简要介绍汽车功能安全及相关示例

在本文中，简要介绍汽车功能安全，并提供与 TI 栅极驱动器和电动汽车牵引逆变器系统相关的示例。

随着人们对智能化、自动化和环保终端设备的需求不断增长，工业和汽车的电气化程度越来越高。在这一趋势下，人们越来越注重确保电子系统不仅能符合电动汽车性能标准，而且能符合安全标准。特别是在汽车领域，在牵引逆变器系统中使用可配置的隔离式栅极驱动器正成为提高电动汽车性能和简化功能安全设计及认证的重要方法。随着汽车制造商转向牵引逆变器等电子系统，我们的安全标准也必须覆盖此类系统。

传统的“产品安全”是指消除电击、火灾和机械危害的风险，而“功能安全”则专门指消除电子电气系统故障的风险。随着技术的飞速发展，许多设计人员不得不快速熟悉功能安全的广泛内容。

阐述功能安全术语

为了尽可能减少设备失效和人身伤害，系统设计和流程必须按照国际标准解决硬件故障。常见的标准包括ISO 26262(针对汽车设备)和IEC 61508(针对工业设备)。

硬件故障有两种类型：

系统故障，由设计或制造工艺中的错误引起。工程师可以通过持续的流程改进来减少系统故障。

随机故障，由流程或使用条件固有的缺陷引起。工程师无法完全消除随机故障。

ISO 26262 标准的目标之一是降低随机故障的概率。汽车安全完整性等级 (ASIL) 代表风险等级，具有设定的概率阈值，其等级范围是从 ASIL-A到 ASIL-D。该标准进一步将随机故障分为单点故障和潜在故障。在没有安全机制的情况下，单点故障违背安全目标。例如，过压锁定机制旨在检测器件输出端的过压。多点失效是由多个直接违背安全目标的独立故障(多点故障)导致的。潜在故障是既没有被安全机制检测到，也没有被驾驶员感知到的多点故障。例如，过压锁定机制中发生的故障会导致其无法检测到过压故障。如果其他安全机制(例如启动时的诊断测试)未检测到或未被驾驶员感知，则这是潜在故障。因此，严格的 ASIL设计需要监控和诊断电路。

为帮助客户开发其功能安全系统设计，TI 功能安全产品是按照 TI 的内部产品开发流程(符合 ISO 26262)开发的，例如，TI 开发的首款适用于牵引逆变器等应用的功能安全合规型隔离式栅极驱动器 UCC5870-Q1。TI 提供的功能安全相关文档将有助于使系统设计能够符合 ISO 26262 ASIL D 标准。

利用文档进行功能安全分析

TI 的隔离式栅极驱动器产品系列包括每个功能安全类别的器件，比如从我们较为简单的 TI 功能安全型栅极驱动器，到较为复杂的 TI 功能安全合规型栅极驱动器，每个类别都能提供不同的资源来帮助设计人员简化设计认证过程。图 1 显示的表格定义了每个类别，其分析资源包括：

时基故障 (FIT) 率，这是对产品运行累计十亿小时内可能发生的故障数量的预测。

失效模式影响和诊断分析 (FMEDA)、失效模式的发生概率和诊断的量化有效性。

故障树分析 (FTA)，用于对运行期间的随机故障进行定性分析。

图 1：TI 各功能安全类别的适用文档和流程汇总

时基故障率是随机的硬件故障指标。这方面的一个例子是硬件随机故障概率指标 (PMHF)。还有单点故障 (SPFM) 和潜在故障 (LFM) 的故障指标。ISO26262 为每个 ASIL等级定义了可接受的时基故障率值。例如，ASIL-D 要求 SPFM ≥99%，LFM ≥90%，PMHF ≤10 FIT。ISO 26262 描述了两种类型的安全分析 - 演绎和归纳。演绎分析，如 FTA，是一种自上而下的方法。归纳分析，如 FMEDA，是一种自下而上的方法。汽车制造商定义他们的安全目标并在整车层面实现，TI 的功能安全文档则支持产品级别的硬件分析。

识别牵引逆变器失效模式并做好应对准备

牵引逆变器失效模式可能有机械和电子原因。功能安全设计侧重于识别电子原因引起的失效并启用相应的安全机制。例如，牵引逆变器系统中的扭矩不足可能源于机械原因或电子原因(例如功率晶体管短路或栅极驱动器损坏)。为了防止暴露此类风险，功能安全标准定义了评估风险级别的方法。考虑到这些准则，功能安全系统的设计可能包括功率晶体管保护电路和栅极驱动器诊断。

ISO 26262 标准允许功能安全系统设计使用 TI 各功能安全类别的器件。保护和诊断电路可以位于栅极驱动器外部，也可以集成到栅极驱动器中。TI 功能安全质量管理型(中级功能安全类别)栅极驱动器(例如 UCC21736-Q1)具有一组基本的集成保护功能，您仍然可以考虑将这些器件用于功能安全系统设计，但可能需要使用外部电路来进行补充设计。UCC5870-Q1 是一款 TI 功能安全合规型隔离式栅极驱动器，集成了保护、诊断和故障报告功能，可简化功能安全系统设计。图 2 比较了三个具有不同功能安全类别和不同功能集成级别的隔离式栅极驱动器。

图 2.在 TI 不同功能安全类别和功能集成级别的隔离式栅极驱动器

为了支持这种更高的设计复杂性，UCC5870-Q1 包含内置自检 (BIST)，以防止保护功能无法检测到的潜在故障。与 TI 功能安全合规型器件非常相似，牵引逆变器系统的失效模式也非常复杂。诸如电机意外停机之类的失效模式可能源于电源管理 IC、微控制器、电机或栅极驱动器，且与许多必需的保护功能相关，例如，集成到 UCC5870-Q1 中的下列每项功能中都有助于防止受到扭矩干扰：

欠压和过压锁定

去饱和检测和过流保护

2 级关断和软关断

VCE电压监控和钳位

集成模数转换器(用于监控栅极驱动器次级(高压)侧的电压，如开关管或栅极驱动器温度)

随着系统的复杂性和电气化程度越来越高，失效模式和随机故障的管理也变得越来越复杂。为了满足现代系统的需求，UCC5870-Q1 集成了保护、诊断和故障报告功能，符合 ISO 26262 和混合动力及电动汽车牵引逆变器的系统设计要求。

审核编辑：汤梓红