柵極驅(qū)動(dòng)器和牽引逆變器系統(tǒng)的功能安全

隨著人們對(duì)智能化、自動(dòng)化和環(huán)保終端設(shè)備的需求不斷增長(zhǎng)，工業(yè)和汽車(chē)的電氣化程度越來(lái)越高。在這一趨勢(shì)下，人們?cè)絹?lái)越注重確保電子系統(tǒng)不僅能符合電動(dòng)汽車(chē)性能標(biāo)準(zhǔn)，而且能符合安全標(biāo)準(zhǔn)。特別是在汽車(chē)領(lǐng)域，在牽引逆變器系統(tǒng)中使用可配置的隔離式柵極驅(qū)動(dòng)器正成為提高電動(dòng)汽車(chē)性能和簡(jiǎn)化功能安全設(shè)計(jì)及認(rèn)證的重要方法。隨著汽車(chē)制造商轉(zhuǎn)向牽引逆變器等電子系統(tǒng)，我們的安全標(biāo)準(zhǔn)也必須覆蓋此類(lèi)系統(tǒng)。

傳統(tǒng)的“產(chǎn)品安全”是指消除電擊、火災(zāi)和機(jī)械危害的風(fēng)險(xiǎn)，而“功能安全”則專(zhuān)門(mén)指消除電子電氣系統(tǒng)故障的風(fēng)險(xiǎn)。隨著技術(shù)的飛速發(fā)展，許多設(shè)計(jì)人員不得不快速熟悉功能安全的廣泛內(nèi)容。在本文中，我將簡(jiǎn)要介紹功能安全，并提供與 TI 柵極驅(qū)動(dòng)器和電動(dòng)汽車(chē)牽引逆變器系統(tǒng)相關(guān)的示例。

闡述功能安全術(shù)語(yǔ)

為了盡可能減少設(shè)備失效和人身傷害，系統(tǒng)設(shè)計(jì)和流程必須按照國(guó)際標(biāo)準(zhǔn)解決硬件故障。常見(jiàn)的標(biāo)準(zhǔn)包括ISO 26262（針對(duì)汽車(chē)設(shè)備）和IEC 61508（針對(duì)工業(yè)設(shè)備）。

硬件故障有兩種類(lèi)型：

系統(tǒng)故障，由設(shè)計(jì)或制造工藝中的錯(cuò)誤引起。工程師可以通過(guò)持續(xù)的流程改進(jìn)來(lái)減少系統(tǒng)故障。

隨機(jī)故障，由流程或使用條件固有的缺陷引起。工程師無(wú)法完全消除隨機(jī)故障。

ISO 26262 標(biāo)準(zhǔn)的目標(biāo)之一是降低隨機(jī)故障的概率。汽車(chē)安全完整性等級(jí) (ASIL) 代表風(fēng)險(xiǎn)等級(jí)，具有設(shè)定的概率閾值，其等級(jí)范圍是從 ASIL-A到 ASIL-D。該標(biāo)準(zhǔn)進(jìn)一步將隨機(jī)故障分為單點(diǎn)故障和潛在故障。在沒(méi)有安全機(jī)制的情況下，單點(diǎn)故障違背安全目標(biāo)。例如，過(guò)壓鎖定機(jī)制旨在檢測(cè)器件輸出端的過(guò)壓。多點(diǎn)失效是由多個(gè)直接違背安全目標(biāo)的獨(dú)立故障（多點(diǎn)故障）導(dǎo)致的。潛在故障是既沒(méi)有被安全機(jī)制檢測(cè)到，也沒(méi)有被駕駛員感知到的多點(diǎn)故障。例如，過(guò)壓鎖定機(jī)制中發(fā)生的故障會(huì)導(dǎo)致其無(wú)法檢測(cè)到過(guò)壓故障。如果其他安全機(jī)制（例如啟動(dòng)時(shí)的診斷測(cè)試）未檢測(cè)到或未被駕駛員感知，則這是潛在故障。因此，嚴(yán)格的 ASIL設(shè)計(jì)需要監(jiān)控和診斷電路。

為幫助客戶開(kāi)發(fā)其功能安全系統(tǒng)設(shè)計(jì)，TI 功能安全產(chǎn)品是按照 TI 的內(nèi)部產(chǎn)品開(kāi)發(fā)流程（符合 ISO 26262）開(kāi)發(fā)的，例如，TI 開(kāi)發(fā)的首款適用于牽引逆變器等應(yīng)用的功能安全合規(guī)型隔離式柵極驅(qū)動(dòng)器 UCC5870-Q1。TI 提供的功能安全相關(guān)文檔將有助于使系統(tǒng)設(shè)計(jì)能夠符合 ISO 26262 ASIL D 標(biāo)準(zhǔn)。

利用文檔進(jìn)行功能安全分析

TI 的隔離式柵極驅(qū)動(dòng)器產(chǎn)品系列包括每個(gè)功能安全類(lèi)別的器件，比如從我們較為簡(jiǎn)單的 TI 功能安全型柵極驅(qū)動(dòng)器，到較為復(fù)雜的 TI 功能安全合規(guī)型柵極驅(qū)動(dòng)器，每個(gè)類(lèi)別都能提供不同的資源來(lái)幫助設(shè)計(jì)人員簡(jiǎn)化設(shè)計(jì)認(rèn)證過(guò)程。圖 1 顯示的表格定義了每個(gè)類(lèi)別，其分析資源包括：

