输入超出范围。

数字逻辑随机位错误

数字逻辑和存储器块中偶尔会发生随机位错误。在我们的示例压力系统中，假设在上电期间加载默认出厂偏移设置时发生了位错误。这是一个无法容忍的错误，因为它会干扰系统的默认失调误差，影响转换结果。在ADI的功能安全ADC产品组合中，有一些功能可以定期对各种存储器块运行循环冗余校验（CRC），并在发生位错误时向用户标记故障。系统复位将解决所有这些故障。

SPI 传输错误

每个沿介质传输数据的系统都会在此过程中产生一些位错误。

可以估计每个系统发生这种情况的速率，称为误码率（BER）。

在我们的压力系统中，误码率小于 10–7如果通过数字隔离在 10 cm 的距离内传输到同一 PCB 上的微控制器，则可以假设。

假设SPI线路上传导了一些电磁干扰，这会导致转换后的ADC数据从AD7768-1传输到微控制器时出现位误差。如果ADC数据中的位错误掩盖了气室中的任何建筑压力，则可能会造成潜在的破坏性。通过将CRC附加到传输数据的末尾，用户可以识别传输过程中是否发生误码，并可以重新检查ADC转换结果。

外部主时钟错误

如果用户担心在压力传感器应用中抑制主电源的频率（50 Hz/60 Hz），那么精确的低抖动外部主时钟源对于将数字滤波器的陷波对齐到正确的频率非常重要。如果电源断开、磨损或损坏，这是一个巨大的问题，因为主电源的某些频率成分可能会在转换后的ADC数据中变得可见。

如果外部时钟源未成功连接或已被移除，则外部时钟限定符可以向用户标记错误。然后，用户可以使用内部RC振荡器执行紧急转换，同时对外部主时钟源进行必要的维护。

波兰邮政标志

系统上电或成功复位后，ADC内的POR标志将被设置。

但是，如果发生意外复位，用户可能会在ADC数据中看到意外结果。他们可以通过检查 POR 标志来识别此意外重置。

图4显示了AD7768-1中有多少内部诊断功能连接到它们将要监控的功能。

图4.AD7768-1的内部诊断监视器。

采用AD7768-1的终极功能安全解决方案

利用AD7768-1提供的功能安全特性，可以实现以下数据采集系统。用户可以为器件通电并启用以下功能安全特性：

SPI 完整性监视器

LDO稳压器输出电平监控

滤波器饱和度监视器

外部时钟限定符

内部逻辑和存储器CRC监视器

系统校准可通过内部模拟诊断多路复用器进行验证。LDO稳压器输出也可以通过这种方式进行验证。

接下来，用户可以启用将 8 位状态字节附加到 24 位数据流和 8 位 SPI CRC 字末尾的功能。8位CRC是根据8位命令字、24位数据流和8位状态字计算的。如果用户担心处理开销，他们可以启用连续回读模式，这样就无需提供 8 位命令。相反，用户可以在为器件提供串行时钟时输出数据寄存器内容，如图6所示。

图5.在连续回读模式下回读AD7768-1的数据寄存器，并附有状态字节和CRC字节。

此过程的结果是一个数据采集系统，其增益和失调误差已经过验证，并且每次用户回读ADC数据时都会向用户提供诊断信息。

LDO稳压器输出、模拟前端输入、内部数字逻辑和存储器受到连续监控。用户可以确定SPI通信的完整性以及IC的温度是已知的。

结论

随着许多行业对功能安全的要求不断提高，支持这些要求的技术也必须如此。ADI公司将继续开发我们产品组合中的技术，以支持系统设计人员寻求功能安全操作。

AD7768-1减轻了客户的大部分负担，提供了一种更紧凑、更简单的解决方案，减少了生产所需解决方案所需的处理开销和物料清单。这种单组件方法还可以减轻希望为其设计获得安全完整性等级（SIL）认证的系统设计人员的负担。

审核编辑：郭婷