スマートで自動化された、環境にやさしい最終製品への需要が継続的に増加する中で、産業用と車載向けの各種技術はますます電動化が進んでいます。このトレンドに伴い、電子システムは EV (電気自動車) の性能に関する各種規格を満たすことに加え、安全に関する各種規格も確実に満たすことがいっそう重要になっています。特に自動車分野では、EV の性能を高めながら機能安全の認証を効率化するための手段として、高度な構成が可能な絶縁型ゲート・ドライバをトラクション・インバータ・システム内で使用する動きが広がっています。自動車メーカー各社がトラクション・インバータのような電子システムを重視している状況で、業界の安全規格がこの種のシステムをカバーすることが必須になっています。
従来の「製品の安全性」または「製品安全」が、感電、火災、機械的危険に起因するリスクの排除を意味するのに対し、「機能安全」は特に、電気システムと電子システムの危険性を対象とします。技術が急速に進歩している現状に合わせて、多くの設計者は機能安全の幅広い領域にすばやく対応する必要があります。この記事は、機能安全全般について紹介するほか、TI のゲート・ドライバと電気自動車 (EV) のトラクション・インバータ・システムに関連する複数の例を提示します。
| IGBT と SiC による絶縁型ゲート・ドライバを使用して HV/EV (ハイブリッド車と電気自動車) のトラクション・インバータ・システムの設計を強化 | |
 |
TI の絶縁型ゲート・ドライバを使用してトラクション・インバータを設計する方法、およびゲート・ドライバが搭載している診断機能と保護機能の利点について、TI のアプリケーション・ノート (英語) でご確認ください。 |
機能安全の用語を明確化
機器の障害と個人の負傷を最小限に抑えるために、システムの設計とプロセスでは、各種国際規格に従ってハードウェア故障に対処する必要があります。一般的な規格は、ISO (国際標準化機構) 26262 (車載機器向け) と IEC (国際電気標準会議) 61508 (産業用機器向け) です。
ハードウェア故障には、次の 2 種類があります。
- 決定論的故障 (systematic fault) は、設計または製造プロセスの誤りによる結果です。エンジニアはプロセスの継続的な改良を通じて、決定論的故障を減らすことができます。
- 偶発的故障 (random fault) は、プロセスに固有の欠陥または使用状況による結果です。エンジニアは偶発的故障を全面的に排除することはできません。
ISO 26262 規格の目標の 1 つは、偶発的故障の確率を下げることです。ASIL (Automotive Safety Integrity Levels:車載安全性インテグリティ・レベル) は、リスクのレベルと、設定済みの確率しきい値を規定しています。これらのレベルは、ASIL A (最も緩やか) から ASIL D (最も厳格) までの範囲にわたります。この規格はさらに、偶発的故障をシングル・ポイント故障と潜在的故障に分類しています。シングル・ポイント故障は、安全性メカニズムが存在しない状態で、安全性の目標に違反することを意味します。たとえば、過電圧ロックアウト・メカニズムは、デバイスの出力で過電圧を検出するために監視を行います。マルチポイント故障は、安全性の目標に直接違反する、互いに独立した故障が複数発生した結果です (マルチポイント障害)。潜在的故障は、マルチポイント故障のうち、安全性メカニズムがその存在を検出せず、ドライバーもその故障を認識できないものを指します。たとえば、過電圧ロックアウト・メカニズムの内部で故障が発生した場合、そのメカニズムは過電圧事象を検出できなくなります。別の安全性メカニズム (スタートアップ時の診断テストなど) がこの故障を検出せず、ドライバーもこの故障を認識しない場合、この故障は潜在的故障になります。したがって、厳格な ASIL は監視回路と診断回路を要求します。
お客様による機能安全システムの設計開発を支援できるように、TI の機能安全対応製品は TI 社内の製品開発プロセス (ISO 26262 に準拠) に従って開発を行っています。たとえば、TI が開発した『UCC5870-Q1』は、機能安全に準拠した自社最初の絶縁型ゲート・ドライバであり、トラクション・インバータのようなアプリケーションを想定しています。TI は、ASIL D までの範囲で ISO 26262 対応のシステム設計に役立つ各種資料を提供しています。
機能安全分析に適した各種資料を活用
TI の絶縁型ゲート・ドライバ製品ラインアップは、TI の機能安全対応 (Functional Safety-Capable) である最もシンプルなゲート・ドライバから、TI の機能安全準拠 (Functional Safety-Compliant) である最も複雑なゲート・ドライバまで、機能安全の各カテゴリに属するデバイスを取り揃えています。各カテゴリについて、設計者が認証プロセスを効率化するのに役立つ多様なリソースを提供しています。図 1 に、各カテゴリを定義する表を示します。分析リソースには以下のようなものが該当します。
- FIT 率 (failure-in-time:故障率):1 つの製品を累積 10 億時間にわたって動作させた場合に発生する可能性のある故障数の推定値
- FMEDA (Failure mode effects and diagnostic analysis:故障モード影響診断解析):故障モードの発生確率と、定量化された診断の有効性
- FTA (fault-tree analysis:フォールト・ツリー解析):動作中に発生する偶発的故障の定性分析
| 機能安全対応 | 機能安全品質管理* | 機能安全準拠* | ||
| 開発プロセス | TI の品質管理プロセス | ○ | ○ | ○ |
