技術文章
根據IEC 61508和ISO 26262實現功能安全解決方案會影響整個工程過程從集成電路的設計到加工和質量管理。新的ISO 26262標準的目的是在汽車的每一個單一功能實現可比較的和獨特風險評估。本文概述了與微控制器平台及其周邊的情況,還分析了功率FET的功能保護特點。
在汽車領域未來大多數的創新將圍繞新的電子系統,例如電子轉向(X-by-wire),制動輔助系統(BAS),電子差速鎖(EDS)和完整的電力驅動(混合/電動汽車)。這又反過來增加了我們對電子裝置功能安全的依賴,在混合動力汽車或電動汽車達到了新的高度。到現在為止,不斷提高質量設法保持在一個高等級的可靠性–儘管越來越複雜的設計和大量的電子子系統內置到每個汽車。電子安全相關功能的使用,如轉向,操作,和自動制動,要求這些過程的功能安全並且不造成損害,即使當一個簡單的故障發生。 2004年它成為必要的責任,因為IEC 61508適用於所有與安全相關的開發。特別是關於汽車工業,ISO 26262管理著功能安全,目前正在標準化並在未來兩到三年生效。這個新的國際標準作為客觀的文件, 在每一個車輛功能具有可比較的和獨特的風險評估。
本質安全硬件
多年來,安全的ASIC /定制芯片設計的特點是ABS和安全氣囊系統的要求,是最先進的技術。然而,如果我們看一看在汽車電子基於微控制器的平台,情況是非常不同的。圖1是一個總框圖顯示在汽車中的一個電子控制單元。除了電池供電,單片機是中央單元處理本地的傳感器信號,與其他子系統通信,並通過功率單元激活執行器。在安全控制器軟件已經有了長足的進步,設計加工管理,和AUTOSAR汽車電子通信系統,汽車SPICE / CMMI和FlexRay。也有一些微控制器已經或即將進入市場,將能夠滿足ISO 26262的要求ASIL D(汽車安全完整性等級D)。至於硬件設計而言,這幾個方面是目前的焦點:電壓監控,傳感器邏輯和功能的監控,傳輸路徑,其次是功率單元的完美驅動。傳感器可以被監測通過硬件和微控制器軟件的邏輯。對於傳輸鏈接,合適的協議有助於可靠地識別並且可能糾正這些故障。功率輸出級的設計是一個特殊的挑戰,例如,在執行器的狀態回讀冗餘可能極具成本約束。
圖1:汽車電子控制單元總體框圖
單片機和控制單元之間的接口
我們的目標是安全操作功率單元使用來自微控制器的輸出信號。對日益複雜的微控制器趨向於具有較低和更低的功耗,導致了較低的電源電壓,較低的核心電壓,和較輕的I / O電壓在輸出低額定負荷。在復雜的微控制器, I / O 電壓現在一般是1.8 V 到3.3 V。這抵消了不斷增長功率單元的需求–也長期作為48V車載電源,旨在降低電流和電纜損耗。電子驅動,如轉向或剎車,在發生故障時非常關鍵。這裡,ISO 26262定義了四類風險(ASIL A至D),考慮到具體的安全要求和定義的最大允許的失效概率。要求通過技術解決方案,降低風險。具體而言,這意味著關鍵的故障必須被檢測並主動預防故障。功率FET完美的激活是這樣非常的重要。當然也適用於FET驅動器,這是單片機和功率輸出之間的主要環節。當設計FET驅動器,非常重要包括所有的設計參數。下面是典型的:
1. 錯誤監測(從輸出端之間連接的GND或VCC缺失)
2. 驅動電源和啟動特性(例如單片機I/O三態)
3. 注意功耗,負載電流,和開關頻率。
当评判一个驱动器的安全功能,主要关注的是第一级的故障检测和电路如何反应:
1.由於印刷電路板或元器件的缺陷缺少接地
