通过冗余实现adc时创建功能安全。
传感器应用程序需要数据转换器从温度传感器识别不同的引擎状态雷达/激光雷达使汽车驾驶员辅助系统(ADAS)。其他应用程序包括数据转换器包括无线收发器与其他车辆和固定通信网络。数据转换器的IP(模拟-数字和数模转换)提供了一个接口,用于多种模拟传感器汽车芯片系统(soc)。ADAS的电子系统及其组件,如SoC和IP,必须提供最大的可靠性和安全性,而持久的极端温度范围和长寿。由于这个原因,汽车电子系统及其组件必须遵守一套严格的汽车可靠性和功能安全标准。
本文简要描述了汽车可靠性标准,重点是高效和优化程序满足汽车需求的明智的分区功能IP之间的安全要求,如数据转换器,SoC功能块,包括IP。
设计可靠性
汽车电子产品委员会(AEC)开发了一套汽车行业的资格标准。AEC-Q100标准定义了所需的温度等级,soc及其组件(比如IP必须支持。温度等级的范围从0到3年级,年级取决于SoC的最大环境温度或IP预计正确操作(见表1)。
表1:环境温度等级的定义
汽车SoC或IP电路仿真,设计者必须将环境温度转化为结温。准确的翻译必须考虑到平均活动SoC(平均功率消散)以及包装热阻、衡量的能力把热能从死亡和消失在环境(温度模具本身和环境)之间的区别。测量温度效应在设备上(SoC或IP),概要文件指定温度测量SoC或IP在预期的时间操作在任何给定的温度范围在其生命周期。
除了满足温度要求,组件必须满足最大的失败率。故障率是衡量缺陷ppm (dppm)的要求小于1 dppm整个汽车产品生命周期的15年。dppm考虑以下主要方面:
除了上述之外,在预期的最大瞬时操作温度必须保证功能,即使温度曲线表明,SoC或IP可能操作温度仅为总操作时间的一小部分。这个要求确保当SoC或IP操作在一个最高温度满足功能和性能规范,例如,没有时间违规行为发生,可能会限制功能。
功能安全设计
ISO 26262资格适用于任何汽车SoC或IP安全性至关重要的ADAS应用程序,定义了功能安全目标内的SoC或IP汽车安全完整性水平(ASIL)(降低潜在风险)D(潜在风险最高)。汽车ADAS soc或IP应用程序必须实现安全功能,符合ASIL。关键功能汽车IP安全注意事项包括:
数据转换器的功能安全方面
数据转换器实现了低水平的功能,如与一个单一目的的模拟传感器转换为模拟信号,其数字表示在其他SoC块进行处理。汽车雷达、激光雷达和摄像头的模拟传感器要求ADC接口。自上生成的模拟信号传感器是未知的和不带任何协议或纠错信息,然后传统协议级故障检测和校正机制并不适用。模拟-数字转换器(ADC)没有处理能力或知识的动态信号来确定信号是否损坏。ADC的自我测试可能不适用,因为它经常中断正常运行ADC的前台运行测试。对于这样低级的功能块,汽车安全方面必须解决的替代方式。描述和生产测试可以识别潜在的缺点,影响产品的功能和性能。功能性故障,故障描述模型,如单点故障,潜在故障,等,可以发现制造缺陷,引入了使用自动测试模式生成(生成)与高覆盖率的测试方法。数据转换器的测试,如斜坡输入信号,进行完整检查在表征,和使用纯正弦输入信号快速操作检查在生产测试中,可以帮助识别失败在模拟块高覆盖率。
操作失败影响ADC但触发只在正常操作可以有效地检测和反应在系统级别的协助下ADC测试功能实现:
图1:测量已知电压和MUX检测失败
为了满足汽车功能安全要求,上述描述的方法可能不足以实现高覆盖率,应该补充额外的外部功能的应用程序安全措施。外部功能安全措施识别和解决ADC在系统级的安全风险而不影响整个系统的安全。adc这样一个外部功能安全措施,识别操作失败,是功能冗余。功能冗余不断检查输出的一致性两个信号路径并行运行。如果发现不一致,则系统知道有一个失败,应该行动,无法消除功能的安全问题。在图2中,两个数据转换器用于功能冗余。相同的传感器输出信号通过两个独立的转换器处理;系统检查结果的一致性。
这些实现改善整个系统的功能安全的报道,即使它可能不是理想的或有效实施这些措施内部个体块如ADC。所示的三个例子中,冗余扩展了ADC的传感器。扩展冗余扩展的外部安全措施所有冗余块,减少内部功能安全措施要求个体块的复制这些块。
图2:功能冗余ADC的识别操作失败
结论
以满足汽车ADAS应用程序的可靠性和功能安全需求,IP和SoC设计必须满足所有规定汽车AEC-Q100和ISO 26262标准定义的需求。很好地理解这样的需求和如何有效地实现他们的SoC允许集成商分解成可管理的块的挑战而利用的特点(资格)集成IP实现汽车资格和加速SoC-level认证。替代的方法实现功能安全目标而使用功能块,如数据转换器,实现内部的安全特性可能是不可能的或不受欢迎的,帮助实现SoC-level功能安全的目标。欲知详情,读的数据转换器IP汽车出类拔萃白皮书。
|
|
|
|
|
|
|
|
留下一个回复