需要數據轉換器的傳感器應用涉及十分廣泛的范圍，例如用于識別不同發動機狀態的溫度傳感器，或者支持汽車駕駛輔助系統（ADAS）的雷達/激光雷達等。涉及到數據轉換器的其他應用還包括用于與其他車輛或固定網絡進行通信的無線收發器。數據轉換器IP（“模擬-數字”和“數字-模擬”）為汽車片上系統（SoC）提供了多種模擬傳感器的接口。對于ADAS而言，電子系統及其組件，例如SoC和IP，都必須提供最高程度的可靠性和安全性，同時還要能夠經受極端溫度范圍考驗并具備較長的使用壽命。由于這個原因，汽車電子系統及其組件必須遵守一套嚴格的汽車可靠性和功能安全性標準。

本文將簡要介紹汽車可靠性標準，并將重點討論一些用來滿足汽車要求的高效、優化的程序。后者主要是通過在IP（例如數據轉換器）與包含IP的SoC功能模塊之間對功能安全性要求進行審慎劃分而實現的。

可靠性設計

汽車電子委員會（AEC）已經為汽車行業制定了一套認證標準。AEC-Q100標準定義了SoC及其組件（例如IP）必須支持的、規定的溫度等級從0級到3級不等，具體取決于希望SoC或IP正常運行的最高環境溫度（參見表1）。

表1：環境溫度等級的定義

對于汽車SoC或IP電路仿真而言，設計人員必須將環境溫度轉換為(結溫)晶體接面問度。準確的轉換必須考慮SoC中的平均活動（它消耗的平均功率）以及封裝熱阻，這能夠測量其從芯片中去除熱能并將其消散在環境中的能力（芯片本身與環境之間的溫差）。為了測量溫度對設備（SoC或IP）的影響，需要指定溫度一份特征圖，以測量SoC或IP在其生命周期內任何給定溫度范圍內處于運行狀態的預期時間。

除了滿足溫度要求外，組件還必須滿足最大故障率要求。故障率以每百萬個產品中的不良數（dppm）來衡量，要求在整個15年的汽車產品生命周期中小于1 dppm。dppm考慮以下關鍵方面：

設計變異性（variability）是指導致設備不匹配的某些制造工藝特性的變化。它從本地（隨機變化）和整個芯片（梯度效應）兩個方面影響SoC。為了滿足低故障率要求，對關鍵塊進行的蒙特卡洛統計模擬將分析失配分布的極值（例如，高達5*σ）。

晶體管老化是指構成SoC的晶體管的特性發生的變化，這種變化是工作時間以及該時間內工作條件的函數。它是諸如HCI（熱載流子注入）、NBTI（負偏置溫度不穩定）、PBTI（正偏置溫度不穩定）之類的結果，其能夠改變晶體管的閾值電壓，是其生命周期內工作條件的函數。它必須考慮任務配置文件、晶體管的預期總開機時間（POH）以及汽車應用的低故障率要求。在設計階段，通過運行模擬來滿足目標故障率，這包括在規定溫度下在等效POH期間的老化效應。

電遷移是指存在顯著電流密度時互連導線和觸點中導體原子的位移，這會改變互連跡線（trace）的電阻率（甚至可能會中斷它）以及電路的時序特性。電遷移效應也取決于溫度特性以及SoC中預期POH的總數。特定的仿真模型能夠驗證SoC生命周期內沒有電遷移問題。

除上述內容外，還必須保證在預期最大功能溫度下的瞬時工作，即使該溫度特性表明SoC或IP可能能夠在該溫度下僅在總工作時間的一小部分內進行工作。這一要求確保了當SoC或IP在最高溫度下工作時，它能夠滿足功能和性能規范，同時不會發生可能限制功能的時序違規等情形。

功能安全設計

ISO 26262規格適用于任何汽車SoC或IP，用于安全關鍵型ADAS應用，而且該規格還在目標“汽車安全完整性等級”（ASIL）范圍內定義了SoC或IP的功能安全性。該等級的范圍是從A（低風險潛能）到D（最高風險潛能）。用于汽車ADAS應用的SoC或IP必須按照預期的ASIL實現安全性功能。汽車IP的關鍵功能安全性考慮因素包括：

