通过电压基准和监控器帮助设计者实现 ASIL 功能安全目标

许多与安全相关的汽车系统都需要满足国际标准化组织 (ISO) 26262 定义的汽车安全完整性等级 (ASIL)。

不遵循 ISO 26262 标准开发的集成电路 (IC) 不能用于实现功能安全目标，这是一种常见的误解。许多汽车原始设备制造商已经能够使用不符合 ASIL 标准的半导体设备的特性和可靠性来开发针对 ASIL 要求的系统。在这篇文章中，将演示电压基准和监控器如何帮助您实现汽车系统的 ASIL 合规性。

电压参考和监控器

电压基准和监控器（复位 IC）等设备是常见的半导体设备，可帮助汽车系统集成商开发功能安全的系统。在汽车应用中使用时，这些设备提供诊断覆盖或冗余监控功能。

图 1 取自 ISO26262-10:2018, 9.2.3.4，是脱离上下文的安全元件 (SEooC) 如何实施电压监控器和看门狗作为安全机制的示例。

图 1：基于 ISO 26262 的 SEooC 系统级设计假设

电压参考和监控器的特性和机制

电压监控器可以通过提供电源故障检测来帮助实现系统级功能安全目标。当在电源上检测到过压或欠压故障模式时，电压监控器会对微控制器 (MCU) 实施安全机制。一些电压监控器还可以提供带有看门狗定时器的数字诊断功能，可以检测 MCU 的时钟故障。时钟故障包括 MCU 发送的延迟脉冲或过早脉冲。窗口看门狗定时器可以监视这些脉冲并警告系统发生了故障。欠压和过压监控的另一种方法是使用具有精密参考电压的模数转换器 (ADC) 来监控多个电压轨。图 2 显示了窗口看门狗定时器的工作原理。在某些情况下，具有很高诊断覆盖率目标的系统可能需要冗余安全机制以实现系统级功能安全目标。这意味着除了用于监控潜在电压供应故障的 ADC 和电压参考之外，还需要一个监控器来监控相同的电压轨以确保安全性和诊断范围。

图 2：窗口看门狗时序图

设备功能安全抵押品

汽车系统的风险评估表明，由于 IC 故障可能会发生故障；因此，某些功能安全系统需要在设备级别进行评估。TI 可以提供评估 IC 所需的设备信息以及功能安全系统概念的要求。TI 可以为电压基准和监控器提供设备附属资料，例如资格报告、及时故障 (FS-FIT)、故障模式分布 (FMD) 以及设计故障模式和影响分析 (DFMEA)。

具有功能安全考虑的汽车参考设计

“改进电压的ADAS电源参考设计”展示了电压参考和监控器如何帮助实现功能安全系统。此参考设计中使用的电压基准和监控器可以帮助设计人员在结合设备的功能、特性和设备附属品时实现系统级功能安全目标。

该参考设计为高级驾驶辅助系统 (ADAS) 中的安全 MCU 提供具有额外电压监控和窗口看门狗的汽车电源解决方案。该设计有助于实现准确的电压监控，并在整个温度范围内精确监控 1% 的最大值，并包括灵活的复位延迟和手动复位等功能。TPS3703-Q1 以小尺寸提供过压和欠压监控，对外部组件的需求最少，有助于解决空间受限问题。

图 3 描述了 TPS3703-Q1 如何检测过压和欠压。对于潜在的时钟故障，TPS3850-Q1 兼作过压/欠压监视器和窗口看门狗定时器，如图 2 和图 3 所示。它还具有更改看门狗超时和窗口比率以及禁用看门狗定时器的灵活性. 在仅需要欠压监控的情况下，TPS3890-Q1 可以以极低的静态电流提供准确的电压监控，以节省系统功耗。最后但并非最不重要的是，LM4132-Q1 提供精密电压以参考 ADC 以进行电压监控。LM4132-Q1 具有 0.05% 的初始精度和 10 ppm/°C 的低温漂移，以 60 µA 的低电源电流成本解决了准确的电压监控问题。

图 3：欠压和过压窗口检测器时序图

在 ADAS 电源参考设计中适应 ISO 26262 标准

该参考设计考虑了 ISO 26262 及其有关电源电压监控和看门狗诊断的指南。图 4 解释了检测电源故障和有缺陷的程序序列故障的必要性。图 4 取自 ISO26262-5:2018 的附录 D。本附录旨在评估诊断覆盖率，并用作选择合适的安全机制以检测可能的系统故障的指南。该参考设计有助于实现图 4 所示的系统级安全机制。

图 4：基于 ISO 26262 的电源和看门狗故障的安全机制示例

此参考设计中使用的电压监控器和基准电压源可以通过提供额外的诊断覆盖范围、安全机制或冗余安全监控来提供额外的安全层。该产品的故障检测性能和功能有助于实现汽车系统的功能安全目标。此外，TI 可以提供抵押品以缩短系统集成商的上市时间。