電動汽車電機驅動控制器功能安全架構研究

汽車-小李

2021年9月28日 09:50

0 引言
伴隨著新能源汽車產業的發展，車用電子電氣系統的功能也日趨復雜，如何確保電子電氣系統的功能安全已成為行業關注的重點和研究的熱點。國際標準化組織（ISO）于2011年正式發布了ISO26262《道路車輛功能安全》標準，其提供了一套涵蓋系統（包括硬件和軟件）及其生產制造的完整功能安全設計流程與認證制度，以確保汽車行駛的安全性，并已成為汽車行業目前普遍接受的一套完整的評估并降低風險的方法，獲得了全球主要汽車制造商以及零部件供應商的廣泛認可和采用。盡管該標準針對功能安全性給出了完整的設計流程，對功能安全理念的引入發揮了至關重要的作用，但由于其并不涉及特定產品的具體設計，同時國內外的相關文獻也鮮有介紹，因此如何正確地實現產品級的功能安全，對設計人員而言仍然具有一定的難度。
作為純電動汽車核心動力部件，電機驅動控制器其功能安全的正確實施顯得尤為重要。本文將從純電動汽車電機驅動控制器的安全目標出發，詳細闡述針對不同微處理器結構如何實現系統架構設計層面的功能安全。
1 電動汽車電機驅動控制器安全完整性等級分析
1.1 安全目標及安全完整性等級ASIL
產品安全性開發的最終目的是為了符合安全目標。安全目標是系統最高層面的安全要求，是危害分析和風險評估（HARA）的結果。基于HARA分析可以得出針對安全目標的汽車安全完整性等級（ASIL）。根據文獻可知，ASIL等級的確定需要針對危害事件綜合考慮嚴重度（S）、暴露概率（E）和可控性（C）的因素，如表1所示，其中D代表最高等級，A代表最低等級，QM表示質量管理。
電動汽車電機驅動控制器功能安全架構研究的圖1
對于S，E，C指標，文獻中均有明確定義，本文不再贅述。需要說明的是，一個安全目標可能與多種危害相關，而多個安全目標也可能與某種單一的危害有關。對于一個電子電氣系統，可能存在多個安全目標；而對于一個安全目標，在不同暴露場景下對應的ASIL等級可能不同，通常選擇最高的ASIL等級進行開發。
文獻介紹了ISO26262標準的HARA分析方法。基于該方法，可對純電動汽車電機驅動控制器進行如下分析：控制系統的功能是“提供所需要的轉矩”，對其進行危害與可操作性分析（HOZAP）的關鍵詞可定義為“轉矩”，HOZAP分析的目的是用于識別控制系統功能的失效。表2示出對于電機驅動控制器的HOZAP分析。
電動汽車電機驅動控制器功能安全架構研究的圖2
限于篇幅，本文僅以“非預期的轉矩增加”的功能失效行為為例進行分析，則在整車層面產生的潛在危害是“非預期的車輛加速”。對于該危害，從不同的場景分析S，E，C等級。以“汽車在市區緩行且前方有行人”的場景為例進行分析，該場景在日常駕駛中非常常見，幾乎發生在每次駕駛中，其運行場景暴露概率（E）等級可定義為E4；非預期加速后與前方行人發生碰撞，屬于“行人/自行車事故”，極有可能造成人員死亡，其嚴重度（S）等級可定義為S3；而一般駕駛員可以通過猛踩制動踏板使車輛減速或停下，因此其可控性（C）等級可定義為C2。由此，在該運行場景下，ASIL等級可確定為C。如上所述，還應對該危害的其他場景進行分析，以便確定控制系統的最終ASIL等級，表3給出了基于“非預期的轉矩增加”幾個典型場景的HARA分析結果。
電動汽車電機驅動控制器功能安全架構研究的圖3
從上述分析可知，“非預期的轉矩增加”在不同的場景下所對應的ASIL等級并不相同，應選擇最高的ASIL等級進行開發（本例確定為ASILC）。需要說明的是，HARA分析是功能安全開發中非常重要而且復雜的工作，本文主要對分析方法進行研究，所做的HARA分析是基于“非預期的轉矩增加”幾個典型場景，而最終的ASIL等級確定需要綜合考慮所有場景。
1.2 微處理器需求分析