時(shí)基故障 (FIT) 率，這是對(duì)產(chǎn)品運(yùn)行累計(jì)十億小時(shí)內(nèi)可能發(fā)生的故障數(shù)量的預(yù)測(cè)。

失效模式影響和診斷分析 (FMEDA)、失效模式的發(fā)生概率和診斷的量化有效性。

故障樹(shù)分析 (FTA)，用于對(duì)運(yùn)行期間的隨機(jī)故障進(jìn)行定性分析。

圖 1：TI 各功能安全類(lèi)別的適用文檔和流程匯總。

時(shí)基故障率是隨機(jī)的硬件故障指標(biāo)。這方面的一個(gè)例子是硬件隨機(jī)故障概率指標(biāo) (PMHF)。還有單點(diǎn)故障 (SPFM) 和潛在故障 (LFM) 的故障指標(biāo)。ISO26262 為每個(gè) ASIL等級(jí)定義了可接受的時(shí)基故障率值。例如，ASIL-D 要求 SPFM ≥99%，LFM ≥90%，PMHF ≤10 FIT。ISO 26262 描述了兩種類(lèi)型的安全分析 - 演繹和歸納。演繹分析，如 FTA，是一種自上而下的方法。歸納分析，如 FMEDA，是一種自下而上的方法。汽車(chē)制造商定義他們的安全目標(biāo)并在整車(chē)層面實(shí)現(xiàn)，TI 的功能安全文檔則支持產(chǎn)品級(jí)別的硬件分析。

識(shí)別牽引逆變器失效模式并做好應(yīng)對(duì)準(zhǔn)備

牽引逆變器失效模式可能有機(jī)械和電子原因。功能安全設(shè)計(jì)側(cè)重于識(shí)別電子原因引起的失效并啟用相應(yīng)的安全機(jī)制。例如，牽引逆變器系統(tǒng)中的扭矩不足可能源于機(jī)械原因或電子原因（例如功率晶體管短路或柵極驅(qū)動(dòng)器損壞）。為了防止暴露此類(lèi)風(fēng)險(xiǎn)，功能安全標(biāo)準(zhǔn)定義了評(píng)估風(fēng)險(xiǎn)級(jí)別的方法?？紤]到這些準(zhǔn)則，功能安全系統(tǒng)的設(shè)計(jì)可能包括功率晶體管保護(hù)電路和柵極驅(qū)動(dòng)器診斷。

ISO 26262 標(biāo)準(zhǔn)允許功能安全系統(tǒng)設(shè)計(jì)使用 TI 各功能安全類(lèi)別的器件。保護(hù)和診斷電路可以位于柵極驅(qū)動(dòng)器外部，也可以集成到柵極驅(qū)動(dòng)器中。TI 功能安全質(zhì)量管理型（中級(jí)功能安全類(lèi)別）柵極驅(qū)動(dòng)器（例如 UCC21736-Q1）具有一組基本的集成保護(hù)功能，您仍然可以考慮將這些器件用于功能安全系統(tǒng)設(shè)計(jì)，但可能需要使用外部電路來(lái)進(jìn)行補(bǔ)充設(shè)計(jì)。UCC5870-Q1 是一款 TI 功能安全合規(guī)型隔離式柵極驅(qū)動(dòng)器，集成了保護(hù)、診斷和故障報(bào)告功能，可簡(jiǎn)化功能安全系統(tǒng)設(shè)計(jì)。圖 2 比較了三個(gè)具有不同功能安全類(lèi)別和不同功能集成級(jí)別的隔離式柵極驅(qū)動(dòng)器。

圖 2.在 TI 不同功能安全類(lèi)別和功能集成級(jí)別的隔離式柵極驅(qū)動(dòng)器

為了支持這種更高的設(shè)計(jì)復(fù)雜性，UCC5870-Q1 包含內(nèi)置自檢 (BIST)，以防止保護(hù)功能無(wú)法檢測(cè)到的潛在故障。與 TI 功能安全合規(guī)型器件非常相似，牽引逆變器系統(tǒng)的失效模式也非常復(fù)雜。諸如電機(jī)意外停機(jī)之類(lèi)的失效模式可能源于電源管理 IC、微控制器、電機(jī)或柵極驅(qū)動(dòng)器，且與許多必需的保護(hù)功能相關(guān)，例如，集成到 UCC5870-Q1 中的下列每項(xiàng)功能中都有助于防止受到扭矩干擾：

欠壓和過(guò)壓鎖定

去飽和檢測(cè)和過(guò)流保護(hù)

2 級(jí)關(guān)斷和軟關(guān)斷

VCE電壓監(jiān)控和鉗位

集成模數(shù)轉(zhuǎn)換器（用于監(jiān)控柵極驅(qū)動(dòng)器次級(jí)（高壓）側(cè)的電壓，如開(kāi)關(guān)管或柵極驅(qū)動(dòng)器溫度）

隨著系統(tǒng)的復(fù)雜性和電氣化程度越來(lái)越高，失效模式和隨機(jī)故障的管理也變得越來(lái)越復(fù)雜。為了滿足現(xiàn)代系統(tǒng)的需求，UCC5870-Q1 集成了保護(hù)、診斷和故障報(bào)告功能，符合 ISO 26262 和混合動(dòng)力及電動(dòng)汽車(chē)牽引逆變器的系統(tǒng)設(shè)計(jì)要求。

審核編輯：郭婷