栅极驱动的功能安全诊断（Gate Driver Safety）

读完本页后,你应该能够:

• 说出栅极驱动 IC 6 类内置 SM(DESAT / OCP / UVLO / AMC / STO / fault report)各自抓什么 fault
• 解释 SiC SCWT 2-3 µs 为什么决定了所有短路保护必须硬件 SM
• 区分 DESAT 检测原理 vs OCP 比较器的不同覆盖
• 解释 Active Miller Clamp 为什么在高 dv/dt SiC 场景必须有
• 设计 STO 双 enable 物理双路路径,以及避免共因的 DFA
• 估 ASIL D 主驱栅极驱动链的 FMEDA 数字
• 识别栅极驱动诊断 5 个反模式

栅极驱动是"力的传递"——MCU 给 PWM,驱动 IC 把它放大成栅极电流推动功率管开关。链路上任何 fault 都直接传播到功率级:

这就是栅极驱动 IC 必须是 ASIL D 等级器件的根本原因——它是控制 → 功率的最后一公里,失效直接通到 hazard,中间没有缓冲。

短路保护的最严约束来自 SCWT(Short Circuit Withstand Time) ——功率管能承受短路电流不烧的最长时间:

SiC 的 2-3 µs 是个生死线:任何反应路径经过 MCU 软件中断(典型延迟 5-20 µs)都来不及。所以驱动级所有短路 SM 必须是硬件比较器 + 直拉栅极,不能通过 MCU 中转。

主流 ASIL D 驱动 IC(Infineon 1EDI3035AS / TI UCC21750-Q1 / STM STGAP2)都集成 6 类硬件 SM:

这 6 件套叠加使用才能覆盖所有驱动级 fault model,任何一个缺失都会留漏点。

4.1 原理

DESAT 监测功率管导通时的 $V_{CE}/V_{DS}$ ——正常导通时这个电压很小($I\cdot R_{DS(on)}$,IGBT 通常 1-3V),短路时电流飙升让管子退出饱和区,$V_{CE}$ 跳到 hundreds of V。比较器检测 $V_{CE}>V_{th}$ → 立刻触发 soft-off。

4.2 关键设计参数

DESAT 4 个设计参数互相牵制——阈值定低误触发、定高漏触发,blanking 定短抓不住开通后短路、定长漏短路前期。下表是 SiC / IGBT 的工程经验值,实际项目要用 double-pulse 测试在板标定。

4.3 DESAT 的三个局限

DESAT 只能抓"已经短路了"的事件,抓不住:

• 短路前的临界状态(电流接近 SOA 但未饱和)
• 驱动 IC 自身失效让 DESAT 比较器不工作
• 长时间小过流(累积温升)

所以 DESAT 必须配 OCP + 温度监测组合用。

OCP(Over Current Protection)用电流采样比较器直接看电流幅度:

OCP 比 DESAT 快,但更容易误触发(启动 inrush / PWM 切换瞬态都可能触发),所以阈值通常设得更高 + 加 blanking。两者并用,正交覆盖。

驱动 IC 的 Vcc 在掉电瞬间会经历"够 + 不够 + 够"的窗口,如果不强制关栅,功率管会在 $V_{GS}$ 不够时仍 ON,$R_{DS(on)}$ 飙高 → 巨大导通损耗 → 热失控烧管。UVLO(Under-Voltage Lock-Out)就是给 Vcc 设个阈值,低于即强制拉低栅极。

UVLO 是和 DESAT/OCP 并列的硬件 SM —— 不要小看,缺它每次电源故障都会烧一批管子。

高 dv/dt 开关时,关断状态的下管栅极会通过 Miller 电容($C_{GD}$)被耦合到一个正电压,可能误开通造成直通。SiC 因为 $C_{GD}$ 小但 dv/dt 高(典型 50-100 V/ns)耦合更剧烈,AMC 是 SiC 设计标配。

AMC 监测栅极电压在关断状态,任何向上跳变(由 dv/dt 耦合引起)立即用低阻拉低。比"用栅极电阻 + 负压偏置"被动方式可靠。

驱动 IC 通常有 1 或 2 个 enable 引脚。ASIL D 必须双独立 enable:任一拉低就关栅。这是 STO(Safe Torque Off)的硬件实现。

8.1 双 enable 设计

双 enable 的设计要点是"两条独立的关栅路径,任一拉低就关"。逻辑上是 AND(必须两个 enable 都为高,栅极才能输出),物理上必须在驱动 IC 内部就 AND,不能把 AND 放到 MCU 软件层(否则失去硬件 STO 优势)。两 enable 的来源也要真独立——不同 MCU、不同时钟、不同电源 rail。