2.電源電壓缺失或波動
3. 兩個輸出連接/短路
4. 外部突發瞬變
5. 輸出過載和超溫
圖2:從FMEA摘錄
本次評測將自動導致一個FMEA或失效模式影響分析。這樣做的目的是為了系統地記錄可能發生的事情和必要的測量,按照IEC61508和ISO26262實現功能安全。
在驅動級應用FMEA
FMEA試圖描述哪一個元件功能和潛在的故障或失效可能發生。失效的原因和影響進行了分析和評估,對整個產品和用戶具有重要的意義。接下來的問題要回答的是如何可能會出現故障–以及如何檢測和防止以避免任何進一步的損害。這些詳細的分析記錄,成為任何集成電路設計規劃的一個組成部分。他們當然也集成在生產過程中,集成電路測試,和產品的質量保證。通過舉例的方式,圖2給出了一個廣泛的FMEA用於FET驅動器的第一頁資料。預防潛在的錯誤是首要的和最重要的,是在產品和之後的操作中具有可靠的檢測。 FMEA可用來確定潛在的關鍵錯誤,他們如何確定,以及如何避免其影響。這些信息直接影響到後續的IC設計。
FET驅動器功能安全的一個例子
這些具體的安全措施,通過從一個安全FET驅動器系列的IC模型舉例詳細解釋。圖3給出了一個NMOS邏輯FET驅動電路的原理圖(例如,IRL44N),使用iC-MFL作為一個驅動器。在發生錯誤的情況下IC必須防止NMOS邏輯FET通過一個邏輯信號激活。與所述第一級的故障,驅動器輸出必須保持在一個安全的低電平。除了基本功能,電平轉換(從1.8 V–3.3 V至5 V),功率FET輸入驅動器,iC-MFL的設計保護措施,防止下列錯誤:
1. IC缺少GND或VCC
2. 輸入開路(例如電纜斷裂或單片機I/O口三態)
3. 兩個輸出短路
最嚴重的情況是地或電源電壓VCC的缺失,其中一般標準的FET驅動器不能保證在輸出為安全低。除了傳統的VCC或電源監控,接地監控能力也被包括在器件中。如果地的連接被中斷,沒有這些措施無明確潛在的比率可用於內部邏輯,外部FET通過從IC內部電路將被激活。該器件具有兩個地(GND和GNDR)。
如果一個連接中斷,監控識別故障並關閉輸出級。如果VCC中斷,輸出也明確由一個值約30 KΩ的內部下拉電阻連接到地,從而切換到一個安全的操作模式。為了增加安全性,所有輸入具有施密特觸發級和下拉電流。在單片機的啟動階段,這期間所有的I/O端口三態,這些下拉電流保證了規定的FET驅動器的輸入狀態。 FET驅動器輸出是有效的推/拉電流源,其中拉側連接到地比推側強。如果外部兩個輸出短路,其中一個驅動高電平和另一個為低電平,芯片輸出為低,並保證一個低的電平。輸出具有防過壓保護他們免受突發瞬變(18 V,100 ms)。
FMEA也可以在其他情況下使用,如PMOS-FET驅動電路,或其他輸入和輸出電壓範圍,實現相同的單一故障保護。為了NMOS-FETS和PMOS FET安全驅動,器件提供可調節輸出電壓範圍5 V,10 V和滿幅度電壓。上面的例子只是說明了在工作過程中防止故障措施,並且由IC設計直接影響。
圖3:安全功率FET驅動電路
前景
如圖所示,實施功能安全系統根據IEC 61508和ISO 26262影響整個工程過程,從集成電路設計到加工和質量管理措施的展開。這將必然導致各部門作為一個團隊在一起工作,為項目開發做出所需持久的和巨大的努力。相應的分析是必要的,在電子工業和其他子領域。
當然也適用於完整的系統級別,例如轉向或製動系統。這是可以預期的,安全功能將日益成為在汽車行業和工業環境的標準。