Funkcionális biztonság
Motorvezérlő diagnosztikai és védelmi funkciókkal
Az elektronikus rendszerek funkcionális biztonsága egyre nagyobb követelményeket támaszt a komplex motorvezérlők – alkalmazásspecifikus integrált áramkörök (ASSP) – öndiagnosztikai képességeivel szemben. A TDK-Micronas ezekre a kihívásokra a beágyazott motorvezérlők új HVC 5x családjával válaszol.
A beágyazott motorvezérlők diagnosztikai és védelmi funkcióit a szoftver a felső alkalmazási rétegben képezi le. Ez az alkalmazásszoftver többek között kiértékeli az A/D átalakító vagy más perifériák által mért feszültségeket, áramokat és hőmérsékleteket. Az alatta lévő rétegben a szoftverfüggetlen védelmi és diagnosztikai funkciókat hardveresen valósítják meg. Ezek részben konfigurálhatók az alkalmazásszoftverrel, de hatásuk nem befolyásolható. A megfelelő funkcióblokkot vagy az egész IC-t hibabiztos állapotba hozzák, például a motorhíd túláram esetén történő kikapcsolásával vagy a digitális/ablakos watchdog-on keresztül történő rendszer-visszaállítással. A biztonsági kézikönyvben leírt védelmi mechanizmusok programozással, konfigurációval és kábelezéssel kapcsolatos megvalósításával az ügyfél meghatározott diagnosztikai lefedettséget ér el.
Tápellátás a 12 V-os rendszerből
A HVC 5x család tagjai a 12 V-os tápfeszültséggel működnek és ISO-impulzus-kompatibilisek (ISO 7637-2 és ISO 16750-2). A fordított polaritás elleni védelem pl. egy előoldali dióda segítségével biztosított. Az alárendelt ellátási tartományok (analóg, digitális és készenléti) vezérlői teljesen integráltak.
A feszültségfelügyelethez különböző diagnosztikai lehetőségek állnak rendelkezésre. Fontos funkció a BVDD tápfeszültség folyamatos felügyelete a megfelelő túlfeszültség és alulfeszültség megszakításokkal. A feszültségfelügyelet vezérlőjeleket generál az analóg és digitális tápellátó rendszer különböző feszültségtartományokhoz való konfigurálásához.
1. ábra A hardver- és szoftverrendszer kölcsönhatása a BLDC motorral
A HVC 5x motorvezérlők jellemzően 4,8 V BVDD feszültségig működőképesek. Ha a BVDD feszültség tovább csökken, az IC-k úgynevezett „retention” (megtartási) módba lépnek. Ebben az üzemmódban minden analóg periféria – beleértve az analóg vezérlőt és a motorfunkciókat is – kikapcsol, a digitális perifériák és a CPU alaphelyzetbe kerülnek, és a program végrehajtása megszűnik. A memória tartalma azonban megmarad. A megtartási módból való visszatéréskor rendszer-visszaállítás történik. Az alkalmazásszoftver egy állapotregiszter kiolvasásával megállapíthatja a legutóbbi reset okát, és megfelelő óvintézkedéseket tehet.
A túlfeszültségi állapotot egy rendszerregiszter-jelző is jelzi. Az IC 40 V-ig működőképes, azonban a túlfeszültség alatti tartós működés a növekvő csomóponti hőmérséklet miatt kritikus, és lerövidítheti az IC élettartamát (2. ábra).
2. ábra A HVC 5x család motorvezérlőinek feszültség- és hőmérséklet-felügyelete
A túlfeszültségjelző egy szoftveralapú biztonsági funkció, amelyet az alkalmazásszoftvernek kell alkalmaznia például az energiafogyasztás korlátozására és a teljesítményveszteség-keret fenntartására. Ez történhet perifériamodulok kikapcsolásával vagy a CPU órajel-frekvenciájának csökkentésével.
A tápfeszültség és a vezérlőfeszültségek további szoftveralapú diagnosztikája a belső 12 bites ADC segítségével végezhető el. A BVDD tápfeszültség például ciklikusan mérhető. Lehetőség van az akkumulátor feszültségének (VBAT) mérésére is egy megfelelően méretezett passzív RC-védőszűrő segítségével (pl. egy LGPIO porton keresztül). Mindkét feszültség mérésével reagálni lehet az elektromos rendszer instabilitására vagy túllövésére, mielőtt azok a belső tápellátást befolyásolnák. A túlfeszültségi és alulfeszültségi állapotok így időben észlelhetők és a szoftverben meglévő megszakítási forrásokkal jelezhetők, hogy az IC biztonságos állapotba kerüljön. A HVC 5x család 64 kB-os változata lehetővé teszi a belső szabályozó és a sávhézagfeszültségek mérését is, például az élettartam során bekövetkező relatív feszültségeltolódások észlelésére.
