1引言
本文引用地址:电机控制系统是电动汽车的重要组成部分。电机控制系统的可靠性对电动汽车的安全尤为重要。ISO26262定义的汽车安全完整性等级,把整车的安全目标由低到高划分为ASIL A、ASIL B、ASIL C和ASIL D四个等级。根据整车安全目标分解的功能安全需求并对应到相关零部件,可知电机控制系统相关的功能安全需求至少要满足ASIL C的安全等级,才能符合整车的功能安全目标。然而传统电机控制器是由单个电机控制芯片做处理器,往往很难达到ASIL C.故本文给出了一种纯电动汽车电机控制系统安全的设计方案,通过增加一个安全芯片CIC61508来对电机控制芯片进行,提升了系统的安全等级,使其达到ASIL C的标准,从而满足汽车安全方面日益增长的要求。
2安全功能系统架构
本文所述的纯电动汽车电机控制系统安全功能分为两级硬件级和软件级。
硬件级的安全功能系统架构包括控制电机运行的电机控制芯片、安全芯片、监测电机控制芯片供电电压的电源模块、监测直流电压的电压模块、监测电机相电流的电流模块、监测逆变器温度的温度模块以及硬件看门狗模块等。
图1电机控制系统硬件级安全结构图
软件级的安全功能包括在电机控制芯片中实现的电压、电流、温度、速度、扭矩、功率、模式、通讯以及在安全芯片中实现的安全调用程序。
3软硬件设计
3.1硬件系统设计
3.1.1电机控制芯片的选型
电机控制芯片选择的是Infineon公司的32位TriCore系列的TC1782高性能微处理器。TC1782在功耗、运算能力、存储空间、数字量模拟量输入输出以及CAN通讯等方面均有良好的表现,并具有较高的性价比,非常适用于电动汽车电机控制系统。
图2电机控制系统软件级安全结构图
3.1.2安全芯片的选型
安全芯片采用InfineonCIC61508芯片。CIC61508安全监测芯片封装尺寸很小,使用起来节省空间,是安全应用领域的高性价比之选。安全监测电通过检测电机控制芯片的时钟、电源和与温度相关的计算误差等常见故障模式来监测电机控制芯片的工作状况。
3.1.3硬件电设计
电机控制芯片TC1782分别通过两组SPI与安全芯片CIC61508以及旋变解码芯片AU6803进行通讯;通过GPIO接收或发送数字量;通过PWM通道发送六PWM信号给门驱动芯片;通过ADC模块采样电流、电压、温度等信息;通过CAN模块与总线通讯。该硬件电还包括电源模块与看门狗模块等。硬件电原理图如图3所示。
图3硬件电原理图
3.2软件设计
3.2.1设计原理
本文提出的安全功能,通过硬件级与软件级的两级来确保电机控制系统正常工作,包括对电机负载的以及对电机控制芯片的。
对电机负载功能的原理是通过采样的电流、电压、温度、等信号以及来自于硬件电的故障信息来判断电机负载是否工作在正常状态,一旦检测出异常,电机控制系统即进入到故障处理程序。
对于电机控制芯片的安全功能是以电机控制芯片的自检和CIC61508安全芯片共同完成的。电机控制芯片会在开机上电后自检,测试各个模块的配置是否正常,若异常则进入到故障处理程序;在程序正常运行过程中电机控制芯片会周期性对各个模块的配置、内存及控制任务进行测试,同时,电机控制芯片会把特定的测试任务发给CIC61508安全芯片测试,并将测试结果反馈给电机控制芯片。电机控制芯片将自身运行的结果与反馈结果进行比较,以此来判断电机控制芯片的工作是否正常。
3.2.2具体实现
电机控制芯片通过ADC模块采样传感器供电电压,芯片供电电压,母线电流,母线电压,A、C相的相电流,电机温度,逆变器温度等信号;通过GPI接口接收来自硬件电的故障信息,主要有电机控制芯片供电电压故障、直流电压过压故障、电机相电流过流故障、逆变器过温故障、逆变器饱和故障、传感器故障等;通过SPI接收电机信息与安全芯片的信息。电机控制芯片通过SPI发送测试任务给安全芯片,安全芯片将测试结果反馈给电机控制芯片用于比对,若测试结果一致,则证明电机控制芯片工作正常,否则进入故障处理程序。