FPGA/ASIC技术
需要数据转换器的传感器应用涉及十分广泛的范围,例如用于识别不同发动机状态的温度传感器,或者支持汽车驾驶辅助系统(ADAS)的雷达/激光雷达等。涉及到数据转换器的其他应用还包括用于与其他车辆或固定网络进行通信的无线收发器。数据转换器IP(“模拟-数字”和“数字-模拟”)为汽车片上系统(SoC)提供了多种模拟传感器的接口。对于ADAS而言,电子系统及其组件,例如SoC和IP,都必须提供最高程度的可靠性和安全性,同时还要能够经受极端温度范围考验并具备较长的使用寿命。由于这个原因,汽车电子系统及其组件必须遵守一套严格的汽车可靠性和功能安全性标准。
本文将简要介绍汽车可靠性标准,并将重点讨论一些用来满足汽车要求的高效、优化的程序。后者主要是通过在IP(例如数据转换器)与包含IP的SoC功能模块之间对功能安全性要求进行审慎划分而实现的。
可靠性设计
汽车电子委员会(AEC)已经为汽车行业制定了一套认证标准。AEC-Q100标准定义了SoC及其组件(例如IP)必须支持的、规定的温度等级从0级到3级不等,具体取决于希望SoC或IP正常运行的最高环境温度(参见表1)。
表1:环境温度等级的定义
对于汽车SoC或IP电路仿真而言,设计人员必须将环境温度转换为(结温)晶体接面问度。准确的转换必须考虑SoC中的平均活动(它消耗的平均功率)以及封装热阻,这能够测量其从芯片中去除热能并将其消散在环境中的能力(芯片本身与环境之间的温差)。为了测量温度对设备(SoC或IP)的影响,需要指定温度一份特征图,以测量SoC或IP在其生命周期内任何给定温度范围内处于运行状态的预期时间。
除了满足温度要求外,组件还必须满足最大故障率要求。故障率以每百万个产品中的不良数(dppm)来衡量,要求在整个15年的汽车产品生命周期中小于1 dppm。dppm考虑以下关键方面:
设计变异性(variability)是指导致设备不匹配的某些制造工艺特性的变化。它从本地(随机变化)和整个芯片(梯度效应)两个方面影响SoC。为了满足低故障率要求,对关键块进行的蒙特卡洛统计模拟将分析失配分布的极值(例如,高达5*σ)。
晶体管老化是指构成SoC的晶体管的特性发生的变化,这种变化是工作时间以及该时间内工作条件的函数。它是诸如HCI(热载流子注入)、NBTI(负偏置温度不稳定)、PBTI(正偏置温度不稳定)之类的结果,其能够改变晶体管的阈值电压,是其生命周期内工作条件的函数。它必须考虑任务配置文件、晶体管的预期总开机时间(POH)以及汽车应用的低故障率要求。在设计阶段,通过运行模拟来满足目标故障率,这包括在规定温度下在等效POH期间的老化效应。
电迁移是指存在显著电流密度时互连导线和触点中导体原子的位移,这会改变互连迹线(trace)的电阻率(甚至可能会中断它)以及电路的时序特性。电迁移效应也取决于温度特性以及SoC中预期POH的总数。特定的仿真模型能够验证SoC生命周期内没有电迁移问题。
除上述内容外,还必须保证在预期最大功能温度下的瞬时工作,即使该温度特性表明SoC或IP可能能够在该温度下仅在总工作时间的一小部分内进行工作。这一要求确保了当SoC或IP在最高温度下工作时,它能够满足功能和性能规范,同时不会发生可能限制功能的时序违规等情形。
功能安全设计
ISO 26262规格适用于任何汽车SoC或IP,用于安全关键型ADAS应用,而且该规格还在目标“汽车安全完整性等级”(ASIL)范围内定义了SoC或IP的功能安全性。该等级的范围是从A(低风险潜能)到D(最高风险潜能)。用于汽车ADAS应用的SoC或IP必须按照预期的ASIL实现安全性功能。汽车IP的关键功能安全性考虑因素包括:
该IP能够检测、报告并自行纠正故障吗?利用纠错码(ECC)检查、多数表决、某些形式的本地冗余等功能可以帮助检测和纠正故障
IP能否检测到故障并在可接受的短时间内将其报告,以便让系统中的其他层面及时执行安全措施?
