FTTI 时间预算分解 — 从故障发生到 safe state 的微秒级账本(FDTI + FRTI ≤ FTTI worked example)

检测段不能无限快,因为它必须先"躲过"正常开通时器件 VCE 还没降下来的那段合法瞬态,否则每次正常开通都误触发。这段强制等待叫 blanking time(tBLK,消隐时间),是 FDTI 的主要成分:

• tBLK — 典型 0.3-1 μs,必须长到盖住正常开通的 VCE 拖尾,又必须短到 ≤ SCSOA 的约 1/3(这正是 DESAT 评审 EV-DESAT-002 要核的硬约束)
• 比较器 + 滤波延迟 — DESAT 阈值比较 + 去抖,典型 250-500 ns

所以 FDTI 实际下限被 blanking 卡住:你没法把检测做得比"躲过合法瞬态"更快。EV-DESAT-002 的 tBLK ≤ SCSOA/3 本质就是给 FRTI 留出足够剩余窗口。

反应段最直觉的做法是"立刻硬关栅极",但短路电流极大,硬关产生的 $L\cdot \mathrm{d}i/\mathrm{d}t$ 过压会反过来击穿器件——于是 FRTI 不能取 0,必须用 soft turn-off(软关断 / 两级关断) 受控地降 di/dt:

• soft turn-off — 受控降栅压,典型占 0.4-1.5 μs,换取 VCE 过冲落在器件耐压内
• 这是一个双向约束:关太快 → 过压击穿;关太慢 → 吃掉 SCSOA 余量。两级关断 / soft-off 的设计就是在这两个边界之间找窗口(详见 Soft Turn-Off 设计)

最容易踩的概念坑:把 FTTI 当成一个全局数字。实际上每类危害有自己的 FTTI,差异极大,且对应不同的保护层(见 SafeState Manager 的两级架构):

• 快电气故障(短路 / 过流)→ FTTI 微秒级 → 必须走 2nd-Level 硬件层(绕过主 MCU,SBC + 独立 ADC + 看门狗直接拉 STO),本 wiki 给 < 5 μs
• 慢故障(过温 / CAN 超时 / 绝缘退化)→ FTTI 毫秒级 → 走 1st-Level 软件层(SafeState Manager FSM 仲裁),< 100 ms 即可

把慢故障的预算套到快故障上 = 漏窗器件炸;把快故障的预算套到慢故障上 = 过度设计、成本浪费。先按危害归类,再给每类分预算,是这套方法的起点。

取最紧的器件场景 SCSOA = 2 μs(SiC 最坏角)作为 FTTI,按下表分配。原则是先满足 FDTI 下限(blanking 卡死),再把剩余窗口分给 FRTI,并强制留余量:

这条账本和 SiC 并联页 §3 的"DESAT detect 250-500 ns + soft-off 400-1500 ns,总 ≤ 1.5 μs"是同一个预算,只是这里显式标了它是 FDTI / FRTI 的拆分,并显式对齐 FTTI = SCSOA。IGBT 同样的链路因为 SCSOA 8-10 μs,SCSOA 窗口宽 4-5 倍、可用余量宽 ~13-17 倍。

预算是纸面分配,闭环必须实测。DESAT 评审 EV-DESAT-003 要的就是这个证据:在 bench / HIL 上注入短路,用示波器抓 故障注入沿 → safe-state 输出(栅极真正关断) 的端到端延迟,确认实测 ≤ FTTI 且留余量。要分别量 tBLK、检测点、栅压跌落完成点三个时刻,而不是只看总延迟——只有分段量,才知道余量被哪一段吃掉,后续才好优化(故障注入方法见 Fault Injection Test)。

方法学的终点是可追溯的需求。FSR(功能安全需求)说"短路必须在器件损坏前进 safe state",TSR(技术安全需求)必须把它量化成"FDTI ≤ X μs、FRTI ≤ Y μs、X + Y ≤ FTTI(= SCSOA Z μs)、余量 ≥ W%",并标注验证方法(scope 实测)。没有数字的 FTTI 需求无法验证、无法评审(写法见 FSR/TSR Writing)。

本页是 DESAT 评审两条证据项的方法学依据:EV-DESAT-002 的 tBLK ≤ SCSOA/3 是 §2.1 FDTI 下限约束;EV-DESAT-003 的 latency < FTTI 是 §3.1 账本 + §3.2 验证。但要强调:方法学讲清了"该测什么、阈值多少",真实闭环仍需挂上真实的 bench scope / HIL 工件——纸面预算不能替代实测证据。