Funktionale Sicherheit Motorsteuerung mit Sicherheits-Mikrocontrollern

Autor / Redakteur: Marcus Frech, Matthias Kugele und Josef Mieslinger* / Holger Heller

Funktionale Sicherheit von elektronischen Systemen lässt sich mit der Hercules-Plattform von Texas Instruments realisieren. Welche Komponenten sind für sichere Antriebe erforderlich?

Firmen zum Thema

Bild 1: Blockdiagramm einer Motoransteuerung in vereinfachter Darstellung
Bild 1: Blockdiagramm einer Motoransteuerung in vereinfachter Darstellung

Die Herausforderung bei der Entwicklung von sicherheitsrelevanten Systemen besteht darin, die richtigen Systemkomponenten auszuwählen, ohne die Anforderungen der funktionalen Sicherheit aus den Augen zu verlieren. Zusätzlich zum Mikrocontroller werden weitere sicherheitsrelevante Systemkomponenten benötigt. Am Beispiel einer Motorsteuerung werden wir durch die Verwendung von Systemchips mit integrierter Diagnosefunktionalität zeigen, wie die Systemimplementierung deutlich vereinfacht werden kann.

Eine Motoransteuerung benötigt eine Spannungsversorgung, eine Ansteuerlogik, einen Leistungstreiber, eine Leistungsstufe, eine Positionserkennung und Strommessverstärker. Eine sicherheitsrelevante Motoransteuerung benötigt eine Notabschaltung und zusätzlich Diagnosefunktionen wie Spannungs-, Temperatur- und Zeitüberwachung.

Um diese Funktionen in das System zu integrieren werden viele zusätzliche Komponenten benötigt. Bei einem solchen diskreten Systemansatz ist mit hohem Entwicklungsaufwand und Komponentenkosten zu rechnen. Hinzu kommt, dass mit jeder Komponente das Ausfallrisiko steigt und damit auch der Aufwand, deren funktionale Sicherheit zu gewährleisten.

MCU-Spannungsversorgung in Sicherheitsanwendungen

Eine Vereinfachung des Systems ist durch die Verwendung von Systemchips wie dem TPS6538x und dem DRV3201 von Texas Instruments zu erreichen. Der TPS6538x stellt die verschiedenen Spannungen für das System zur Verfügung und hat zusätzlich Sicherheits- und Diagnosefunktionen wie Spannungs-, Temperatur- und Zeitüberwachung integriert. Der DRV3201 ist ein um Sicherheitsfunktionalitäten erweiterter Brückentreiber.

Bild 1 zeigt eine Motoransteuerung in vereinfachter Darstellung unter Verwendung der Systemchips TPS6538x und DRV3201 zusammen mit der Hercules-Sicherheits-Mikrocontroller-Plattform.

Neben der eigentlichen Aufgabe, die geforderten Spannungen für eine MCU bereitzustellen und die entsprechenden Pegel zu überwachen, sollte die Spannungsversorgung in sicherheitskritischen Anwendungen zusätzlich integrierte Diagnose- und Sicherheitsfunktionen haben.

Companion-Bausteine unterstützen die Systemfunktionen

Texas Instruments adressiert diese Herausforderung mit den „Safety Companions“ TPS65381/65383, die zum einen die Spannungen für die MCU, den CAN-Tranceiver und die Sensoren liefern und zum anderen zahlreiche Diagnosefunktionen wie Spannungs-, Zeit- und Temperaturüberwachung, sowie Selbsttests integriert haben.

Die TPS6538x-Bausteine werden mit Linearregler (TPS65381) oder Schaltregler (TPS65383) für die MCU-Core-Versorgung angeboten. Durch die integrierten Sicherheitsfunktionen der TPS6538x-Bausteine wird die Anzahl der Hardwarekomponenten und damit die Komplexität der Hardware verringert. Dadurch wird die Entwicklungszeit verkürzt und auch die Systemkosten werden gesenkt.