是否可以采取外部措施在IP以上的某个层次保护系统?
数据转换器的功能安全方面
数据转换器实现了低层级的功能,例如,与某个模拟传感器之间建立接口,其唯一的用途就是把模拟信号转换为其数字表示,以便在其他SoC块中进行处理。汽车雷达、激光雷达(LiDAR)和摄像头都是需要ADC接口的模拟传感器的例子。由于传感器上产生的模拟信号是未知的,而且不携带任何协议或纠错信息,因此,传统的协议级故障检测和纠正机制不适用。模-数转换器(ADC)没有信号动态的处理能力或知识,因此无法确定信号是否已经被破坏。ADC的自检功能可能不适用,因为它经常会中断ADC运行前台测试的正常操作。对于此类低级别功能块,必须以其他方式来解决汽车安全方面的问题。表征和生产测试能够发现潜在的 故障,它们可能会影响产品的功能和性能。由于制造缺陷而引入的功能故障通过故障模型(如单点故障、潜在故障等)来描述,这可以利用具有高覆盖率的“自动测试模式生成”(ATPG)测试方法来识别。在表征期间进行全范围检查的数据转换器测试(例如扫描瞬变输入信号),以及在生产测试中使用纯正弦输入信号进行快速操作检查,都有助于发现模拟模块中具有高覆盖率的故障。
那些能够影响ADC,但只在正常操作时才被触发的操作故障,可以借助于ADC中实现的测试功能进行有效检测并在系统级做出响应:
检测输出堵塞(stuck)故障条件(如果输出字固定在一个恒定的水平上)
检测长时间延迟故障条件(用于触发的转换)
检测不完整的校准故障条件(对于校准的转换器)
检测已知输入电压的错误转换(使用输入多路复用器(MUX)中的专用输入通道为测试提供固定输入电平),如图1所示。
图1:使用MUX测量已知电压以检测故障
要想满足汽车功能安全性要求,上述的方法可能不足以实现高覆盖率,它们应该通过应用额外的外部功能安全性措施来补充。这些外部功能安全性措施能够识别并解决系统级上的ADC安全风险,而不会影响整个系统的安全性。一种用于ADC的此类外部功能安全性措施能够在识别操作故障的同时,还可以发挥功能冗余作用。功能冗余不断地检查并行运行的两条信号路径的输出一致性。如果检测到不一致,那么,系统就会知道出现了故障,并且应该根据该故障来采取措施,以消除功能安全性问题。在图2中,两个数据转换器用于功能冗余。通过两个独立的转换器处理相同的传感器输出信号;系统对它们的结果进行一致性检查。
任何这些实现都可以提高系统范围的功能安全覆盖率,即使是在ADC等单个模块内部实施这些措施可能并不太令人满意或者不太高效。在所示的三个例子中,冗余从ADC延伸到传感器。扩展的冗余把外部安全性措施的范围扩展至所有的冗余模块,从而降低了对单个模块内部功能安全性措施的要求,但代价是需要重复这些模块。
图2:用于识别ADC中操作故障的功能冗余
结论
为了满足汽车ADAS应用的可靠性和功能安全性要求,IP和SoC设计人员必须满足AEC-Q100和ISO 26262等标准中所规定的所有强制性汽车要求。充分了解这些要求以及在SoC中有效地实施这些要求的方法,可以使集成商把所面临的挑战分解为多个可管理的部分,同时又能够利用集成IP的特性(和认证)来实现汽车资格认证并加快SoC级认证。在实现内部安全性功能可能不太容易或者不太令人满意的情况下,可以在采用功能块(例如数据转换器)的同时,采用实现功能安全性目标的其他替代方法,这有助于实现SoC级的功能安全性目标。有关更多详细信息,请阅读“面向汽车SoC的数据转换器IP”白皮书。
全部0条评论
快来发表一下你的评论吧 !