安全气囊触发芯片的防故障特性
2010-12-20 14:01:43
来源:半导体器件应用网
点击:1429
1. 简介
亚洲的汽车安全气囊系统市场预计将继续增长,这主要得益于中国市场的增长。未来五年,该市场的增幅将达到 25%。此外,韩国出口欧美的汽车装备了越来越多的安全气囊,这主要是因为欧美地区实施的新安全法规。目前,韩国的乘用车已经 100% 装配正面安全气囊,头部安全气囊的增幅预计到 2013 年将达到 44%。中国市场目前的正面安全气囊安装率只有 62%,因此,我们预计该领域将会迎来迅猛增长。另外,随着中国车辆出口的不断增长,安全问题也越来越受到关注,因此,预计今后四年,侧面和头部安全气囊也将不断增长。
目前,随着欧美新法规的实施,安全气囊系统预计将变得更加完善。原始设备制造商将面临着价格压力,需要应对平衡成本、创新与可靠性的挑战。相关研究显示,目前平均售价为 105 美元的正面安全气囊预计 4 年之后成本将降低 15%。业内认为可靠应用是汽车安全气囊系统最重要的问题,因此,本文将探讨在较差的运行条件下(例如泄漏和低压)如何平衡安全要素和系统成本。
近 30 年来,欧洲路面的车辆增加了三倍,但道路却只增加了二倍。随着交通量的日益增大,现代汽车呈现出为驾驶员和乘客提供越来越高的安全性和舒适性的态势。
在提高汽车安全性和舒适性方面,电子技术与其他化学技术和机械技术发挥了重要作用。如今 GPS 系统、自动镜、自动灯、电动座椅、电子喷射装置和其他上百个功能都成为汽车不可或缺的一部分。但除了舒适性以外,用户还希望为自己和家人购买具备更高安全性的汽车。
因此,安全系统开始发挥作用。目前,汽车提供诸如ABS、ESC、ASR、安全气囊、行人保护等主动与被动安全系统。今后,由于道路还远不能达到百分之百安全,因此该市场有望持续增长。
原来的安全系统采用分立式组件提供所需功能,但近些年来,所有系统都采用了集成方式。目前多数 RCU(安全防护控制单元)都是由 MCU(主控单元)、通信接口、电源、传感器接口和燃爆电路构成。本文涵盖 RCU 的燃爆电路部分。下文将探讨安全气囊系统的安全性和应用 IC 的相关安全特性。
2. 气囊安全性
开发安全系统时必须全面考虑系统的各种特性,以确保达到所需的安全水平。从系统的角度出发,安全气囊控制器必须具备两个安全特性:(1)在事故条件下的触发;(2)防止意外触发。
上述两种特性都必须遵照相关标准(即 IEC 61508)的具体要求,确保达到相应的安全水平。
安全系统的相关安全标准提出了“自动防故障”理念。当安全系统出现故障时,其设计应该确保故障不会损坏相邻的系统或对人员造成伤害。
乍看之下,有人可能会觉得第一个特性比第二个特性更重要。然而,事实并非如此。当安全系统检测到意外事故时,如果因为某种故障无法完成气囊的触发,就会造成人员伤亡。尽管如此,绝大多数车主仍希望永远无需触发安全气囊。另一方面,在 RCU 安装到汽车上之后,从汽车测试期到使用周期结束,随时都可能发生安全气囊意外触发。如果出现这种情况会对相关人员造成伤害(工厂工人、汽车驾驶员或修车厂技工)。
综合考虑,应当尽可能确保在发生意外事故时实现安全气囊的正确触发,同时也必须努力防止安全气囊的意外触发。
为了使大家能够更好地了解安全气囊系统以及如何实现故障防护功能,有必要介绍一下整个系统的运行原理(参见图 2)。
