高性能の電圧監視IC【Part 2】システムの様々な障害への対応

×

Figure 1

   

要約

本稿は、高性能の電圧監視IC（Voltage Supervisor）について解説する連載の2回目（Part 2）です。この種のICは、電源などの障害を検出し、マイクロコントローラ・ユニット（MCU）をベースとする下流のシステムをリセット・モードに移行させる役割を果たします。それにより、システムのエラーや誤動作を回避することができます。この機能に加え、アナログ・デバイセズの電圧監視IC製品の中には、様々な補完的な機能を備えているものがあります。それらのICは、システムの障害やランダム・ハードウェア故障を検出するための統合ソリューションとして設計されています。各機能を使用すれば、下流の回路を保護するための動作をトリガする出力信号が得られます。アプリケーションにおいて何らかの制約に反したり、障害が生じたりすると、システムの性能に影響が及びます。本稿では、様々な監視ICを使用すれば、それらの問題にどのように対処できるのかを明らかにします。

はじめに

本連載のPart 1では、電圧監視ICの基本について説明しました。その上で、同ICを使用することにより、MCUやマイクロプロセッサなどのデジタル・コンピューティング・デバイスをベースとする電子システムの信頼性がどのように向上するのか解説しました。各種のデジタル・コンピューティング・デバイスには、電源に関する要件や制約が存在します。電圧監視ICを使用すれば、電源電圧が低すぎる場合に、それらのデバイスを使用するシステムをリセット・モードに移行させることができます。しかし、その後、時間が経過しさえすればすべてが円滑に動作するとは限りません。

電源に関する要件に注目するのは必須です。ただ、それだけでは十分ではありません。システムには設計上の欠陥が含まれている可能性があります。あるいは、システムを構成するコンポーネントには不完全性や制約が伴うでしょう。それらについての配慮が欠けている場合、システム全体の性能に影響が及ぶかもしれません。それだけでなく、システムの安定性や信頼性が低下してしまう可能性もあります。ここで、図1に示したアーキテクチャについて考えてみましょう。このシステムでは、デジタル・コンピューティング・デバイスとしてMCUを使用しています。この種のアプリケーションでは、様々な問題に遭遇する可能性があります。例えば、MCUのフリーズやソフトウェア（コード）のハングアップといった問題が生じるかもしれません。また、突然電源が故障するなど、環境的な要因も含めた複雑な事態が起きる可能性もあります。あるいは、設計上の欠陥によって、仕様で定められた条件を満たさない状態で動作を強いられるといった障害が起きることもあり得ます。電圧監視ICは現在も進化を続けています。実際、上記のようなシステムの問題に対処できるよう機能の強化が図られています。以下では、そうした新たな監視ICについて解説します。

目前に迫った電源の故障からシステムを保護する

主電源の下流には数多くの回路が存在します。そしてほとんどの回路には、主電源の電圧を降圧した電圧が供給されます。そのため、主電源が故障すると、下流の回路やシステム全体に大きな影響が及ぶ可能性があります。突然、電源の故障が発生すると、下流の回路やシステムにも損傷が及ぶかもしれません。例えば、ハードウェアに損傷が生じたとすると、データの処理やストレージの操作の面で危機的な問題が生じる可能性があります。システムの誤動作やデータの損失、追加の修理コストを要する損傷が生じることもあり得るということです。最悪の場合、業務や事業を一時的に停止せざるを得なくなるかもしれません。

ここで図2（a）をご覧ください。この回路では、DC/DCコンバータを使用して主電源の電圧を降圧します。ここでは、同コンバータの入力電圧範囲が非常に広いと仮定しましょう。その場合、下流の回路に影響を及ぼす主電源の故障を適切に検出するのは容易ではないかもしれません。入力電圧が許容範囲内にある限り、DC/DCコンバータは通常の動作を継続するからです。

