DRV-B2 — 短路保护 DESAT:从 SCSOA 的能量-时间极限,推出退饱和检测的原理、时间预算与盲区

DRV-B1 的账本里,每相约 156 W、导通项主导,这是一个热稳态问题:功率慢慢灌进散热器,结温在热阻链上达到平衡。短路把这套逻辑整个掀翻。

短路时器件离开饱和区(desaturation):负载阻抗塌缩到近零,几乎全部母线电压加在导通器件两端,而漏极电流不再由外电路决定,转由器件自身的跨导特性限制到一个饱和电流 $I_{sat}$,典型 5-8 倍额定。于是瞬时耗散是:

对比 DRV-B1 正常工况下单器件几十瓦的耗散,这是三到四个数量级的功率跃迁,且全部砸在毫米见方的芯片有源区里。这么大的功率、这么短的时间(微秒级),热量根本来不及扩散到封装和散热器——边界条件从"稳态热阻"变成绝热(adiabatic):热扩散深度远小于芯片厚度,芯片像一个孤立的小热块自己飙温。据短路鲁棒性文献,这一绝热假设是 SCSOA 建模的标准前提(芯片顶面被塑封视为绝热、底面恒温)。

所以 DRV-B2 的硬约束是:短路保护不是功率预算问题,是时间竞赛问题。器件能扛的不是"多少瓦",而是"绝热升温击穿前的那几微秒",这个窗就是 SCSOA。一切短路保护设计——检测机制、阈值、关断方式——都是在这个不可谈判的微秒窗里求解。 下面先推 SCSOA 为何是微秒、为何 SiC 比 IGBT 更短,再推 DESAT 为何是唯一可行的检测手段。

SCSOA(Short-Circuit Safe Operating Area)的本质是一个能量-时间极限。绝热条件下,芯片吸收的短路能量 $E_{sc}=P_{sc}{t}_{sc}$ 全部转成有源区温升:

其中 $c_v$ 是材料体积热容、$Ad$ 是参与吸热的有源区体积。当 $\Delta T_j$ 把结温推到失效阈值,器件就毁——所以"能扛多久"$t_{sc}$ 直接由这个等式定。SCSOA 是器件物理定死的分母,工程师不能加大它,只能在它之内分配检测+反应时间(这正是 FS-A3 反复强调的"FTTI 是分母不是目标")。

为什么 SiC 短路耐受时间(文献约 1-7 μs,随母线电压/结温/器件而变,工程主驱常按约 2-3 μs 设余量)结构性地短于 Si IGBT(约 5-10 μs)?从上式三个因子逐一看,根因有三,且都指向同一方向:

第一,SiC 芯片小、热容低。SiC 电流密度高,同样额定电流的芯片面积显著小于同级 Si IGBT(典型仅其几分之一),$Ad$ 小 → 同样能量下 $\Delta T_j$ 涨得快。这是文献明确点名的首要根因("smaller die size → smaller thermal capacitance")。

第二,SiC 短路饱和电流密度更高。短路下 SiC 的电流密度比同级 Si IGBT 高 5-10 倍,$I_{sat}$ 相对更大 → $P_{sc}$ 更高 → 升温更快。降 $R_{ds(on)}$ 想要的短沟道、高栅压恰恰抬高 $I_{sat}$、缩短耐受时间,这是一对设计上的硬权衡。

第三,SiC 失效门槛更复杂。IGBT 主要是源极铝熔化/本征热击穿;SiC 还额外叠加栅氧的热-电场退化——高温下栅氧界面电子隧穿与热电子注入加剧,以及 SiO2 与 SiC 热膨胀系数失配导致栅氧边缘开裂。这意味着 SiC 可能在芯片整体熔毁之前就因栅氧退化失效,有效失效温度更低,窗口更窄。

走一个量级核:取 $t_{sc}=2\mu \mathrm{s}$、$P_{sc}=192\mathrm{kW}$,绝热吸收能量 $E_{sc}\approx 192\times 10^3\times 2\times 10^{-6}\approx 0.38\mathrm{J}$,集中在零点几平方厘米的有源区里——能量密度落在 SiC 短路临界能量的量级附近(文献给的临界能量随条件在约 1-数 J/cm² 区间,此处仅作量级自洽,不作精确判据)。这个估算的工程含义不是算出确切 $t_{sc}$(那要查 datasheet 的 SCSOA 曲线),而是说明:微秒,就是绝热升温撞上失效温度的时间尺度。 而正是这个微秒尺度,决定了下一节——检测必须用什么机制。