通常情况下,汽车卫星传感器接口获取外部传感器(加速度或压力传感器)发送的数据并对其进行分析。这些传感器依据功能或所属类型(前端碰撞加速度传感器、侧面碰撞压力传感器或侧面碰撞加速度传感器)的不同而分布于汽车的前端、车门内或 B 柱上。如果出现碰撞事故,传感器承受的绝对加速度或压力就会大幅提高,使主微控制器得知发生了碰撞事故。这时主微控制器必须依据该传感器的数据、板载传感器的数据、座椅的位置和其他参数,决定是否触发安全气囊。
如果决定触发安全气囊,主微控制器就会向燃爆接口发送指令。与此同时,备用系统(通常为备用 8 位微控制器)也必须依据更基础的数据(即仅板载传感器数据)做出决定,让指定硬件线路允许燃爆 IC 触发气囊。
触发是使电流流过燃爆管(通常在 1.2A 至 1.75A 之间)实现的。燃爆管在此用作电阻仅为几欧姆的电阻器,因此要想节省能量必须控制电流。如果电流流经燃爆管达到一定时间(通常 0.5ms 至 2ms),安全气囊就将完成触发。
从生成传感器信息、发送传感器信息、分析所有参数、做出决策、将决策传输至触发 IC 到最终确保电流仅在需要时通过燃爆管,在这整个流程中必须确保有可靠的自动防故障性能。
下文将针对触发气囊流程的最后两步展开分析。
3. 触发 IC 的安全特性
英飞凌现有的触发 IC 具备多种可确保自动防故障功能的特性。其中包括:
① CrosSave
② 泄漏检测
③ 启动软硬件进行触发
④ 电阻测量
⑤ 开关测试
⑥ 高侧供电(HSS)诊断
⑦ 板载电压测量
上述特性中,前三种专用于防止意外触发,剩下的用于确保在需要时完成触发 1。下文将论述所有这些特性。
3.1 CrosSave
为了在可能出现的“生产故障”(缺陷芯片、ESD 损坏等)条件下,实现自动防故障功能,安全气囊系统需要具备冗余或多样化特性。每个燃爆管配备两个开关(参见图 2)。这两个开关确保电流只有在规定的条件下流入燃爆管。
这种特性可通过三种方式实现:采用单片 IC 集成高侧(HS)和低侧(LS)开关;采用两个相同的 IC,但通过 PCB 设计使高侧开关和低侧开关分离(交叉耦合);或者采用两种不同的技术,将两个不同的芯片集成至一个封装内(CrosSaveTM)。
采用单片 IC 时,如果芯片发生故障,就会带来危险。因为两个开关都集成在一个裸片上,因而无法实现自动防故障功能。
第二和第三种方式分离了两个开关,一旦出现故障,只是一个开关会受损,仍能实现自动防故障功能。哪种方式更加安全则需要进一步探讨。
CrosSaveTM(参见图 3)具备单一封装优势,与其他解决方案相比,节省了板卡空间,降低了设计难度,同时始终确保了系统的自动防故障功能。
一方面,交叉耦合采用冗余性实现自动防故障功能。冗余系统对于共因故障(CCF)的保护较差。另一方面,CrosSave 采用多样性策略,对于 CCF 保护较佳,但有较高的耦合系数。
总之,这两种解决方案与单片系统相比,能够提供更加安全的性能。
3.2 泄漏检测
为了确保只在规定条件下发生燃爆,必须进行泄漏检查。泄漏测量可防止打开一个开关进行测试时(参见3.5节)发生燃爆情况。由于燃爆管通常位于汽车的前端或侧部,而 RCU 位于中控台下,因此需要较长的线束,这很有可能成为泄漏源。
泄漏通常在燃爆管的馈入路径和返回路径进行测试,并在这些位置和接地端及电池端存在泄漏时实现检测。
3.3 启动软硬件进行触发
防止意外触发的特性要求获得多个外部软件指令以及多条硬件线路必须处于预定义状态,方可进行触发。
