日本无码免费高清在线|成人日本在线观看高清|A级片免费视频操逼欧美|全裸美女搞黄色大片网站|免费成人a片视频|久久无码福利成人激情久久|国产视频一二国产在线v|av女主播在线观看|五月激情影音先锋|亚洲一区天堂av

  • 手機(jī)站
  • 小程序

    汽車測(cè)試網(wǎng)

  • 公眾號(hào)

    • 汽車測(cè)試網(wǎng)

    • 在線課堂

    • 電車測(cè)試

電動(dòng)汽車電機(jī)驅(qū)動(dòng)控制器功能安全架構(gòu)研究

2020-03-11 23:33:15·  來(lái)源:《電動(dòng)汽車電機(jī)驅(qū)動(dòng)控制器功能安全架構(gòu)研究》  
 
0 引言伴隨著新能源汽車產(chǎn)業(yè)的發(fā)展,車用電子電氣系統(tǒng)的功能也日趨復(fù)雜,如何確保電子電氣系統(tǒng)的功能安全已成為行業(yè)關(guān)注的重點(diǎn)和研究的熱點(diǎn)。國(guó)際標(biāo)準(zhǔn)化組織(IS
0 引言

伴隨著新能源汽車產(chǎn)業(yè)的發(fā)展,車用電子電氣系統(tǒng)的功能也日趨復(fù)雜,如何確保電子電氣系統(tǒng)的功能安全已成為行業(yè)關(guān)注的重點(diǎn)和研究的熱點(diǎn)。國(guó)際標(biāo)準(zhǔn)化組織(ISO)于2011年正式發(fā)布了ISO26262《道路車輛功能安全》標(biāo)準(zhǔn),其提供了一套涵蓋系統(tǒng)(包括硬件和軟件)及其生產(chǎn)制造的完整功能安全設(shè)計(jì)流程與認(rèn)證制度,以確保汽車行駛的安全性,并已成為汽車行業(yè)目前普遍接受的一套完整的評(píng)估并降低風(fēng)險(xiǎn)的方法,獲得了全球主要汽車制造商以及零部件供應(yīng)商的廣泛認(rèn)可和采用。盡管該標(biāo)準(zhǔn)針對(duì)功能安全性給出了完整的設(shè)計(jì)流程,對(duì)功能安全理念的引入發(fā)揮了至關(guān)重要的作用,但由于其并不涉及特定產(chǎn)品的具體設(shè)計(jì),同時(shí)國(guó)內(nèi)外的相關(guān)文獻(xiàn)也鮮有介紹,因此如何正確地實(shí)現(xiàn)產(chǎn)品級(jí)的功能安全,對(duì)設(shè)計(jì)人員而言仍然具有一定的難度。

作為純電動(dòng)汽車核心動(dòng)力部件,電機(jī)驅(qū)動(dòng)控制器其功能安全的正確實(shí)施顯得尤為重要。本文將從純電動(dòng)汽車電機(jī)驅(qū)動(dòng)控制器的安全目標(biāo)出發(fā),詳細(xì)闡述針對(duì)不同微處理器結(jié)構(gòu)如何實(shí)現(xiàn)系統(tǒng)架構(gòu)設(shè)計(jì)層面的功能安全。

1 電動(dòng)汽車電機(jī)驅(qū)動(dòng)控制器安全完整性等級(jí)分析

1.1 安全目標(biāo)及安全完整性等級(jí)ASIL

產(chǎn)品安全性開發(fā)的最終目的是為了符合安全目標(biāo)。安全目標(biāo)是系統(tǒng)最高層面的安全要求,是危害分析和風(fēng)險(xiǎn)評(píng)估(HARA)的結(jié)果?;贖ARA分析可以得出針對(duì)安全目標(biāo)的汽車安全完整性等級(jí)(ASIL)。根據(jù)文獻(xiàn)可知,ASIL等級(jí)的確定需要針對(duì)危害事件綜合考慮嚴(yán)重度(S)、暴露概率(E)和可控性(C)的因素,如表1所示,其中D代表最高等級(jí),A代表最低等級(jí),QM表示質(zhì)量管理。


