深度:符合功能安全ASIL-D的汽车牵引逆变器设计

发布时间:2023-05-11  

之前很多文章有提到功能安全的概念,包括符合ASIL-D的电机控制器,符合ASIL-B/ASIL-D的车规MCU


今天,小二分享基于ISO26262阐述的安全概念,进行的新能源汽车牵引电机逆变器的开发(参考NXP方案),水平有限,欢迎留言交流;


安全目标及开发流程


功能安全的目标是将风险最小化到可接受的水平,风险定义为:发生损害的概率和该损害对人员的影响(以及在较小程度上对设备和环境的影响);


常用降低风险的措施分为故障避免、故障检测和故障处理措施;


ISO26262中阐述的V模型,非常经典;对于功能安全的开发,从概念阶段的项目定义开始,经过危害分析及影响,形成技术安全需求,再到具体的软硬件开发,验证及生产及生产后的管理;


全流程主要分概念阶段,开发阶段,量产阶段,如下:

这里说明一下,Item Definition,则是我们具体设计/分析的产品的系统或子系统,它是我们进行安全设计的对象,或载体,比如本文重点描述的电机牵引逆变器;


概念阶段的核心思想和关键词


确认目标对象后,分析其功能需求,子系统及和外部系统的交互

牵引逆变器接收来自整车控制器(VCU)的命令,完成电机状态的控制;


明确对象的危险分析及风险评估(HARA:Hazards Analysis and Risk Assesment),提出安全目标(SG:Safety Goal),这里的SG的衡量标准就是大家常听到ASIL-A/B/C/D,比如


  • 非驾驶员意图的加速、刹车;在低速/高速,城市/高速等不同状态下可能导致的伤害是轻微碰撞/验证碰撞


  • 安全目标:保证输出的加速扭矩不超过给定量的5%,最大不超过50 Nm;


由Safty Goal,抽象细化出功能安全需求(FSR,Functional Safety Requirements),比如


  • FSR1:获取当前电机转速,对转速获取全链路进行监测,及对比校验;


  • FSR2: 当识别到的输出扭矩超过给定扭矩5%,在1us内将三相桥臂开关切换至安全状态


基于功能安全需求进行拆分,得出软硬件的技术安全需求(TSR,Technical Safety Requirements)


牵引逆变器的考虑


牵引逆变器在新能源汽车中的主要作用,是基于整车控制器(VCU)给出的扭矩指令,控制电机的运行:


  • 加速电机;


  • 制动电机,回馈能量;


  • 对于电池供电的电动车,电机通用通过一个8:1或10:1的变速箱连接到车轮;


因此,主要的危害有:非预期的过度牵引,非预期的制动,以及高压电击;


这些危害被整车厂识别,并标识以ASIL-B,ASIL-D不同的安全级别(ASIL,Automotive Safety Integrity Level)


因此,在本文的分析中,安全目标(Safty Goal)考虑如下:


  • SG1:避免加速扭矩超过50Nm,或超过+5%的预期控制扭矩(ASIL-D,FTTI=200ms)


  • SG2:避免制动扭矩超过50Nm,或超过+5%的预期制动扭矩


牵引逆变器的典型控制流程如下


  • VCU通过CAN总线,向处理单元发送扭矩控制指令


  • 处理单元收到扭矩控制指令


  • 处理单元基于当前的电机运行状态(通过传感器获取),以及收到的控制指令,计算出需要输出的PWM占空比;


  • 驱动电路基于PWM占空比驱动桥臂开关


  • 处理器测量系统的状态,包括电流,电机轴位置,电机转速,电压等,完成闭环控制

下面,将基于ISO26262的理论和要求,介绍安全目标,功能需求,技术需求,硬件需求,软件需求


执行-检查的处理架构


在处理器域,导致违反SG1和SG2安全目标的主要的失效机制,可以总结为:


通信的失效,或者计算的失效;本文不讨论通信的失效,这类失效一般通过对CAN通信消息的数据完整性校验来实现;

上图中执行-检查架构,用于预防处理器的计算失效;


架构中,执行单元实现了主要电机控制需要功能,包括FOC控制算法,电机控制算法,数学计算库等;


检查单元负责检查非安全状况并保证系统运行在安全状态;


架构中,执行单元聚焦在功能及性能,检查单元聚焦实现安全目标;在ISO26262的定义里意味着,执行单元只需要符合QM(Quality Managed)标准,而检查单元需要符合ASIL-D的标准;


在本文研究中,我们将检查单元的功能以及需求,提炼并在名叫安全管理(Safety Manager)的系统单元中;

如上图,结合NXP公司的MPC5775E微控制器,以及FS65功能安全SBC(System Basic Chip),可以轻松的实现执行-检查的安全架构;


我们将执行器的工作分配给Core 0(Non-LockStep),将安全管理的工作分配给CPU1(LockStep);


常见的两个内核的失效,通过MPC5775E内部的安全机制检查,或者通过外部的安全SBC FS65检查,这些机制可以包括故障收集及控制单元,时钟监控单元,电源管理单元,内存保护单元,这些单元可以运行在FS SBC上;安全单元的失效,需要再通过监控FS65实现,并在识别出故障或失效时候,控制系统进入安全状态(通过直接配置电机控制接口);


逆变器的安全运行状态的机制,可以通过灵活的,模块化的方式,在NXP的安全概念指引下实现;


永磁同步电机控制接口的安全概念


针对电动汽车的一个限制,是永磁同步电机电机运行产生的高反电动势;在高速运行情况下,如果永磁同步电机的相绕组处于断开状态,如下图所示

那么将可能导致高于电池电压的反电动势,这将引起可再生的电流,以及非预期的制动扭矩;为了防止这个危害,系统需要短路桥臂所有的高边开关,或者所有的低边开关

上述的应用安全需求,可以通过如下架构实现

一套独立的,用于控制高边以及低边开关的控制电路


  • 如果单点故障,可能导致高边或低边不可控制,系统将无法正常运行;


快速的短路保护电路(上图A)


  • 短路电路,可能永久性损害开关桥,并导致系统进入非安全状态;因为短路失效需要在非常短的时间内处理,MCU无法满足,因此需要通过门驱动电路GD3100来实现;


上层应用的诊断以及安全的应对措施(上图B)


  • 电机控制接口的失效,可能的原因很多:电机相绕组,IGBT开关,门驱动,分立的芯片,冷却系统,针对不同的原因,需要不同的应对措施;高边的失效保护需要快速将三相绕组短路到电池,而低边的开路保护则是短路到地GND;GD3100门驱动电路是基于ASIL-D级别进行开发的,因此其内部有丰富的自诊断机制,能够检查出99%的内部故障,并可以通过冗余的通信机制通知到MCU的安全管理单元


反应通道(上图C)


  • 当MCU接收到故障上报,内部的安全管理逻辑可以决策出最合适的安全状态;并通过GD3100专门的IO引脚进行控制;整个决策和响应需要在~100us的FTTI内;


NXP的GD3100门驱动是上述架构的重要组成,主要的差异特性有:


  • 直接控制IGBT/SiC开关管;在降低整体失效率的同时,提供了一条独立的电机控制路径


  • 快速的短路保护特性,对IGBT的保护时间<2us,对SiC则更快;


  • 高诊断覆盖率:GD3100基于ISO26262进行设计,针对内部故障,内部自检测试以及CRC校验有高覆盖率;

通信以及传感器的安全概念


为了实现闭环,电机控制算法需要采样电流,电机的转子角度以及电池的电压;如果如上的传感器信息采集有错误,将直接影响输出给电机的指令;因此,对于传感器的安全需求,是针对传感器传输全链路的故障诊断,包括传感器,放大调理单元,模拟数字转换,以及传感器数据的预处理等;


本文,我们以电机位置传感器为例阐述;方法论和电流以及电压采样的类似;

系统采用固定在转轴上的旋转变压器,放大调理电路,以及解码模块(eTPU);eTPU是基于处理器及定时器完成的位置解码算法模块;这个架构的优势在于避免浪费CPU0的算力;


转速反馈的全流程说明:


  • eTPU产生旋转变压器的激励信号


  • 物理相位相差90°C的两个绕组,感应出SIN/COS两路信号;


  • Sigma Delta ADCs采样两路经过调理放大后的信号,并与激励信号完成同步;处理完成的结果,存储在eTPU的RAM中;


  • 信号基于观测器模型进行处理,解调后得到角度及速度信息;


  • 计算得到的角度传递给电机控制算法


位于安全内核CPU1的RDC检测器,针对上述的信号链路进行监测及诊断;


  • 输入监控的单元检查原始数据,并通过过零检测计算与激励信号的同步,信号的最大和最小幅度,单位向量;


  • 整个检测功能可以识别出99%由于调理,绕组,激烈链路,Sigma Delta ADC可能存在的硬件失效;


其中


  • ATO检测功能,采用和eTPU不同的角度计算方法,并运行合理性检测程序;它可以检测eTPU的故障;


  • 外推检测单元(extrapolation tracker)检查角度外推法可能存在的失效;


文章来源于:电子工程世界    原文链接
本站所有转载文章系出于传递更多信息之目的,且明确注明来源,不希望被转载的媒体或个人可与我们联系,我们将立即进行删除处理。

相关文章

我们与500+贴片厂合作,完美满足客户的定制需求。为品牌提供定制化的推广方案、专属产品特色页,多渠道推广,SEM/SEO精准营销以及与公众号的联合推广...详细>>

利用葫芦芯平台的卓越技术服务和新产品推广能力,原厂代理能轻松打入消费物联网(IOT)、信息与通信(ICT)、汽车及新能源汽车、工业自动化及工业物联网、装备及功率电子...详细>>

充分利用其强大的电子元器件采购流量,创新性地为这些物料提供了一个全新的窗口。我们的高效数字营销技术,不仅可以助你轻松识别与连接到需求方,更能够极大地提高“闲置物料”的处理能力,通过葫芦芯平台...详细>>

我们的目标很明确:构建一个全方位的半导体产业生态系统。成为一家全球领先的半导体互联网生态公司。目前,我们已成功打造了智能汽车、智能家居、大健康医疗、机器人和材料等五大生态领域。更为重要的是...详细>>

我们深知加工与定制类服务商的价值和重要性,因此,我们倾力为您提供最顶尖的营销资源。在我们的平台上,您可以直接接触到100万的研发工程师和采购工程师,以及10万的活跃客户群体...详细>>

凭借我们强大的专业流量和尖端的互联网数字营销技术,我们承诺为原厂提供免费的产品资料推广服务。无论是最新的资讯、技术动态还是创新产品,都可以通过我们的平台迅速传达给目标客户...详细>>

我们不止于将线索转化为潜在客户。葫芦芯平台致力于形成业务闭环,从引流、宣传到最终销售,全程跟进,确保每一个potential lead都得到妥善处理,从而大幅提高转化率。不仅如此...详细>>