功能安全與 ISO 26262

任何具影響力的技術都會產生一系列風險，在汽車安全相關系統中可能格外嚴重。國際標準化組織 (ISO) 26262 系列標準「道路車輛 – 功能安全」的目的，在於透過提供汽車電氣和電子系統的功能安全準則和要求，進而降低道路車輛的風險。ISO 26262 公布內容包含 12 個部份，並於 2018 年更新，以因應不斷演進的汽車技術，而此標準現在也包含對半導體的特定需求。ISO 26262 詳細說明以風險為基礎的汽車專屬方法，以判斷風險等級，即汽車安全完整性等級 (ASIL)，其建立方式是根據三個變數對潛在危害進行風險分析，前述變數為：嚴重性、曝露機率和駕駛可控度。

汽車製造商在開發功能安全合規平台時，需要因應各種 ASIL 系統層級等級。舉例來說，環景系統、駕駛監控，以及先進駕駛輔助系統 (ADAS) 的雷達和光達系統，需要 ASIL D 的系統層級等級。而數位駕駛艙和資訊娛樂系統等終端設備，則只需要 ASIL B 等級。這類安全關鍵系統的首要主題，是需要從汽車電池來源可靠地為高電流系統單晶片 (SoC) 和多核心處理器負載供電。

具備外部電壓監控功能安全合規設計

同步降壓控制器積體電路 (IC) 可在具備 12V、24V 和 48V 電池輸入的汽車設計中實現 DC/DC 轉換，以滿足高電流處理器負載的需求，其電流規格通常超過 100A。圖 1 顯示雙輸出配置，其在每個輸出上整合了電壓監控 IC，以讓系統達到 ASIL D 功能安全合規性。

圖 1 具有輸出電壓監控 IC 的無電池雙輸出降壓前置穩壓器

圖 1 中的 Q₃ 和 Q₆ 標示了在輸出故障情況下開啟的輸出斷開開關。如 圖 1 所示的傳統雙輸出降壓控制器會使用電源良好 (PG1/2) 接腳，將初階診斷資訊回系統微控制器 (MCU)。

具備同步降壓控制器的功能安全合規設計

80V LM5137F-Q1 雙通道 DC/DC 降壓控制器包含所有必要功能，可針對高功率 SoC 核心與 I/O 軌實作高效率同步降壓穩壓器。此裝置是透過具有三種功能安全類別的控制器系列提供：TI 功能安全能力、ASIL B 或 ASIL D，後兩個選項在裝置零件編號中會標示「F」後綴。

此系列也具備電壓擴充性，可支援 12V、24V 及 48V 電池輸入，且切換頻率範圍為 100kHz 至 2.2MHz。整合式電荷泵閘極驅動器可提供 100% 占空比能力和真正的直通模式運作。LM5137F-Q1 也具備超低靜態電流，可延長電池續航力和提高輕載效率，並具備雙隨機展頻 (DRSS)，以成功因應各種頻率中的電磁干擾 (EMI) 問題。

圖 2 顯示在使用 LM5137F-Q1 降壓控制器的 ASIL D 系統中，前置穩壓器設計的完整電路圖。此設計具有基本上與 圖 1 相同的運作規格和功率級元件，但不需要外部電壓監控 IC。若要增加彈性，您可將降壓控制器配置為具有兩個交錯相位的單輸出實作 (或堆疊至四個相位，以因應特別嚴苛的高電流負載)。

圖 2 使用 LM5137F-Q1 降壓控制器以達到 ASIL D 的無電池雙輸出降壓前置穩壓器

LM5137F-Q1 整合安全機制，有助於達到 ISO 26262 系統功能和最高 ASIL D 的硬體完整性功能安全要求。此類安全機制包含類比內建自我測試 (ABIST)，可在允許啟動輸出前驗證 LM5137F-Q1 控制器和周遭周圍元件的健康狀態。此裝置也具備冗餘輸出電壓監控，可免除外部電路並節省硬體成本、尺寸，以及降低複雜性。其他安全機制包括進階故障報告、過電流監控與報告、輸出欠電壓與過電壓保護，以及冗餘過熱自動關機。

正如 圖 2 所示，功能安全降壓控制器的系統和電路層級優勢包括：

• 整合式診斷，包括啟動前的 ABIST 和正常運作期間的各通道電流監控。
• 整合式冗餘功能，包括進階故障識別與容錯，以降低基於失效率 (FIT) 的故障率。
• 免除對補充電壓和電流監控 IC 的需求，進而減少元件數量並節省空間。

具備同步降壓控制器的功能安全合規設計

搭載整合式開關的降壓轉換器可提供電壓及電流擴充性，是適用於預先穩壓級的另一個選項。舉例來說，65V、8A LM68680-Q1 與 65V、4.5A LM68645-Q1 降壓轉換器系列可維持輸入暫態為 70V，同時滿足必須至少達到 ASIL C 之系統的要求。這些轉換器可擴充至 12V、24V 和 48V 輸入，並可提供類似上述 LM5137F-Q1 控制器的功能安全功能。

圖 3 是使用 LM68680-Q1 和 LM68645-Q1 做為前置穩壓器，饋送 30A TPS62883-Q1 和 20A TPS62881-Q1 堆疊式雙相位負載點 (PoL) 降壓轉換器的系統原理圖。透過輸出電壓的差動遠端感測和超快速負載暫態響應，這些 PoL 可為 ADAS 網域控制器應用中使用的 Jacinto™ TDA4VH-Q1 汽車 SoC 提供嚴格的電壓穩壓。

圖 3 以降壓轉換器為汽車 SoC 供電的系統原理圖

不論所選架構是以控制器或轉換器選項為各種 SoC 電壓軌供電，TI 都能提供業界標準報告及其他資源，包括 IC 層級文件在內，例如功能安全 FIT 率和故障模式影響與診斷分析 (FMEDA)，以協助簡化功能安全系統層級認證。

結論

隨著汽車電力電子朝向更高密度、更小封裝、更佳性能與更低成本的功能安全合規設計邁進，我們必須重新思考降壓前置穩壓器功率級的控制器和轉換器選擇。在此背景下，設計需要高密度降壓前置穩壓器的系統時，所面臨的主要挑戰之一就是需實現最高達 ASIL D 的功能安全合規性。

相對於需要補充監視和監控元件來達成功能安全合規性的傳統控制器設計，LM5137F-Q1 等降壓控制器可提供多項固有優勢。此外，TI 功能安全合規 65V 額定降壓轉換器也可為低功率設計提供替代方案。

其他資源

• 詳閱 TI 的功能安全登陸頁面。
• 下載 LM5137F-Q1 降壓控制器以及 LM68645-Q1 和 TPS62883-Q1 降壓轉換器的產品規格表。
• 檢視 LM25137F-Q1-EVM5D3 評估模組使用指南。
• 閱讀技術文章「以 TI 功能安全合規降壓穩壓器為新一代 ADAS 處理器供電」。
• 參閱白皮書「簡化汽車及工業的功能安全認證」。

註冊商標

所有商標皆屬於其各自所有者之財產。