Technical article
根据IEC 61508和ISO 26262实现功能安全解决方案会影响整个工程过程从集成电路的设计到加工和质量管理。新的ISO 26262标准的目的是在汽车的每一个单一功能实现可比较的和独特的风险评估。本文概述了与微控制器平台及其周边的情况,还分析了功率FET的功能保护特点。
在汽车领域未来大多数的创新将围绕新的电子系统,例如电子转向(X-by-wire),制动辅助系统(BAS),电子差速锁(EDS)和完整的电力驱动(混合/电动汽车)。这又反过来增加了我们对电子装置功能安全的依赖,在混合动力汽车或电动汽车达到了新的高度。到现在为止,不断提高质量设法保持在一个高等级的可靠性–尽管越来越复杂的设计和大量的电子子系统内置到每个汽车。电子安全相关功能的使用,如转向,操作,和自动制动,要求这些过程的功能安全并且不造成损害,即使当一个简单的故障发生。2004年它成为必要的责任,因为IEC 61508适用于所有与安全相关的开发。特别是关于汽车工业,ISO 26262管理着功能安全,目前正在标准化并在未来两到三年生效。这个新的国际标准作为客观的文件, 在每一个车辆功能具有可比较的和独特的风险评估。
本质安全硬件
多年来,安全的ASIC /定制芯片设计的特点是ABS和安全气囊系统的要求,是最先进的技术。然而,如果我们看一看在汽车电子基于微控制器的平台,情况是非常不同的。图1是一个总框图显示在汽车中的一个电子控制单元。除了电池供电,单片机是中央单元处理本地的传感器信号,与其他子系统通信,并通过功率单元激活执行器。在安全控制器软件已经有了长足的进步,设计加工管理,和AUTOSAR汽车电子通信系统,汽车SPICE / CMMI和FlexRay。也有一些微控制器已经或即将进入市场,将能够满足ISO 26262的要求ASIL D(汽车安全完整性等级D)。至于硬件设计而言,这几个方面是目前的焦点:电压监控,传感器逻辑和功能的监控,传输路径,其次是功率单元的完美驱动。传感器可以被监测通过硬件和微控制器软件的逻辑。对于传输链接,合适的协议有助于可靠地识别并且可能纠正这些故障。功率输出级的设计是一个特殊的挑战,例如,在执行器的状态回读冗余可能极具成本约束。
图1:汽车电子控制单元总体框图
单片机和控制单元之间的接口
我们的目标是安全操作功率单元使用来自微控制器的输出信号。对日益复杂的微控制器趋向于具有较低和更低的功耗,导致了较低的电源电压,较低的核心电压,和较轻的I / O电压在输出低额定负荷。在复杂的微控制器, I / O 电压现在一般是1.8 V 到3.3 V。这抵消了不断增长功率单元的需求–也长期作为48V车载电源,旨在降低电流和电缆损耗。电子驱动,如转向或刹车,在发生故障时非常关键。这里,ISO 26262定义了四类风险(ASIL A至D),考虑到具体的安全要求和定义的最大允许的失效概率。要求通过技术解决方案,降低风险。具体而言,这意味着关键的故障必须被检测并主动预防故障。功率FET完美的激活是这样非常的重要。当然也适用于FET驱动器,这是单片机和功率输出之间的主要环节。当设计FET驱动器,非常重要包括所有的设计参数。下面是典型的:
1.错误监测(从输出端之间连接的GND或VCC缺失)
2.驱动电源和启动特性(例如单片机I/O三态)
3.需要逻辑电平转换(例如1.8–5 V至5 V或10 V)
4.注意功耗,负载电流,和开关频率。
当评判一个驱动器的安全功能,主要关注的是第一级的故障检测和电路如何反应:
1.由于印刷电路板或元器件的缺陷缺少接地
2.电源电压缺失或波动
3.两个输出连接/短路
4.外部突发瞬变
5.输出过载和超温
图2:从FMEA摘录
本次评测将自动导致一个FMEA或失效模式影响分析。这样做的目的是为了系统地记录可能发生的事情和必要的测量,按照IEC61508和ISO26262实现功能安全。
在驱动级应用FMEA
FMEA试图描述哪一个元件功能和潜在的故障或失效可能发生。失效的原因和影响进行了分析和评估,对整个产品和用户具有重要的意义。接下来的问题要回答的是如何可能会出现故障–以及如何检测和防止以避免任何进一步的损害。这些详细的分析记录,成为任何集成电路设计规划的一个组成部分。他们当然也集成在生产过程中,集成电路测试,和产品的质量保证。通过举例的方式,图2给出了一个广泛的FMEA用于FET驱动器的第一页资料。预防潜在的错误是首要的和最重要的,是在产品和之后的操作中具有可靠的检测。FMEA可用来确定潜在的关键错误,他们如何确定,以及如何避免其影响。这些信息直接影响到后续的IC设计。
FET驱动器功能安全的一个例子
这些具体的安全措施,通过从一个安全FET驱动器系列的IC模型举例详细解释。图3给出了一个NMOS逻辑FET驱动电路的原理图(例如,IRL44N),使用 iC-MFL作为一个驱动器。在发生错误的情况下IC必须防止NMOS逻辑FET通过一个逻辑信号激活。与所述第一级的故障,驱动器输出必须保持在一个安全的低电平。除了基本功能,电平转换(从1.8 V–3.3 V至5 V),功率FET输入驱动器,iC-MFL的设计保护措施,防止下列错误:
1.IC缺少GND或VCC
2.输入开路(例如电缆断裂或单片机I/O口三态)
3.两个输出短路
最严重的情况是地或电源电压VCC的缺失,其中一般标准的FET驱动器不能保证在输出为安全低。除了传统的VCC或电源监控,接地监控能力也被包括在器件中。如果地的连接被中断,没有这些措施无明确潜在的比率可用于内部逻辑,外部FET通过从IC内部电路将被激活。该器件具有两个地(GND和GNDR)。
如果一个连接中断,监控识别故障并关闭输出级。如果VCC中断,输出也明确由一个值约30 KΩ的内部下拉电阻连接到地,从而切换到一个安全的操作模式。为了增加安全性,所有输入具有施密特触发级和下拉电流。在单片机的启动阶段,这期间所有的I/O端口三态,这些下拉电流保证了规定的FET驱动器的输入状态。FET驱动器输出是有效的推/拉电流源,其中拉侧连接到地比推侧强。如果外部两个输出短路,其中一个驱动高电平和另一个为低电平,芯片输出为低,并保证一个低的电平。输出具有防过压保护他们免受突发瞬变(18 V,100 ms)。
FMEA也可以在其他情况下使用,如PMOS-FET驱动电路,或其他输入和输出电压范围,实现相同的单一故障保护。为了NMOS-FETS和PMOS FET安全驱动,器件提供可调节输出电压范围5 V,10 V和满幅度电压。上面的例子只是说明了在工作过程中防止故障措施,并且由IC设计直接影响。
图3:安全功率FET驱动电路
前景
如图所示,实施功能安全系统根据IEC 61508和ISO 26262影响整个工程过程,从集成电路设计到加工和质量管理措施的展开。这将必然导致各部门作为一个团队在一起工作,为项目开发做出所需持久的和巨大的努力。相应的分析是必要的,在电子工业和其他子领域。
当然也适用于完整的系统级别,例如转向或制动系统。这是可以预期的,安全功能将日益成为在汽车行业和工业环境的标准。