電動汽車電機控制系統(tǒng)安全監(jiān)控軟硬件設(shè)計

　　1 引言

　　電機控制系統(tǒng)是電動汽車的重要組成部分。電機控制系統(tǒng)的可靠性對電動汽車的安全尤為重要。ISO26262定義的汽車安全完整性等級，把整車的安全目標由低到高劃分為ASIL A、ASIL B、ASIL C和ASIL D四個等級。根據(jù)整車安全目標分解的功能安全需求并對應到相關(guān)零部件，可知電機控制系統(tǒng)相關(guān)的功能安全需求至少要滿足ASIL C的安全等級，才能符合整車的功能安全目標。然而傳統(tǒng)電機控制器是由單個電機控制芯片做處理器，往往很難達到ASIL C。故本文給出了一種純電動汽車電機控制系統(tǒng)安全監(jiān)控的設(shè)計方案，通過增加一個安全監(jiān)控芯片CIC61508 來對電機控制芯片進行監(jiān)控，提升了系統(tǒng)的安全等級，使其達到ASIL C的標準，從而滿足汽車安全方面日益增長的要求。

　　2 安全監(jiān)控功能系統(tǒng)架構(gòu)

　　本文所述的純電動汽車電機控制系統(tǒng)安全監(jiān)控功能分為兩級——硬件級和軟件級。

　　硬件級的安全監(jiān)控功能系統(tǒng)架構(gòu)包括控制電機運行的電機控制芯片、安全監(jiān)控芯片、監(jiān)測電機控制芯片供電電壓的電源監(jiān)控模塊、監(jiān)測直流電壓的電壓監(jiān)控模塊、監(jiān)測電機相電流的電流監(jiān)控模塊、監(jiān)測逆變器溫度的溫度監(jiān)控模塊以及硬件看門狗模塊等。

　　圖1 電機控制系統(tǒng)硬件級安全監(jiān)控結(jié)構(gòu)圖

　　軟件級的安全監(jiān)控功能包括在電機控制芯片中實現(xiàn)的電壓監(jiān)控、電流監(jiān)控、溫度監(jiān)控、速度監(jiān)控、扭矩監(jiān)控、功率監(jiān)控、模式監(jiān)控、通訊監(jiān)控以及在安全監(jiān)控芯片中實現(xiàn)的安全監(jiān)控調(diào)用程序。

　　3 軟硬件設(shè)計

　　3.1 硬件系統(tǒng)設(shè)計

　　3.1.1 電機控制芯片的選型

　　電機控制芯片選擇的是Infineon公司的32位TriCore系列的TC1782高性能微處理器。TC1782在功耗、運算能力、存儲空間、數(shù)字量模擬量輸入輸出以及CAN通訊等方面均有良好的表現(xiàn)，并具有較高的性價比，非常適用于電動汽車電機控制系統(tǒng)。

　　圖2 電機控制系統(tǒng)軟件級安全監(jiān)控結(jié)構(gòu)圖

　　3.1.2 安全監(jiān)控芯片的選型

　　安全監(jiān)控芯片采用Infineon CIC61508芯片。CIC61508安全監(jiān)測芯片封裝尺寸很小，使用起來節(jié)省空間，是安全應用領(lǐng)域的高性價比之選。安全監(jiān)測電路通過檢測電機控制芯片的時鐘、電源和與溫度相關(guān)的計算誤差等常見故障模式來監(jiān)測電機控制芯片的工作狀況。

　　CIC61508

　　3.1.3 硬件電路設(shè)計

　　電機控制芯片TC1782分別通過兩組SPI與安全監(jiān)控芯片CIC61508以及旋變解碼芯片AU6803進行通訊;通過GPIO接收或發(fā)送數(shù)字量;通過PWM通道發(fā)送六路PWM信號給門驅(qū)動芯片;通過ADC模塊采樣電流、電壓、溫度等信息;通過CAN模塊與總線通訊。該硬件電路還包括電源模塊與看門狗模塊等。硬件電路原理圖如圖3所示。

　　圖3 硬件電路原理圖

　　3.2 軟件設(shè)計

　　3.2.1 設(shè)計原理

　　本文提出的安全監(jiān)控功能，通過硬件級與軟件級的兩級監(jiān)控來確保電機控制系統(tǒng)正常工作，包括對電機負載的監(jiān)控以及對電機控制芯片的監(jiān)控。

　　對電機負載監(jiān)控功能的原理是通過采樣的電流、電壓、溫度、位置等信號以及來自于硬件監(jiān)控電路的故障信息來判斷電機負載是否工作在正常狀態(tài)，一旦檢測出異常，電機控制系統(tǒng)即進入到故障處理程序。

　　對于電機控制芯片的安全監(jiān)控功能是以電機控制芯片的自檢和CIC61508安全監(jiān)控芯片共同完成的。電機控制芯片會在開機上電后自檢，測試各個模塊的配置是否正常，若異常則進入到故障處理程序;在程序正常運行過程中電機控制芯片會周期性對各個模塊的配置、內(nèi)存及控制任務進行測試，同時，電機控制芯片會把特定的測試任務發(fā)給CIC61508安全監(jiān)控芯片測試，并將測試結(jié)果反饋給電機控制芯片。電機控制芯片將自身運行的結(jié)果與反饋結(jié)果進行比較，以此來判斷電機控制芯片的工作是否正常。