將電動汽車電機驅動控制器的安全目標分解到電機驅動控制器的微處理器中，可知微處理器部分的ASIL等級應不小于ASILC。可以通過ASIL分解的方式使用普通的多芯片冗余方案來降低對微處理器本身ASIL等級的需求，但采用這種方法其設計成本和難度均遠高于采用安全微處理器的，因此通常建議選擇帶鎖步核的安全微處理器芯片，其ASIL等級通常為D。
目前符合ASILD等級的微處理器主要有單核鎖步型（如TI公司的TMS570系列芯片）和多核鎖步型（如NXP公司的MPC5746R系列芯片，Infineon公司的TC27x系列芯片等）兩種。針對于不同數量的內核，功能安全架構的實現方式和難度也各異，本文將進一步對此進行分析。
2 符合功能安全的電動汽車電機驅動控制器EGAS系統架構設計
進行功能安全產品的開發時，需要對ASIL等級進行分解，可將其分解為基本功能與安全功能兩部分。對基本功能的開發執行QM等級標準，而對安全功能的開發執行ASIL等級標準。對電機驅動控制器而言，即將安全目標分解為ASILC=QM（C）+ASIL（C）。為了實現這種分解，本文使用EGAS架構進行設計。
2.1 EGAS架構在功能安全中的應用
電機驅動控制器EGAS架構主要設計理念是將控制系統進行分層設計，即分為功能層（Level1）、功能監控層（Level2）和處理器監控層（Level3），如圖1所示。
電動汽車電機驅動控制器功能安全架構研究的圖4
功能層（Level1）主要實現控制系統的基本功能，對電機驅動控制器而言，即執行轉矩的輸出；此外，其還包含了組件監控、輸入/輸出變量診斷以及當檢測到故障后執行系統的故障響應功能。功能監控層（Level2）主要實現對Level1的監控，例如，通過監控計算轉矩的實際輸出值判斷Level1軟件是否正確等，而一旦診斷出故障，將觸發系統的故障響應，并由Level1或Level2執行。處理器監控層（Level3）主要是通過問答的形式監控Level2處理器是否出現故障，需要由一個獨立的ASIC或微處理器實現；當出現故障后，觸發系統的故障響應，并獨立于Level1去執行。因此，可以將Level1定義為基本功能（QM），而Level2和Level3定義為安全功能（ASIL）。
2.2 電機驅動控制器安全理論分析
根據1.1節分析，電機驅動控制器的安全目標是“避免非預期的轉矩增加”，將其分解到2.1節EGAS架構中的Level2層，對應的安全目標為“實現轉矩的正確監控”。因此，要實現電機驅動控制器的功能安全，需要對輸出轉矩進行實時監控。根據文獻可知，永磁同步電機轉矩方程為
電動汽車電機驅動控制器功能安全架構研究的圖5
式中：p——電機極對數；id和iq——d,q軸電流；ψd,ψq——d,q軸磁鏈。
磁鏈的計算公式為
電動汽車電機驅動控制器功能安全架構研究的圖6
式中：ψf——永磁體磁鏈。
因此，可通過式（1）、式（2）對轉矩進行實時觀測，監控其輸出量是否與目標量一致。試驗電機極對數為4，其銘牌參數如表4所示。
電動汽車電機驅動控制器功能安全架構研究的圖7
通過離線參數辨識，得出試驗電機的磁鏈（圖2）及電感參數（圖3）。
電動汽車電機驅動控制器功能安全架構研究的圖8 電動汽車電機驅動控制器功能安全架構研究的圖9
根據離線辨識結果，d軸電感變化范圍較小，故取定值0.23mH。將上述參數代入式（1）和式（2），并通過Matlab對實際輸出轉矩與觀測轉矩進行電機系統仿真，仿真結果如圖4~圖6所示。
電動汽車電機驅動控制器功能安全架構研究的圖10 電動汽車電機驅動控制器功能安全架構研究的圖11 電動汽車電機驅動控制器功能安全架構研究的圖12
從上述仿真結果可知，電機驅動控制系統在低速、額定轉速、峰值轉速工況下，試驗電機轉矩的觀測值與實際值均非常接近。對應的臺架測試結果如圖7~圖9所示，可以看出，在實際工況中，轉矩觀測的結果與仿真結果類似。
電動汽車電機驅動控制器功能安全架構研究的圖13 電動汽車電機驅動控制器功能安全架構研究的圖14 電動汽車電機驅動控制器功能安全架構研究的圖15
