Non ci sono prodotti a carrello.
Olivia Brandel – Product Marketing Engineer for High Voltage Power, Texas Instruments
La domanda di apparecchiature terminali intelligenti, automatizzate ed ecologiche è in continua crescita e quindi anche l’elettrificazione delle tecnologie industriali e automobilistiche aumenta sempre più. Questa tendenza porta con sé anche una maggiore enfasi sul garantire che i sistemi elettronici non si limitino a soddisfare gli standard di prestazioni dei veicoli elettrici, ma anche le norme di sicurezza. In particolare, in ambito automobilistico, si registra un aumento dell’uso di driver del gate isolati altamente configurabili nei sistemi con inverter di trazione al fine di migliorare le prestazioni dei veicoli elettrici e semplificare la certificazione di sicurezza funzionale. Mentre i costruttori di veicoli passano a sistemi elettronici come l’inverter di trazione, lo stesso passaggio deve essere effettuato a livello di norme di sicurezza affinché coprano tali sistemi.
Il termine «sicurezza del prodotto» si riferisce all’eliminazione del rischio di scossa elettrica, incendio e pericoli meccanici, mentre «sicurezza funzionale» si riferisce specificatamente ai pericoli derivanti da sistemi elettrici ed elettronici. Il progresso tecnologico è rapido e molti progettisti devono quindi aggiornarsi rapidamente nel vasto mondo della sicurezza funzionale. Questo articolo fornisce un’introduzione generale alla sicurezza funzionale, unitamente a esempi relativi ai driver del gate e ai sistemi con inverter di trazione per veicoli elettrici proposti da TI.
Chiarimenti sulla terminologia di sicurezza funzionale
Per ridurre al minimo i guasti delle apparecchiature e le lesioni personali, i progetti e i processi di sistema devono tenere conto dei guasti hardware dal punto di vista delle normative internazionali. Tra le norme più comuni vi sono le norme ISO 26262 per apparecchiature automobilistiche dell’Organizzazione Internazionale per la Normazione e IEC 61508 per apparecchiature industriali della Commissione Elettrotecnica Internazionale.
Esistono due tipologie di guasti hardware:
- I guasti sistematici che derivano da errori nella progettazione o nel processo di produzione. I tecnici possono ridurre i guasti sistematici mediante continui miglioramenti dei processi.
- I guasti casuali che derivano da difetti inerenti al processo o alle condizioni di utilizzo. I tecnici non possono eliminare completamente i guasti casuali.
Uno degli obiettivi della norma ISO 26262 è ridurre la probabilità dei guasti casuali. I livelli ASIL (Automotive Safety Integrity Level) rappresentano il livello di rischio con soglie di probabilità prestabilite. Questi livelli vanno da ASIL A (il meno rigoroso) ad ASIL D (il più rigoroso). Questa norma, inoltre, suddivide i guasti casuali tra guasti a punto singolo e guasti latenti. I guasti a punto singolo violano gli obiettivi di sicurezza senza la presenza di un meccanismo di sicurezza. Ad esempio, un meccanismo di blocco per sovratensione cerca di rilevare una sovratensione all’uscita di un dispositivo. Un guasto a punto multiplo è il risultato di più guasti indipendenti che violano direttamente un obiettivo di sicurezza (guasti a punto multiplo). Un guasto latente è un guasto a punto multiplo la cui presenza non è rilevata da un meccanismo di sicurezza né percepita dal conducente. Ad esempio, un guasto che si verifica nel meccanismo di blocco per sovratensione impedisce al meccanismo di rilevare un evento di sovratensione. Questo è quindi un guasto latente, se non viene rilevato da un altro meccanismo di sicurezza (come un test diagnostico all’avviamento) o se non è percepito dal conducente; pertanto, gli ASIL rigorosi necessitano di circuiti di monitoraggio e diagnostica.
Per aiutare i clienti a sviluppare i propri progetti di sistemi di sicurezza funzionale, i prodotti di sicurezza funzionale di TI sono sviluppati per mezzo del processo di sviluppo di prodotto interno di TI (conforme alla norma ISO 26262). Ad esempio, TI ha sviluppato il suo primo driver del gate isolato TI Functional Safety-Compliant, l’UCC5870-Q1, tenendo in considerazione applicazioni come gli inverter di trazione. TI fornisce documentazione a supporto della progettazione di sistemi ISO 26262 fino a ASIL D.
Sfruttamento della documentazione per l’analisi di sicurezza funzionale
La gamma di driver del gate isolati di TI include dispositivi in ciascuna delle categorie di sicurezza funzionale, partendo dai driver del gate meno complessi e TI Functional Safety-Capable, fino ai driver del gate più complessi e TI Functional Safety-Compliant. Ciascuna categoria offre risorse diverse per aiutare i progettisti a semplificare il processo di certificazione. La Figura 1 mostra una tabella in cui è definita ciascuna categoria. Le risorse analitiche possono includere:
- Il tasso di guasto per unità di tempo FIT (Failure in Time), una stima del numero di guasti che potrebbero verificarsi in un miliardo di ore cumulative di esercizio di un prodotto.
- L’analisi diagnostica e degli effetti in modalità di guasto FMEDA (Failure Mode, Effects and Diagnostic Analysis), la probabilità che si verifichino le modalità di guasto e un’efficacia quantificata della diagnostica.
