目录
-
3.1 电机控制器系统层面的功能安全机制
-
3.2 电机控制器硬件层面的功能安全机制
-
3.3电机控制器软件层面的功能安全机制
01 安全机制如何得出?
如同功能安全需求来源于功能安全目标,功能安全目标来自于危害分析与风险评估,同样,安全机制的得出也是与 ISO 26262 要求的汽车电子安全流程紧密相关的,会从整车,系统,软硬件层面逐步分析推导得出,具体包括:
• 概念阶段 (ISO 26262 Part3):概念阶段需要进行初步的危害分析与风险评估,此阶段通过识别潜在危险和定义安全目标,为功能安全设计奠定基础,同时为随后推导功能安全机制以减轻这些风险奠定基础。
• 产品开发:系统设计阶段 (ISO 26262 Part4):进入系统级产品开发,根据概念阶段确定的安全目标制定功能安全要求;在这个阶段,功能安全概念被导出,进一步详细说明了如何通过特定的功能安全机制实现每个功能安全目标;这标志着功能安全机制在抽象的安全目标和实际落地实施之间形成了一座关键的桥梁。
• 产品开发:软硬件设计阶段 (ISO 26262 Part5&6):随着产品开发进行到到硬件级和软件级的产品开发,在系统层面确定的安全机制被进一步完善并集成到硬件和软件设计中,包括开发冗余架构、错误检测和纠正协议,以及为减轻已识别风险而量身定制的其他机制,同时对于系统阶段设计的安全机制,通过软硬件层面的具体实施和测试,确定相关功能安全机制是否需要更新迭代。
02 电机控制器的功能安全目标
电机控制器是电动汽车或者混动汽车的主要牵引系统,接受来自上层控制器 (如整车控制器或者混动控制器) 的指令,并通过电机控制算法,功率开关器件的控制,实现驱动电机或者产生制动回收能量的目的。根据 ISO26262 的相关要求,功能安全主要关注的是控制器相关的电子电气系统,通常电机控制器的目标应用及应用接口如图 1所示。
电机控制器的控制流主要包括:
•来自于整车控制器的扭矩指令通过 CAN 总线发送至电机控制器;
• 扭矩指令被信号处理单元接收和处理;
• 信号处理单元根据系统的当前状态计算需要的 PWM 占空比;
• 功率开关根据接收到的 PWM 占空比开通和关断功率开关,使得电机各相开通和关断;
• 信号处理单元测量系统状态:如电流,位置,转速,电压,温度等进行闭环控制,并进行电流调制;
对于纯电电驱动系统,其安全目标一般包含扭矩安全,高压安全,热安全;对于混动电驱动系统,由于有发电机的存在,一般还包含针对发电机的充电安全和启停功能安全。这些安全目标中,扭矩安全的安全等级最高,一般为 ASIL C 或者 ASIL D,其余安全目标的安全等级为 ASIL A 或者 ASILB,具体根据主机厂 HARA 分析的结果而提出的具体需求为准。
对于纯电电驱动系统,电机通常承担驱动功能,所以纯电电驱动系统功能安全目标及安全等级 (某一 G 主机厂要求) 为表 1:
03 电机控制器集成功能安全机制
系统层面常见的功能安全机制有:
• 冗余设计:扭矩安全要求防止车辆产生非预期的加速和减速,因此,系统设计时需要考虑如何实现对非预期加速和减速的监控,以及当出现了违反安全目标的故障时如何处理;为了监控扭矩功能,设计时需要实施控制单元的冗余或者具有锁步功能的控制单元,系统运行时,不同 CPU 独立接收来自车辆上层控制器的输入,当主控 CPU 出现故障时,锁步 CPU 能够监控到故障并采取行动;
• 实施看门狗定时器:电机控制器必须与看门狗定时器相结合,看门狗可以在故障发生时重置电机控制系统,或者在系统无响应时触发安全模式操作。这种安排可确保“软件跑飞”等故障不会导致危害发生;在正常操作下,系统软件会定期重置看门狗定时器,完全在定时器的倒计时范围内,如果存在导致控制回路冻结或运行时间过长的软件问题,则看门狗定时器将达到零,看门狗将这种“重置失败”识别为系统无响应的标志,然后看门狗计时器将会触发预定义的安全动作;
• 设计过压过流保护:如果电机控制器因为短路出现过流,过压等失效,系统要通过不同方式及时检测到这些失效,因为过流和过压会造成功率器件的损坏,需要避免能损坏功率元件的电压尖峰对系统的影响;
• 确保安全通信:为了确保不同 ECU 间的信息传输安全,需要在系统层面设计加密通信,防止未经授权的信息进入系统,仅放行通过安全 (secure) 认证的信息; 同时,为了确保在通信总线上持续因外界干扰造成的信息错误,需要增加一定的通信安全 (safety) 机制,如 CRC, Checksum 等。
3.2 电机控制器硬件层面的功能安全机制
硬件是避免风险及相关危害的基础设施,与可以相对容易地更新或 OTA 的软件不同,硬件构成了系统架构的不可变支柱,这使得其安全机制的初始设计和集成对于长期性能和功能安全至关重要。硬件层面的安全机制主要有:
• 硬件内集成自检功能 (Built in Self Test, BIST),这是一种避免潜在失效的安全方法,可以对系统和硬件定期进行诊断检查,从而支持早期故障检测,提高系统安全性,比如对功率器件的开关和短路的自检,对于栅极驱动器主动米勒箝位功能的自检等。
• 针对存储单元的 ECC(Error Correction Codes), 这对存储单元数据完整性起着重要作用,能够识别和矫正相关错误,如果没有对应安全机制检测到错误,会有损坏内存和数据传输的风险;
• 安全关断路径 (Safety shut off path), 关断路径是指当系统出现故障时,系统通过传感器采集到的系统状态,结合功能安全状态的仲裁,选择合适的关断方式使系统进入对应安全状态,这些不同的关断方式,或者使得系统进入安全状态的不同路径,称为关断路径。关断路径能够确保即使面临意外的功率损失或故障,系统也能够安全地进入安全状态;
• 高低压电气隔离:高低压共存的系统,为了防止电气相关故障级联,采用隔离器件将高低压进行隔离,最大限度降低级联故障风险;
• 备份电源设计:当低压区的供电异常时,高压区的电池电源能够充当 UPS 功能,确保系统能够有电源供应进入安全状态;
• 电流,电压,温度,转速采样及监控:采用异构冗余的传感器对相关信号采样,确保主控单元的信息输入足够安全;
• 具有保护和故障上报功能的栅极隔离驱动器:在功率器件发生过流短路,关断过程中误开通的故障时,栅极驱动器要能够及时保护功率器件同时上报相关故障给主控单元。
3.3电机控制器软件层面的功能安全机制
电机控制系统一般采用 FOC 或者 DTC 控制算法,可根据上层控制器需求控制其速度和扭矩;相关软件算法可以持续监控电机运行参数,例如速度、扭矩和温度,通过实时分析这些数据,软件可以检测可能表明潜在安全问题的异常情况,例如过热或意外的操作行为,一旦检测到故障,系统可自动调整运行参数或关闭电机,以防止损坏或事故。软件层面的安全机制有:
• 错误检测和处理: 主要用以识别和纠正数据异常,比如电机控制软件使用循环冗余校验(CRC)来检测从传感器接收的数据中的错误,如果检测到错误,系统可以再次请求数据或使用默认值来保持运行,同时将传感器数据标记为不可靠。
• 安全状态跳转: 通过持续对主要功能的监控,确保出现故障时能够被监控到并采取安全措施;
• 软件冗余和多样性: 相比于硬件的冗余会影响系统成本,软件冗余通过并行计算或者实施监控等方式,确保系统安全可靠,比如扭矩安全通过不同的扭矩计算方式,一种采用公式法,另外一种采用功率法,当两个软件算法计算得出的扭矩差异超过阈值时,系统会响应安全状态;
• 容错和错误恢复: 如果非关键软件组件出现故障,电机控制软件可以跳过该模块,允许以降级或者跛行模式继续运行,比如混碳控制中,如果一种功率单元出现了开路故障,可以通过软件控制另外一种功率单元单独运行,达到跛行控制的目的。
04 总结
安全机制的合理设计,在计算 FMEDA 时会显得异常重要,直接决定着硬件架构指标是否能够满足功能安全目标,因此对于汽车电子软件控制器的开发,要设计合理且数量恰到好处的安全机制,确保系统的安全性,可用性和成本达到兼顾。
点击文末[阅读原文],加入电力电子系统应用智库
如果觉得不错或对您有用
欢迎推荐给身边朋友
右下角点个在看❤+关注
作者更新更有动力
感谢大家支持
电力电子系统应用智库:专注于电力电子(电机控制,电源转换,电子电气)的各种系统应用;持续关注行业最新技术进展,系统应用落地解决方案(系统架构,拓扑结构,控制算法,软硬件开发,芯片设计,功能安全,在环验证等), 持续更新和分享相关知识技术以及提供咨询服务,感谢朋友们的持续支持与关注。