引言

“功能安全”概念要求任何與安全相關的系統以可預測的安全方式正確運行或進入失效模式。這是一個寬泛的主題，相關的一些標準主要涉及汽車應用（國際標準化組織 26262）和工業應用（國際電工委員會 61508）中的電子產品。

自動駕駛汽車或協作機器人對先進電子系統的需求不斷增長，引發了人們對功能安全的擔憂，這促使工程師想要深入了解各種失效模式以及如何設計失效防護系統。

本文重點討論汽車攝像頭系統的電壓軌監控。與其他分立式解決方案相比，電壓監控器在功率、尺寸和時基故障 (FIT) 率方面具有優勢，并且可幫助工程師在設計中達到更高的安全等級。汽車攝像頭系統或域控制器通常需要對整個電源架構進行重要的電壓軌監控。

電壓軌系統故障

電壓軌監控功能是每個電子系統的一部分，可確保關鍵元件在建議的工作電壓范圍內正常工作。發生電壓軌故障的原因有很多，包括電源內部故障導致電壓調節不正確、被動失效導致短路或開路故障，甚至是意外的負載電流導致電源軌電壓驟降。電壓監控器可監控電壓軌是否有電壓錯誤，并允許它們提供由安全系統用于診斷用途的響應輸出。

負載點故障的一個常見示例是微控制器 (MCU) 的欠壓問題。為 MCU 供電的電壓軌低于預期電壓時便會發生“欠壓”，這一問題會導致 MCU 處于不明狀態。解決MCU 欠壓問題的一種常見方法是監控進入 MCU 的電壓軌是否存在欠壓情況，并向 MCU 提供復位輸出。復位輸出會將 MCU 關閉，直到欠壓問題得到解決。

圖 1 是汽車攝像頭系統的基本電源架構示例，其中采用了 TPS37043-Q1 電壓監控器，這是一款符合功能安全標準的器件，可滿足 ISO26262 要求和汽車安全完整性等級。在此電源架構中，監控器的作用是識別系統中的潛在故障，并防止圖像傳感器或攝像頭系統出現任何運行錯誤。沒有任何保障措施的電壓軌故障會降低故障指標等級，從而降低整體系統安全性，而電壓軌監控功能則有助于提高電源架構的故障指標等級。此功能為系統提供了更多信息，從而支持受控的決策過程，并避免可能導致危險情況的安全違規行為。

圖 1 具有監控功能的汽車攝像頭電源架構

在圖 1 中，安全運行意味著使用中的汽車攝像頭始終可靠工作，時刻確保用戶不會面臨嚴重受傷的風險。可能發生的故障類型有兩種：系統性故障和隨機故障。開發用于電源架構的部件時，遵守正確的設計規則有助于消除系統性故障；然而，按照定義，隨機故障是隨機的。沒有人知道它們是否以及何時會發生。

現在來看一個采用了備用攝像頭的故障示例。如果電源架構的任何部件發生隨機故障并且駕駛員的顯示屏出現黑屏，該事件會被認定為可察覺的故障；駕駛員仍可通過后視鏡安全倒車。然而，該攝像頭用于車道保持輔助功能或障礙物檢測系統時，用戶不會意識到故障的發生，這種情況會導致危險。觸發該故障的因素可能是通向圖像傳感器的其中一個電壓軌低于圖像傳感器的絕對最大值或最小值，從而導致其進入掛起狀態。在這種情況下，電壓監控器的任務是在出現掛起狀態時使圖像傳感器復位，以便系統重新啟動。

一個明顯的問題是，重啟所花費的時間本身是否會被視為安全隱患？這種情況下容錯時間間隔 (FTTI)將發揮作用。這是指系統必須在不使駕駛員或其他人處于危險之中的情況下進行更正的時間。監控器的復位延時時間將是根據 FTTI 選擇的設計參數。在系統復位期間，安全的做法是在故障觸發時立即向駕駛員發出視覺和聽覺警報。該警報將使駕駛員警覺，并避免出現可能導致危險的不可察覺的故障。