- Analisi tramite albero dei guasti FTA (Fault-Tree Analysis), un’analisi qualitativa dei guasti casuali durante l’esercizio.
|
|
Functional Safety-Capable | Functional Safety Quality-Managed* | Functional Safety-Compliant* | |
| Processo di sviluppo | Processo gestione qualità TI |
X |
X |
X |
| Processo di sicurezza funzionale TI |
X |
|||
| Rapporto di analisi | Calcolo tasso FIT sicurezza funzionale |
X |
X |
X |
| FMD (failure mode distribution) e/o pin FMA** |
X |
Incluso in FMEDA |
Incluso in FMEDA |
|
| FMEDA |
X |
X |
||
| Analisi tramite albero dei guasti (FTA)** |
X |
|||
| Descrizione diagnostica | Manuale di sicurezza funzionale |
X |
X |
|
| Certificazione | Certificato di sicurezza funzionale del prodotto*** |
X |
Figura 1: Riepilogo della documentazione e dei processi applicabili a ciascuna categoria di sicurezza funzionale TI.
I tassi FIT sono una metrica per i guasti hardware casuali. Un esempio è la metrica probabilistica per guasti hardware casuali (PMHF, Probabilistic Metric for Hardware Failure). Esistono inoltre metriche sia per guasti a punto singolo (SPFM, Single-Point Fault Metric) e guasti latenti (LFM, Latent Fault Metric). La norma ISO 26262 definisce i valori dei tassi FIT accettabili per ciascun ASIL. Ad esempio, ASIL D richiede un SPFM ≥99%, LFM ≥90% e PMHF ≤10 FIT. La norma ISO 26262 delinea due tipologie di analisi di sicurezza: deduttiva e induttiva. L’analisi deduttiva, come la FTA, è un approccio top-down. L’analisi induttiva, come la FMEDA, è un approccio bottom-up. I costruttori di veicoli definiscono i propri obiettivi di sicurezza e li affrontano a livello di veicolo. La documentazione di sicurezza funzionale di TI supporta l’analisi dell’hardware a livello di prodotto.
Identificazione e preparazione per le modalità di guasto di inverter di trazione
Le modalità di guasto degli inverter di trazione possono avere cause sia meccaniche sia elettroniche. I progetti di sicurezza funzionale si concentrano sull’identificazione delle cause elettroniche e sull’abilitazione dei relativi meccanismi di sicurezza. Ad esempio, un evento di sottocoppia in un sistema con inverter di trazione può avere origine da una causa meccanica o da una causa elettronica (come un cortocircuito in un transistor di potenza o un danno nel driver del gate). Per evitare l’esposizione a questo tipo di rischio, le norme di sicurezza funzionale definiscono metodi di valutazione del livello di rischio. Tenendo in considerazione queste linee guida, i progetti di sistemi per sicurezza funzionale possono contenere circuiti di protezione dei transistor di potenza e sistemi diagnostici per driver del gate.
La norma ISO 26262 permette ai progetti di sistemi per la sicurezza funzionale di utilizzare dispositivi in ciascuna categoria di sicurezza funzionale di TI. I circuiti di protezione e diagnostica possono essere esterni o integrati nel driver del gate. I driver del gate TI Functional Safety Quality-Managed (la categoria di sicurezza funzionale intermedia) come l’UCC21736-Q1 hanno un set base di caratteristiche di protezione integrate. È possibile prendere in considerazione questi dispositivi anche per progetti di sistemi per sicurezza funzionale, ma potrebbe essere necessario aggiungere ulteriori circuiti esterni al progetto. L’UCC5870-Q1, un driver del gate isolato TI Functional Safety-Compliant, integra protezione, diagnostica e segnalazione dei guasti per semplificare i progetti di sistemi per sicurezza funzionale. La Figura 2 mostra un confronto fra tre driver del gate isolati appartenenti a diverse categorie di sicurezza funzionale e diversi livelli di integrazione delle caratteristiche.
Figura 2. Confronto fra tre driver del gate isolati per categoria di sicurezza funzionale di TI e per livello di integrazione delle caratteristiche.
A supporto di questa maggiore complessità, l’UCC5870-Q1 include autotest BIST integrati (built-in self-test) per prevenire i guasti latenti che non possono essere rilevati dalle caratteristiche di protezione. Analogamente ai dispositivi TI Functional Safety-Compliant, le modalità di guasto dei sistemi con inverter di trazione possono essere piuttosto complesse. Una modalità di guasto, ad esempio uno spegnimento non intenzionale del motore, può scaturire dal circuito integrato di gestione della potenza, dal microcontroller, dal motore o dal driver del gate, e va a coinvolgere numerose caratteristiche di protezione richieste. Ad esempio, ciascuna di queste caratteristiche integrate nell’UCC5870-Q1 contribuisce a evitare l’esposizione a disturbi di coppia:
- Blocco per sottotensione e sovratensione.
- Rilevamento della desaturazione e protezione da sovracorrente.
- Spegnimento a due livelli e spegnimento dolce.
- Monitoraggio e clamping della tensione del collettore-emettitore (VCE).
- Un convertitore analogico/digitale (per monitorare le tensioni sul lato secondario ad alta tensione del driver del gate, ad esempio temperatura dell’interruttore di alimentazione o del driver del gate).
A mano a mano che i sistemi aumentano in complessità ed elettrificazione, lo stesso avviene per le modalità di guasto e per la gestione dei guasti casuali. Per rispondere alle esigenze dei sistemi moderni, l’UCC5870-Q1 integra caratteristiche di protezione, diagnostica e segnalazione dei guasti tenendo in considerazione la norma ISO 26262 e i requisiti degli inverter di trazione dei veicoli elettrici e ibridi.
Risorse supplementari
- Visitate la pagina di TI con panoramica sulla sicurezza funzionale.
- Scaricate la scheda tecnica dell’UCC5870-Q1.
- Leggete il rapporto applicativo «Guida alla progettazione con inverter di trazione per veicoli HEV/EV utilizzando driver del gate isolati IGBT e SiC».
