Funktionale Sicherheit - Motor-Controller mit umfangreichen Diagnose- und Schutzfunktionen

08.05.2024 Know-How

Die wachsende Bedeutung der funktionalen Sicherheit bei elektronischen Systemen sorgt auch für steigende Anforderungen an die Eigendiagnosefähigkeit komplexer Motor-Controller-ASSPs. Diese beantwortet TDK-Micronas mit den embedded Motor-Controllern der neuen HVC 5x-Familie.

Die Diagnose- und Schutzfunktionen der embedded Motor-Controller werden auf der obersten Anwendungsschicht durch Software abgebildet. Diese Anwendungssoftware wertet etwa Spannungen, Ströme oder Temperaturen aus, die mit dem A/D-Wandler oder anderen Peripherien gemessen werden. In der darunterliegenden Schicht sind softwareunabhängige Schutz- und Diagnosefunktionen in Hardware implementiert. Sie lassen sich zum Teil durch die Anwendungssoftware konfigurieren, aber nicht in ihrer Wirkung beeinflussen. Sie bringen den entsprechenden Funktionsblock oder das gesamte IC in einen Fail-Safe-Zustand, z. B. durch Abschalten der Motorbrücke aufgrund eines Überstrom-Ereignisses oder durch ein System-Reset durch den Digital/Window-Watchdog. 

Indem der Kunde oder die Kundin die im Safety-Manual beschriebenen Schutzmechanismen hinsichtlich Programmierung, Konfiguration und Beschaltung umsetzt, ergibt sich eine definierte Diagnoseabdeckung. 

Stromversorgung durch das 12 V-Bordnetz

Die Bausteine der HVC 5x-Familie können direkt am 12 V-Bordnetz betrieben werden und sind ISO-Puls-konform (ISO 7637-2 und ISO 16750-2). Der Verpolungsschutz erfolgt z. B. durch eine vorgeschaltete Diode. Regler für die untergeordneten Versorgungsdomänen (Analog, Digital und Stand-by) sind komplett integriert. 

Für die Spannungsüberwachung stehen verschiedene Diagnosemöglichkeiten zur Wahl. Eine wichtige Funktion ist die laufende Überwachung der BVDD-Versorgungsspannung mit entsprechenden Über- und Unterspannungs-Interrupts. Die Spannungsüberwachung erzeugt Steuersignale zur Konfiguration des analogen und digitalen Stromversorgungssystems für die verschiedenen Spannungsbereiche. 

Die HVC 5x Motor-Controller sind funktional bis zu einer BVDD-Spannung von 4,8 V (typ.). Sinkt die BVDD-Spannung weiter, gehen die ICs in den sogenannten RETENTION-Modus. In diesem Modus werden alle Analogperipherien einschließlich des Analogreglers und der Motorfunktionen abgeschaltet, die digitalen Peripheriegeräte und die CPU zurückgesetzt und kein Programm mehr ausgeführt. Speicherinhalte bleiben jedoch erhalten. Bei der Rückkehr aus dem RETENTION-Modus erfolgt ein System-Reset. Die Anwendungssoftware kann durch Auslesen eines Statusregisters die letzte Reset-Ursache erkennen und entsprechende Vorkehrungen treffen.

Ein Überspannungsfall wird ebenso durch ein Systemregisterflag angezeigt. Der IC ist bis maximal 40 V funktionsfähig. Allerdings ist ein längerer Betrieb unter Überspannung aufgrund der steigenden Sperrschichttemperatur kritisch und verkürzt die Lebensdauer des ICs. 

Das Überspannungsflag ist eine softwaregestützte Sicherheitsfunktion, die von der Anwendungssoftware verwendet werden sollte, z. B. um den Stromverbrauch zu begrenzen und das Verlustleistungsbudget einzuhalten. Das kann durch Ausschalten von Peripheriemodulen oder durch das Absenken der CPU-Taktfrequenz geschehen.

