深度：符合功能安全ASIL-D的汽車牽引逆變器設(shè)計(jì)

之前很多文章有提到功能安全的概念，包括符合ASIL-D的電機(jī)控制器，符合ASIL-B/ASIL-D的車規(guī)MCU；

今天，小二分享基于ISO26262闡述的安全概念，進(jìn)行的新能源汽車牽引電機(jī)逆變器的開發(fā)（參考NXP方案），水平有限，歡迎留言交流；

安全目標(biāo)及開發(fā)流程

功能安全的目標(biāo)是將風(fēng)險(xiǎn)最小化到可接受的水平，風(fēng)險(xiǎn)定義為：發(fā)生損害的概率和該損害對(duì)人員的影響（以及在較小程度上對(duì)設(shè)備和環(huán)境的影響）；

常用降低風(fēng)險(xiǎn)的措施分為故障避免、故障檢測(cè)和故障處理措施；

ISO26262中闡述的V模型，非常經(jīng)典；對(duì)于功能安全的開發(fā)，從概念階段的項(xiàng)目定義開始，經(jīng)過危害分析及影響，形成技術(shù)安全需求，再到具體的軟硬件開發(fā)，驗(yàn)證及生產(chǎn)及生產(chǎn)后的管理；

全流程主要分概念階段，開發(fā)階段，量產(chǎn)階段，如下：

這里說明一下，Item Definition，則是我們具體設(shè)計(jì)/分析的產(chǎn)品的系統(tǒng)或子系統(tǒng)，它是我們進(jìn)行安全設(shè)計(jì)的對(duì)象，或載體，比如本文重點(diǎn)描述的電機(jī)牽引逆變器；

概念階段的核心思想和關(guān)鍵詞

確認(rèn)目標(biāo)對(duì)象后，分析其功能需求，子系統(tǒng)及和外部系統(tǒng)的交互

牽引逆變器接收來自整車控制器(VCU)的命令，完成電機(jī)狀態(tài)的控制；

明確對(duì)象的危險(xiǎn)分析及風(fēng)險(xiǎn)評(píng)估(HARA:Hazards Analysis and Risk Assesment)，提出安全目標(biāo)(SG:Safety Goal)，這里的SG的衡量標(biāo)準(zhǔn)就是大家常聽到ASIL-A/B/C/D，比如

• 非駕駛員意圖的加速、剎車；在低速/高速，城市/高速等不同狀態(tài)下可能導(dǎo)致的傷害是輕微碰撞/驗(yàn)證碰撞
• 安全目標(biāo)：保證輸出的加速扭矩不超過給定量的5%，最大不超過50 Nm；

由Safty Goal，抽象細(xì)化出功能安全需求(FSR，F(xiàn)unctional Safety Requirements)，比如

• FSR1：獲取當(dāng)前電機(jī)轉(zhuǎn)速，對(duì)轉(zhuǎn)速獲取全鏈路進(jìn)行監(jiān)測(cè)，及對(duì)比校驗(yàn)；
• FSR2: 當(dāng)識(shí)別到的輸出扭矩超過給定扭矩5%，在1us內(nèi)將三相橋臂開關(guān)切換至安全狀態(tài)

基于功能安全需求進(jìn)行拆分，得出軟硬件的技術(shù)安全需求（TSR，Technical Safety Requirements）

牽引逆變器的考慮

牽引逆變器在新能源汽車中的主要作用，是基于整車控制器(VCU)給出的扭矩指令，控制電機(jī)的運(yùn)行：

• 加速電機(jī)；
• 制動(dòng)電機(jī)，回饋能量；
• 對(duì)于電池供電的電動(dòng)車，電機(jī)通用通過一個(gè)8:1或10:1的變速箱連接到車輪；

因此，主要的危害有：非預(yù)期的過度牽引，非預(yù)期的制動(dòng)，以及高壓電擊；

這些危害被整車廠識(shí)別，并標(biāo)識(shí)以ASIL-B，ASIL-D不同的安全級(jí)別（ASIL，Automotive Safety Integrity Level）

因此，在本文的分析中，安全目標(biāo)(Safty Goal)考慮如下：

• SG1：避免加速扭矩超過50Nm，或超過+5%的預(yù)期控制扭矩（ASIL-D，F(xiàn)TTI=200ms）
• SG2：避免制動(dòng)扭矩超過50Nm，或超過+5%的預(yù)期制動(dòng)扭矩

牽引逆變器的典型控制流程如下

• VCU通過CAN總線，向處理單元發(fā)送扭矩控制指令
• 處理單元收到扭矩控制指令
• 處理單元基于當(dāng)前的電機(jī)運(yùn)行狀態(tài)（通過傳感器獲?。?，以及收到的控制指令，計(jì)算出需要輸出的PWM占空比；
• 驅(qū)動(dòng)電路基于PWM占空比驅(qū)動(dòng)橋臂開關(guān)
• 處理器測(cè)量系統(tǒng)的狀態(tài)，包括電流，電機(jī)軸位置，電機(jī)轉(zhuǎn)速，電壓等，完成閉環(huán)控制

下面，將基于ISO26262的理論和要求，介紹安全目標(biāo)，功能需求，技術(shù)需求，硬件需求，軟件需求

執(zhí)行-檢查的處理架構(gòu)

在處理器域，導(dǎo)致違反SG1和SG2安全目標(biāo)的主要的失效機(jī)制，可以總結(jié)為：

通信的失效，或者計(jì)算的失效；本文不討論通信的失效，這類失效一般通過對(duì)CAN通信消息的數(shù)據(jù)完整性校驗(yàn)來實(shí)現(xiàn)；

上圖中執(zhí)行-檢查架構(gòu)，用于預(yù)防處理器的計(jì)算失效；

架構(gòu)中，執(zhí)行單元實(shí)現(xiàn)了主要電機(jī)控制需要功能，包括FOC控制算法，電機(jī)控制算法，數(shù)學(xué)計(jì)算庫(kù)等；

檢查單元負(fù)責(zé)檢查非安全狀況并保證系統(tǒng)運(yùn)行在安全狀態(tài)；

架構(gòu)中，執(zhí)行單元聚焦在功能及性能，檢查單元聚焦實(shí)現(xiàn)安全目標(biāo)；在ISO26262的定義里意味著，執(zhí)行單元只需要符合QM（Quality Managed）標(biāo)準(zhǔn)，而檢查單元需要符合ASIL-D的標(biāo)準(zhǔn)；

在本文研究中，我們將檢查單元的功能以及需求，提煉并在名叫安全管理(Safety Manager)的系統(tǒng)單元中；

如上圖，結(jié)合NXP公司的MPC5775E微控制器，以及FS65功能安全SBC（System Basic Chip），可以輕松的實(shí)現(xiàn)執(zhí)行-檢查的安全架構(gòu)；

我們將執(zhí)行器的工作分配給Core 0(Non-LockStep)，將安全管理的工作分配給CPU1(LockStep)；

常見的兩個(gè)內(nèi)核的失效，通過MPC5775E內(nèi)部的安全機(jī)制檢查，或者通過外部的安全SBC FS65檢查，這些機(jī)制可以包括故障收集及控制單元，時(shí)鐘監(jiān)控單元，電源管理單元，內(nèi)存保護(hù)單元，這些單元可以運(yùn)行在FS SBC上；安全單元的失效，需要再通過監(jiān)控FS65實(shí)現(xiàn)，并在識(shí)別出故障或失效時(shí)候，控制系統(tǒng)進(jìn)入安全狀態(tài)（通過直接配置電機(jī)控制接口）；

逆變器的安全運(yùn)行狀態(tài)的機(jī)制，可以通過靈活的，模塊化的方式，在NXP的安全概念指引下實(shí)現(xiàn)；

永磁同步電機(jī)控制接口的安全概念

針對(duì)電動(dòng)汽車的一個(gè)限制，是永磁同步電機(jī)電機(jī)運(yùn)行產(chǎn)生的高反電動(dòng)勢(shì)；在高速運(yùn)行情況下，如果永磁同步電機(jī)的相繞組處于斷開狀態(tài)，如下圖所示

那么將可能導(dǎo)致高于電池電壓的反電動(dòng)勢(shì),這將引起可再生的電流，以及非預(yù)期的制動(dòng)扭矩；為了防止這個(gè)危害，系統(tǒng)需要短路橋臂所有的高邊開關(guān)，或者所有的低邊開關(guān)

上述的應(yīng)用安全需求，可以通過如下架構(gòu)實(shí)現(xiàn)

一套獨(dú)立的，用于控制高邊以及低邊開關(guān)的控制電路；

• 如果單點(diǎn)故障，可能導(dǎo)致高邊或低邊不可控制，系統(tǒng)將無法正常運(yùn)行；

快速的短路保護(hù)電路（上圖A）

• 短路電路，可能永久性損害開關(guān)橋，并導(dǎo)致系統(tǒng)進(jìn)入非安全狀態(tài)；因?yàn)槎搪肥枰诜浅６痰臅r(shí)間內(nèi)處理，MCU無法滿足，因此需要通過門驅(qū)動(dòng)電路GD3100來實(shí)現(xiàn)；