MCU 必须采用两个不同的 SPI 指令独立打开两个开关(高侧开关和低侧开关)。因此,即使出现通信故障和 SPI 指令被错译为燃爆指令,仍然需要获得第二个指令,才能成功燃爆。
对于英飞凌的 TLE77xx 燃爆系列 IC 而言,利用以前的额外指令 UNLOCK 即可进行燃爆。否则,开关将被打开,电流限值将设定为约 40mA(诊断电流限值),这不足以点燃燃爆管。
如上文所述,硬件线路也必须达到预定义的电压,才能进行燃爆。不同厂商的产品的这种特性有所不同。TLE77xx 燃爆 IC 系列具备四条硬件线路:HSENQ、LSEN、FLENH 和 FLENL。通常前两条与 MCU 连接,另外两条与备用安全引擎(即 8 位微控制器)连接。
HSENQ 和 LSEN 即使在诊断电流限值条件下运行,也能打开高侧开关和低侧开关。这些线路必须与 MCU 连接,目的是进行下文所述的开关测试。
另一方面,FLENH 和 FLENL 也能促使燃爆电流(1.2A... 1.75A)流经高侧开关和低侧开关。因此,只有 MCU 和安全引擎一致认为发生碰撞事故时,才能从储能器中获得燃爆电流触发安全气囊。
3.4 电阻测量
燃爆管在整个使用周期内可能会发生老化,导致在发生碰撞事故条件下无法完成触发,因此需要定期测量电阻,确保燃爆管处于正常的工作状态。如果电阻值超出安全范围,燃爆管关闭,报警灯点亮,向司机发出警报,直至汽车修理完毕。电阻是利用小电流(诊断电流)进行测量的。
通常利用燃爆 IC 的模拟输出端口获得电阻值。
3.5 开关测试
当然,为了确保正确完成触发,燃爆 IC 必须对开关进行自检。这些开关能够防止意外触发(可能发生),但另一方面,当发生碰撞事故时需要同时启动这两个开关(高侧开关和低侧开关)才能完成触发。如果其中一个发生故障,RCU 就无法执行其中的一种功能。
开关测试方法与泄漏测量类似。由于打开高侧开关会出现流向电池的泄漏电流,打开低侧开关会出现流向接地线的泄漏电流。因此,应先进行泄漏测量,然后再打开其中一个开关。
按照 3.3 节所述操作,不仅需要软件指令,而且需要从 MCU 侧将硬件输入线路设为合适的值。
3.6 高侧供电测试(HSS)
对于采用高侧开关的系统,通常需要生成高压以驱动 MOSFET 栅极。TLE77xx 燃爆 IC 系列的高压由储能器提供,如果储能器的电压过低,高压就由外部电容器(高侧供电电容器 CHSS)提供。
这些 IC 能够监控外部电容器的状态,防止在必要时因电容器故障无法完成触发。
要完成该测试需要利用 TLE77xx 燃爆 IC 系列的电流源从高侧供电电容器获得电流。由于该电流是恒定的,只需在固定的间隔时间内两次测量电压,即可得出电容值。因此当电容器过度老化时,需要向驾驶员发出警报,提醒更换电容器。
3.7 板载电压测量
最后,IC 通常还具备测量电路板上所有电压的特性。低压预示着出现故障(MCU 和其他 IC 无法正常运行,无法完成触发等)。为了避免出现这些故障,RCU 采用的多数触发 IC 都能测量外部电压,包括 VCC5、VBOOST 和 VBAT,甚至能够测量 IC 的内部电压,检测可能存在的故障。
测量结果通常利用 IC 模拟端口和 MCU 模数转换器进行输出。
4. 本文小结
本文探讨了安全气囊系统的相关安全问题。通过介绍安全系统在故障条件下如何避免造成人员伤亡来说明系统的安全特性。所有这些特性都会使安全气囊系统变得更加安全,同时保护车内人员在车祸中免受致命伤害。
亚洲的汽车安全气囊系统市场预计将继续增长,这主要得益于中国市场的增长。未来五年,该市场的增幅将达到 25%。此外,韩国出口欧美的汽车装备了越来越多的安全气囊,这主要是因为欧美地区实施的新安全法规。目前,韩国的乘用车已经 100% 装配正面安全气囊,头部安全气囊的增幅预计到 2013 年将达到 44%。中国市场目前的正面安全气囊安装率只有 62%,因此,我们预计该领域将会迎来迅猛增长。另外,随着中国车辆出口的不断增长,安全问题也越来越受到关注,因此,预计今后四年,侧面和头部安全气囊也将不断增长。
目前,随着欧美新法规的实施,安全气囊系统预计将变得更加完善。原始设备制造商将面临着价格压力,需要应对平衡成本、创新与可靠性的挑战。相关研究显示,目前平均售价为 105 美元的正面安全气囊预计 4 年之后成本将降低 15%。业内认为可靠应用是汽车安全气囊系统最重要的问题,因此,本文将探讨在较差的运行条件下(例如泄漏和低压)如何平衡安全要素和系统成本。
近 30 年来,欧洲路面的车辆增加了三倍,但道路却只增加了二倍。随着交通量的日益增大,现代汽车呈现出为驾驶员和乘客提供越来越高的安全性和舒适性的态势。
在提高汽车安全性和舒适性方面,电子技术与其他化学技术和机械技术发挥了重要作用。如今 GPS 系统、自动镜、自动灯、电动座椅、电子喷射装置和其他上百个功能都成为汽车不可或缺的一部分。但除了舒适性以外,用户还希望为自己和家人购买具备更高安全性的汽车。
因此,安全系统开始发挥作用。目前,汽车提供诸如ABS、ESC、ASR、安全气囊、行人保护等主动与被动安全系统。今后,由于道路还远不能达到百分之百安全,因此该市场有望持续增长。
原来的安全系统采用分立式组件提供所需功能,但近些年来,所有系统都采用了集成方式。目前多数 RCU(安全防护控制单元)都是由 MCU(主控单元)、通信接口、电源、传感器接口和燃爆电路构成。本文涵盖 RCU 的燃爆电路部分。下文将探讨安全气囊系统的安全性和应用 IC 的相关安全特性。
2. 气囊安全性
开发安全系统时必须全面考虑系统的各种特性,以确保达到所需的安全水平。从系统的角度出发,安全气囊控制器必须具备两个安全特性:(1)在事故条件下的触发;(2)防止意外触发。
上述两种特性都必须遵照相关标准(即 IEC 61508)的具体要求,确保达到相应的安全水平。
安全系统的相关安全标准提出了“自动防故障”理念。当安全系统出现故障时,其设计应该确保故障不会损坏相邻的系统或对人员造成伤害。
乍看之下,有人可能会觉得第一个特性比第二个特性更重要。然而,事实并非如此。当安全系统检测到意外事故时,如果因为某种故障无法完成气囊的触发,就会造成人员伤亡。尽管如此,绝大多数车主仍希望永远无需触发安全气囊。另一方面,在 RCU 安装到汽车上之后,从汽车测试期到使用周期结束,随时都可能发生安全气囊意外触发。如果出现这种情况会对相关人员造成伤害(工厂工人、汽车驾驶员或修车厂技工)。
综合考虑,应当尽可能确保在发生意外事故时实现安全气囊的正确触发,同时也必须努力防止安全气囊的意外触发。
为了使大家能够更好地了解安全气囊系统以及如何实现故障防护功能,有必要介绍一下整个系统的运行原理(参见图 2)。
