|
1 引言 電機控制系統是電動汽車的重要組成部分。電機控制系統的可靠性對電動汽車的安全尤為重要。ISO26262定義的汽車安全完整性等級,把整車的安全目標由低到高劃分為ASIL A、ASIL B、ASIL C和ASIL D四個等級。根據整車安全目標分解的功能安全需求并對應到相關零部件,可知電機控制系統相關的功能安全需求至少要滿足ASIL C的安全等級,才能符合整車的功能安全目標。然而傳統電機控制器是由單個電機控制芯片做處理器,往往很難達到ASIL C。故本文給出了一種純電動汽車電機控制系統安全監控的設計方案,通過增加一個安全監控芯片CIC61508 來對電機控制芯片進行監控,提升了系統的安全等級,使其達到ASIL C的標準,從而滿足汽車安全方面日益增長的要求。 2 安全監控功能系統架構 本文所述的純電動汽車電機控制系統安全監控功能分為兩級——硬件級和軟件級。 硬件級的安全監控功能系統架構包括控制電機運行的電機控制芯片、安全監控芯片、監測電機控制芯片供電電壓的電源監控模塊、監測直流電壓的電壓監控模塊、監測電機相電流的電流監控模塊、監測逆變器溫度的溫度監控模塊以及硬件看門狗模塊等。 圖1 電機控制系統硬件級安全監控結構圖 軟件級的安全監控功能包括在電機控制芯片中實現的電壓監控、電流監控、溫度監控、速度監控、扭矩監控、功率監控、模式監控、通訊監控以及在安全監控芯片中實現的安全監控調用程序。 3 軟硬件設計 3.1 硬件系統設計 3.1.1 電機控制芯片的選型 電機控制芯片選擇的是Infineon公司的32位TriCore系列的TC1782高性能微處理器。TC1782在功耗、運算能力、存儲空間、數字量模擬量輸入輸出以及CAN通訊等方面均有良好的表現,并具有較高的性價比,非常適用于電動汽車電機控制系統。 圖2 電機控制系統軟件級安全監控結構圖 3.1.2 安全監控芯片的選型 安全監控芯片采用Infineon CIC61508芯片。CIC61508安全監測芯片封裝尺寸很小,使用起來節省空間,是安全應用領域的高性價比之選。安全監測電路通過檢測電機控制芯片的時鐘、電源和與溫度相關的計算誤差等常見故障模式來監測電機控制芯片的工作狀況。 CIC61508 3.1.3 硬件電路設計 電機控制芯片TC1782分別通過兩組SPI與安全監控芯片CIC61508以及旋變解碼芯片AU6803進行通訊;通過GPIO接收或發送數字量;通過PWM通道發送六路PWM信號給門驅動芯片;通過ADC模塊采樣電流、電壓、溫度等信息;通過CAN模塊與總線通訊。該硬件電路還包括電源模塊與看門狗模塊等。硬件電路原理圖如圖3所示。 圖3 硬件電路原理圖 3.2 軟件設計 3.2.1 設計原理 本文提出的安全監控功能,通過硬件級與軟件級的兩級監控來確保電機控制系統正常工作,包括對電機負載的監控以及對電機控制芯片的監控。 對電機負載監控功能的原理是通過采樣的電流、電壓、溫度、位置等信號以及來自于硬件監控電路的故障信息來判斷電機負載是否工作在正常狀態,一旦檢測出異常,電機控制系統即進入到故障處理程序。 對于電機控制芯片的安全監控功能是以電機控制芯片的自檢和CIC61508安全監控芯片共同完成的。電機控制芯片會在開機上電后自檢,測試各個模塊的配置是否正常,若異常則進入到故障處理程序;在程序正常運行過程中電機控制芯片會周期性對各個模塊的配置、內存及控制任務進行測試,同時,電機控制芯片會把特定的測試任務發給CIC61508安全監控芯片測試,并將測試結果反饋給電機控制芯片。