對(duì)于S,E,C指標(biāo),文獻(xiàn)中均有明確定義,本文不再贅述。需要說(shuō)明的是,一個(gè)安全目標(biāo)可能與多種危害相關(guān),而多個(gè)安全目標(biāo)也可能與某種單一的危害有關(guān)。對(duì)于一個(gè)電子電氣系統(tǒng),可能存在多個(gè)安全目標(biāo);而對(duì)于一個(gè)安全目標(biāo),在不同暴露場(chǎng)景下對(duì)應(yīng)的ASIL等級(jí)可能不同,通常選擇最高的ASIL等級(jí)進(jìn)行開發(fā)。

文獻(xiàn)介紹了ISO26262標(biāo)準(zhǔn)的HARA分析方法?;谠摲椒?,可對(duì)純電動(dòng)汽車電機(jī)驅(qū)動(dòng)控制器進(jìn)行如下分析:控制系統(tǒng)的功能是“提供所需要的轉(zhuǎn)矩”,對(duì)其進(jìn)行危害與可操作性分析(HOZAP)的關(guān)鍵詞可定義為“轉(zhuǎn)矩”,HOZAP分析的目的是用于識(shí)別控制系統(tǒng)功能的失效。表2示出對(duì)于電機(jī)驅(qū)動(dòng)控制器的HOZAP分析。


限于篇幅,本文僅以“非預(yù)期的轉(zhuǎn)矩增加”的功能失效行為為例進(jìn)行分析,則在整車層面產(chǎn)生的潛在危害是“非預(yù)期的車輛加速”。對(duì)于該危害,從不同的場(chǎng)景分析S,E,C等級(jí)。以“汽車在市區(qū)緩行且前方有行人”的場(chǎng)景為例進(jìn)行分析,該場(chǎng)景在日常駕駛中非常常見,幾乎發(fā)生在每次駕駛中,其運(yùn)行場(chǎng)景暴露概率(E)等級(jí)可定義為E4;非預(yù)期加速后與前方行人發(fā)生碰撞,屬于“行人/自行車事故”,極有可能造成人員死亡,其嚴(yán)重度(S)等級(jí)可定義為S3;而一般駕駛員可以通過(guò)猛踩制動(dòng)踏板使車輛減速或停下,因此其可控性(C)等級(jí)可定義為C2。由此,在該運(yùn)行場(chǎng)景下,ASIL等級(jí)可確定為C。如上所述,還應(yīng)對(duì)該危害的其他場(chǎng)景進(jìn)行分析,以便確定控制系統(tǒng)的最終ASIL等級(jí),表3給出了基于“非預(yù)期的轉(zhuǎn)矩增加”幾個(gè)典型場(chǎng)景的HARA分析結(jié)果。


從上述分析可知,“非預(yù)期的轉(zhuǎn)矩增加”在不同的場(chǎng)景下所對(duì)應(yīng)的ASIL等級(jí)并不相同,應(yīng)選擇最高的ASIL等級(jí)進(jìn)行開發(fā)(本例確定為ASILC)。需要說(shuō)明的是,HARA分析是功能安全開發(fā)中非常重要而且復(fù)雜的工作,本文主要對(duì)分析方法進(jìn)行研究,所做的HARA分析是基于“非預(yù)期的轉(zhuǎn)矩增加”幾個(gè)典型場(chǎng)景,而最終的ASIL等級(jí)確定需要綜合考慮所有場(chǎng)景。

1.2 微處理器需求分析

將電動(dòng)汽車電機(jī)驅(qū)動(dòng)控制器的安全目標(biāo)分解到電機(jī)驅(qū)動(dòng)控制器的微處理器中,可知微處理器部分的ASIL等級(jí)應(yīng)不小于ASILC??梢酝ㄟ^(guò)ASIL分解的方式使用普通的多芯片冗余方案來(lái)降低對(duì)微處理器本身ASIL等級(jí)的需求,但采用這種方法其設(shè)計(jì)成本和難度均遠(yuǎn)高于采用安全微處理器的,因此通常建議選擇帶鎖步核的安全微處理器芯片,其ASIL等級(jí)通常為D。