FS-A3 给过一条采样率公式:周期采样诊断的最坏检测时间 ${\text{FDTI}}_{wc}=m{T}_s+t_{proc}$,要塞进 FTTI 就要求 $f_s\ge m/[(1-\beta )\text{FTTI}-\text{FRTI}-t_{proc}]$。把 SCSOA $\approx 2\mu \mathrm{s}$ 当 FTTI 代进去:即使去抖 $m=1$、反应与处理时间压到极限,要求的采样率也是兆赫兹量级,远超任何主控 MCU 的 ADC+中断链能稳定兑现。

结论是数学逼出来的,不是工程偏好:微秒级短路无法用"采样—判决"的离散诊断兜住,检测必须坍缩成 $T_s\to 0$ 的连续模拟比较。 DESAT 正是这个连续比较器——它不采样、不进 MCU,在栅极驱动 IC 内部用一颗比较器实时盯住一个能瞬间反映短路的模拟量。

盯什么量?盯 $V_{ds}$,因为短路最早、最确定的电学指纹就是失饱和:正常导通 $V_{ds}\approx 2\mathrm{V}$,短路瞬间 $V_{ds}$ 朝母线电压飙升。实现上用一颗高压二极管 $D_{DSAT}$(1.7 kV 级、快恢复)当"$V_{ds}$ 探头":正常时 $D_{DSAT}$ 导通,把 DESAT 引脚钳在 $V_{ds(on)}+V_F\approx 3\mathrm{V}$,低于内部阈值 $V_{DSAT}$(典型 7 V),不触发;短路时 $V_{ds}$ 升高使 $D_{DSAT}$ 反偏,IC 内电流源 $I_{charge}$(典型 500 μA)给消隐电容 $C_{blank}$ 充电,引脚电压线性爬到 $V_{DSAT}$ → 比较器翻转、触发 FAULT。

这里 $C_{blank}$ 引入了一段强制等待,叫消隐时间(blanking),它不是可有可无的:器件正常开通的过渡期里 $V_{ds}$ 本来就还没降到导通态,若不屏蔽,每次正常开通都会被误判成短路。消隐时长由充电公式定:

这正是 FS-A3 说的"FDTI 不能取零"在硬件层的物理对应——检测必须先躲过合法瞬态。消隐越长越不误报,却越吃 SCSOA;SiC 主驱实务取 33-47 pF($t_{blank}\approx 450\text{-}650$ ns),100 pF/1.4 μs 一档就吃掉了 SCSOA 的一半、SiC 不用。原理细节见 DESAT 保护深度。

现在把 FS-A3 的抽象总账 $\text{FDTI}+\text{FRTI}\le (1-\beta )\text{FTTI}$ 落到 DESAT 的具体器件时间上。对应关系是一一对上的:

• FTTI $\to$ SCSOA:危害的物理倒计时,这里就是器件短路耐受窗。
• FDTI $\to$ 检测链 $=t_{blank}+t_{detect}+t_{response}$:从短路发生到 FAULT 确认输出。
• FRTI $\to$ 软关断 $=t_{TLTO}$:从 FAULT 到器件物理进入安全态(电流归零)。
• 余量 $(1-\beta )$:DESAT 工程惯例取 $0.7$,即 $\beta =0.3$,落在 FS-A3 给的 $\beta \approx 0.2\text{-}0.4$ 内。

于是校核不等式是:

代入 SiC 800 V 主驱典型值(TI UCC21750-Q1 一类集成 TLTO 的 IC):$t_{blank}=300$ ns、$t_{detect}=50$ ns(比较器响应)、$t_{response}=150$ ns(FAULT→软关断使能)、$t_{TLTO}=800$ ns(两级关断完成):

而 SCSOA 取 2 μs(典型 1200 V SiC 模块)时 $0.7\times 2=1.4\mu \mathrm{s}$ → $1.3<1.4$ ✓,但余量仅 100 ns。这就是 SiC 短路保护是"1 μs 量级紧度工程"的来历:对照 IGBT 的 5-10 μs SCSOA,同一条检测链有 3-7 μs 的从容余量,SiC 几乎没有。