通常情况下,汽车卫星传感器接口获取外部传感器(加速度或压力传感器)发送的数据并对其进行分析。这些传感器依据功能或所属类型(前端碰撞加速度传感器、侧面碰撞压力传感器或侧面碰撞加速度传感器)的不同而分布于汽车的前端、车门内或 B 柱上。如果出现碰撞事故,传感器承受的绝对加速度或压力就会大幅提高,使主微控制器得知发生了碰撞事故。这时主微控制器必须依据该传感器的数据、板载传感器的数据、座椅的位置和其他参数,决定是否触发安全气囊。
如果决定触发安全气囊,主微控制器就会向燃爆接口发送指令。与此同时,备用系统(通常为备用 8 位微控制器)也必须依据更基础的数据(即仅板载传感器数据)做出决定,让指定硬件线路允许燃爆 IC 触发气囊。
触发是使电流流过燃爆管(通常在 1.2A 至 1.75A 之间)实现的。燃爆管在此用作电阻仅为几欧姆的电阻器,因此要想节省能量必须控制电流。如果电流流经燃爆管达到一定时间(通常 0.5ms 至 2ms),安全气囊就将完成触发。
从生成传感器信息、发送传感器信息、分析所有参数、做出决策、将决策传输至触发 IC 到最终确保电流仅在需要时通过燃爆管,在这整个流程中必须确保有可靠的自动防故障性能。
下文将针对触发气囊流程的最后两步展开分析。
3. 触发 IC 的安全特性
英飞凌现有的触发 IC 具备多种可确保自动防故障功能的特性。其中包括:
① CrosSave
② 泄漏检测
③ 启动软硬件进行触发
④ 电阻测量
⑤ 开关测试
⑥ 高侧供电(HSS)诊断
⑦ 板载电压测量
上述特性中,前三种专用于防止意外触发,剩下的用于确保在需要时完成触发 1。下文将论述所有这些特性。
3.1 CrosSave
为了在可能出现的“生产故障”(缺陷芯片、ESD 损坏等)条件下,实现自动防故障功能,安全气囊系统需要具备冗余或多样化特性。每个燃爆管配备两个开关(参见图 2)。这两个开关确保电流只有在规定的条件下流入燃爆管。
这种特性可通过三种方式实现:采用单片 IC 集成高侧(HS)和低侧(LS)开关;采用两个相同的 IC,但通过 PCB 设计使高侧开关和低侧开关分离(交叉耦合);或者采用两种不同的技术,将两个不同的芯片集成至一个封装内(CrosSaveTM)。
采用单片 IC 时,如果芯片发生故障,就会带来危险。因为两个开关都集成在一个裸片上,因而无法实现自动防故障功能。
第二和第三种方式分离了两个开关,一旦出现故障,只是一个开关会受损,仍能实现自动防故障功能。哪种方式更加安全则需要进一步探讨。
CrosSaveTM(参见图 3)具备单一封装优势,与其他解决方案相比,节省了板卡空间,降低了设计难度,同时始终确保了系统的自动防故障功能。
一方面,交叉耦合采用冗余性实现自动防故障功能。冗余系统对于共因故障(CCF)的保护较差。另一方面,CrosSave 采用多样性策略,对于 CCF 保护较佳,但有较高的耦合系数。
总之,这两种解决方案与单片系统相比,能够提供更加安全的性能。
3.2 泄漏检测
为了确保只在规定条件下发生燃爆,必须进行泄漏检查。泄漏测量可防止打开一个开关进行测试时(参见3.5节)发生燃爆情况。由于燃爆管通常位于汽车的前端或侧部,而 RCU 位于中控台下,因此需要较长的线束,这很有可能成为泄漏源。
泄漏通常在燃爆管的馈入路径和返回路径进行测试,并在这些位置和接地端及电池端存在泄漏时实现检测。
3.3 启动软硬件进行触发
防止意外触发的特性要求获得多个外部软件指令以及多条硬件线路必须处于预定义状态,方可进行触发。
MCU 必须采用两个不同的 SPI 指令独立打开两个开关(高侧开关和低侧开关)。因此,即使出现通信故障和 SPI 指令被错译为燃爆指令,仍然需要获得第二个指令,才能成功燃爆。