上層應(yīng)用的診斷以及安全的應(yīng)對(duì)措施（上圖B）

• 電機(jī)控制接口的失效，可能的原因很多：電機(jī)相繞組，IGBT開關(guān)，門驅(qū)動(dòng)，分立的芯片，冷卻系統(tǒng)，針對(duì)不同的原因，需要不同的應(yīng)對(duì)措施；高邊的失效保護(hù)需要快速將三相繞組短路到電池，而低邊的開路保護(hù)則是短路到地GND；GD3100門驅(qū)動(dòng)電路是基于ASIL-D級(jí)別進(jìn)行開發(fā)的，因此其內(nèi)部有豐富的自診斷機(jī)制，能夠檢查出99%的內(nèi)部故障，并可以通過冗余的通信機(jī)制通知到MCU的安全管理單元

反應(yīng)通道（上圖C）

• 當(dāng)MCU接收到故障上報(bào)，內(nèi)部的安全管理邏輯可以決策出最合適的安全狀態(tài)；并通過GD3100專門的IO引腳進(jìn)行控制；整個(gè)決策和響應(yīng)需要在~100us的FTTI內(nèi)；

NXP的GD3100門驅(qū)動(dòng)是上述架構(gòu)的重要組成，主要的差異特性有：

• 直接控制IGBT/SiC開關(guān)管；在降低整體失效率的同時(shí)，提供了一條獨(dú)立的電機(jī)控制路徑
• 快速的短路保護(hù)特性，對(duì)IGBT的保護(hù)時(shí)間<2us，對(duì)SiC則更快；
• 高診斷覆蓋率：GD3100基于ISO26262進(jìn)行設(shè)計(jì)，針對(duì)內(nèi)部故障，內(nèi)部自檢測(cè)試以及CRC校驗(yàn)有高覆蓋率；

通信以及傳感器的安全概念

為了實(shí)現(xiàn)閉環(huán)，電機(jī)控制算法需要采樣電流，電機(jī)的轉(zhuǎn)子角度以及電池的電壓；如果如上的傳感器信息采集有錯(cuò)誤，將直接影響輸出給電機(jī)的指令；因此，對(duì)于傳感器的安全需求，是針對(duì)傳感器傳輸全鏈路的故障診斷，包括傳感器，放大調(diào)理單元，模擬數(shù)字轉(zhuǎn)換，以及傳感器數(shù)據(jù)的預(yù)處理等；

本文，我們以電機(jī)位置傳感器為例闡述；方法論和電流以及電壓采樣的類似；

系統(tǒng)采用固定在轉(zhuǎn)軸上的旋轉(zhuǎn)變壓器，放大調(diào)理電路，以及解碼模塊（eTPU）；eTPU是基于處理器及定時(shí)器完成的位置解碼算法模塊；這個(gè)架構(gòu)的優(yōu)勢(shì)在于避免浪費(fèi)CPU0的算力；

轉(zhuǎn)速反饋的全流程說明：

• eTPU產(chǎn)生旋轉(zhuǎn)變壓器的激勵(lì)信號(hào)
• 物理相位相差90°C的兩個(gè)繞組，感應(yīng)出SIN/COS兩路信號(hào)；
• Sigma Delta ADCs采樣兩路經(jīng)過調(diào)理放大后的信號(hào)，并與激勵(lì)信號(hào)完成同步；處理完成的結(jié)果，存儲(chǔ)在eTPU的RAM中；
• 信號(hào)基于觀測(cè)器模型進(jìn)行處理，解調(diào)后得到角度及速度信息；
• 計(jì)算得到的角度傳遞給電機(jī)控制算法

位于安全內(nèi)核CPU1的RDC檢測(cè)器，針對(duì)上述的信號(hào)鏈路進(jìn)行監(jiān)測(cè)及診斷；

• 輸入監(jiān)控的單元檢查原始數(shù)據(jù)，并通過過零檢測(cè)計(jì)算與激勵(lì)信號(hào)的同步，信號(hào)的最大和最小幅度，單位向量；
• 整個(gè)檢測(cè)功能可以識(shí)別出99%由于調(diào)理，繞組，激烈鏈路，Sigma Delta ADC可能存在的硬件失效；

其中

• ATO檢測(cè)功能，采用和eTPU不同的角度計(jì)算方法，并運(yùn)行合理性檢測(cè)程序；它可以檢測(cè)eTPU的故障；
• 外推檢測(cè)單元（extrapolation tracker）檢查角度外推法可能存在的失效；