两个 enable 来源必须真独立:

• enable 1 由主 MCU(常规控制路径)
• enable 2 由 safety monitor MCU 或 SBC(独立时钟、电源)

任一拉低就关栅 = "or 短路逻辑",任意一侧失效仍能切断扭矩。这是 转矩安全 里 ASIL D STO 的硬件实现。

8.2 共因失效的 DFA

双 enable 失效组合是 DFA 必查点:

驱动 IC 的 fault pin 输出告诉 MCU"我刚触发了某个保护"。MCU 收到后必须:

• 进入 fault state(不再发 PWM)
• 记 DTC
• 通知 VCU(via CAN E2E)
• 等冷却 + 复位流程

fault pin 编码方式:

• 单 pin 时序编码:不同脉宽代表 DESAT / OCP / UVLO 不同 fault 类型
• 多 pin 直接 :每个 fault 独立 pin
• SPI 寄存器:MCU 主动读 fault status,带更详细诊断

ASIL D 项目通常用 SPI + 多 pin 双链路 —— SPI 通信失效仍能通过 fault pin 知道有问题。

OCP 比较器靠 shunt + CSA + comparator,这条链失效就 OCP 不工作。启动时必须自检:

• 启动注入已知小电流,验证 OCP 输出预期不触发
• 启动注入已知大电流,验证 OCP 触发
• 周期性发"假短路信号"验证 OCP 反应路径仍通

详见 电流采样诊断 §8 ADC 自检。

驱动级 SM 的 FTTI 整体在 µs 级——远紧于电流/电压/位置/温度链(ms-s 级)。原因是 SCWT 的物理上限决定了一切短路保护必须 µs 内反应,而软件中断典型延迟就 5-20 µs,所以这一层全是硬件链。

驱动级 SM 几乎全在 µs 内反应,这是和电流/电压/位置/温度链(ms-s 级)的根本差别。

驱动级 FMEDA 的关键是把 6 件套 SM 正交映射到不同 fault group —— DESAT 抓直通、OCP 兜过流、UVLO 抓 Vcc 跌、AMC 抓 Miller 误开、STO 抓 stuck-on,共因部分(driver IC die 失效)靠 DFA + 系统级 fail-safe 切。下面这条简化数字说明:即使每件 SM 都做到 95-99% DC,SPFM 也只能到 97% 左右,差点到 ASIL D 99% 还需补 STO 完全独立 die + OCP 冗余比较器。

Element: 主驱栅极驱动链(6× 1EDI3035AS + shunt + CSA + 双 enable)
Total FIT = 35
Safety-related FIT = 33

$\text{SPFM}=1-\frac{0.98}{33}=97.0\%$

差点到 ASIL D 99%。提升:STO 双 enable 完全独立 die(目前部分共封装),OCP 链加冗余比较器。

驱动级最常踩的 5 个反模式都和"反应路径错"或"硬件 SM 漏配"有关——SiC 时代不能照搬 IGBT 的设计经验,DESAT 阈值要重标、AMC 要标配、OCP 不能经过 MCU。

• 栅极驱动 IC 是控制 → 功率的"最后一公里",失效直接通到 hazard,必须 ASIL D 等级器件
• SiC SCWT 2-3 µs 是死线,所有短路 SM 必须硬件比较器 + 直拉,纯软件 SM 完全没机会
• 驱动 IC 内置 6 件套:DESAT / OCP / UVLO / AMC / STO / fault report —— 缺任一留漏点
• DESAT 抓"短路类",OCP 抓"任何过流",两者正交并用互相兜底
• AMC 是 SiC 时代必备 —— 不是 nice-to-have,高 dv/dt 必装
• STO 双 enable 是 ASIL D 硬件 STO,两 enable 必须真独立(不同电源/时钟/MCU),DFA 必查
• Fault pin 让软件参与诊断闭环,但反应链不能依赖软件——硬件保护已动作才让软件知道
• 5 反模式戒除:DESAT 阈值不标定 / OCP 经过 MCU / STO 单 enable / SiC 缺 AMC / fault report 单链路

• ← 索引
• 栅极驱动(HW 设计)
• 逆变器栅极驱动 IC(主流厂商对比)
• 电流采样诊断(OCP 共用电流链)
• 转矩安全(STO/ASC 系统视角)
• Inverter ASIL D 端到端实现案例
• SiC 器件
• IGBT 技术
• SBC(双 watchdog + safety MCU)
• 安全机制目录
• DFA / FMEDA / FTA
• 失效模式速查表