このようなケースに役立つ機能があります。それは、電源の故障の発生を警告する機能です。それを実現する回路は、システムの上流に位置する電源の故障が目前に迫っていることを検出します。故障に対して早期に警告を発するために、同回路はPFO（Power-Fail Output）の信号を生成します。使用する部品の値を適切に選択すれば、DC/DCコンバータの出力が低下する数ミリ秒前にPFI（Power-Fail Input）ピンの電圧が基準値を下回るよう設定することが可能です。そうすると、図2（b）に示すようにMCUは電源が完全に失われるまでに一定の時間を確保できることになります。通常、PFOの信号はMCUに割り込みをかけるために使用します。それにより、必要な処理やシャットダウンの手順を実行することができます。

上記の機能を備えた監視ICの例としては、「MAX16020」、「MAX16033」、「ADM69x」、「LTC6911-x」に加え、「LTC69xファミリ」の「LTC692」や「LTC693」が挙げられます。この機能を使用すれば、図2の例とは異なる電源システムの診断も行えます。例えば、バッテリ駆動の機器で使用するバッテリの電圧レベルを監視することも可能です。

電源の仕様の範囲内における動作を保証する

システムによっては、電源電圧の厳密なレギュレートが求められることがあるでしょう。恐らく、そのようなシステムは過電圧の障害によって壊滅的な影響を受ける可能性があるはずです。そうしたシステムには、ウィンドウ機能を備える電圧監視IC（ウィンドウ電圧監視IC）を適用すべきです。今日の複雑な電子システムの多くは、FPGAをベースとしています。そして、FPGAに印加する電源電圧は厳しい要件を満たしていなければなりません。設計が最適化されていない場合、その仕様の範囲（ウィンドウ）を外れた電源電圧がFPGAに印加される可能性があります。そうすると、電力が過剰に消費されてしまうことになるでしょう。その結果、各種デバイスの寿命が短くなってしまいます。

ウィンドウ電圧監視ICは、システムの安全性を一定のレベルに維持する上でも重要な役割を担います。多くの場合、その種のICは低電圧（UV：Undervoltage）と過電圧（OV：Overvoltage）の障害を検出し、システムを安全な状態に移行させるためのメカニズムをトリガします。これは電源の診断機能の1つです。

図3は、ウィンドウ電圧監視IC「MAX16009」のブロック図です。1チャンネル分の構成だけを示してあります。このICは、専用のUV/OV出力を備えています。また、トリップ・ポイントは抵抗によって設定可能です。この構成は、ウィンドウ電圧監視ICのアーキテクチャの一例に過ぎません。アプリケーションの様々な条件に応じ、異なるアーキテクチャを採用したICを利用することも可能です。ウィンドウ電圧監視ICの詳細については、「適切なウィンドウ電圧監視ICを選択し、システム設計の最適化を図る」をご覧ください。

MCUのフリーズ、システムのハングアップの検出

電圧監視ICの主機能は電源電圧を監視することです。これとウォッチドッグ・タイマを併用すれば、MCUがフリーズしていないかどうかを監視できます。つまり、システムのハングアップを回避することが可能になります。

MCUがフリーズする（動作が停止し、そこから抜け出せない非アクティブな状態に陥る）原因はいくつか考えられます。例えば、電源の問題、電気的な干渉、ソフトウェア／コーディングの問題などです。電源の設計を最適化すると共に、電圧の監視機能を実装することで、ノイズ性能と安定性の向上を図ることができます。ノイズ性能や安定性に問題があると、デバイスの温度の上昇や性能の低下を招く可能性があります。結果として、システムがハングアップしてしまうかもしれません。電気的な干渉については、システムの耐性を高められるように設計を行うことで対処できます。つまり、MCUがフリーズするリスクを軽減することが可能になります。一方、ソフトウェアの問題としては、無限ループによるロックアップ、長すぎる処理時間、コード内のロジック・エラーなどが生じることがあります。これらによってシステムがフリーズする可能性があります。その状態は、ウォッチドッグ・タイマを使用することで検出可能です。ウォッチドッグ・タイマは、設定されたタイムアウト時間内にMCU（あるいはマイクロプロセッサ）からクロック信号が出力されるか否かを監視します。タイムアウト時間内にクロック信号が出力されなかった場合、ソフトウェアの問題などによってシステムが非アクティブな状態に陥っていることになります。ウォッチドッグ・タイマは、WDO（ウォッチドッグ出力）信号またはリセット信号を出力します。

