引言

“功能安全”概念要求任何與安全相關(guān)的系統(tǒng)以可預(yù)測的安全方式正確運行或進入失效模式。這是一個寬泛的主題，相關(guān)的一些標準主要涉及汽車應(yīng)用（國際標準化組織 26262）和工業(yè)應(yīng)用（國際電工委員會 61508）中的電子產(chǎn)品。

自動駕駛汽車或協(xié)作機器人對先進電子系統(tǒng)的需求不斷增長，引發(fā)了人們對功能安全的擔(dān)憂，這促使工程師想要深入了解各種失效模式以及如何設(shè)計失效防護系統(tǒng)。

本文重點討論汽車攝像頭系統(tǒng)的電壓軌監(jiān)控。與其他分立式解決方案相比，電壓監(jiān)控器在功率、尺寸和時基故障 (FIT) 率方面具有優(yōu)勢，并且可幫助工程師在設(shè)計中達到更高的安全等級。汽車攝像頭系統(tǒng)或域控制器通常需要對整個電源架構(gòu)進行重要的電壓軌監(jiān)控。

電壓軌系統(tǒng)故障

電壓軌監(jiān)控功能是每個電子系統(tǒng)的一部分，可確保關(guān)鍵元件在建議的工作電壓范圍內(nèi)正常工作。發(fā)生電壓軌故障的原因有很多，包括電源內(nèi)部故障導(dǎo)致電壓調(diào)節(jié)不正確、被動失效導(dǎo)致短路或開路故障，甚至是意外的負載電流導(dǎo)致電源軌電壓驟降。電壓監(jiān)控器可監(jiān)控電壓軌是否有電壓錯誤，并允許它們提供由安全系統(tǒng)用于診斷用途的響應(yīng)輸出。

負載點故障的一個常見示例是微控制器 (MCU) 的欠壓問題。為 MCU 供電的電壓軌低于預(yù)期電壓時便會發(fā)生“欠壓”，這一問題會導(dǎo)致 MCU 處于不明狀態(tài)。解決MCU 欠壓問題的一種常見方法是監(jiān)控進入 MCU 的電壓軌是否存在欠壓情況，并向 MCU 提供復(fù)位輸出。復(fù)位輸出會將 MCU 關(guān)閉，直到欠壓問題得到解決。

圖 1 是汽車攝像頭系統(tǒng)的基本電源架構(gòu)示例，其中采用了 TPS37043-Q1 電壓監(jiān)控器，這是一款符合功能安全標準的器件，可滿足 ISO26262 要求和汽車安全完整性等級。在此電源架構(gòu)中，監(jiān)控器的作用是識別系統(tǒng)中的潛在故障，并防止圖像傳感器或攝像頭系統(tǒng)出現(xiàn)任何運行錯誤。沒有任何保障措施的電壓軌故障會降低故障指標等級，從而降低整體系統(tǒng)安全性，而電壓軌監(jiān)控功能則有助于提高電源架構(gòu)的故障指標等級。此功能為系統(tǒng)提供了更多信息，從而支持受控的決策過程，并避免可能導(dǎo)致危險情況的安全違規(guī)行為。

圖 1 具有監(jiān)控功能的汽車攝像頭電源架構(gòu)

在圖 1 中，安全運行意味著使用中的汽車攝像頭始終可靠工作，時刻確保用戶不會面臨嚴重受傷的風(fēng)險。可能發(fā)生的故障類型有兩種：系統(tǒng)性故障和隨機故障。開發(fā)用于電源架構(gòu)的部件時，遵守正確的設(shè)計規(guī)則有助于消除系統(tǒng)性故障；然而，按照定義，隨機故障是隨機的。沒有人知道它們是否以及何時會發(fā)生。

現(xiàn)在來看一個采用了備用攝像頭的故障示例。如果電源架構(gòu)的任何部件發(fā)生隨機故障并且駕駛員的顯示屏出現(xiàn)黑屏，該事件會被認定為可察覺的故障；駕駛員仍可通過后視鏡安全倒車。然而，該攝像頭用于車道保持輔助功能或障礙物檢測系統(tǒng)時，用戶不會意識到故障的發(fā)生，這種情況會導(dǎo)致危險。觸發(fā)該故障的因素可能是通向圖像傳感器的其中一個電壓軌低于圖像傳感器的絕對最大值或最小值，從而導(dǎo)致其進入掛起狀態(tài)。在這種情況下，電壓監(jiān)控器的任務(wù)是在出現(xiàn)掛起狀態(tài)時使圖像傳感器復(fù)位，以便系統(tǒng)重新啟動。

一個明顯的問題是，重啟所花費的時間本身是否會被視為安全隱患？這種情況下容錯時間間隔 (FTTI)將發(fā)揮作用。這是指系統(tǒng)必須在不使駕駛員或其他人處于危險之中的情況下進行更正的時間。監(jiān)控器的復(fù)位延時時間將是根據(jù) FTTI 選擇的設(shè)計參數(shù)。在系統(tǒng)復(fù)位期間，安全的做法是在故障觸發(fā)時立即向駕駛員發(fā)出視覺和聽覺警報。該警報將使駕駛員警覺，并避免出現(xiàn)可能導(dǎo)致危險的不可察覺的故障。

