首页»技术与应用»安全控制电动汽车牵引逆变器

安全控制电动汽车牵引逆变器

文章作者:Antoine Dubois, Erik Santiago

在设计电动汽车(EV)变频器及其控制系统时，安全性是首要考虑的问题。这篇文章讨论了要求和概述安全是设计电动汽车，或电动车，逆变器及其控制系统的首要考虑…

在设计电动汽车(EV)变频器及其控制系统时，安全性是首要考虑的问题。本文讨论了需求并概述了一个示例解决方案。

牵引力逆变器是电动汽车的一个关键部件，不仅在功能上，而且在安全性上。该逆变器有三相输出驱动每个轮毂电机，独立控制转矩和速度。在制动或“滑行”条件下，电机作为发电机和由此产生的能量可以通过逆变器进行再生制动，并将能量返回到电池。

安全问题可概括为:

意想不到的牵引
意想不到的制动
有触电危险。

在汽车领域，安全风险根据ISO 26262对汽车安全完整性等级(ASIL)进行分类，范围从ASIL- a到ASIL- d(最高级别)，适用于如果出现故障，可能会导致生命危险或致命伤害的部件或系统。对于不构成汽车危险的事件，还有一个类别QM，或“质量管理”。在本文中，没有考虑触电的危险。

电动汽车应用中的危害和限制

电动汽车牵引系统的典型安全限制是防止过扭矩超过50Nm或要求值的+/-5%，或防止过制动超过相同的限制。这两种情况都将被归类为ASIL-D危害，其容错时间间隔(FTTI)目标为200ms，即系统过渡到安全状态所需的最大时间。

图1显示了一个电机驱动器的简化架构。一个典型的控制流程如下:

车辆控制单元(VCU)通过CAN总线连接发送扭矩命令。
扭矩命令由处理单元(PU)接收。
该处理器根据转矩需求和系统状态计算逆变器门驱动器的下一个脉宽调制(PWM)信号。
栅极驱动器使电源开关向电机输出相电流。
PU监测电机位置，速度，相电流和电压随着故障指示关闭控制回路和纠正错误。

图1:简化的电机驱动架构。

实现适当ASIL安全级别的控制流程的方案现在将使用NXP提供的一套针对该应用的ic解决方案进行描述，该解决方案基于MPC5775B/E微控制器家族。

控制函数可以分为“执行”和“检查”

处理故障可分为通信故障和计算故障;前者是CAN连接的一个功能，可以被标准的完整性保护技术覆盖在CAN命令中。NXP微控制器解决方案采用“执行者-检查者”架构，将“执行者”的主要功能需求及其复杂的控制算法(如面向现场控制(FOC)和计算)与故障检测和校正的“检查者”功能分离开来。

分割安排避免了一个块中的故障影响到另一个块的危险，并允许更有效地分配处理资源。因为所有与安全相关的功能都有“检查器”，它必须是ASIL-D合格的，但“执行者”可以只是qm级的。图2显示了安全功能在更详细的框图中拆分的方式。

图2:电动汽车逆变器实现中的ASIL类别。

图3显示了相同的功能，但现在说明了如何在NXP MPC5775E微控制器和NXP FS65xx安全电源系统基础芯片之间划分功能。这个理想的组合实现了MPC5775E核心0(非lockstep)中的“执行者”，而安全管理器(检查器)在lockstep核心1中实现。两个核心之间任何可能的常见故障都由单片机内部机制检测，如时钟监控和电源管理单元，外部由FS65xx IC，监控时钟、电源、内存和软件执行。FS65xx还监控微控制器中的核心1安全管理器，能够直接将电机驱动接口设置为安全状态。一系列库函数可用于根据NXP安全概念实现安全管理器，适用于任何特定的安全运行时框架。