図4に示したのは、リモートのワイヤレス・センサー・ノードでウォッチドッグ・タイマを使用する例です。この回路では、1つ目のウォッチドッグ・タイマ（WD1）によってシステムがフリーズしていないかどうかを監視します。その出力を用いて、冗長性を持たせたリセット・メカニズム（ソフト・リセットと、電源の再投入によるハード・リセット）をトリガします。2つ目のウォッチドッグ・タイマ（WD2）には長いタイムアウト時間が設定されています。非アクティブな状態が長く続く場合、WD2は電源を再投入するためにハイサイドのMOSFET（スイッチ）を駆動します¹。

ウォッチドッグ・タイマについては、アーキテクチャのレベルで改良が続けられています。それにより、MCUの動作をより厳格に監視できるようになりました。ウィンドウ・ウォッチドッグも通常のウォッチドッグ・タイマと同様に動作しますが、サービス・サイクルがウィンドウと呼ばれる期間に分割されている点が異なります。サービスは、ウィンドウのサイクル内の特定の時間でだけ有効になります。そのため、サービスを有効に利用するには正確なタイミング制御が必要になります。また、アナログ・デバイセズはチャレンジ／レスポンス型のアーキテクチャを採用したウォッチドッグ・タイマも提供しています。MCUやマイクロプロセッサが完全に動作していることを保証するためには、それらにタスクや計算を実行させて結果を確認するとよいでしょう。「MAX42500」をはじめ、チャレンジ／レスポンス型のウォッチドッグ・タイマICはキー値のレジスタを備えています。MCUはその値を読み出し、それを使用して適切な応答を算出します。この種のウォッチドッグ・タイマICを利用すれば、単に周期的な信号を出力するだけのルーチンから抜け出せなくなる可能性を排除できます^2、3。

ユーザによる制御を可能にする

ここまでに説明したように、電圧監視ICやウォッチドッグ・タイマの自動トリガ機能だけでなく、システムをリセット・モードに移行させる機能も多くのシステムにとって有用です。なかでも、マニュアル・リセット（MR）機能を使用すれば、ハード・リセットをかけたりシステムの電源をオフにしたりすることなく、テストやデバッグの作業を実施できます。例えば、ソフトウェアの問題に対処する際にシステムを再起動できるといった具合です。

MR機能を使用すれば、システムがロックアップした際、電源を再投入することなく強制的に再起動することができます。その場合、システム全体を再度初期化する必要がないので時間と労力を節約できます。実際のアプリケーションでは、この機能を緊急停止機能と併用することで、制御された状態のシャットダウンを必要に応じて確実に実施することが可能になります。

図5（a）に、リセットIC「MAX6444」のMR機能を使用する例を示しました。この回路では、機械的なインターフェース（スイッチなど）やノイズ／グリッチの影響を受ける可能性がある外部ロジックでMRピンを駆動すると、リセット出力が誤ってトリガされる可能性があります。そのような状況を回避するために、MR機能の回路にはデバウンス回路が付加されていたり、MR機能に対して長いセットアップ時間が設定されていたりします4。図5（b）は、MAX6444におけるMR機能の動作について示したものです。これは、セットアップ時間に関連する動作と入力信号の確実性を保証する方法を表しています。なお、MR機能における誤ったトリガへの対処法については「電圧監視ICを使いこなす - 電源のノイズやグリッチの影響を回避するには？」をご覧ください。

電源喪失時の動作の継続、データの破損の回避

アプリケーションによっては、電源を再投入する際にデータを保持するための不揮発性メモリが必要になることがあります。それにより、電源が失われた場合でもCMOSのRAMのデータを保持できます。それだけでなく、システムのその他の重要な機能についても再起動した際に適切に利用できる状態を維持しなければなりません。これらの問題について、ここではバッテリのバックアップ機能を備えた監視ICを使用する例を紹介します⁵。