下一個問題是如何保證電壓監控器始終可靠工作？這就是可能出現故障的環節。例如，假設會觸發直接運行錯誤的臨界電壓軌是 1.2V，如果負責監控 1.2V 電壓軌的TPS3704 的比較器 (SENSE3) 不能正常工作，會發生什么情況呢？故障檢測功能失效有四種可能的原因（這稱為失效模式分布）：

• 過壓閾值太高。 

• 欠壓閾值太低。

• 比較器完全無法工作。

• 比較器可以工作，但復位線卡在高電平，因此無法傳達故障。

如果比較器進入這些失效模式之一，則系統中不會有任何指示，直到監控器作出反應。這種未被檢測到的監控器故障會導致運行錯誤，如果未在 FTTI 內發現，駕駛員可能會受傷。因此，比較器的故障是潛在的并且處于休眠狀態，直到監控器作出反應。

運用一種稱為內置自檢 (BIST) 的機制可防止監控器故障情況。理想情況下，BIST 應該是自動的，并且在每次給監控器供電（點火開關接通）時運行。圖 2 所示為欠壓故障的手動自檢，而圖 3 為過壓和欠壓跳閘點的手動檢查。

圖 2 針對欠壓故障的手動自檢

圖 3 針對過壓和欠壓跳閘點的手動檢查

在圖 2 中，SENSE4 過壓 (V_IT+) 設置為 5.5V，欠壓(V_IT–) 設置為 2V。V_IT+ 是設置的過壓跳閘點，V_IT– 是設置的欠壓跳閘點。能夠設計啟動機制，以便每次打開點火開關時，都會觸發手動欠壓，從而將 SENSE4 拉低至其欠壓跳閘點以下，并將 RESET2 置為低電平。此過程將確認欠壓比較器和 RESET 邏輯工作正常。這是一種低覆蓋率的自檢方案，因為它只檢查一個 SENSE 通道并作為其他通道的偽表示。

圖 3 顯示的方案用于檢查高于或低于閾值的過壓和欠壓跳閘點，并在 SENSE 通道上實施檢查（此處對于汽車攝像頭的運行至關重要）。在該方案中，LM10011 與電壓識別 (VID) 接口結合使用。VID 接口的不同邏輯組合在三個值（標稱值、過壓測試值和欠壓測試值）之間改變 LM10011 的內部 DAC 輸出電流 (I_{DAC_OUT})。公式 1、2 和 3 說明了如何使用 LM10011 來觸發過壓和欠壓故障。

公式 1.

其中 V_SENSEx 為感應電壓，1.2V 為監控的電壓。

根據公式 1，對于要檢查的標稱輸出電壓，選擇 R1 和 R2 可以在 SENSEx 引腳上獲得 0.8V 電壓。

應設置公式 2 的值，以便在設置用于過壓測試的 I_{DAC_OUT}時越過 1.2V 電壓軌的選定過壓跳閘點。

公式 2.

應設置公式 3 的值，以便在設置用于欠壓測試的 I_{DAC_OUT} 時越過 1.2V 電壓軌的選定欠壓跳閘點：

公式 3.

其中，I_DAC(ovtest) > I_DAC(nom) > I_DAC(uvtest)。

現在考慮圖 3 所示實施的 BIST 方案直接影響的功能安全指標。在計算功能安全指標時，有兩個關鍵方面會很重要：單點故障診斷覆蓋率和潛在故障診斷覆蓋率。使用了窗口監控器來提高單點故障診斷覆蓋率的成績，因此通過實施 BIST 方案，潛在故障診斷覆蓋率從 0% 躍升至 60%。這有助于降低潛在時基故障率。

各種自檢方法都可提高潛在故障指標，以確保監控器始終有效。為了將自檢作為一種安全機制，需要在每次接通點火開關時或在一個行駛周期中或者在激活攝像頭系統功能的任何時候進行一次測試。圖 4 所示的流程圖展示了該方案。目標是在系統進入活動狀態或任務工作模式之前執行自檢方案。圖 4 中的著色區域顯示了自檢方案的附加模塊，這些模塊可提高潛在故障指標。

圖 4 顯示自檢方案實施情況的流程圖

結論

根據應用選擇合適的監控器很重要，一旦選定，就可使用簡單的機制來改善潛在故障指標并避免電源軌故障轉化成危險。