把 FDTI/FRTI 拆开看责任分配更清楚:检测链 $t_{blank}+t_{detect}+t_{response}=500$ ns 是 FDTI,软关断 $t_{TLTO}=800$ ns 是 FRTI。FRTI 反而比 FDTI 大——为什么不直接硬关断把 FRTI 压到零?因为短路电流已达数千安,硬关的 $L_s\mathrm{d}i/\mathrm{d}t$ 过压会反过来击穿器件(这正是 FS-A3 说的"FRTI 不能取零":安全态建立要受控搬运能量)。下一讲 DRV-B3 专门拆这段软关断。

DESAT 在 FMEDA 里常被 claim 成短路的主力 SM,但它有结构性盲区。看不清盲区,就会在 Safety Case 里注入 FS-A3 警告过的"静默假证据"。

第一,消隐窗内的短路漏检。blanking 的 $t_{blank}\approx 300\text{-}650$ ns 是一段强制盲期:若短路恰好发生在器件刚开通、DESAT 还在屏蔽的窗口里,这段时间 DESAT 看不见。对 SCSOA 仅 2 μs 的 SiC,300 ns 盲期已是窗口的 15%——这是消隐"防误报"与"留盲区"的本质矛盾,只能权衡、不能消除。

第二,Type I 与 Type II 的起算点不同,后者更险。Type I 是开通时负载已短路(硬短路接通,HSF),DESAT 响应窗从 $t=0$ 起算,有完整 SCSOA 可用,相对从容。Type II 是稳态工作中负载突然短路(FUL),此时器件本在饱和区、$V_{ds}\approx 2\mathrm{V}$,短路发生后 $V_{ds}$ 要先从 2 V 爬到 $V_{DSAT}$ 阈值才开始计时——这段爬升带来约 600 ns 的检测滞后,而 SCSOA 的倒计时从短路发生那一刻就已起跑。于是 Type II 的有效余量被这 600 ns 滞后吃掉一大块,是工程上最容易在 DV 阶段漏测、量产暴雷的场景。

第三,DESAT 链路自身失效不自检。$V_{DSAT}$ 基准漂移、$C_{blank}$ 短路、$D_{DSAT}$ 短路/开路、比较器卡死——任一失效都让保护静默失效(漏报或误报),单元件诊断覆盖率只有 60-90%。要达 ASIL D 要求的 DC ≥ 99%,必须靠系统级补强:MCU 监测 FAULT 频率、上电 BIST 强制注入 DESAT 测试验证链路通、旗舰 IC 用双比较器+双基准冗余。这呼应 FS-A3 的第二根轴——这类潜伏失效不归 FTTI 管,归 MPFDTI(驾驶循环/上电自检)管,喂的是 LFM 而非 SPFM。详见 DESAT 保护深度 与 SiC 短路耐受深度。

把整讲压成三条可上手的准则,它们共同的根是"短路是绝热能量竞赛,DESAT 是被 SCSOA 微秒窗逼出的硬件连续检测":

1. 短路保护按时间预算设计,不按功率预算。 先从 datasheet 查 SCSOA(SiC 约 2-3 μs / IGBT 5-10 μs,随电压温度变),再用 $t_{blank}+t_{detect}+t_{response}+t_{TLTO}\le 0.7\times t_{SCSOA}$ 倒推每段时间。SiC 的余量常只有百纳秒级,IGBT 宽 3-7 μs——这条不等式可行/不可行的分界,就是 FS-A3 那条采样率公式在驱动层的落点。
2. 消隐时间是双刃约束,$C_{blank}$ 别照搬。 $t_{blank}=C_{blank}{V}_{DSAT}/I_{charge}$;太短(22 pF)开通误报、太长(100 pF+)吃 SCSOA 还留大盲区。SiC 主驱 baseline 取 33-47 pF,DV 阶段实测 Type I/II 波形再调。
3. Type II 与链路自检是 FMEDA 必查的两个坑。 Type II 从短路发生起算、约 600 ns 检测滞后,DV 必须单独验"稳态+突变"场景;DESAT 链路单元件 DC 仅 60-90%,靠 MCU FAULT 监测+上电 BIST+双比较器补到 ≥ 99%,这部分归 MPFDTI/LFM 管,别和 FTTI/SPFM 混用。