目前符合ASILD等級(jí)的微處理器主要有單核鎖步型(如TI公司的TMS570系列芯片)和多核鎖步型(如NXP公司的MPC5746R系列芯片,Infineon公司的TC27x系列芯片等)兩種。針對(duì)于不同數(shù)量的內(nèi)核,功能安全架構(gòu)的實(shí)現(xiàn)方式和難度也各異,本文將進(jìn)一步對(duì)此進(jìn)行分析。

2 符合功能安全的電動(dòng)汽車電機(jī)驅(qū)動(dòng)控制器EGAS系統(tǒng)架構(gòu)設(shè)計(jì)

進(jìn)行功能安全產(chǎn)品的開發(fā)時(shí),需要對(duì)ASIL等級(jí)進(jìn)行分解,可將其分解為基本功能與安全功能兩部分。對(duì)基本功能的開發(fā)執(zhí)行QM等級(jí)標(biāo)準(zhǔn),而對(duì)安全功能的開發(fā)執(zhí)行ASIL等級(jí)標(biāo)準(zhǔn)。對(duì)電機(jī)驅(qū)動(dòng)控制器而言,即將安全目標(biāo)分解為ASILC=QM(C)+ASIL(C)。為了實(shí)現(xiàn)這種分解,本文使用EGAS架構(gòu)進(jìn)行設(shè)計(jì)。

2.1 EGAS架構(gòu)在功能安全中的應(yīng)用

電機(jī)驅(qū)動(dòng)控制器EGAS架構(gòu)主要設(shè)計(jì)理念是將控制系統(tǒng)進(jìn)行分層設(shè)計(jì),即分為功能層(Level1)、功能監(jiān)控層(Level2)和處理器監(jiān)控層(Level3),如圖1所示。


功能層(Level1)主要實(shí)現(xiàn)控制系統(tǒng)的基本功能,對(duì)電機(jī)驅(qū)動(dòng)控制器而言,即執(zhí)行轉(zhuǎn)矩的輸出;此外,其還包含了組件監(jiān)控、輸入/輸出變量診斷以及當(dāng)檢測(cè)到故障后執(zhí)行系統(tǒng)的故障響應(yīng)功能。功能監(jiān)控層(Level2)主要實(shí)現(xiàn)對(duì)Level1的監(jiān)控,例如,通過(guò)監(jiān)控計(jì)算轉(zhuǎn)矩的實(shí)際輸出值判斷Level1軟件是否正確等,而一旦診斷出故障,將觸發(fā)系統(tǒng)的故障響應(yīng),并由Level1或Level2執(zhí)行。處理器監(jiān)控層(Level3)主要是通過(guò)問(wèn)答的形式監(jiān)控Level2處理器是否出現(xiàn)故障,需要由一個(gè)獨(dú)立的ASIC或微處理器實(shí)現(xiàn);當(dāng)出現(xiàn)故障后,觸發(fā)系統(tǒng)的故障響應(yīng),并獨(dú)立于Level1去執(zhí)行。因此,可以將Level1定義為基本功能(QM),而Level2和Level3定義為安全功能(ASIL)。

2.2 電機(jī)驅(qū)動(dòng)控制器安全理論分析

根據(jù)1.1節(jié)分析,電機(jī)驅(qū)動(dòng)控制器的安全目標(biāo)是“避免非預(yù)期的轉(zhuǎn)矩增加”,將其分解到2.1節(jié)EGAS架構(gòu)中的Level2層,對(duì)應(yīng)的安全目標(biāo)為“實(shí)現(xiàn)轉(zhuǎn)矩的正確監(jiān)控”。因此,要實(shí)現(xiàn)電機(jī)驅(qū)動(dòng)控制器的功能安全,需要對(duì)輸出轉(zhuǎn)矩進(jìn)行實(shí)時(shí)監(jiān)控。根據(jù)文獻(xiàn)可知,永磁同步電機(jī)轉(zhuǎn)矩方程為


式中:p——電機(jī)極對(duì)數(shù);id和iq——d,q軸電流;ψd,ψq——d,q軸磁鏈。

磁鏈的計(jì)算公式為


式中:ψf——永磁體磁鏈。

因此,可通過(guò)式(1)、式(2)對(duì)轉(zhuǎn)矩進(jìn)行實(shí)時(shí)觀測(cè),監(jiān)控其輸出量是否與目標(biāo)量一致。試驗(yàn)電機(jī)極對(duì)數(shù)為4,其銘牌參數(shù)如表4所示。