綜上所述，該理論可以實現對軟件層面EGAS架構中Level2層的安全目標，即“實現對轉矩的正確監控”。
2.3 單核鎖步微處理器的安全架構實現
電動汽車電機驅動控制器功能安全架構研究的圖16
單核鎖步微處理器的系統安全架構如圖10所示。圖中虛線框內的部分為實現該安全目標所需要考慮的架構部分。其中，藍色陰影部分的為通過ASIL分解后需要按照ASILC（C）進行開發的模塊，其他為按照QM（C）進行開發的模塊。
該系統在硬件層面按照EGAS的架構進行設計，具體如下：電流、電壓、旋變解碼信號采用雙路模式送入控制芯片，一路用于執行電機控制算法，產生PWM信號，完成轉矩的輸出（Level1），另一路用于對輸出轉矩進行監控和診斷（Level2）；帶看門狗（問答式時窗狗）的電源芯片完成對電源和芯片的程序流進行監控（Level3），當檢測到故障后產生復位信號送入微處理器，并由電源芯片直接封鎖PWM脈沖處理電路的輸出。
由于單核鎖步微處理器存在芯片內部資源的共享，因此軟件的EGAS架構設計難度較大；確保軟件在空間和程序流上的獨立難度大，使得執行基本功能的函數可能會對執行安全功能的函數產生影響，導致系統性失效。為了降低單核鎖步微處理器功能安全軟件架構實現的難度，可以采用多核鎖步微處理器或雙芯片微處理的安全架構。
2.4 多核鎖步微處理器的安全架構實現
以多核鎖步處理器MPC5746R和TC27x為例進行分析，其中，MPC5746R為雙核芯片（1個普通核，1個帶鎖步核的安全核），TC27x為三核芯片（1個普通核，2個帶鎖步核的安全核）。采用雙核微處理器與三核微處理器的電機驅動控制器的系統安全架構實現方式分別如圖11和圖12所示。
電動汽車電機驅動控制器功能安全架構研究的圖17 電動汽車電機驅動控制器功能安全架構研究的圖18
圖11所示架構在硬件層面已經實現了基本功能與安全功能模塊的分離；而要實現軟件層面的EGAS架構，根據2.1節分析可知，將轉矩控制相關的代碼可放置在CPU1，即在QM核中執行（Level1），而將轉矩監控和診斷相關的代碼放置在CPU0，即在安全核中執行（Level2），同時安全核與看門狗完成對芯片本身及程序流的監控（Level3）。當CPU0監測到轉矩異常后，根據故障分級原則，將降級的轉矩指令傳遞給CPU1去執行；如果轉矩進一步異常，當達到最高故障等級后由CPU0直接對PWM脈沖處理電路進行封鎖；當看門狗監測到程序流或芯片異常后，在復位微處理器的同時直接對PWM脈沖處理電路進行封鎖。圖12的架構與圖11類似，不同的是增加了一個安全核，可以在軟件層面實現對監控層的診斷，或對功能層組成雙核冗余監控。
2.5 雙芯片微處理器的安全架構實現
電動汽車電機驅動控制器功能安全架構研究的圖19
雙芯片微處理器的安全架構如圖13所示。該架構在原理上與多核架構類似，但它實現了芯片硬件資源與軟件代碼的完全獨立，對于EGAS架構的實現更加簡單可靠，且在硬件結構方面較前兩種架構略顯復雜。此外，該架構還可以實現安全產品與非安全產品的標準化設計：對于安全產品，其系統架構與圖13所示一致；而對于非安全產品，只需要去掉圖13中“電源+時窗狗”與“安全芯片”模塊即可，無需重新對軟硬件進行開發。
3 結語
本文首先介紹了危害分析與風險評估的方法，基于該方法確定了電動汽車電機驅動控制系統的一個安全目標及其ASIL等級；通過對EGAS架構的介紹，提出了轉矩監控層的實現方法，Matlab仿真分析和臺架測試結果驗證了該方法的可行性；文章最后分析了不同微處理器結構實現系統安全架構的方法。分析表明，單核鎖步架構的硬件復雜度較低，但對于軟件安全架構的實現具有一定的難度，多核鎖步或雙芯片架構能有效解決這一問題，然而雙芯片架構在硬件結構方面較前兩種架構略顯復雜，但卻在EGAS架構的實施和標準化產品設計方面具有明顯優勢。產品功能安全的具體實施仍需進一步的研究。