Órarendszer két oszcillátorral
A motorvezérlők órajelrendszere két független, chipen belüli oszcillátorral, a fő- és a segédoszcillátorral rendelkezik. A főoszcillátor állítja elő a rendszer 40 MHz-es főórajelét, és az analóg és digitális modulok órajelének alapjául szolgál. A segédoszcillátor szolgál órajelforrásként az ablakos watchdog (WWDG) számára, amely az oszcillátorokat és a programfolyamatot felügyeli. A WWDG kioldása a rendszer visszaállítását eredményezi.
A WWDG mellett a HVC 5x motorvezérlők digitális watchdog-gal (DWDG) is rendelkeznek a helyes programvégrehajtás ellenőrzésére. A WWDG-vel ellentétben a DWDG-t a főoszcillátor óraműve vezérli. A programvégrehajtás bármely olyan hibája, amely megakadályozza a DWDG programozható időn belüli újraindítását, a rendszer alaphelyzetbe állítását eredményezi (3. ábra).
3. ábra Egy ablakos watchdog és egy digitális watchdog figyeli a rendszerórát és a motorvezérlők programvégrehajtását
A legutóbbi reset oka minden esetben kiértékelhető az indítás után a rendszer állapotának leolvasásával. A WWDG mindig engedélyezve van, és csak hibakeresési célokra lehet letiltani egy speciális kulcsszóval.
I/O védelmi funkciók
A HVC 5x család 3,3 V-os I/O portokkal (hibakereséshez, digitális/analóg funkciókhoz), LIN busz interfésszel, valamint közvetlen BLDC és léptetőmotor vezérléshez szükséges portokkal rendelkezik. Az aktuális verziótól függően a HVC 5x motorvezérlők támogatják a BLDC- és léptetőmotorokat, vagy csak a BLDC-motorokat.
Az AVDD vezérlőkimenet például külső érzékelők táplálására használható 15 mA névleges kimeneti áramig. Az AVDD vezérlő többek között alulfeszültség-érzékelést tartalmaz, és a feszültségszint elmaradása esetén resetel.
A LIN-port a külső eszközökkel való kommunikációra szolgál a LIN-buszon keresztül, és megfelel az ISO 17987 és a SAE J2602 szabvány követelményeinek. Más kommunikációs protokollokhoz (pl. PWM) is használható. Rendelkezik 8 kV-os ESD-védelemmel és túláram-lekapcsolási funkcióval, amely a túláram-határérték elérésekor recesszív állapotba kapcsolja a csatlakozót. A LIN-port automatikusan recesszív állapotba kerül megtartási és energiatakarékos üzemmódban a termikus leállás során és a rendszer visszaállítása után.
A LIN-porton fellépő túláramot a portregiszterek túláramjelzője jelzi, és az alkalmazásszoftver ennek megfelelően értékelheti. Ezenkívül az alkalmazásszoftver képes kiértékelni a megszakításokkal járó túlcsordulási eseményeket, és képes azonnal megfelelő biztonsági intézkedéseket kezdeményezni.
Termikus biztonsági funkciók
A HVC 5x motorvezérlők három hőmérséklet-érzékelővel rendelkeznek a csatlakozási hőmérséklet ellenőrzésére: az egyik hőmérséklet-érzékelő közvetlenül az IC termikus leállítását (TSD) indítja el a túlmelegedési határérték túllépésekor. A TSD egy olyan üzembiztos állapot, amelyben az összes analóg és digitális modul leáll a belső energiaveszteség minimalizálása és az eszköz meghibásodásának megelőzése érdekében.
Egy másik, a készenléti vezérlő által szolgáltatott hőmérséklet-érzékelő a TSD után figyeli a csomóponti hőmérsékletet, hogy újra aktiválja az IC-t, ha a hőmérséklet egy meghatározott csomóponti hőmérséklet alá esik. A TSD-ről való visszatéréskor egy rendszerállapot-jelző kerül beállításra, amelyet az alkalmazásszoftver kiértékelhet, hogy aztán megfelelő műveleteket, például önellenőrzést kezdeményezzen.
A harmadik hőmérséklet-érzékelő az A/D átalakítóval kiolvasható. A ciklikus hőmérséklet-felügyelet lehetővé teszi a felhasználó számára, hogy a csatlakozási hőmérséklet emelkedésére olyan intézkedésekkel reagáljon, mint például bizonyos modulok kikapcsolása, a CPU órajelének csökkentése vagy az eszköz energiatakarékos üzemmódok egyikébe helyezése.
