了解柵極驅動器和牽引逆變器系統(tǒng)的功能安全

隨著人們對智能、自動化和環(huán)保的終端設備的需求不斷增長，工業(yè)和汽車電子技術的電氣化程度也越來越高。在這一趨勢下，人們越來越注重要確保電子系統(tǒng)不僅符合電動汽車性能標準，還要符合安全標準。特別是在汽車領域，在牽引逆變器系統(tǒng)中使用高度可配置的隔離式柵極驅動器正在成為提高電動汽車性能和簡化功能安全認證的一種方法。隨著汽車制造商逐漸轉向對牽引逆變器等電子系統(tǒng)的重視，我們的安全標準也必須覆蓋此類系統(tǒng)。

傳統(tǒng)的“產(chǎn)品安全”是指消除電擊、火災和機械危害的風險，而“功能安全”則專門指消除電氣和電子系統(tǒng)危害的風險。隨著技術的飛速發(fā)展，許多設計人員不得不快速熟悉功能安全的廣泛內(nèi)容。在本文中，我們將簡要介紹功能安全，并提供與 TI 柵極驅動器和電動汽車牽引逆變器系統(tǒng)相關的示例。

闡述功能安全術語

為了盡可能減少設備失效和人身傷害，系統(tǒng)設計和流程必須按照國際標準解決硬件故障。常見的標準包括國際標準化組織 (ISO) 26262（針對汽車設備）和國際電工委員會 (IEC) 61508（針對工業(yè)設備）。

硬件故障有兩種類型：

系統(tǒng)故障，由設計或制造工藝中的錯誤引起。工程師可以通過持續(xù)的流程改進來減少系統(tǒng)故障。

隨機故障，由流程或使用條件固有的缺陷引起。工程師無法完全消除隨機故障。

ISO 26262 標準的目標之一是降低隨機故障的概率。汽車安全完整性等級 (ASIL) 代表風險等級，具有設定的概率閾值，其等級范圍是從 ASIL A（最不嚴格）到 ASIL D（最嚴格）。該標準進一步將隨機故障分為單點故障和潛在故障。在沒有安全機制的情況下，單點故障違背了安全目標。例如，過壓鎖定機制旨在檢測器件輸出端的過壓。多點失效是由多個直接違背安全目標的獨立故障（多點故障）導致的。潛在故障是既沒有被安全機制檢測到，也沒有被駕駛員感知到的多點故障。例如，過壓鎖定機制中發(fā)生的故障會導致其無法檢測到過壓事件。如果其他安全機制（例如啟動時的診斷測試）未檢測到或未被駕駛員感知，則這是潛在故障；因此，嚴格的 ASIL 需要監(jiān)控和診斷電路。

為幫助客戶開發(fā)其功能安全系統(tǒng)設計，TI 功能安全產(chǎn)品是按照 TI 的內(nèi)部產(chǎn)品開發(fā)流程（符合 ISO 26262）開發(fā)的。例如，TI 開發(fā)的首款適用于牽引逆變器等應用的功能安全合規(guī)型隔離式柵極驅動器 UCC5870-Q1。TI 提供的文檔有助于使系統(tǒng)設計符合 ISO 26262 ASIL D 標準。

利用文檔進行功能安全分析

TI 的隔離式柵極驅動器產(chǎn)品系列包括每個功能安全類別的器件，比如從我們較為簡單的 TI 功能安全型柵極驅動器，到較為復雜的 TI 功能安全合規(guī)型柵極驅動器。每個類別我們都提供不同的資源來幫助設計人員簡化認證過程。圖 1 顯示的表格定義了每個類別。分析資源可能包括：

時基故障 (FIT) 率，這是對產(chǎn)品運行累計十億小時內(nèi)可能發(fā)生的故障數(shù)量的估計。

失效模式影響和診斷分析 (FMEDA)、失效模式的發(fā)生概率和診斷的量化有效性。

故障樹分析 (FTA)，用于對運行期間的隨機故障進行定性分析。

圖 1：TI 各功能安全類別的適用文檔和流程匯總

時基故障率是隨機的硬件故障指標。這方面的一個例子是硬件隨機故障概率指標 (PMHF)。還有單點故障 (SPFM) 和潛在故障 (LFM) 的故障指標。ISO26262 為每個 ASIL 定義了可接受的時基故障率值。例如，ASIL D 要求 SPFM ≥99%，LFM ≥90%，PMHF ≤10 FIT。ISO 26262 描述了兩種類型的安全分析 - 演繹和歸納。演繹分析，如 FTA，是一種自上而下的方法。歸納分析，如 FMEDA，是一種自下而上的方法。汽車制造商定義他們的安全目標并在整車層面實現(xiàn)。TI 的功能安全文檔支持產(chǎn)品級別的硬件分析。

識別牽引逆變器失效模式并做好應對準備

牽引逆變器失效模式可能有機械和電子原因。功能安全設計側重于識別電子原因并啟用相應的安全機制。例如，牽引逆變器系統(tǒng)中的扭矩不足事件可能源于機械原因或電子原因（例如功率晶體管短路或柵極驅動器損壞）。為了防止暴露于此類風險，功能安全標準定義了評估風險級別的方法?？紤]到這些準則，功能安全系統(tǒng)設計可能包括功率晶體管保護電路和柵極驅動器診斷。

ISO 26262 標準允許功能安全系統(tǒng)設計使用 TI 各功能安全類別的器件。保護和診斷電路可以位于柵極驅動器外部，也可以集成到柵極驅動器中。TI 功能安全質量管理型（中級功能安全類別）柵極驅動器（例如 UCC21736-Q1）具有一組基本的集成保護功能。您仍然可以考慮將這些器件用于功能安全系統(tǒng)設計，但可能需要使用外部電路來補充設計。UCC5870-Q1 是一款 TI 功能安全合規(guī)型隔離式柵極驅動器，集成了保護、診斷和故障報告功能，可簡化功能安全系統(tǒng)設計。圖 2 比較了三個具有不同功能安全類別和不同功能集成級別的隔離式柵極驅動器。

圖 2：在 TI 功能安全類別和功能集成級別方面比較隔離式柵極驅動器

為了支持這種更高的復雜性，UCC5870-Q1 包含內(nèi)置自檢 (BIST)，以防止保護功能無法檢測到的潛在故障。與 TI 功能安全合規(guī)型器件非常相似，牽引逆變器系統(tǒng)的失效模式也可能非常復雜。諸如電機意外停機之類的失效模式可能源于電源管理 IC、微控制器、電機或柵極驅動器，并與許多必需的保護功能相關。例如，集成到 UCC5870-Q1 中的下列每項功能中都有助于防止受到扭矩干擾：

欠壓和過壓鎖定。

去飽和檢測和過流保護。

2 級關斷和軟關斷。

集電極至發(fā)射極的電壓 (VCE) 監(jiān)控和鉗位。

一個模數(shù)轉換器（用于監(jiān)控柵極驅動器次級（高壓）側的電壓，如開關管或柵極驅動器溫度）。

隨著系統(tǒng)的復雜性和電氣化程度越來越高，失效模式和隨機故障的管理也變得越來越復雜。為了滿足現(xiàn)代系統(tǒng)的需求，UCC5870-Q1 集成了保護、診斷和故障報告功能，符合 ISO 26262 和（混合動力）電動汽車牽引逆變器的要求。

審核編輯：湯梓紅