| TI の機能安全プロセス | ○ | |||
| 分析レポート | 機能安全 FIT 率の計算 | ○ | ○ | ○ |
| 故障モード分布 (FMD) やピン FMA** | ○ | FMEDA の一部 | FMEDA の一部 | |
| FMEDA | ○ | ○ | ||
| フォールト・ツリー解析 (FTA)** | ○ | |||
| 診断の説明 | 機能安全マニュアル | ○ | ○ | |
| 認証 | 機能安全製品証明書*** | ○ |
図 1:TI の機能安全の各カテゴリに適用できる資料とプロセスの概要
FIT 率は、偶発的ハードウェア故障に関する指標です。1 つの例は、偶発的ハードウェア故障の確率的指標 (probabilistic metric for random hardware faults:PMHF) です。シングルポイント故障 (single-point fault:SPFM) と潜在的故障 (latent fault:LFM) の両方に関しても、故障の指標が複数存在します。ISO26262 は、ASIL の各レベルで受け入れ可能な FIT 率の値を定義しています。たとえば、ASIL D は、SPFM ≥ 99%、LFM ≥ 90%、PMHF ≤ 10 FIT を要求しています。ISO 26262 は、演繹的 (deductive) および帰納的 (inductive) という 2 種類の安全性分析について規定しています。FTA のような演繹的分析は、トップダウン・アプローチです。FMEDA のような帰納的分析は、ボトムアップ・アプローチです。自動車メーカー各社は自社の安全性目標を定義し、自動車レベルでそれらに取り組んでいます。TI の機能安全資料は、製品レベルでのハードウェア分析をサポートします。
トラクション・インバータの故障モードの識別と準備
トラクション・インバータの故障モードには、機械的要因と電子的要因の両方が存在する可能性があります。機能安全の設計は電子的要因を識別すること、およびそれに対応する安全性メカニズムを実現することを重視しています。たとえば、トラクション・インバータ・システム内のトルク不足事象は、機械的要因または電子的要因 (パワー・トランジスタの短絡やゲート・ドライバの破損など) に起因する可能性があります。この種のリスクにさらされる事態を防止するために、各種機能安全規格はリスク・レベルを評価する複数の方法を定義しています。これらの指針を意識したうえで、機能安全システムの設計では、パワー・トランジスタの保護回路やゲート・ドライバの診断機能を実装する場合があります。
ISO 26262 規格は、機能安全システムの設計で、TI の機能安全の各カテゴリに属するデバイスの使用を許可しています。保護回路と診断回路は、ゲート・ドライバの外部に設置することも、内蔵することもできます。TI の機能安全品質管理 (Functional Safety Quality-Managed) (機能安全のうち中間レベルのカテゴリ) ゲート・ドライバである『UCC21736-Q1』などは、基本セットの保護機能を内蔵しています。設計者は機能安全システムの設計時にこの種のデバイスを考慮することもできますが、外部回路を使用して設計を補完する必要が生じることもあります。『UCC5870-Q1』は、TI の機能安全準拠 (Functional Safety-Compliant) 絶縁型ゲート・ドライバであり、保護、診断、故障報告の各機能を内蔵しているので、機能安全システムの設計を効率化できます。図 2 に、機能安全カテゴリと機能統合レベルが互いに異なる 3 つのゲート・ドライバの比較表を示します。
図 2:TI の機能安全カテゴリと機能統合レベルが異なる各種ゲート・ドライバの比較表
このような複雑さの増大に対処できるように、『UCC5870-Q1』は内蔵セルフ・テスト (BIST) 機能を搭載しており、保護機能が検出を行えない潜在的故障を防止できます。TI の機能安全準拠 (Functional Safety-Compliant) デバイスの場合と同様に、トラクション・インバータ・システムの故障モードもかなり複雑になる可能性があります。パワー・マネージメント IC、マイコン、モーター・ドライバまたはゲート・ドライバは、意図しないモーターのシャットダウンのような故障モードの発生元になる可能性があり、多くの必須保護機能に結び付いています。たとえば、『UCC5870-Q1』に内蔵された以下の各機能は、トルク外乱にさらされる事態を防止するのに役立ちます。
- 過電圧と低電圧のロックアウト
- 脱飽和の検出と過電流保護機能
- 2 レベル・ターンオフとソフト・ターンオフ
- コレクタ - エミッタ間電圧 (VCE) の監視とクランプ
- A/D コンバータ (パワー・スイッチのようなゲート・ドライバの 2 次側 (高電圧側) 電圧、またはゲート・ドライバの温度の監視目的)
システムの拡大、複雑化、電動化が進むにつれて、故障モードや、偶発的故障の管理も複雑になります。各種最新システムのニーズに対応できるように、『UCC5870-Q1』は、保護、診断、故障報告の各機能を内蔵しています。また、ISO 26262 の規定や、ハイブリッド車と電気自動車のトラクション・インバータに課される要件も考慮に入れています。
参考情報:
+TI の機能安全の概要
+『UCC5870-Q1』データシート (英語)
+アプリケーション・レポート:"HEV/EV Traction Inverter Design Guide Using Isolated IGBT and SiC Gate Drivers" (英語)
※すべての登録商標および商標はそれぞれの所有者に帰属します。
※上記の記事はこちらの技術記事(2022年8月10日)より翻訳転載されました。
※ご質問はE2E Support Forumにお願い致します。
