在上期中，我們探討了一種基于 TAS5431-Q1 的音頻放大器 RTD 系統(tǒng)設(shè)計(jì)方案。

本期，為大家?guī)?lái)的是《在功能安全應(yīng)用中使用電壓監(jiān)控器監(jiān)控電壓軌》，介紹了一種基于電壓監(jiān)控器與內(nèi)置自檢機(jī)制的汽車攝像頭功能安全設(shè)計(jì)方法，以解決電壓軌故障導(dǎo)致的潛在失效、未被及時(shí)發(fā)現(xiàn)并轉(zhuǎn)化為危險(xiǎn)的系統(tǒng)性問(wèn)題。

引言

“功能安全”概念要求任何與安全相關(guān)的系統(tǒng)以可預(yù)測(cè)的安全方式正確運(yùn)行或進(jìn)入失效模式。這是一個(gè)寬泛的主題，相關(guān)的一些標(biāo)準(zhǔn)主要涉及汽車應(yīng)用（國(guó)際標(biāo)準(zhǔn)化組織 26262）和工業(yè)應(yīng)用（國(guó)際電工委員會(huì) 61508）中的電子產(chǎn)品。

自動(dòng)駕駛汽車或協(xié)作機(jī)器人對(duì)先進(jìn)電子系統(tǒng)的需求不斷增長(zhǎng)，引發(fā)了人們對(duì)功能安全的擔(dān)憂，這促使工程師想要深入了解各種失效模式以及如何設(shè)計(jì)失效防護(hù)系統(tǒng)。

本文重點(diǎn)討論汽車攝像頭系統(tǒng)的電壓軌監(jiān)控。與其他分立式解決方案相比，電壓監(jiān)控器在功率、尺寸和時(shí)基故障 (FIT) 率方面具有優(yōu)勢(shì)，并且可幫助工程師在設(shè)計(jì)中達(dá)到更高的安全等級(jí)。汽車攝像頭系統(tǒng)或域控制器通常需要對(duì)整個(gè)電源架構(gòu)進(jìn)行重要的電壓軌監(jiān)控。

電壓軌系統(tǒng)故障

電壓軌監(jiān)控功能是每個(gè)電子系統(tǒng)的一部分，可確保關(guān)鍵元件在建議的工作電壓范圍內(nèi)正常工作。發(fā)生電壓軌故障的原因有很多，包括電源內(nèi)部故障導(dǎo)致電壓調(diào)節(jié)不正確、被動(dòng)失效導(dǎo)致短路或開(kāi)路故障，甚至是意外的負(fù)載電流導(dǎo)致電源軌電壓驟降。電壓監(jiān)控器可監(jiān)控電壓軌是否有電壓錯(cuò)誤，并允許它們提供由安全系統(tǒng)用于診斷用途的響應(yīng)輸出。

負(fù)載點(diǎn)故障的一個(gè)常見(jiàn)示例是微控制器 (MCU) 的欠壓?jiǎn)栴}。為 MCU 供電的電壓軌低于預(yù)期電壓時(shí)便會(huì)發(fā)生“欠壓”，這一問(wèn)題會(huì)導(dǎo)致 MCU 處于不明狀態(tài)。解決MCU 欠壓?jiǎn)栴}的一種常見(jiàn)方法是監(jiān)控進(jìn)入 MCU 的電壓軌是否存在欠壓情況，并向 MCU 提供復(fù)位輸出。復(fù)位輸出會(huì)將 MCU 關(guān)閉，直到欠壓?jiǎn)栴}得到解決。

圖 1 是汽車攝像頭系統(tǒng)的基本電源架構(gòu)示例，其中采用了TPS37043-Q1 電壓監(jiān)控器，這是一款符合功能安全標(biāo)準(zhǔn)的器件，可滿足 ISO26262 要求和汽車安全完整性等級(jí)。在此電源架構(gòu)中，監(jiān)控器的作用是識(shí)別系統(tǒng)中的潛在故障，并防止圖像傳感器或攝像頭系統(tǒng)出現(xiàn)任何運(yùn)行錯(cuò)誤。沒(méi)有任何保障措施的電壓軌故障會(huì)降低故障指標(biāo)等級(jí)，從而降低整體系統(tǒng)安全性，而電壓軌監(jiān)控功能則有助于提高電源架構(gòu)的故障指標(biāo)等級(jí)。此功能為系統(tǒng)提供了更多信息，從而支持受控的決策過(guò)程，并避免可能導(dǎo)致危險(xiǎn)情況的安全違規(guī)行為。