图3:使用NXP ic实现图2中的安全功能。

永磁同步电机接口-安全概念

现实中的情况是，当一辆电动汽车刹车或滑行时，逆变器开关全部关闭，电机产生“反电动势”，在汽车上产生再生电流和不受控制的制动扭矩。为了防止这种危险，逆变器的反应是关闭所有的高侧或低侧开关，从而有效地缩短电机绕组(图4)。

图4:(a)所有开关打开(不安全)，(b)高侧开关关闭，(c)低侧开关关闭。

为了安全地实现这一点，单点故障不能使高侧和低侧开关闭合不可用。这需要对高侧和低侧开关进行独立控制。

在短路的情况下，对逆变器开关的本地保护也是必要的，这可能会损坏逆变器桥，使其处于不安全的状态。保护必须是快速的，不能等待微控制器的反应，因此需要电流或抗饱和监测直接在开关。

NXP MC33GD31xx器件是专门为ISO 26262 ASIL-C/D设计的，对IGBT开关的短路反应时间小于2µs，对SiC器件的反应时间更快，具有关断波成形，以避免破坏性电压过冲的可能性。该设备具有电流隔离、过流、过温、欠压的全面诊断和故障监测功能。对于逆变器周围的所有故障，如冷却损失和栅极驱动器/离散组件故障，它通过其INTB引脚和冗余SPI接口自动管理和报告状态。

IC检测开关故障，并根据故障模式，通过将所有高侧或低侧开关一起设置，将系统高速设置为安全状态。该IC还能够检测99%的任何内部故障内置自检(BIST)，看门狗功能和循环冗余检查(CRC)的数据。反馈到微控制器安全管理器功能的故障强制决定哪个安全状态是合适的，一个命令通过IC中的冗余“安全路径”中继到MC33GD31xx设备，直接作用于100µs FTTI内的开关门。排列如图5所示。

图5:电机驱动界面周围的安全控制。

安全关闭电机位置控制回路

通过监测相电流、角位置和电池电压，实现对电动汽车电机的控制。传感器显然对提供准确的信息至关重要，而且必须保证故障安全，以避免错误的电机指令和由此产生的危险。在讨论的NXP逆变器安全概念中(图6)，电机位置传感被假定为安装在电机轴上的机械解析器。输出放大和软件解析器(eTPU)分析复杂的时间事件与处理器和定时器通道的组合。该eTPU与NXP MPC5775E MCU中的0核和1核分离，以确保安全，避免了对主电机控制算法的任何计算负载。

图6:NXP安全概念中的电机位置传感。

流程为:

解析器接收高频，正弦'激励'信号由eTPU提供在MPC5775E。
在解析器中，两个互相设置为90度的线圈产生正弦和COS波形，从激励信号产生90度的相移，通过转子中的线圈耦合。两种波形的相对振幅表示角度位置，它们的调制频率表示速度。
Sigma-delta adc将正弦信号和COS信号与激励信号同步转换，并将结果存储在RAM中进行处理。
使用“跟踪观测器”模型从解调信号中解码角度和速度，通过对捕获点和处理结束之间的延迟进行外推和校正，提高了角度精度。
将角度和速度传递给电机控制算法。
在MCU的核心1中，一个“RDC”块监视eTPU中的各个阶段，并执行诊断以检查一系列可能的故障。
一个“输入检查器”查看来自解析器的原始值，以验证激励信号、SIN和COS信号的最大和最小振幅以及“单位矢量”的同步，检测线圈、放大级、激励链和A-D转换中99%的硬件故障。
ATO检查器单独计算转子角度作为“合理性检查”来检测eTPU的故障，并另外交叉检查eTPU中的角度外推函数。

RDC检查块，与电机接口，包含一个安全功能库，可以用户选择以适应MCU配置特定应用的安全要求。

在NXP的支持下，安全的电动汽车逆变器驱动设计得万博投注网址以实现

在本文中,我们已经考虑安全要求在电动汽车驱动系统的三个元素,运动控制算法,电机接口和电机位置,与如何实现所需的ASIL水平的例子用NXP微控制器、安全力量基础芯片和智能门驱动如图7所示。