隨著對智慧、自動化和環保終端設備的需求不斷增加,工業和汽車技術正變得愈來愈電氣化。隨著這個趨勢的發展,使用者愈來愈強調電子系統不僅需要符合電動車性能標準,而且也要達到安全標準。尤其是在汽車領域,在牽引逆變器系統中使用高度可配置的絕緣式閘極驅動器逐漸成為提高電動車性能和簡化功能安全認證的一種方式。隨著汽車製造商改採牽引逆變器等電子系統,我們的安全標準也必須涵蓋此類系統。
傳統的「產品安全」是指消除觸電、火災和機械危害的風險,而「功能安全」則專門指電氣和電子系統危害。隨著技術發展突飛猛進,許多設計人員不得不在廣大的功能安全領域迅速崛起。本文將提供功能安全的一般介紹,以及與 TI 閘極驅動器和電動車牽引逆變器系統相關的範例。
使用絕緣式 IGBT 和 SiC 閘極驅動器增強 HEV/EV 牽引逆變器系統的設計
請參閱我們的應用附註,瞭解如何使用 TI 絕緣式閘極驅動器設計牽引逆變器系統,以及閘極驅動器診斷和保護功能的效益。
釐清功能安全用語
為了盡可能減少設備失效和人身傷害,系統設計和程序必須按照國際標準解決硬體失效。通用標準包括國際標準化組織 (ISO) 26262 (針對汽車設備) 和國際電子電機委員會 (IEC) 61508 (針對工業設備)。
硬體失效分為兩種類型:
- 系統性失效源自於設計或製程中的錯誤。工程師可以透過持續的程序改進來減少系統失效。
- 隨機失效是程序或使用條件固有的瑕疵所引起的失效。工程師無法完全消除隨機失效。
ISO 26262 標準的其中一項目標是降低隨機失效的概率。汽車安全完整性等級 (ASIL) 代表風險等級,具有設定的概率閾值。這些等級涵蓋從 ASIL A (最不嚴格) 到 ASIL D (最嚴格) 的範圍。此項標準進一步將隨機失效分為單點失效和潛在失效。在沒有安全機制的情況下,單點失效違反安全目標。例如,過電壓鎖定機制能夠偵測裝置輸出的過電壓。多點失效是多個直接違反安全目標的獨立失效 (多點失效) 所造成的結果。潛在失效是安全機制並未偵測到而且駕駛並未察覺的多點失效。例如,過電壓鎖定機制中發生的失效會阻止這個機制偵測過電壓事件。如果其他安全機制 (例如啟動時的診斷測試) 未偵測到或駕駛並未察覺,這便是潛在失效;因此,嚴格的 ASIL 要求監控和診斷電路。
為了協助客戶開發功能安全系統設計,TI 功能安全產品完全按照 TI 的內部產品開發程序 (符合 ISO 26262) 開發而成。例如,TI 考量牽引逆變器等應用,開發出首款符合 TI 功能安全規格的絕緣式閘極驅動器 UCC5870-Q1。TI 提供文件協助 ISO 26262 系統設計達到 ASIL D。
利用文件進行功能安全分析
TI 的絕緣式閘極驅動器產品組合包括各個功能安全類別的裝置,從我們最簡單且具備 TI 功能安全的閘極驅動器到符合 TI 功能安全規格但最複雜的閘極驅動器。各個類別都提供不同的資源來協助設計人員簡化認證程序。圖 1 顯示定義各個類別的表格。分析資源可能包括:
- 時間失效 (FIT) 率,這是對產品運作十億累計小時內可能發生的失效次數進行的預估。
- 失效模式影響和診斷分析 (FMEDA),這是對失效模式的發生概率和診斷的量化有效性進行的分析。
- 失效樹分析 (FTA),這是對運作期間的隨機失效進行定性分析。
|
具備功能安全 |
功能安全品質管理* |
符合功能安全規格* |
||
|
開發程序 |
TI 品質管理程序 |
X |
X |
X |
|
TI 功能安全程序 |
X |
|||
|
分析報告 |