A motorhidak diagnosztikai és védelmi funkciói
A HVC 5x család integrált áramkörei a változattól függően három (pl. HVC 5222C, HVC 5223C) vagy akár négy integrált félhíddal rendelkeznek, amelyekhez BLDC- vagy léptetőmotorok közvetlenül, további külső alkatrészek nélkül csatlakoztathatók. Minden port belső túláramvédelemmel van felszerelve, programozható válaszidővel, valamint a híd tranzisztorok kapufeszültségének figyelésével történő reteszeléssel. A túláram-küszöbérték túllépése megszakítást eredményez. Megfelelő állapotjelzőkkel azonosítható az a port, ahol a túláram keletkezett. Válaszként vagy az összes, vagy csak a túláram által érintett félhíd deaktiválódik. Egy félhíd csak azután aktiválható újra, miután az alkalmazásszoftver törölte a túláramjelzőt. A biztonságos állapot érdekében minden híd-tranzisztor HiZ-re van állítva megtartási, energiatakarékos vagy TSD üzemmódban és a rendszer visszaállítása után (4. ábra).
4. ábra Motorhíd-diagnosztikai és védelmi funkciók
A motorhidak integrált diagnosztikai funkciói mellett szoftveralapú biztonsági funkciók is lehetségesek, hogy az IC-t az adott motorhoz vagy alkalmazáshoz igazítsák.
Az integrált ellenirányú elektromotoros erő- (EMF) komparátorok lehetővé teszik például a motor visszatápláló feszültségének kiértékelését és összehasonlítását a rotorpozíció-érzékelők visszajelzéseivel. Ezenkívül a motorfázisokhoz való csatlakozások ellenőrizhetők a nem hajtott motorfázis ellenirányú EMF-jének kiértékelésével.
Különösen léptetőmotoros alkalmazásoknál (a négy MOUT porttal rendelkező HVC 5x változatoknál) a 12 bites ADC használható a motor mindkét fázisának EMF-feszültségének mérésére, és így a motor nyomatékterhelésének ellenőrzésére. Ez lehetővé teszi például a hangolt elakadásérzékelés megvalósítását az alkalmazási szoftverben. A gyakorlati ADC árammérésekhez a négy MOUT porttal rendelkező HVC 5x változatokhoz integrált áramsöntök (RS0 és RS1) állnak rendelkezésre, valamint a mérési lehetőség külső söntellenálláson keresztül minden HVC 5x esetében. Ezek használhatók például motoráram-szabályozási és diagnosztikai funkciókhoz.
Memóriavédelmi és diagnosztikai funkciók
A HVC 5x család integrált áramkörei több chipen belüli memóriablokkot kínálnak. Az 1 kB-os indító ROM tartalmazza az indítási szekvenciát, a megszakítási táblázatot, a flash segédfunkciókat és az IC trimmelésének ellenőrzését. A programadatokat a belső SRAM tárolja (2-4 kB a HVC 5x változattól függően). Az alkalmazási programok és a diagnosztikai funkciók számára egy flash-memória (32-64 kB a HVC 5x verziótól függően) áll rendelkezésre. A HVC 5x IC-k emellett 512-2048 bájt EEPROM-mal és 256-1024 bájt NVR-rel rendelkeznek a nem-felejtő alkalmazási adatok tárolására. Az írásvédelem megakadályozza az adatokkal való visszaélést. A flash főmemória is tartalmaz írási/törlési védelmet. A flash, az EEPROM és az NVR hibajavító kóddal (ECC) rendelkezik a két- és egybites hibák felismerésére és az egybites hibák kijavítására. Hiba észlelése esetén a konkrét hibatípus és az érintett memória kiolvasható. Ezenkívül megszakítás is kiváltható, hogy az alkalmazásszoftver gyorsan reagálhasson az alkalmazásspecifikus hibaelemzés vagy -javítás elvégzésével.
Összefoglaló
A TDK-Micronas HVC 5x családja kiterjedt diagnosztikai és védelmi mechanizmusokat tartalmaz, amelyek lehetővé teszik a biztonság szempontjából fontos funkciókkal rendelkező rendszerekben való alkalmazását. A chip architektúrájában figyelembe vették az olyan ipari szabványoknak való megfelelést, mint az ISO 26262 (autóipar) vagy az IEC 61508 (ipar), valamint ezek hatását a „termékbiztonsági életciklusra”.
Az ügyfelek a rendszerük tervezéséhez és a „biztonsági cél” teljesítéséhez szükséges adatlapokat, a hibamód-, hibahatás- és hibadiagnosztikai elemzésről szóló FMEDA összefoglaló jelentést, valamint az alaphibaarányokat és a megfelelő biztonsági kézikönyveket kapják meg. A koordinált diagnosztikai lefedettség a hardver- és szoftverfunkciók kölcsönhatása révén valósul meg. Ez lehetővé teszi az ügyfél számára, hogy az IC-ket az alkalmazásspecifikus funkciókhoz és konfigurációkhoz igazítsa, hogy megfeleljenek az alkalmazás biztonsági követelményeinek.
Rutronik Magyarország Kft.
1117 Budapest, Alíz utca 1.
Tel.: +36 1 231 3349
E-mail: