纯电动或混动动力汽车上的电机控制器MCU（Motor Control Unit），其主要功能就是将电池的高压直流电，转换为交流电，来驱动电机运行。作为电动汽车传动链上的重要一环，如果MCU失效，直接威胁到人员的生命安全。这就是所谓的功能安全问题，国际上也有相关的ISO 26262标准，国内对应的是GBT 34590。

现在功能安全话题很热门，出门交流不谈功能安全，就显得自己外行一样。那什么是功能安全？用人话解释就是，电子器件组成的MCU，在工作过程中，如果任何软硬件出了问题，产生的后果都不应该威胁到人身安全。

如上图所示，MCU的主要作用就是用矢量控制驱动电机运行，要实现矢量控制就要检测电机电流、电池电压和电机转子位置等信号。另外MCU通过CAN通讯来接收VCU的指令、反馈本身的运行状态。

通常硬件设计和功能安全相关的目标有两个：

1、降低随机失效（器件老化）和系统失效（人为设计）；

2、如果出现随机失效后，系统能达到安全状态，同时尽量消除系统失效。

可以这样简便但不严谨的来区分随机失效和系统失效，随机失效就是找不到根本原因的、不可复现的，系统失效是能复现的、能找到根本原因的。

降低随机失效通常的原则是监控、冗余、分散、诊断等。

消除系统失效通常的原则是跟踪设计需求、模块化设计等，主要是加强设计流程的管理。

安全状态

MCU如果失效后，希望其能进入一种安全的状态，在安全状态下，MCU不会损坏，同时电机不会产生非预期的转矩。

电动汽车上MCU控制的电机通常是永磁电机，永磁电机是感性负载，而且高速下有危险的反电动势存在，所以MCU故障后，并不能仅仅通过IGBT开路来达到安全的状态。常用的安全状态有如下两种：

a. 主动短路ASC（Active short circuit）

通过同时开通三相桥的全部上管或全部下管，将电机的三相绕组短路。电机短路后，反电动势不会影响MCU的直流端，高压安全。但电机会有短路电流，通常情况下该电流不会超过电机的峰值电流，短时间不会影响电机和MCU的发热。电机有了电流，会产生一定的制动转矩。另外，如何短路也有一定的学问，要避免产生过高的瞬态短路电流。

b. 续流Freewheeling

也即三相桥的六个管子均关闭，电机通过反并联二极管将自身的能量输送到直流端，相当于三相不控整流。直流电压值和电机反电动势1.414倍关系。为了人身安全，只能在低转速下才能进入该安全状态，否则整流的高压也很危险。

故障监控和问询式开门狗

对于如MCU之类重要的应用，故障监控（过压、欠压、复位等）需要独立于主CPU做冗余，也即在主CPU之外，多一个CPU做故障的冗余监控。现在很多芯片厂家都有多核的控制芯片，主芯片用于实现基本的控制功能和保护功能，副芯片用于做冗余监控。

这里介绍一种用CPLD做冗余监控的案例。CPLD会监控驱动芯片产生的IGBT过压、过流，同时监控控制弱电的电压故障，若故障发生，则快速的封锁PWM信号，保护IGBT。同时它还定时查岗，通过SPI通讯的方式发送暗号，查看电源管理芯片和主CPU是否在工作状态，如果发现有人不在岗，立即拉响警报，走绿色独立通道，短路或开路PWM的方式，让MCU快速进入ASC或Freewheeling安全状态。

电流传感器（冗余和差异）

电机控制需要知道电机电流值，理想情况下，三相电流之和为0，只要知道其中两相电流，就可以计算出第三相电流。所以从低成本设计的思路，用两个电流传感器就够了。

Ia+Ib+Ic=0

如果用两个传感器，就会带来某种失效情况下，过流检测不到。比如我们只用两个传感器检测A和B相电流，然后B相传感器坏了，同时B相和C相短路，BC间流过大电流，现在MCU能准确知道的仅仅A相电流值，而且还是正常的，根本不能检测到过流故障。所以从冗余的角度，需要采用三个电流传感器（安全需要付出代价）。

另外，三个传感器不能采用同一个厂家的，因为同一个厂家的产品设计参数都是一样的，有可能因为同一个原因失效（共因失效），比如EMI。所以通常将其中一个传感器选择第二供应商的产品。这样通过差异，降低了共因失效的风险。

MCU可以用三级来实现过流保护，分别应对不同的场景。

1、通过CPU的定时ADC采集。该采样频率较低，通常为百us级，只能通过软件判断，应对一些电机过载。

2、通过硬件的运放比较。电流传感器的值通过和某一阈值电平比较，输出硬件过流信号，再由CPLD处理。通常响应速率为十几us级，能应对一些接地短路故障。

3、驱动级。通过驱动芯片，监控IGBT的Vce电压，实现过流保护。通常响应速率为ns至us级，能应对IGBT驱动故障、MCU内部短路等。

旋变（冗余和差异）

要取得转子位置和转速，需要给旋变激励正弦信号，然后从旋变反馈的正余弦信号中提取所需信息。传统的做法是用一片旋变芯片（如1210），完成解码功能，CPU需要做的仅仅是定期去读取转速和位置信号，但这没有冗余，不符合功能安全。

这里给的一种的方案是完全不用解码芯片，CPU自己完成软解码。

CPU输出PWM信号，通过硬件低通滤波和放大，形成旋变的正弦激励信号。旋变的激励和反馈的正余弦信号，均送给CPU的ADC引脚，软件读取后内部进行解码和锁相，得到转子位置和转速，用于电机控制。

为了实现冗余和差异，模拟信号会送给ADC的不同转换通道，由不同的AD转换器实现转换。同时模拟信号还会送至监控芯片，用于评估信号完整性。