스마트하고 자동화되고 환경 친화적인 최종 장비에 대한 수요가 계속 증가함에 따라 산업 기술과 자동차 기술이 점차 전동화되고 있다. 이러한 추세와 함께 전자 시스템이 전기차 성능 기준과 안전 기준을 충족하는 것을 중시하는 경향도 증가하고 있다. 특히 자동차 분야에서는 전기차 성능을 개선하고 기능적 안전성 인증을 간소화하기 위한 한 방편으로 트랙션 인버터 시스템에서 고도로 구성 가능한 절연 게이트 드라이버의 사용이 늘어나고 있다. 차량 제조업체들이 트랙션 인버터와 같은 전자 시스템으로 선회하고 있기 때문에 안전 기준에서 이러한 시스템을 적용하는 범위도 바뀌어야 한다.
기존의 “제품 안전”은 감전과 화재, 기계적인 위험 등을 제거하는 것을 뜻하지만, “기능적 안전성’은 구체적으로 전기 및 전자 시스템 위험을 제거하는 것을 뜻한다. 기술의 급속한 발전으로 이제 많은 설계자들은 광범위한 기능적 안전성 세계에 빠르게 박차를 가해야 한다. 본고에서는 TI 게이트 드라이버와 전기차 트랙션 인버터 시스템 관련한 예시와 더불어 기능적 안전성의 전반적인 내용을 소개하고자 한다.
절연 IGBT 및 SiC 게이트 드라이버를 이용해 HEV/EV 트랙션 인버터 시스템의 설계 강화
[애플리케이션 노트] 절연 게이트 드라이버를 이용한 트랙션 인버터 시스템 설계와 게이트 드라이버 진단 및 보호 기능의 이점에 대해 자세히 알아보기
기능적 안전성이란?
장비 고장과 신체 상해를 최소화하려면 시스템 설계와 프로세스가 국제 표준에 따라 하드웨어 결함을 해결해야 한다. 공통 표준에는 국제표준화기구(ISO) 26262(자동차 장비용) 및 국제전자기술위원회(IEC) 61508(산업 장비용)이 포함된다.
하드웨어 결함은 다음의 두 가지 유형이 있다.
- 시스템 결함은 설계와 제조 프로세스의 오류가 원인이다. 엔지니어는 지속적인 프로세스 개선을 통해 시스템 결함을 줄일 수 있다.
- 우발 결함은 프로세스나 사용 환경에 내재하는 결함이 원인이다. 엔지니어는 우발 결함을 완전히 없앨 수 없다.
ISO 26262의 목표 중 하나는 우발 결함의 확률을 줄이는 것이다. 자동차 안전 무결성 수준(ASIL)은 설정된 확률 임계치와 함께 위험 수준을 나타낸다. 이러한 안전 무결성 수준(ASIL)은 엄격함이 가장 덜한 ASIL A 등급부터 가장 엄격한 ASIL D 등급까지 다양하다. 이 표준은 우발 결함을 단일 지점 결함과 잠재 결함으로 더 세분화한다. 단일 지점 결함은 안전 메커니즘이 없으면 안전 목표를 침해한다. 예를 들어 과전압 차단 메커니즘은 디바이스 출력에서 과전압을 검출한다. 다중 지점 결함은 안전 목표를 직접적으로 침해하는 여러 독립적인 결함(다중 지점 결함)의 결과물이다. 잠재 결함은 안전 메커니즘에서 그 존재를 검출하지 못하고 운전자도 지각하지 못하는 다중 지점 결함이다.
예를 들어 과전압 차단 메커니즘에서 발생하는 결함은 이 메커니즘이 과전압의 경우를 검출하지 못하게 방해한다. 이 결함은 다른 안전 메커니즘(예: 시동 시의 진단 테스트)으로 검출하지 못하거나 운전자가 지각하지 못할 경우 잠재 결함이다. 따라서 엄격한 ASIL에서는 모니터링과 진단 회로가 요구된다.
고객이 기능적 안전성 시스템 설계를 발전시키는 데 도움이 될 수 있도록 ISO 26262를 준수하는 TI의 내부 제품 개발 프로세스에 따라 TI 기능적 안전성 제품을 개발한다. 예를 들어 TI는 트랙션 인버터 등의 적용 분야를 염두에 두고 TI 최초의 TI 기능적 안전성 호환 절연 게이트 드라이버인 UCC5870-Q1을 개발했다. TI는 최대 ASIL D 등급의 ISO 26262 시스템 설계에 도움이 되는 자료를 제공한다.
기능적 안전성 분석자료 활용
TI의 절연 게이트 드라이버 포트폴리오에는 가장 복잡성이 낮은 기능적 안전성을 지원하는 게이트 드라이버부터 TI 기능적 안전성과 호환이 가능한 가장 복잡한 드라이버에 이르기까지 각 기능적 안전성 범주에 속하는 디바이스가 포함된다. 카테고리별로 다양한 소스를 제공하여 설계자가 인증 절차를 간소화하는 데 도움을 준다. 그림 1은 각 카테고리 별로 정의한 표를 보여준다. 분석 리소스에는 다음이 포함될 수 있다.