Eine zusätzliche softwaregestützte Diagnose der Versorgungsspannung und der Reglerspannungen kann durch den internen 12 Bit-ADC erfolgen. Die BVDD-Versorgungsspannung kann z. B. zyklisch gemessen werden. Zusätzlich besteht die Möglichkeit, über einen entsprechend dimensionierten passiven RC-Schutzfilter die Batteriespannung (VBAT) zu messen (z. B. über einen LGPIO-Port). Die Messung beider Spannungen ermöglicht die Reaktion auf Bordnetzinstabilitäten oder Überschwinger, bevor sich diese auf die interne Versorgung auswirken. Über- und Unterspannungszustände lassen sich so vorzeitig erkennen und durch die vorhandenen Interruptquellen in der Software anzeigen, sodass sich der IC in einen sicheren Zustand versetzen lässt. Die 64 kB-Version der HVC 5x-Familie erlaubt zusätzlich auch Messungen der internen Regler- und Bandgap-Spannungen, beispielweise um relative Spannungsdriften über die Lebensdauer zu erkennen.

Taktsystem mit zwei Oszillatoren

Das Taktsystem der Motor-Controller verfügt über zwei unabhängige On-Chip-Oszillatoren, den Haupt- und den Hilfsoszillator. Der Hauptoszillator stellt den 40 MHz Hauptclock des Systems bereit und dient als Basis für den Clock der Analog- und Digitalmodule. Die Versorgung des Hauptoszillators erfolgt durch den analogen Regler, wohingegen der Hilfsoszillator unabhängig vom Stand-by-Regler versorgt wird. Der Hilfsoszillator dient als Taktquelle für den Window-Watchdog (WWDG), der sowohl die Oszillatoren als auch den Programmfluss überwacht. Das Auslösen des WWDG erzeugt einen System-Reset. 

Neben dem WWDG verfügen die HVC 5x Motor-Controller auch über einen Digitalen Watchdog (DWDG) zur Überwachung der korrekten Programmausführung. Im Gegensatz zum WWDG wird der DWDG vom Hauptoszillator getaktet. Jeder Fehler in der Programmausführung, der das erneute Auslösen des DWDG innerhalb einer programmierbaren Zeit verhindert, führt zu einem System-Reset. 

In allen Fällen kann nach dem Aufstarten die Ursache des letzten Resets durch Auslesen des Systemstatus ausgewertet werden. Der WWDG ist immer aktiviert und lässt sich nur für Debug-Zwecke mit einem speziellen Schlüsselwort disabeln.

I/O-Schutzfunktionen

Die HVC 5x-Familie verfügt über 3,3 V I/O-Ports (für Debugging, digitale/analoge Funktionen), ein LIN-Bus-Interface sowie Ports für die direkte BLDC- und Schrittmotorsteuerung. Je nach Version unterstützen die HVC 5x Motor-Controller BLDC- und Stepper-Motoren oder nur BLDC-Motoren. 

Der AVDD-Regler-Ausgang kann z. B. für die Versorgung externer Sensoren bis zu einem Nennausgangsstrom von 15 mA genutzt werden. Der AVDD-Regler enthält unter anderem eine Unterspannungserkennung und erzeugt einen Reset, wenn diese unterschritten wird. 

Der LIN-Port dient zur Kommunikation mit externen Geräten über den LIN-Bus und erfüllt die Anforderungen der ISO 17987 und SAE-J2602-Standards. Zudem lässt er sich auch für weitere Kommunikationsprotokolle (z. B. PWM) verwenden. Er verfügt über einen 8 kV ESD-Schutz und eine Überstromabschaltung, die bei Erreichen der Überstromgrenze den Pin in einen rezessiven Zustand schaltet. Der LIN-Pin ist in den Modi RETENTION und Power-Saving bei thermischer Abschaltung sowie nach einem System-Reset automatisch rezessiv.

Ein Überstromereignis am LIN-Port wird durch ein Überstromflag in den Portregistern angezeigt und kann von der Anwendungssoftware entsprechend bewertet werden. Darüber hinaus kann die Anwendungssoftware die Überstromereignisse durch Interrupts auswerten und sofort geeignete Sicherheitsmaßnahmen einleiten.

