需要數(shù)據(jù)轉(zhuǎn)換器的傳感器應(yīng)用涉及十分廣泛的范圍，例如用于識別不同發(fā)動機狀態(tài)的溫度傳感器，或者支持汽車駕駛輔助系統(tǒng)（ADAS）的雷達/激光雷達等。涉及到數(shù)據(jù)轉(zhuǎn)換器的其他應(yīng)用還包括用于與其他車輛或固定網(wǎng)絡(luò)進行通信的無線收發(fā)器。數(shù)據(jù)轉(zhuǎn)換器IP（“模擬-數(shù)字”和“數(shù)字-模擬”）為汽車片上系統(tǒng)（SoC）提供了多種模擬傳感器的接口。對于ADAS而言，電子系統(tǒng)及其組件，例如SoC和IP，都必須提供最高程度的可靠性和安全性，同時還要能夠經(jīng)受極端溫度范圍考驗并具備較長的使用壽命。由于這個原因，汽車電子系統(tǒng)及其組件必須遵守一套嚴(yán)格的汽車可靠性和功能安全性標(biāo)準(zhǔn)。

本文將簡要介紹汽車可靠性標(biāo)準(zhǔn)，并將重點討論一些用來滿足汽車要求的高效、優(yōu)化的程序。后者主要是通過在IP（例如數(shù)據(jù)轉(zhuǎn)換器）與包含IP的SoC功能模塊之間對功能安全性要求進行審慎劃分而實現(xiàn)的。

可靠性設(shè)計

汽車電子委員會（AEC）已經(jīng)為汽車行業(yè)制定了一套認證標(biāo)準(zhǔn)。AEC-Q100標(biāo)準(zhǔn)定義了SoC及其組件（例如IP）必須支持的、規(guī)定的溫度等級從0級到3級不等，具體取決于希望SoC或IP正常運行的最高環(huán)境溫度（參見表1）。

表1：環(huán)境溫度等級的定義

對于汽車SoC或IP電路仿真而言，設(shè)計人員必須將環(huán)境溫度轉(zhuǎn)換為(結(jié)溫)晶體接面問度。準(zhǔn)確的轉(zhuǎn)換必須考慮SoC中的平均活動（它消耗的平均功率）以及封裝熱阻，這能夠測量其從芯片中去除熱能并將其消散在環(huán)境中的能力（芯片本身與環(huán)境之間的溫差）。為了測量溫度對設(shè)備（SoC或IP）的影響，需要指定溫度一份特征圖，以測量SoC或IP在其生命周期內(nèi)任何給定溫度范圍內(nèi)處于運行狀態(tài)的預(yù)期時間。

除了滿足溫度要求外，組件還必須滿足最大故障率要求。故障率以每百萬個產(chǎn)品中的不良數(shù)（dppm）來衡量，要求在整個15年的汽車產(chǎn)品生命周期中小于1 dppm。dppm考慮以下關(guān)鍵方面：

設(shè)計變異性（variability）是指導(dǎo)致設(shè)備不匹配的某些制造工藝特性的變化。它從本地（隨機變化）和整個芯片（梯度效應(yīng)）兩個方面影響SoC。為了滿足低故障率要求，對關(guān)鍵塊進行的蒙特卡洛統(tǒng)計模擬將分析失配分布的極值（例如，高達5*σ）。

晶體管老化是指構(gòu)成SoC的晶體管的特性發(fā)生的變化，這種變化是工作時間以及該時間內(nèi)工作條件的函數(shù)。它是諸如HCI（熱載流子注入）、NBTI（負偏置溫度不穩(wěn)定）、PBTI（正偏置溫度不穩(wěn)定）之類的結(jié)果，其能夠改變晶體管的閾值電壓，是其生命周期內(nèi)工作條件的函數(shù)。它必須考慮任務(wù)配置文件、晶體管的預(yù)期總開機時間（POH）以及汽車應(yīng)用的低故障率要求。在設(shè)計階段，通過運行模擬來滿足目標(biāo)故障率，這包括在規(guī)定溫度下在等效POH期間的老化效應(yīng)。

電遷移是指存在顯著電流密度時互連導(dǎo)線和觸點中導(dǎo)體原子的位移，這會改變互連跡線（trace）的電阻率（甚至可能會中斷它）以及電路的時序特性。電遷移效應(yīng)也取決于溫度特性以及SoC中預(yù)期POH的總數(shù)。特定的仿真模型能夠驗證SoC生命周期內(nèi)沒有電遷移問題。

除上述內(nèi)容外，還必須保證在預(yù)期最大功能溫度下的瞬時工作，即使該溫度特性表明SoC或IP可能能夠在該溫度下僅在總工作時間的一小部分內(nèi)進行工作。這一要求確保了當(dāng)SoC或IP在最高溫度下工作時，它能夠滿足功能和性能規(guī)范，同時不會發(fā)生可能限制功能的時序違規(guī)等情形。

功能安全設(shè)計

ISO 26262規(guī)格適用于任何汽車SoC或IP，用于安全關(guān)鍵型ADAS應(yīng)用，而且該規(guī)格還在目標(biāo)“汽車安全完整性等級”（ASIL）范圍內(nèi)定義了SoC或IP的功能安全性。該等級的范圍是從A（低風(fēng)險潛能）到D（最高風(fēng)險潛能）。用于汽車ADAS應(yīng)用的SoC或IP必須按照預(yù)期的ASIL實現(xiàn)安全性功能。汽車IP的關(guān)鍵功能安全性考慮因素包括：