功能安全 FIT 率計算 |
X |
X |
X |
|
失效模式分佈 (FMD) 和/或針腳 FMA** |
X |
包含在 FMEDA 中 |
包含在 FMEDA 中 |
|
|
FMEDA |
X |
X |
||
|
失效樹分析 (FTA)** |
X |
|||
|
診斷說明 |
功能安全手冊 |
X |
X |
|
|
認證 |
功能安全產品認證*** |
X |
圖 1:各個 TI 功能安全類別的適用文件和程序有關的摘要。
FIT 率是隨機的硬體失效指標。這方面的實例是隨機硬體失效 (PMHF) 的概率指標。另外也有單點失效 (SPFM) 和潛在失效 (LFM) 的失效指標。ISO26262 對於各個 ASIL 界定可接受的 FIT 率值。例如,ASIL D 要求 SPFM ≧99%,LFM ≧90%,PMHF ≦10 FIT。ISO 26262 描述兩種類型的安全分析:演繹和歸納。演繹分析是自上而下的方法,例如 FTA。歸納分析是自下而上的方法,例如 FMEDA。汽車製造商會界定本身的安全目標並在汽車層面解決這些問題。TI 的功能安全文件支援產品層面的硬體分析。
識別和準備因應牽引逆變器失效模式
牽引逆變器失效模式可能有機械和電子原因。功能安全設計著重於識別電子原因並啟用相對應的安全機制。例如,牽引逆變器系統中的轉矩不足事件可能源自於機械原因或電子原因 (例如功率電晶體短路或閘極驅動器損壞)。為了防止暴露於此類風險,功能安全標準界定評估風險等級的方法。考量到這些準則,功能安全系統設計可能包括功率電晶體保護電路和閘極驅動器診斷。
ISO 26262 標準允許功能安全系統設計使用各個 TI 功能安全類別中的裝置。保護和診斷電路可以位於外部或整合到閘極驅動器中。TI 功能安全品質管理 (中級功能安全類別) 閘極驅動器 (例如 UCC21736-Q1) 有一組基本的整合式保護功能。您仍然可以考慮將這些裝置用於功能安全系統設計,不過您可能需要使用外部電路來補強設計。UCC5870-Q1 是符合 TI 功能安全規格的絕緣式閘極驅動器,其中整合保護、診斷和失效報告功能,可簡化功能安全系統設計。圖 2 顯示三個具有不同功能安全類別和不同功能整合等級的絕緣式閘極驅動器進行的比較。
圖 2.按照 TI 功能安全類別和功能整合等級比較絕緣式閘極驅動器。
為了支援這種更高的複雜性,UCC5870-Q1 包含內建自我測試 (BIST),藉以防止保護功能無法偵測到的潛在失效。與符合 TI 功能安全規格的裝置相當相似,牽引逆變器系統的失效模式也可能相當複雜。馬達意外關閉之類的失效模式可能源自於電源管理 IC、微控制器、馬達或閘極驅動器,並且與許多必要的保護功能有關。例如,UCC5870-Q1 中整合的這些功能有助於防止受到轉矩干擾:
- 欠電壓和過電壓鎖定。
- 去飽和偵測和過電流保護。
- 兩級關閉和軟關閉。
- 集極-射極電壓 (VCE) 監控和箝位。
- 類比轉數位轉換器 (用於監控閘極驅動器次 (高壓) 側的電壓,例如電源開關或閘極驅動器溫度)。
隨著系統變得愈來愈複雜和電氣化,失效模式和隨機失效的管理也變得愈來愈複雜。為了滿足現今系統的需求,UCC5870-Q1 整合保護功能、診斷和失效報告,符合 ISO 26262 和 (混合) 電動車牽引逆變器的要求。
其他資源
- 參閱 TI 功能安全概要頁面。
- 下載 UCC5870-Q1 的產品規格表。
- 參閱應用報告「使用絕緣式 IGBT 和 SiC 閘極驅動器的 HEV/EV 牽引逆變器設計指南」。