Thermische Sicherheitsfunktionen

Die HVC 5x Motor-Controller verfügen über drei Temperatursensoren für die Überwachung der Sperrschichttemperatur: Ein Temperatursensor löst bei Überschreiten des Übertemperaturlimits direkt eine thermische Abschaltung (TSD) des IC aus. Der TSD ist ein ausfallsicherer Zustand, in dem alle analogen und digitalen Module ausgeschaltet sind, um die interne Verlustleistung zu minimieren und Fehlfunktionen des Geräts zu vermeiden. 

Ein weiterer Temperatursensor, der vom Stand-by-Regler versorgt wird, überwacht die Sperrschichttemperatur nach einem TSD, um den IC bei Unterschreiten einer festgelegten Sperrschichttemperatur wieder zu reaktivieren. Nach Rückkehr aus dem TSD wird ein Systemstatusflag gesetzt, das die Anwendungssoftware auswerten kann, um dann entsprechende Maßnahmen wie Selbsttest o. ä. einzuleiten. 

Der dritte Temperatursensor kann über den A/D-Wandler ausgelesen werden. Eine zyklische Temperaturüberwachung erlaubt die Reaktion auf eine steigende Sperrschichttemperatur durch Maßnahmen wie das Ausschalten bestimmter Module, das Verringern der CPU-Taktfrequenz oder das Versetzen des Geräts in einen der Energiesparmodi.

Motorbrücke Diagnose- und Schutzfunktionen

Je nach Variante verfügen die ICs der HVC 5x-Familie über drei (z. B. HVC 5222C/ HVC 5223C) oder bis zu vier integrierte Halbbrücken, an die sich BLDC- oder Schrittmotoren ohne zusätzliche externe Komponenten direkt anschließen lassen. Jeder Port ist ausgestattet mit einem internen Überstromschutz mit programmierbarer Reaktionszeit sowie Interlocking durch Überwachen der Gate-Spannungen der Brückentransistoren. Ein Überschreiten der Überstromschwelle generiert einen Interrupt. Durch geeignete Flags wird der Port identifiziert, an dem der Überstrom auftrat. Daraufhin können entweder alle oder nur die durch den Überstrom betroffenen Halbbrücken deaktiviert werden. Eine Halbbrücke lässt sich erst dann wieder aktivieren, wenn die Anwendungssoftware das Überstromflag gelöscht hat. Um den Safe State zu gewährleisten, werden alle Brückentransistoren während des RETENTION-, Energiespar- oder TSD-Modus sowie nach einem System-Reset auf HiZ gesetzt.

Zusätzlich zu den integrierten Diagnosefunktionen der Motorbrücken sind softwaregestützte Sicherheitsfunktionen möglich, um den IC an den spezifischen Motor- bzw. Anwendungsfall anzupassen. 

Durch die integrierten Back-EMF-Komparatoren (Gegen-EMK) kann die generatorische Spannung des Motors ausgewertet und beispielsweise mit der Rückmeldung der Rotorpositionssensoren verglichen werden. Zudem lassen sich die Verbindungen zu den Motorphasen durch die Auswertung der Gegen-EMK an der nicht angesteuerten Motorphase überprüfen. 

Speziell für Schrittmotoranwendungen (für HVC 5x Varianten mit vier MOUT-Ports) können über den 12 Bit-ADC die EMK-Spannungen an beiden Motorphasen gemessen und damit die Drehmomentbelastung des Motors überprüft werden. Dadurch ist es möglich, in der Anwendungssoftware z. B. eine abgestimmte Blockier-Erkennung zu implementieren. Für applikative ADC-Strommessungen stehen für die HVC 5x-Varianten mit vier MOUT-Ports integrierte Stromshunts (RS0 und RS1) sowie bei allen HVC 5x die Messmöglichkeit über einen externen Shunt-Widerstand zur Verfügung. Diese lassen sich z. B. für Motorstromregelung und Diagnosefunktionen einsetzen. 