圖 1 具有監(jiān)控功能的汽車攝像頭電源架構(gòu)

在圖 1 中，安全運(yùn)行意味著使用中的汽車攝像頭始終可靠工作，時(shí)刻確保用戶不會(huì)面臨嚴(yán)重受傷的風(fēng)險(xiǎn)?？赡馨l(fā)生的故障類型有兩種：系統(tǒng)性故障和隨機(jī)故障。開(kāi)發(fā)用于電源架構(gòu)的部件時(shí)，遵守正確的設(shè)計(jì)規(guī)則有助于消除系統(tǒng)性故障；然而，按照定義，隨機(jī)故障是隨機(jī)的。沒(méi)有人知道它們是否以及何時(shí)會(huì)發(fā)生。

現(xiàn)在來(lái)看一個(gè)采用了備用攝像頭的故障示例。如果電源架構(gòu)的任何部件發(fā)生隨機(jī)故障并且駕駛員的顯示屏出現(xiàn)黑屏，該事件會(huì)被認(rèn)定為可察覺(jué)的故障；駕駛員仍可通過(guò)后視鏡安全倒車。然而，該攝像頭用于車道保持輔助功能或障礙物檢測(cè)系統(tǒng)時(shí)，用戶不會(huì)意識(shí)到故障的發(fā)生，這種情況會(huì)導(dǎo)致危險(xiǎn)。觸發(fā)該故障的因素可能是通向圖像傳感器的其中一個(gè)電壓軌低于圖像傳感器的絕對(duì)最大值或最小值，從而導(dǎo)致其進(jìn)入掛起狀態(tài)。在這種情況下，電壓監(jiān)控器的任務(wù)是在出現(xiàn)掛起狀態(tài)時(shí)使圖像傳感器復(fù)位，以便系統(tǒng)重新啟動(dòng)。

一個(gè)明顯的問(wèn)題是，重啟所花費(fèi)的時(shí)間本身是否會(huì)被視為安全隱患？這種情況下容錯(cuò)時(shí)間間隔 (FTTI)將發(fā)揮作用。這是指系統(tǒng)必須在不使駕駛員或其他人處于危險(xiǎn)之中的情況下進(jìn)行更正的時(shí)間。監(jiān)控器的復(fù)位延時(shí)時(shí)間將是根據(jù) FTTI 選擇的設(shè)計(jì)參數(shù)。在系統(tǒng)復(fù)位期間，安全的做法是在故障觸發(fā)時(shí)立即向駕駛員發(fā)出視覺(jué)和聽(tīng)覺(jué)警報(bào)。該警報(bào)將使駕駛員警覺(jué)，并避免出現(xiàn)可能導(dǎo)致危險(xiǎn)的不可察覺(jué)的故障。

下一個(gè)問(wèn)題是如何保證電壓監(jiān)控器始終可靠工作？這就是可能出現(xiàn)故障的環(huán)節(jié)。例如，假設(shè)會(huì)觸發(fā)直接運(yùn)行錯(cuò)誤的臨界電壓軌是 1.2V，如果負(fù)責(zé)監(jiān)控 1.2V 電壓軌的TPS3704 的比較器 (SENSE3) 不能正常工作，會(huì)發(fā)生什么情況呢？故障檢測(cè)功能失效有四種可能的原因（這稱為失效模式分布）：

過(guò)壓閾值太高。

欠壓閾值太低。

比較器完全無(wú)法工作。

比較器可以工作，但復(fù)位線卡在高電平，因此無(wú)法傳達(dá)故障。

如果比較器進(jìn)入這些失效模式之一，則系統(tǒng)中不會(huì)有任何指示，直到監(jiān)控器作出反應(yīng)。這種未被檢測(cè)到的監(jiān)控器故障會(huì)導(dǎo)致運(yùn)行錯(cuò)誤，如果未在 FTTI 內(nèi)發(fā)現(xiàn)，駕駛員可能會(huì)受傷。因此，比較器的故障是潛在的并且處于休眠狀態(tài)，直到監(jiān)控器作出反應(yīng)。

運(yùn)用一種稱為內(nèi)置自檢 (BIST)的機(jī)制可防止監(jiān)控器故障情況。理想情況下，BIST 應(yīng)該是自動(dòng)的，并且在每次給監(jiān)控器供電（點(diǎn)火開(kāi)關(guān)接通）時(shí)運(yùn)行。圖 2 所示為欠壓故障的手動(dòng)自檢，而圖 3 為過(guò)壓和欠壓跳閘點(diǎn)的手動(dòng)檢查。