電機控制芯片將自身運行的結果與反饋結果進行比較,以此來判斷電機控制芯片的工作是否正常。 3.2.2 具體實現 電機控制芯片通過ADC模塊采樣傳感器供電電壓,芯片供電電壓,母線電流,母線電壓,A、C相的相電流,電機溫度,逆變器溫度等信號;通過GPI接口接收來自硬件監控電路的故障信息,主要有電機控制芯片供電電壓故障、直流電壓過壓故障、電機相電流過流故障、逆變器過溫故障、逆變器飽和故障、位置傳感器故障等;通過SPI接收電機位置信息與安全監控芯片的信息。電機控制芯片通過SPI發送測試任務給安全監控芯片,安全監控芯片將測試結果反饋給電機控制芯片用于比對,若測試結果一致,則證明電機控制芯片工作正常,否則進入故障處理程序。 CIC61508 4 工作過程 電機控制系統安全監控算法主流程圖如圖4所示,當控制器開機后: 第一步,對電機控制芯片各個模塊進行初始化配置,使各個模塊配置在正常工作時的狀態,初始化結束后判斷各模塊初始化的狀態,若有初始化失敗的模塊,報出模塊故障代碼,進入故障模式。 圖4 安全監控算法流程圖 圖5 自檢算法流程圖 第二步,對電機控制芯片各個模塊進行自檢。如圖5所示,自檢程序會對內存、IO模塊、AD采樣模塊、通信模塊、PWM模塊、看門狗等模塊進行測試,具體測試如下: 內存測試:主要對程序使用到的RAM、ROM、Flash進行測試,校驗RAM是否工作正常,ROM中軟件是否被改動,讀取是否正常; IO模塊測試:測試IO模塊工作是否正常,IO控制單元配置是否正確; AD采樣模塊測試:測試AD采樣模塊工作是否正常,采樣頻率,通道選擇是否正確,控制單元設置是否正確; 通信模塊測試:測試CAN通信、SPI通信模塊是否工作正常,波特率設置是否正確,模塊配置是否正確,和安全監控芯片通信是否正常,安全監控芯片工作是否正常; PWM模塊測試:測試PWM模塊工作是否正常,時鐘設置是否正確,輸出通道配置是否正確; 看門狗測試:測試看門狗定時,時間配置是否正確,能否正常工作。 如果這些測試通過,說明各模塊工作正常,系統配置正確,滿足系統運行條件,系統可以繼續運行;若測試不通過,則需要記錄不通過的模塊錯誤代碼,系統進入故障模式,并把這個錯誤代碼通過CAN發送出去。 當這些測試都通過后,系統進入正常周期運行模式;若自檢不通過,系統報出自檢故障代碼,進入故障模式。 第三步,系統周期控制任務。對電機控制的所有工作都在這部分完成,這部分也是傳統的電機控制部分。供電電源監控、電壓監控、電流監控、溫度監控、速度監控和外部看門狗等監控都在這部分完成,如果系統有故障,則報出故障代碼,進入故障模式;若系統正常進入下一步。 圖6 周期測試算法流程圖 第四步,系統周期測試任務,如圖6所示。周期測試任務是同時在電機控制芯片與安全監控芯片中進行的。周期測試任務開始后,首先對電機控制芯片各個模塊的配置文件進行檢測,測試各個模塊的配置是否被非法改動,是否與正常配置一致;然后向安全監控芯片發送特定的測試任務,安全監控芯片收到任務后,按照預定的算法計算出測試結果反饋給電機控制芯片,這些測試任務可以根據實際的需要增加或者減少。電機控制芯片根據接收到的安全監控芯片的測試結果判斷程序運行是否正常,是否有非預期的運行結果,如果測試結果通過,則系統進入周期運行模式,循環的運行系統周期控制任務和周期測試任務;若測試不通過,則報出故障代碼,同時系統進入故障模式。 5 結論 電機驅動系統安全監控功能不但能夠實時監控電機負載的運行情況,而且還能對電機控制芯片的運行狀態進行監控,及時發現故障并處理,故障診斷全面,覆蓋率高,大大提高了電機驅動系統運行的安全性與可靠性。 |