- FIT(failure-in-time): 제품을 10억 누적 시간 동안 작동할 때 발생할 수 있는 예상 고장 횟수
- 고장 모드 영향 및 진단 분석(FMEDA): 고장 모드의 발생 확률과 정량화된 진단 효과
- 결함 수목 분석(FTA): 작동 중 우발 결함에 대한 정성적 분석
|
기능적 안전성 가능 |
기능적 안전성 품질 관리형* |
기능적 안전성 호환* |
||
|
개발 프로세스 |
TI 품질 관리형 프로세스 |
X |
X |
X |
|
TI 기능적 안전성 프로세스 |
X |
|||
|
분석 보고서 |
기능적 안전성 FIT 비율 계산 |
X |
X |
X |
|
고장 모드 분배(FMD) 및/또는 핀 FMA** |
X |
FMEDA에 포함됨 |
FMEDA에 포함됨 |
|
|
FMEDA |
X |
X |
||
|
결함 수목 분석(FTA)** |
X |
|||
|
진단 설명 |
기능적 안전성 매뉴얼 |
X |
X |
|
|
인증 |
기능적 안전성 제품 인증서*** |
X |
그림 1: 각 TI 기능적 안전성 카테고리에 대한 설명서와 프로세스를 요약한 표
FIT 비율은 하드웨어 우발 결함의 척도이다. 이것의 한 가지 예가 하드웨어 우발결함 확률척도(PMHF)이다. 단일 지점 결함에 대한 척도(SPFM)와 잠재 결함에 대한 척도(LFM)도 있다.
ISO26262는 ASIL 등급별로 허용되는 FIT 비율 값을 정의하고 있다. 예를 들어 ASIL D 등급에는 99% 이상의 SPFM, 90% 이상의 LFM, 10 FIT 이하의 PMHF가 요구된다. ISO 26262는 연역과 귀납의 두 가지 유형의 안전 분석을 설명하고 있다. FTA와 같은 연역적 분석은 하향식 접근법이고, FMED와 같은 귀납적 분석은 상향식 접근법이다. 차량 제조업체들은 안전 목표를 정의하고 해결한다. TI의 기능적 안전성 설명서는 제품 수준의 하드웨어 분석을 지원한다.
트랙션 인버터 고장 모드에 대한 식별 및 준비
트랙션 인버터 고장 모드는 원인이 기계와 전자 둘 다에 있을 수 있다. 기능적 안전성 설계는 전자적 원인을 식별하고 해당 안전 메커니즘을 지원하는 데 집중한다.
예를 들어 트랙션 인버터 시스템의 토크 미달은 기계적 원인 또는 전자적 원인(예: 파워 트랜지스터 단락 또는 게이트 드라이버 손상)에 기인할 수 있다. 이러한 위험에 노출되는 것을 방지하기 위해 기능적 안전성 표준은 위험 수준을 평가하는 방법을 정의한다. 이러한 지침을 염두에 두고 기능적 안전성 시스템 설계에는 파워 트랜지스터 보호 회로와 게이트 드라이버 진단이 포함될 수 있다.
ISO 26262 표준을 통해 기능적 안전성 시스템 설계에서 TI 기능적 안전성 각 카테고리의 디바이스를 사용할 수 있게 되었다. 보호 회로와 진단 회로는 외부 또는 게이트 드라이버에 통합될 수 있다. UCC21736-Q1과 같은 TI 기능적 안전성 품질 관리형(중간 수준의 기능적 안전성 카테고리) 게이트 드라이버는 기본적인 통합 기능 세트를 갖추고 있다. 아직은 기능적 안전성 시스템 설계에 이러한 디바이스를 고려할 수 있지만, 외부 회로로 설계를 보완해야 할 수도 있다. 기능적 안전성이 호환되는 절연 게이트 드라이버인 UCC5870-Q1은 기능적 안전성 시스템 설계를 간소화하기 위해 보호, 진단 및 고장 보고 기능을 통합하였다. 그림 2는 서로 다른 기능적 안전성 카테고리와 다양한 기능 통합 수준의 절연 게이트 드라이버 3개를 비교한 것이다.
그림 2. TI 기능적 안전성 카테고리와 기능 통합 수준별 절연 게이트 드라이버의 비교
이처럼 높아지는 복잡성을 해결하기 위해 UCC5870-Q1에는 보호 기능으로는 검출할 수 없는 잠재 결함을 방지하는 내장 자가 테스트(BIST)가 포함된다. TI 기능적 안전성 호환 디바이스와 마찬가지로, 트랙션 인버터 시스템의 고장 모드 또한 매우 복잡할 수 있다. 의도하지 않은 모터 차단 등의 고장 모드는 전원 관리 IC, 마이크로컨트롤러, 모터 또는 게이트 드라이버, 그리고 여러 필수 보호 기능과의 결합에서 비롯될 수 있다. 예를 들어 UCC5870-Q1의 이러한 각각의 기능은 토크 외란에 노출되는 것을 막는 데 도움이 된다.
- 저전압 및 과전압 차단
- 불포화 검출 및 과전류 방지
- 2단계 턴오프 및 소프트 턴오프
- 컬렉터-이미터 전압(VCE) 모니터링 및 클램핑
- 아날로그-디지털 컨버터 (전원 스위치나 게이트 드라이버 온도와 같이 게이트 드라이버와 2차측(고전압) 전압을 모니터링함)
시스템이 점점 더 복잡해지고 전동화됨에 따라 고장 모드와 우발 결함에 대한 관리도 복잡성이 더해지고 있다. 최신 시스템의 요구를 충족하기 위해 UCC5870-Q1은 ISO 26262와 하이브리드차 또는 전기차 트랙션 인버터의 요구 사항을 염두에 두고 보호 기능, 진단 및 결함 보고를 통합했다.
추가 리소스
- TI 기능적 안전성 개요 페이지 확인하기
- UCC5870-Q1에 대한 데이터 시트 다운로드
- “절연 IGBT 및 SiC 게이트 드라이버를 이용한 HEV/EV 트랙션 인버터 설계 가이드” 애플리케이션 보고서 읽어보기