Lesen Sie weiter: Fehler werden erkannt und lassen sich abfangen

Die TPS6538x-Bausteine wurden entwickelt, um die Sicherheits-MCU-Plattform Hercules als auch andere MCUs in sicherheitskritischen Anwendungen zu unterstützen. Dabei ergänzen sich der TPS6538x und die Hercules-MCU und ermöglichen es, das System stets in einen sicheren Zustand zu überführen. Somit bilden die TPS6538x-Bausteine zusammen mit der Hercules-Plattform eine geeignete Grundlage für die Entwicklung sicherheitskritischer Anwendungen.

Leistungsstufen für den Antrieb des Motors

Für eine Motoransteuerung braucht man neben der Spannungsversorgung und der MCU auch noch einen Leistungstreiber zur Ansteuerung der Leitungsstufe für den Motor.

TI bietet auch für diesen Bereich eine Lösung mit dem DRV3201. Der Leistungstreiber für sicherheitskritische Motoransteuerungen enthält Diagnosefunktionen. Er wurde entwickelt, um bürstenlose Gleichstrommotoren mit drei Phasen in einer sicherheitskritischen Anwendung anzusteuern. Dafür ist in den Baustein jeweils ein Treiber für jeden der sechs Leistungs-FETs für den Motor integriert.

Die Treiberstufen sind dafür ausgelegt, Leistungs-FETs mit einer Gate-Ladung bis zu 250 nC anzusteuern. Für die Strommessung hat der DRV3201 zwei genaue Strommessverstärker mit zwei Verstärkerstufen integriert, um eine hohe Auflösung auch bei geringen Lastströmen zu erreichen. Um die Leistungsstufe auch bei niedrigen Eingangsspannungen ansteuern zu können, enthält der Baustein einen integrierten Boost-Wandler, der die stabile Spannung für die Gate-Treiber erzeugt.

Fehler werden erkannt und lassen sich abfangen

Der DRV3201 hat zudem eine große Anzahl an Diagnosefunktionen zur Fehlererkennung im Baustein integriert, so dass er sich besonders für sicherheitsrelevante Anwendungen eignet. Nach dem Einschalten eines FETs wird dessen Drain-Source-Spannung durch den Baustein überwacht. Übersteigt diese Spannung aufgrund eines Fehlers ein voreingestelltes Maximum, wird das durch die Diagnosefunktion erkannt.

Eine fehlerhafte Ansteuerung der Gate-Treiber durch den Mikrocontroller könnte zum gleichzeitigen Einschalten beider FETs in einer Halbbrücke führen. Dies kann einen Kurzschluss verursachen, der die Leistungsbrücke zerstören würde. Der DRV3201 hat einen integrierten Schutzmechanismus (Shoot Through Protection), der das gleichzeitige durchschalten der FETs in einer Halbbrücke verhindert und auch sicherstellt, dass die erforderlichen Totzeiten beim Umschalten zwischen High-Side-FET und Low-Side-FET eingehalten werden.

Als weitere Diagnosefunktion sind eine Unter- und Überspannungsüberwachung integriert. Ist die Versorgungsspannung außerhalb der vorgegebenen Grenzen, werden die Leistungstreiber der Brücke automatisch abgeschaltet. Eine Temperaturüberwachung mit mehreren integrierten Sensoren warnt bei Übertemperatur und schaltet den Leistungsteil ab, um den Baustein vor Schäden durch thermische Überlastung zu schützen.

Integrierte Diagnosefunktionen für mehr Sicherheit

Fehler, die durch die Diagnosefunktionen im DRV3201 erkannt werden, können durch die MCU ausgelesen werden, so dass eine entsprechende Fehlerbehandlung in der MCU erfolgen kann. Darüber hinaus können die Gate-Treiber über verschiedene, unabhängige Pfade von der MCU deaktiviert werden.