对于英飞凌的 TLE77xx 燃爆系列 IC 而言,利用以前的额外指令 UNLOCK 即可进行燃爆。否则,开关将被打开,电流限值将设定为约 40mA(诊断电流限值),这不足以点燃燃爆管。
如上文所述,硬件线路也必须达到预定义的电压,才能进行燃爆。不同厂商的产品的这种特性有所不同。TLE77xx 燃爆 IC 系列具备四条硬件线路:HSENQ、LSEN、FLENH 和 FLENL。通常前两条与 MCU 连接,另外两条与备用安全引擎(即 8 位微控制器)连接。
HSENQ 和 LSEN 即使在诊断电流限值条件下运行,也能打开高侧开关和低侧开关。这些线路必须与 MCU 连接,目的是进行下文所述的开关测试。
另一方面,FLENH 和 FLENL 也能促使燃爆电流(1.2A... 1.75A)流经高侧开关和低侧开关。因此,只有 MCU 和安全引擎一致认为发生碰撞事故时,才能从储能器中获得燃爆电流触发安全气囊。
3.4 电阻测量
燃爆管在整个使用周期内可能会发生老化,导致在发生碰撞事故条件下无法完成触发,因此需要定期测量电阻,确保燃爆管处于正常的工作状态。如果电阻值超出安全范围,燃爆管关闭,报警灯点亮,向司机发出警报,直至汽车修理完毕。电阻是利用小电流(诊断电流)进行测量的。
通常利用燃爆 IC 的模拟输出端口获得电阻值。
3.5 开关测试
当然,为了确保正确完成触发,燃爆 IC 必须对开关进行自检。这些开关能够防止意外触发(可能发生),但另一方面,当发生碰撞事故时需要同时启动这两个开关(高侧开关和低侧开关)才能完成触发。如果其中一个发生故障,RCU 就无法执行其中的一种功能。
开关测试方法与泄漏测量类似。由于打开高侧开关会出现流向电池的泄漏电流,打开低侧开关会出现流向接地线的泄漏电流。因此,应先进行泄漏测量,然后再打开其中一个开关。
按照 3.3 节所述操作,不仅需要软件指令,而且需要从 MCU 侧将硬件输入线路设为合适的值。
3.6 高侧供电测试(HSS)
对于采用高侧开关的系统,通常需要生成高压以驱动 MOSFET 栅极。TLE77xx 燃爆 IC 系列的高压由储能器提供,如果储能器的电压过低,高压就由外部电容器(高侧供电电容器 CHSS)提供。
这些 IC 能够监控外部电容器的状态,防止在必要时因电容器故障无法完成触发。
要完成该测试需要利用 TLE77xx 燃爆 IC 系列的电流源从高侧供电电容器获得电流。由于该电流是恒定的,只需在固定的间隔时间内两次测量电压,即可得出电容值。因此当电容器过度老化时,需要向驾驶员发出警报,提醒更换电容器。
3.7 板载电压测量
最后,IC 通常还具备测量电路板上所有电压的特性。低压预示着出现故障(MCU 和其他 IC 无法正常运行,无法完成触发等)。为了避免出现这些故障,RCU 采用的多数触发 IC 都能测量外部电压,包括 VCC5、VBOOST 和 VBAT,甚至能够测量 IC 的内部电压,检测可能存在的故障。
测量结果通常利用 IC 模拟端口和 MCU 模数转换器进行输出。
4. 本文小结
本文探讨了安全气囊系统的相关安全问题。通过介绍安全系统在故障条件下如何避免造成人员伤亡来说明系统的安全特性。所有这些特性都会使安全气囊系统变得更加安全,同时保护车内人员在车祸中免受致命伤害。
本文为哔哥哔特资讯原创文章,未经允许和授权,不得转载,否则将严格追究法律责任;
暂无评论