通過(guò)離線參數(shù)辨識(shí),得出試驗(yàn)電機(jī)的磁鏈(圖2)及電感參數(shù)(圖3)。

 

根據(jù)離線辨識(shí)結(jié)果,d軸電感變化范圍較小,故取定值0.23mH。將上述參數(shù)代入式(1)和式(2),并通過(guò)Matlab對(duì)實(shí)際輸出轉(zhuǎn)矩與觀測(cè)轉(zhuǎn)矩進(jìn)行電機(jī)系統(tǒng)仿真,仿真結(jié)果如圖4~圖6所示。

 
 

從上述仿真結(jié)果可知,電機(jī)驅(qū)動(dòng)控制系統(tǒng)在低速、額定轉(zhuǎn)速、峰值轉(zhuǎn)速工況下,試驗(yàn)電機(jī)轉(zhuǎn)矩的觀測(cè)值與實(shí)際值均非常接近。對(duì)應(yīng)的臺(tái)架測(cè)試結(jié)果如圖7~圖9所示,可以看出,在實(shí)際工況中,轉(zhuǎn)矩觀測(cè)的結(jié)果與仿真結(jié)果類似。

 
 

綜上所述,該理論可以實(shí)現(xiàn)對(duì)軟件層面EGAS架構(gòu)中Level2層的安全目標(biāo),即“實(shí)現(xiàn)對(duì)轉(zhuǎn)矩的正確監(jiān)控”。

2.3 單核鎖步微處理器的安全架構(gòu)實(shí)現(xiàn)


單核鎖步微處理器的系統(tǒng)安全架構(gòu)如圖10所示。圖中虛線框內(nèi)的部分為實(shí)現(xiàn)該安全目標(biāo)所需要考慮的架構(gòu)部分。其中,藍(lán)色陰影部分的為通過(guò)ASIL分解后需要按照ASILC(C)進(jìn)行開發(fā)的模塊,其他為按照QM(C)進(jìn)行開發(fā)的模塊。

該系統(tǒng)在硬件層面按照EGAS的架構(gòu)進(jìn)行設(shè)計(jì),具體如下:電流、電壓、旋變解碼信號(hào)采用雙路模式送入控制芯片,一路用于執(zhí)行電機(jī)控制算法,產(chǎn)生PWM信號(hào),完成轉(zhuǎn)矩的輸出(Level1),另一路用于對(duì)輸出轉(zhuǎn)矩進(jìn)行監(jiān)控和診斷(Level2);帶看門狗(問(wèn)答式時(shí)窗狗)的電源芯片完成對(duì)電源和芯片的程序流進(jìn)行監(jiān)控(Level3),當(dāng)檢測(cè)到故障后產(chǎn)生復(fù)位信號(hào)送入微處理器,并由電源芯片直接封鎖PWM脈沖處理電路的輸出。

由于單核鎖步微處理器存在芯片內(nèi)部資源的共享,因此軟件的EGAS架構(gòu)設(shè)計(jì)難度較大;確保軟件在空間和程序流上的獨(dú)立難度大,使得執(zhí)行基本功能的函數(shù)可能會(huì)對(duì)執(zhí)行安全功能的函數(shù)產(chǎn)生影響,導(dǎo)致系統(tǒng)性失效。為了降低單核鎖步微處理器功能安全軟件架構(gòu)實(shí)現(xiàn)的難度,可以采用多核鎖步微處理器或雙芯片微處理的安全架構(gòu)。

2.4 多核鎖步微處理器的安全架構(gòu)實(shí)現(xiàn)

以多核鎖步處理器MPC5746R和TC27x為例進(jìn)行分析,其中,MPC5746R為雙核芯片(1個(gè)普通核,1個(gè)帶鎖步核的安全核),TC27x為三核芯片(1個(gè)普通核,2個(gè)帶鎖步核的安全核)。采用雙核微處理器與三核微處理器的電機(jī)驅(qū)動(dòng)控制器的系統(tǒng)安全架構(gòu)實(shí)現(xiàn)方式分別如圖11和圖12所示。

 