Lesen Sie weiter: Sicherheitsstandards IEC 61508 SIL3 und ISO 26262 ASIL-D erfüllen

Aufgrund der integrierten Diagnosefunktionen eignet sich der DRV3201 besonders für sicherheitsrelevante Anwendungen im Automobil- und Industriebereich, wie z.B. für elektrische Lenkungen, Pumpenansteuerungen oder Antriebe von Industriemaschinen.

Mit der Hercules-MCU und einem Systemchips wie dem TPS6538x wird die Hardwarekomplexität eines sicherheitsbezogenen Systems reduziert. Die integrierten Diagnosefunktionen sorgen dafür, dass die Sicherheitssoftware schlanker wird und somit Entwicklungskosten eingespart werden.

Sicherheitsstandards IEC 61508 SIL3 und ISO 26262 ASIL-D erfüllen

Die Sicherheitsanforderungen der Standards IEC 61508 SIL3 und ISO 26262 ASIL-D werden abgedeckt und die Entwicklung und Zertifizierung sicherheitskritischer Anwendungen vereinfacht. Anwendungsbereiche des Hercules/TPS6538x-Chipsets sind neben Motorsteuerungen, alle generell sicherheitskritischen Anwendungen, die in der Medizintechnik, der Industrie und bei Anwendungen im Maschinen- und Fahrzeugbau gefunden werden.

Die Anforderungen an die funktionale Sicherheit von Systemen sorgt dafür, dass elektronische Systeme über eine immer größer werdende Zahl integrierter Sicherheitsfunktionen verfügen. Ein Trend zur Abbildung der Systemfunktionalität mit zwei oder drei Chips ist klar erkennbar.

Die zukünftigen Systeme müssen dabei in der Lage sein, einen sicheren Zustand ohne externe Eingriffe und unabhängig von intrinsischen Fehlern aufrecht zu erhalten. Wie ein solches System künftig aufgebaut sein kann, zeigt Texas Instruments mit seinem Chipset bestehend aus dem Systemchip TPS6538x, der Hercules-Mikrocontroller-Plattform und dem Brückentreiber DRV3201.

Ergänzendes zum Thema
Safety-Lösung von TI

Mit der Hercules-MCU und einem Systemchip wie dem TPS6538x lässt sich die Hardwarekomplexität eines sicherheitsbezogenen Systems reduzieren. Die integrierten Diagnose- funktionen sorgen dafür, dass die Sicherheitssoftware schlanker wird und somit Entwicklungskosten eingespart werden.

Sicherheit für alle Bereiche

Die Sicherheitsanforderungen der Standards IEC 61508 SIL3 und ISO 26262 ASIL-D werden abgedeckt und die Entwicklung und Zertifizierung sicherheitskritischer Anwendungen vereinfacht. Anwendungsbereiche des Hercules-/TPS6538x-Chipsets sind neben Motorsteuerungen, alle generell sicherheitskritischen Anwendungen, die in der Medizintechnik, der Industrie und bei Anwendungen im Maschinen- und Fahrzeugbau gefunden werden.

Ergänzendes zum Thema
Funktionale Sicherheit in der Elektronik

Die Anforderungen an die funktionale Sicherheit von Systemen sorgt dafür, dass elektronische Systeme über eine immer größer werdende Zahl integrierter Sicherheitsfunktionen verfügen.

Ein Trend zur Abbildung der Systemfunktionalität mit zwei oder drei Chips ist klar erkennbar. Die zukünftigen Systeme müssen dabei in der Lage sein, einen sicheren Zustand ohne externe Eingriffe und unabhängig von intrinsischen Fehlern aufrecht zu erhalten. Integrierte Diagnosefunktionen in den Bausteinen sind daher eine Grundvoraussetzung.

* * Marcus Frech ist Systems Engineer für Catalog Safety Microcontroller,

* * Matthias Kugele ist wissenschaftlicher Mitarbeiter für Catalog Safety Microcontroller,

* * Josef Mieslinger ist Marketing Manager für Catalog Safety Microcontroller, Texas Instruments, Freising.

Artikelfiles und Artikellinks

(ID:31135060)