　　3.2.2 具體實現(xiàn)

　　電機控制芯片通過ADC模塊采樣傳感器供電電壓，芯片供電電壓，母線電流，母線電壓，A、C相的相電流，電機溫度，逆變器溫度等信號;通過GPI接口接收來自硬件監(jiān)控電路的故障信息，主要有電機控制芯片供電電壓故障、直流電壓過壓故障、電機相電流過流故障、逆變器過溫故障、逆變器飽和故障、位置傳感器故障等;通過SPI接收電機位置信息與安全監(jiān)控芯片的信息。電機控制芯片通過SPI發(fā)送測試任務給安全監(jiān)控芯片，安全監(jiān)控芯片將測試結(jié)果反饋給電機控制芯片用于比對，若測試結(jié)果一致，則證明電機控制芯片工作正常，否則進入故障處理程序。

　　CIC61508

　　4 工作過程

　　電機控制系統(tǒng)安全監(jiān)控算法主流程圖如圖4所示，當控制器開機后：

　　第一步，對電機控制芯片各個模塊進行初始化配置，使各個模塊配置在正常工作時的狀態(tài)，初始化結(jié)束后判斷各模塊初始化的狀態(tài)，若有初始化失敗的模塊，報出模塊故障代碼，進入故障模式。

　　圖4 安全監(jiān)控算法流程圖

　　圖5 自檢算法流程圖

　　第二步，對電機控制芯片各個模塊進行自檢。如圖5所示，自檢程序會對內(nèi)存、IO模塊、AD采樣模塊、通信模塊、PWM模塊、看門狗等模塊進行測試，具體測試如下：

　　內(nèi)存測試：主要對程序使用到的RAM、ROM、Flash進行測試，校驗RAM是否工作正常，ROM中軟件是否被改動，讀取是否正常;

　　IO模塊測試：測試IO模塊工作是否正常，IO控制單元配置是否正確;

　　AD采樣模塊測試：測試AD采樣模塊工作是否正常，采樣頻率，通道選擇是否正確，控制單元設(shè)置是否正確;

　　通信模塊測試：測試CAN通信、SPI通信模塊是否工作正常，波特率設(shè)置是否正確，模塊配置是否正確，和安全監(jiān)控芯片通信是否正常，安全監(jiān)控芯片工作是否正常;

　　PWM模塊測試：測試PWM模塊工作是否正常，時鐘設(shè)置是否正確，輸出通道配置是否正確;

　　看門狗測試：測試看門狗定時，時間配置是否正確，能否正常工作。

　　如果這些測試通過，說明各模塊工作正常，系統(tǒng)配置正確，滿足系統(tǒng)運行條件，系統(tǒng)可以繼續(xù)運行;若測試不通過，則需要記錄不通過的模塊錯誤代碼，系統(tǒng)進入故障模式，并把這個錯誤代碼通過CAN發(fā)送出去。

　　當這些測試都通過后，系統(tǒng)進入正常周期運行模式;若自檢不通過，系統(tǒng)報出自檢故障代碼，進入故障模式。

　　第三步，系統(tǒng)周期控制任務。對電機控制的所有工作都在這部分完成，這部分也是傳統(tǒng)的電機控制部分。供電電源監(jiān)控、電壓監(jiān)控、電流監(jiān)控、溫度監(jiān)控、速度監(jiān)控和外部看門狗等監(jiān)控都在這部分完成，如果系統(tǒng)有故障，則報出故障代碼，進入故障模式;若系統(tǒng)正常進入下一步。

　　圖6 周期測試算法流程圖

　　第四步，系統(tǒng)周期測試任務，如圖6所示。周期測試任務是同時在電機控制芯片與安全監(jiān)控芯片中進行的。周期測試任務開始后，首先對電機控制芯片各個模塊的配置文件進行檢測，測試各個模塊的配置是否被非法改動，是否與正常配置一致;然后向安全監(jiān)控芯片發(fā)送特定的測試任務，安全監(jiān)控芯片收到任務后，按照預定的算法計算出測試結(jié)果反饋給電機控制芯片，這些測試任務可以根據(jù)實際的需要增加或者減少。電機控制芯片根據(jù)接收到的安全監(jiān)控芯片的測試結(jié)果判斷程序運行是否正常，是否有非預期的運行結(jié)果，如果測試結(jié)果通過，則系統(tǒng)進入周期運行模式，循環(huán)的運行系統(tǒng)周期控制任務和周期測試任務;若測試不通過，則報出故障代碼，同時系統(tǒng)進入故障模式。

　　5 結(jié)論

　　電機驅(qū)動系統(tǒng)安全監(jiān)控功能不但能夠?qū)崟r監(jiān)控電機負載的運行情況，而且還能對電機控制芯片的運行狀態(tài)進行監(jiān)控，及時發(fā)現(xiàn)故障并處理，故障診斷全面，覆蓋率高，大大提高了電機驅(qū)動系統(tǒng)運行的安全性與可靠性。