圖11所示架構(gòu)在硬件層面已經(jīng)實(shí)現(xiàn)了基本功能與安全功能模塊的分離;而要實(shí)現(xiàn)軟件層面的EGAS架構(gòu),根據(jù)2.1節(jié)分析可知,將轉(zhuǎn)矩控制相關(guān)的代碼可放置在CPU1,即在QM核中執(zhí)行(Level1),而將轉(zhuǎn)矩監(jiān)控和診斷相關(guān)的代碼放置在CPU0,即在安全核中執(zhí)行(Level2),同時(shí)安全核與看門狗完成對(duì)芯片本身及程序流的監(jiān)控(Level3)。當(dāng)CPU0監(jiān)測(cè)到轉(zhuǎn)矩異常后,根據(jù)故障分級(jí)原則,將降級(jí)的轉(zhuǎn)矩指令傳遞給CPU1去執(zhí)行;如果轉(zhuǎn)矩進(jìn)一步異常,當(dāng)達(dá)到最高故障等級(jí)后由CPU0直接對(duì)PWM脈沖處理電路進(jìn)行封鎖;當(dāng)看門狗監(jiān)測(cè)到程序流或芯片異常后,在復(fù)位微處理器的同時(shí)直接對(duì)PWM脈沖處理電路進(jìn)行封鎖。圖12的架構(gòu)與圖11類似,不同的是增加了一個(gè)安全核,可以在軟件層面實(shí)現(xiàn)對(duì)監(jiān)控層的診斷,或?qū)δ軐咏M成雙核冗余監(jiān)控。

2.5 雙芯片微處理器的安全架構(gòu)實(shí)現(xiàn)


雙芯片微處理器的安全架構(gòu)如圖13所示。該架構(gòu)在原理上與多核架構(gòu)類似,但它實(shí)現(xiàn)了芯片硬件資源與軟件代碼的完全獨(dú)立,對(duì)于EGAS架構(gòu)的實(shí)現(xiàn)更加簡(jiǎn)單可靠,且在硬件結(jié)構(gòu)方面較前兩種架構(gòu)略顯復(fù)雜。此外,該架構(gòu)還可以實(shí)現(xiàn)安全產(chǎn)品與非安全產(chǎn)品的標(biāo)準(zhǔn)化設(shè)計(jì):對(duì)于安全產(chǎn)品,其系統(tǒng)架構(gòu)與圖13所示一致;而對(duì)于非安全產(chǎn)品,只需要去掉圖13中“電源+時(shí)窗狗”與“安全芯片”模塊即可,無(wú)需重新對(duì)軟硬件進(jìn)行開發(fā)。

3 結(jié)語(yǔ)

本文首先介紹了危害分析與風(fēng)險(xiǎn)評(píng)估的方法,基于該方法確定了電動(dòng)汽車電機(jī)驅(qū)動(dòng)控制系統(tǒng)的一個(gè)安全目標(biāo)及其ASIL等級(jí);通過(guò)對(duì)EGAS架構(gòu)的介紹,提出了轉(zhuǎn)矩監(jiān)控層的實(shí)現(xiàn)方法,Matlab仿真分析和臺(tái)架測(cè)試結(jié)果驗(yàn)證了該方法的可行性;文章最后分析了不同微處理器結(jié)構(gòu)實(shí)現(xiàn)系統(tǒng)安全架構(gòu)的方法。分析表明,單核鎖步架構(gòu)的硬件復(fù)雜度較低,但對(duì)于軟件安全架構(gòu)的實(shí)現(xiàn)具有一定的難度,多核鎖步或雙芯片架構(gòu)能有效解決這一問(wèn)題,然而雙芯片架構(gòu)在硬件結(jié)構(gòu)方面較前兩種架構(gòu)略顯復(fù)雜,但卻在EGAS架構(gòu)的實(shí)施和標(biāo)準(zhǔn)化產(chǎn)品設(shè)計(jì)方面具有明顯優(yōu)勢(shì)。產(chǎn)品功能安全的具體實(shí)施仍需進(jìn)一步的研究。
 
 
分享到:
 
反對(duì) 0 舉報(bào) 0 收藏 0 評(píng)論 0
滬ICP備11026917號(hào)-25