圖 2 針對(duì)欠壓故障的手動(dòng)自檢

圖 3 針對(duì)過(guò)壓和欠壓跳閘點(diǎn)的手動(dòng)檢查

在圖 2 中，SENSE4 過(guò)壓 (VIT+) 設(shè)置為 5.5V，欠壓(VIT–) 設(shè)置為 2V。VIT+是設(shè)置的過(guò)壓跳閘點(diǎn)，VIT–是設(shè)置的欠壓跳閘點(diǎn)。能夠設(shè)計(jì)啟動(dòng)機(jī)制，以便每次打開(kāi)點(diǎn)火開(kāi)關(guān)時(shí)，都會(huì)觸發(fā)手動(dòng)欠壓，從而將 SENSE4 拉低至其欠壓跳閘點(diǎn)以下，并將 RESET2 置為低電平。此過(guò)程將確認(rèn)欠壓比較器和 RESET 邏輯工作正常。這是一種低覆蓋率的自檢方案，因?yàn)樗粰z查一個(gè) SENSE 通道并作為其他通道的偽表示。

圖 3 顯示的方案用于檢查高于或低于閾值的過(guò)壓和欠壓跳閘點(diǎn)，并在 SENSE 通道上實(shí)施檢查（此處對(duì)于汽車攝像頭的運(yùn)行至關(guān)重要）。在該方案中，LM10011 與電壓識(shí)別 (VID) 接口結(jié)合使用。VID 接口的不同邏輯組合在三個(gè)值（標(biāo)稱值、過(guò)壓測(cè)試值和欠壓測(cè)試值）之間改變 LM10011 的內(nèi)部 DAC 輸出電流 (IDAC_OUT)。公式 1、2 和 3 說(shuō)明了如何使用 LM10011 來(lái)觸發(fā)過(guò)壓和欠壓故障。

公式 1.

其中 VSENSEx為感應(yīng)電壓，1.2V 為監(jiān)控的電壓。

根據(jù)公式 1，對(duì)于要檢查的標(biāo)稱輸出電壓，選擇 R1 和 R2 可以在 SENSEx 引腳上獲得 0.8V 電壓。

應(yīng)設(shè)置公式 2 的值，以便在設(shè)置用于過(guò)壓測(cè)試的 IDAC_OUT時(shí)越過(guò) 1.2V 電壓軌的選定過(guò)壓跳閘點(diǎn)。

公式 2.

應(yīng)設(shè)置公式 3 的值，以便在設(shè)置用于欠壓測(cè)試的 IDAC_OUT時(shí)越過(guò) 1.2V 電壓軌的選定欠壓跳閘點(diǎn)：

公式 3.

其中，IDAC(ovtest)> IDAC(nom)> IDAC(uvtest)。

現(xiàn)在考慮圖 3 所示實(shí)施的 BIST 方案直接影響的功能安全指標(biāo)。在計(jì)算功能安全指標(biāo)時(shí)，有兩個(gè)關(guān)鍵方面會(huì)很重要：?jiǎn)吸c(diǎn)故障診斷覆蓋率和潛在故障診斷覆蓋率。使用了窗口監(jiān)控器來(lái)提高單點(diǎn)故障診斷覆蓋率的成績(jī)，因此通過(guò)實(shí)施 BIST 方案，潛在故障診斷覆蓋率從 0% 躍升至 60%。這有助于降低潛在時(shí)基故障率。

各種自檢方法都可提高潛在故障指標(biāo)，以確保監(jiān)控器始終有效。為了將自檢作為一種安全機(jī)制，需要在每次接通點(diǎn)火開(kāi)關(guān)時(shí)或在一個(gè)行駛周期中或者在激活攝像頭系統(tǒng)功能的任何時(shí)候進(jìn)行一次測(cè)試。圖 4 所示的流程圖展示了該方案。目標(biāo)是在系統(tǒng)進(jìn)入活動(dòng)狀態(tài)或任務(wù)工作模式之前執(zhí)行自檢方案。圖 4 中的著色區(qū)域顯示了自檢方案的附加模塊，這些模塊可提高潛在故障指標(biāo)。

圖 4 顯示自檢方案實(shí)施情況的流程圖

結(jié)論

根據(jù)應(yīng)用選擇合適的監(jiān)控器很重要，一旦選定，就可使用簡(jiǎn)單的機(jī)制來(lái)改善潛在故障指標(biāo)并避免電源軌故障轉(zhuǎn)化成危險(xiǎn)。