該IP能夠檢測、報告并自行糾正故障嗎？利用糾錯碼（ECC）檢查、多數(shù)表決、某些形式的本地冗余等功能可以幫助檢測和糾正故障

IP能否檢測到故障并在可接受的短時間內(nèi)將其報告，以便讓系統(tǒng)中的其他層面及時執(zhí)行安全措施？

是否可以采取外部措施在IP以上的某個層次保護系統(tǒng)？

數(shù)據(jù)轉(zhuǎn)換器的功能安全方面

數(shù)據(jù)轉(zhuǎn)換器實現(xiàn)了低層級的功能，例如，與某個模擬傳感器之間建立接口，其唯一的用途就是把模擬信號轉(zhuǎn)換為其數(shù)字表示，以便在其他SoC塊中進行處理。汽車?yán)走_、激光雷達（LiDAR）和攝像頭都是需要ADC接口的模擬傳感器的例子。由于傳感器上產(chǎn)生的模擬信號是未知的，而且不攜帶任何協(xié)議或糾錯信息，因此，傳統(tǒng)的協(xié)議級故障檢測和糾正機制不適用。模-數(shù)轉(zhuǎn)換器（ADC）沒有信號動態(tài)的處理能力或知識，因此無法確定信號是否已經(jīng)被破壞。ADC的自檢功能可能不適用，因為它經(jīng)常會中斷ADC運行前臺測試的正常操作。對于此類低級別功能塊，必須以其他方式來解決汽車安全方面的問題。表征和生產(chǎn)測試能夠發(fā)現(xiàn)潛在的 故障，它們可能會影響產(chǎn)品的功能和性能。由于制造缺陷而引入的功能故障通過故障模型（如單點故障、潛在故障等）來描述，這可以利用具有高覆蓋率的“自動測試模式生成”（ATPG）測試方法來識別。在表征期間進行全范圍檢查的數(shù)據(jù)轉(zhuǎn)換器測試（例如掃描瞬變輸入信號），以及在生產(chǎn)測試中使用純正弦輸入信號進行快速操作檢查，都有助于發(fā)現(xiàn)模擬模塊中具有高覆蓋率的故障。

那些能夠影響ADC，但只在正常操作時才被觸發(fā)的操作故障，可以借助于ADC中實現(xiàn)的測試功能進行有效檢測并在系統(tǒng)級做出響應(yīng)：

檢測輸出堵塞（stuck）故障條件（如果輸出字固定在一個恒定的水平上）

檢測長時間延遲故障條件（用于觸發(fā)的轉(zhuǎn)換）

檢測不完整的校準(zhǔn)故障條件（對于校準(zhǔn)的轉(zhuǎn)換器）

檢測已知輸入電壓的錯誤轉(zhuǎn)換（使用輸入多路復(fù)用器（MUX）中的專用輸入通道為測試提供固定輸入電平），如圖1所示。

圖1：使用MUX測量已知電壓以檢測故障

要想滿足汽車功能安全性要求，上述的方法可能不足以實現(xiàn)高覆蓋率，它們應(yīng)該通過應(yīng)用額外的外部功能安全性措施來補充。這些外部功能安全性措施能夠識別并解決系統(tǒng)級上的ADC安全風(fēng)險，而不會影響整個系統(tǒng)的安全性。一種用于ADC的此類外部功能安全性措施能夠在識別操作故障的同時，還可以發(fā)揮功能冗余作用。功能冗余不斷地檢查并行運行的兩條信號路徑的輸出一致性。如果檢測到不一致，那么，系統(tǒng)就會知道出現(xiàn)了故障，并且應(yīng)該根據(jù)該故障來采取措施，以消除功能安全性問題。在圖2中，兩個數(shù)據(jù)轉(zhuǎn)換器用于功能冗余。通過兩個獨立的轉(zhuǎn)換器處理相同的傳感器輸出信號；系統(tǒng)對它們的結(jié)果進行一致性檢查。

任何這些實現(xiàn)都可以提高系統(tǒng)范圍的功能安全覆蓋率，即使是在ADC等單個模塊內(nèi)部實施這些措施可能并不太令人滿意或者不太高效。在所示的三個例子中，冗余從ADC延伸到傳感器。擴展的冗余把外部安全性措施的范圍擴展至所有的冗余模塊，從而降低了對單個模塊內(nèi)部功能安全性措施的要求，但代價是需要重復(fù)這些模塊。

圖2：用于識別ADC中操作故障的功能冗余

結(jié)論

為了滿足汽車ADAS應(yīng)用的可靠性和功能安全性要求，IP和SoC設(shè)計人員必須滿足AEC-Q100和ISO 26262等標(biāo)準(zhǔn)中所規(guī)定的所有強制性汽車要求。充分了解這些要求以及在SoC中有效地實施這些要求的方法，可以使集成商把所面臨的挑戰(zhàn)分解為多個可管理的部分，同時又能夠利用集成IP的特性（和認證）來實現(xiàn)汽車資格認證并加快SoC級認證。在實現(xiàn)內(nèi)部安全性功能可能不太容易或者不太令人滿意的情況下，可以在采用功能塊（例如數(shù)據(jù)轉(zhuǎn)換器）的同時，采用實現(xiàn)功能安全性目標(biāo)的其他替代方法，這有助于實現(xiàn)SoC級的功能安全性目標(biāo)。