下一個問題是如何保證電壓監(jiān)控器始終可靠工作？這就是可能出現(xiàn)故障的環(huán)節(jié)。例如，假設(shè)會觸發(fā)直接運行錯誤的臨界電壓軌是 1.2V，如果負責(zé)監(jiān)控 1.2V 電壓軌的TPS3704 的比較器 (SENSE3) 不能正常工作，會發(fā)生什么情況呢？故障檢測功能失效有四種可能的原因（這稱為失效模式分布）：

• 過壓閾值太高。 

• 欠壓閾值太低。

• 比較器完全無法工作。

• 比較器可以工作，但復(fù)位線卡在高電平，因此無法傳達故障。

如果比較器進入這些失效模式之一，則系統(tǒng)中不會有任何指示，直到監(jiān)控器作出反應(yīng)。這種未被檢測到的監(jiān)控器故障會導(dǎo)致運行錯誤，如果未在 FTTI 內(nèi)發(fā)現(xiàn)，駕駛員可能會受傷。因此，比較器的故障是潛在的并且處于休眠狀態(tài)，直到監(jiān)控器作出反應(yīng)。

運用一種稱為內(nèi)置自檢 (BIST) 的機制可防止監(jiān)控器故障情況。理想情況下，BIST 應(yīng)該是自動的，并且在每次給監(jiān)控器供電（點火開關(guān)接通）時運行。圖 2 所示為欠壓故障的手動自檢，而圖 3 為過壓和欠壓跳閘點的手動檢查。

圖 2 針對欠壓故障的手動自檢

圖 3 針對過壓和欠壓跳閘點的手動檢查

在圖 2 中，SENSE4 過壓 (V_IT+) 設(shè)置為 5.5V，欠壓(V_IT–) 設(shè)置為 2V。V_IT+ 是設(shè)置的過壓跳閘點，V_IT– 是設(shè)置的欠壓跳閘點。能夠設(shè)計啟動機制，以便每次打開點火開關(guān)時，都會觸發(fā)手動欠壓，從而將 SENSE4 拉低至其欠壓跳閘點以下，并將 RESET2 置為低電平。此過程將確認欠壓比較器和 RESET 邏輯工作正常。這是一種低覆蓋率的自檢方案，因為它只檢查一個 SENSE 通道并作為其他通道的偽表示。

圖 3 顯示的方案用于檢查高于或低于閾值的過壓和欠壓跳閘點，并在 SENSE 通道上實施檢查（此處對于汽車攝像頭的運行至關(guān)重要）。在該方案中，LM10011 與電壓識別 (VID) 接口結(jié)合使用。VID 接口的不同邏輯組合在三個值（標稱值、過壓測試值和欠壓測試值）之間改變 LM10011 的內(nèi)部 DAC 輸出電流 (I_{DAC_OUT})。公式 1、2 和 3 說明了如何使用 LM10011 來觸發(fā)過壓和欠壓故障。

公式 1.

其中 V_SENSEx 為感應(yīng)電壓，1.2V 為監(jiān)控的電壓。

根據(jù)公式 1，對于要檢查的標稱輸出電壓，選擇 R1 和 R2 可以在 SENSEx 引腳上獲得 0.8V 電壓。

應(yīng)設(shè)置公式 2 的值，以便在設(shè)置用于過壓測試的 I_{DAC_OUT}時越過 1.2V 電壓軌的選定過壓跳閘點。

公式 2.

應(yīng)設(shè)置公式 3 的值，以便在設(shè)置用于欠壓測試的 I_{DAC_OUT} 時越過 1.2V 電壓軌的選定欠壓跳閘點：

公式 3.

其中，I_DAC(ovtest) > I_DAC(nom) > I_DAC(uvtest)。

現(xiàn)在考慮圖 3 所示實施的 BIST 方案直接影響的功能安全指標。在計算功能安全指標時，有兩個關(guān)鍵方面會很重要：單點故障診斷覆蓋率和潛在故障診斷覆蓋率。使用了窗口監(jiān)控器來提高單點故障診斷覆蓋率的成績，因此通過實施 BIST 方案，潛在故障診斷覆蓋率從 0% 躍升至 60%。這有助于降低潛在時基故障率。

各種自檢方法都可提高潛在故障指標，以確保監(jiān)控器始終有效。為了將自檢作為一種安全機制，需要在每次接通點火開關(guān)時或在一個行駛周期中或者在激活攝像頭系統(tǒng)功能的任何時候進行一次測試。圖 4 所示的流程圖展示了該方案。目標是在系統(tǒng)進入活動狀態(tài)或任務(wù)工作模式之前執(zhí)行自檢方案。圖 4 中的著色區(qū)域顯示了自檢方案的附加模塊，這些模塊可提高潛在故障指標。

圖 4 顯示自檢方案實施情況的流程圖

結(jié)論

根據(jù)應(yīng)用選擇合適的監(jiān)控器很重要，一旦選定，就可使用簡單的機制來改善潛在故障指標并避免電源軌故障轉(zhuǎn)化成危險。