Speicherschutz und Diagnosefunktionen

Die ICs der HVC 5x-Familie bieten mehrere On-Chip-Speicherblöcke. Ein 1 kB Start-Up ROM enthält die Startsequenz, die Interrupt-Tabelle, Flash-Utility-Funktionen sowie die Überprüfung, ob das IC-Trimming durchgeführt wurde. Die Programmdaten werden im internen SRAM (je nach HVC 5x-Version 2 - 4 kB) gespeichert. Ein Flash-Speicher (je nach HVC 5x-Version 32 - 64 kB) steht für Anwendungsprogramme und Diagnosefunktionen zur Verfügung. Die HVC 5x-ICs verfügen zusätzlich über 512 - 2048 Byte EEPROM und 256 - 1024 Byte NVR zur Speicherung nichtflüchtiger Anwendungsdaten. Ein Schreibschutz verhindert einen Missbrauch der Daten. Der Flash-Hauptspeicher enthält auch einen Schreib-/Löschschutz. Flash, EEPROM und NVR verfügen über eine ECC zur Erkennung von Doppel- und Einzelbitfehlern sowie zur Korrektur von Einzelbitfehlern. Im Falle einer Fehlererkennung ist der spezifische Fehlertyp und der betroffene Speicher auslesbar. Zudem kann ein Interrupt ausgelöst werden, sodass die Anwendungssoftware schnell durch eine anwendungsspezifische Fehleranalyse oder -korrektur reagieren kann. 

Fazit

Die HVC 5x-Familie von TDK-Micronas beinhaltet umfangreiche Diagnose- und Schutzmechanismen, sodass sie auch in Systemen mit sicherheitsrelevanten Funktionen eingesetzt werden kann. Die Konformität zu Industriestandards wie ISO 26262 (Automotive) oder IEC 61508 (Industrial) und deren Einfluss auf den "Product Safety Life Cycle" ist in ihrer Chiparchitektur berücksichtigt.

Kunden erhalten für die Auslegung ihres Systems und für die Erfüllung des "Safety Goals" relevante Datenblätter, einen FMEDA-Summary-Report für Fehlermöglichkeits-, Fehlereinfluss- und Fehlerdiagnoseanalyse und Base-Failure-Rates sowie entsprechende Safety-Manuals. Die abgestimmte Diagnoseabdeckung wird durch die Interaktion von Hardware- und Softwarefunktionen erreicht. Dies bietet dem Kunden die Möglichkeit, die ICs an anwendungsspezifische Funktionen und Konfigurationen anzupassen und so die Sicherheitsanforderungen der Anwendung zu erfüllen.

Motorbrücke Diagnose- und Schutzfunktionen im Überblick:

  • Überstrom-Überwachung mit Überstrom-Interrupts
  • Überstromfilter mit einstellbarer Filterzeit
  • Überwachung der Motorphasen-Spannung und des Motorstroms
  • Interlocking („gate voltage monitoring“)
  • Charge-Pump-Überwachung / -Abschaltung
  • Automatische Abschaltung der Brücke beim Umschalten von Betriebsmodi 
  • Applikative Strommessung über interne Shunts (nur HVC 5x mit vier MOUT) und/oder externen Shunt für zusätzliche Diagnose

Weitere Informationen und eine direkte Bestellmöglichkeit finden Sie auch auf unserer e-Commerce-Plattform www.rutronik24.com.

Bleiben Sie auf dem Laufenden, indem Sie unseren Newsletter abonnieren.

Bild 1: Hardware- und Software-Systeminteraktion mit BLDC-Motor (Bild: TDK-Micronas)

Bild 2: Spannungs- und Temperaturüberwachung der Motor-Controller der HVC 5x-Familie (Bild: TDK-Micronas)

Bild 3: Ein Window-Watchdog und ein digitaler Watchdog überwachen den Systemtakt und die Programmausführung der Motor-Controller. (Bild: TDK-Micronas)

Bild 4: Motorbrücke Diagnose- und Schutzfunktionen (Bild: TDK-Micronas)