図6に、上記の機能の実装例を示します。入力電源V_CCが適切に印加されている場合、出力V_OUTからはその電圧が供給されます。V_CCに障害が発生した場合、この例ではV_OUTからバッテリ電圧V_BATTが出力されます。この切り替えを担う回路は、入力されるV_CCとV_BATTを比較して高い方を出力するようになっています。通常はヒステリシスが設けられるので、V_CCが非常にゆっくり低下する場合や、V_CCの値がV_BATTとほぼ等しい場合でも、急激な切り替えが繰り返されることはありません。

V_OUTピンは、V_CCからの制限された電流を内部スイッチを介して出力します。負荷が大きく、より多くの電流を供給する必要がある場合には、内部のトランジスタと並列に外付けのPNPトランジスタを接続するとよいでしょう（図において点線で描いた回路を実装する）。V_CCが適切にレギュレートされた状態に戻り、V_BATTよりも高くなると、BATT ONピンの出力はローになります。

バッテリのバックアップ機能は、アクティブ・ローのチップ・イネーブル（CE）信号をゲーティングすることによって補完されます。それにより、データが保護されて破損が回避されるということです。マイクロプロセッサまたはアドレスのデコード用のロジックからはアクティブ・ローのCE信号が出力されます。その信号は、SRAMに直接送られるのではありません。そうではなく、監視ICである「ADM8695」を経由してSRAMに送信されます。この信号は、影響を受けることなく監視ICを通過します。リセットがかかっている際、CE信号は強制的にハイになります。その結果、RAMにはアクセスできなくなります。つまり、SRAMに保存されたデータの破損や誤った書き込み処理を防止できます⁵。フラッシュ・メモリがより広く使われるようになったことから、バッテリのバックアップ機能が必要なケースは減ってきました。しかし、この機能が役立つアプリケーションは現在でも数多く存在します。

監視ICの中には、ここまでに説明した各機能を個別に搭載しているものがあります。その一方で、すべての機能を備える監視ICも提供されています。後者の監視ICは、より包括的で完全なソリューションだと言えるでしょう。

まとめ

電圧監視ICにより、UVの障害を検出できるようにすればシステムの信頼性を高められます。ただ、その他の診断機能などを追加すれば、システムの様々な障害に対処し、システムの堅牢性と信頼性を更に向上させることが可能になります。本稿では、電源の故障の発生を警告する機能、ウィンドウを用いた電圧の監視、ウォッチドッグ・タイマ、MR機能、バッテリのバックアップ機能などを紹介しました。MCU／マイクロプロセッサをベースとするシステムにそれらの機能を適用すれば、アプリケーションにおける制約に起因してエラーが発生しかねない状況に対処できます。壊滅的な影響を回避するためには、様々な事象を監視し、適切な措置を講じなければなりません。それにより、システム設計者やエンド・ユーザに対して高い信頼性を提供することが可能になります。

参考資料

¹ Niño Angelo Pesigan、Ron Rogelio Peralta、Noel Tenorio「システムのパワー・サイクリングの実現方法、アクティブ・ローの出力を基にハイサイドのMOSFETを駆動する」Analog Dialogue、Vol. 58。No. 1、2024年2月

² 「The Basics of Windowed Watchdogs（ウィンドウ・ウォッチドッグの動作の基本）」Analog Devices、2021年12月

³ Bryan Borres、Christopher Macatangay「高性能の電圧監視ICにより、産業分野向け機能安全規格への準拠度を高める　【Part 3】安全性を高めるために重要な機能」Analog Dialogue、Vol. 59、2025年6月

⁴ Noel Tenorio「電圧監視ICを使いこなす - 電源のノイズやグリッチの影響を回避するには？」Analog Dialogue、Vol. 57、2023年11月

⁵ 「Supervisory Circuits Keep Your Microprocessor Under Control（監視回路によってマイクロプロセッサを制御下に置く）」Analog Devices、2002年4月

著者について