Funktionale Sicherheit

Motorsteuerung mit Sicherheits-Mikrocontrollern

Seite: 2/3

Firmen zum Thema

Die TPS6538x-Bausteine wurden entwickelt, um die Sicherheits-MCU-Plattform Hercules als auch andere MCUs in sicherheitskritischen Anwendungen zu unterstützen. Dabei ergänzen sich der TPS6538x und die Hercules-MCU und ermöglichen es, das System stets in einen sicheren Zustand zu überführen. Somit bilden die TPS6538x-Bausteine zusammen mit der Hercules-Plattform eine geeignete Grundlage für die Entwicklung sicherheitskritischer Anwendungen.

Leistungsstufen für den Antrieb des Motors

Für eine Motoransteuerung braucht man neben der Spannungsversorgung und der MCU auch noch einen Leistungstreiber zur Ansteuerung der Leitungsstufe für den Motor.

TI bietet auch für diesen Bereich eine Lösung mit dem DRV3201. Der Leistungstreiber für sicherheitskritische Motoransteuerungen enthält Diagnosefunktionen. Er wurde entwickelt, um bürstenlose Gleichstrommotoren mit drei Phasen in einer sicherheitskritischen Anwendung anzusteuern. Dafür ist in den Baustein jeweils ein Treiber für jeden der sechs Leistungs-FETs für den Motor integriert.

Die Treiberstufen sind dafür ausgelegt, Leistungs-FETs mit einer Gate-Ladung bis zu 250 nC anzusteuern. Für die Strommessung hat der DRV3201 zwei genaue Strommessverstärker mit zwei Verstärkerstufen integriert, um eine hohe Auflösung auch bei geringen Lastströmen zu erreichen. Um die Leistungsstufe auch bei niedrigen Eingangsspannungen ansteuern zu können, enthält der Baustein einen integrierten Boost-Wandler, der die stabile Spannung für die Gate-Treiber erzeugt.

Fehler werden erkannt und lassen sich abfangen

Der DRV3201 hat zudem eine große Anzahl an Diagnosefunktionen zur Fehlererkennung im Baustein integriert, so dass er sich besonders für sicherheitsrelevante Anwendungen eignet. Nach dem Einschalten eines FETs wird dessen Drain-Source-Spannung durch den Baustein überwacht. Übersteigt diese Spannung aufgrund eines Fehlers ein voreingestelltes Maximum, wird das durch die Diagnosefunktion erkannt.

Eine fehlerhafte Ansteuerung der Gate-Treiber durch den Mikrocontroller könnte zum gleichzeitigen Einschalten beider FETs in einer Halbbrücke führen. Dies kann einen Kurzschluss verursachen, der die Leistungsbrücke zerstören würde. Der DRV3201 hat einen integrierten Schutzmechanismus (Shoot Through Protection), der das gleichzeitige durchschalten der FETs in einer Halbbrücke verhindert und auch sicherstellt, dass die erforderlichen Totzeiten beim Umschalten zwischen High-Side-FET und Low-Side-FET eingehalten werden.

Als weitere Diagnosefunktion sind eine Unter- und Überspannungsüberwachung integriert. Ist die Versorgungsspannung außerhalb der vorgegebenen Grenzen, werden die Leistungstreiber der Brücke automatisch abgeschaltet. Eine Temperaturüberwachung mit mehreren integrierten Sensoren warnt bei Übertemperatur und schaltet den Leistungsteil ab, um den Baustein vor Schäden durch thermische Überlastung zu schützen.

Integrierte Diagnosefunktionen für mehr Sicherheit

Fehler, die durch die Diagnosefunktionen im DRV3201 erkannt werden, können durch die MCU ausgelesen werden, so dass eine entsprechende Fehlerbehandlung in der MCU erfolgen kann. Darüber hinaus können die Gate-Treiber über verschiedene, unabhängige Pfade von der MCU deaktiviert werden.

Lesen Sie weiter: Sicherheitsstandards IEC 61508 SIL3 und ISO 26262 ASIL-D erfüllen

Artikelfiles und Artikellinks

(ID:31135060)