該IP能夠檢測、報告并自行糾正故障嗎？利用糾錯碼（ECC）檢查、多數表決、某些形式的本地冗余等功能可以幫助檢測和糾正故障

IP能否檢測到故障并在可接受的短時間內將其報告，以便讓系統中的其他層面及時執行安全措施？

是否可以采取外部措施在IP以上的某個層次保護系統？

數據轉換器的功能安全方面

數據轉換器實現了低層級的功能，例如，與某個模擬傳感器之間建立接口，其唯一的用途就是把模擬信號轉換為其數字表示，以便在其他SoC塊中進行處理。汽車雷達、激光雷達（LiDAR）和攝像頭都是需要ADC接口的模擬傳感器的例子。由于傳感器上產生的模擬信號是未知的，而且不攜帶任何協議或糾錯信息，因此，傳統的協議級故障檢測和糾正機制不適用。模-數轉換器（ADC）沒有信號動態的處理能力或知識，因此無法確定信號是否已經被破壞。ADC的自檢功能可能不適用，因為它經常會中斷ADC運行前臺測試的正常操作。對于此類低級別功能塊，必須以其他方式來解決汽車安全方面的問題。表征和生產測試能夠發現潛在的 故障，它們可能會影響產品的功能和性能。由于制造缺陷而引入的功能故障通過故障模型（如單點故障、潛在故障等）來描述，這可以利用具有高覆蓋率的“自動測試模式生成”（ATPG）測試方法來識別。在表征期間進行全范圍檢查的數據轉換器測試（例如掃描瞬變輸入信號），以及在生產測試中使用純正弦輸入信號進行快速操作檢查，都有助于發現模擬模塊中具有高覆蓋率的故障。

那些能夠影響ADC，但只在正常操作時才被觸發的操作故障，可以借助于ADC中實現的測試功能進行有效檢測并在系統級做出響應：

檢測輸出堵塞（stuck）故障條件（如果輸出字固定在一個恒定的水平上）

檢測長時間延遲故障條件（用于觸發的轉換）

檢測不完整的校準故障條件（對于校準的轉換器）

檢測已知輸入電壓的錯誤轉換（使用輸入多路復用器（MUX）中的專用輸入通道為測試提供固定輸入電平），如圖1所示。

圖1：使用MUX測量已知電壓以檢測故障

要想滿足汽車功能安全性要求，上述的方法可能不足以實現高覆蓋率，它們應該通過應用額外的外部功能安全性措施來補充。這些外部功能安全性措施能夠識別并解決系統級上的ADC安全風險，而不會影響整個系統的安全性。一種用于ADC的此類外部功能安全性措施能夠在識別操作故障的同時，還可以發揮功能冗余作用。功能冗余不斷地檢查并行運行的兩條信號路徑的輸出一致性。如果檢測到不一致，那么，系統就會知道出現了故障，并且應該根據該故障來采取措施，以消除功能安全性問題。在圖2中，兩個數據轉換器用于功能冗余。通過兩個獨立的轉換器處理相同的傳感器輸出信號；系統對它們的結果進行一致性檢查。

任何這些實現都可以提高系統范圍的功能安全覆蓋率，即使是在ADC等單個模塊內部實施這些措施可能并不太令人滿意或者不太高效。在所示的三個例子中，冗余從ADC延伸到傳感器。擴展的冗余把外部安全性措施的范圍擴展至所有的冗余模塊，從而降低了對單個模塊內部功能安全性措施的要求，但代價是需要重復這些模塊。

圖2：用于識別ADC中操作故障的功能冗余

結論

為了滿足汽車ADAS應用的可靠性和功能安全性要求，IP和SoC設計人員必須滿足AEC-Q100和ISO 26262等標準中所規定的所有強制性汽車要求。充分了解這些要求以及在SoC中有效地實施這些要求的方法，可以使集成商把所面臨的挑戰分解為多個可管理的部分，同時又能夠利用集成IP的特性（和認證）來實現汽車資格認證并加快SoC級認證。在實現內部安全性功能可能不太容易或者不太令人滿意的情況下，可以在采用功能塊（例如數據轉換器）的同時，采用實現功能安全性目標的其他替代方法，這有助于實現SoC級的功能安全性目標。