1

安全目標及開發流程

功能安全的目標是將風險最小化到可接受的水平，風險定義為：發生損害的概率和該損害對人員的影響（以及在較小程度上對設備和環境的影響）； ?

常用降低風險的措施分為故障避免、故障檢測和故障處理措施； ?

ISO26262中闡述的V模型，非常經典；

對于功能安全的開發，從概念階段的項目定義開始，經過危害分析及影響，形成技術安全需求，再到具體的軟硬件開發，驗證及生產及生產后的管理； ?

全流程主要分概念階段，開發階段，量產階段，如下： ?

這里說明一下，Item Definition，則是我們具體設計/分析的產品的系統或子系統，它是我們進行安全設計的對象，或載體，比如本文重點描述的電機牽引逆變器；

2

概念階段的核心思想和關鍵詞

確認目標對象后，分析其功能需求，子系統及和外部系統的交互

牽引逆變器接收來自整車控制器(VCU)的命令，完成電機狀態的控制；

明確對象的危險分析及風險評估(HARA:Hazards Analysis and Risk Assesment)，提出安全目標(SG:Safety Goal)，這里的SG的衡量標準就是大家常聽到ASIL-A/B/C/D，比如

非駕駛員意圖的加速、剎車；在低速/高速，城市/高速等不同狀態下可能導致的傷害是輕微碰撞/驗證碰撞

安全目標：保證輸出的加速扭矩不超過給定量的5%，最大不超過50 Nm；

由Safty Goal，抽象細化出功能安全需求(FSR，Functional Safety Requirements)，比如

FSR1：獲取當前電機轉速，對轉速獲取全鏈路進行監測，及對比校驗；

FSR2: 當識別到的輸出扭矩超過給定扭矩5%，在1us內將三相橋臂開關切換至安全狀態

基于功能安全需求進行拆分，得出軟硬件的技術安全需求（TSR，Technical Safety Requirements） ?

3

牽引逆變器的考慮

牽引逆變器在新能源汽車中的主要作用，是基于整車控制器(VCU)給出的扭矩指令，控制電機的運行：

加速電機；

制動電機，回饋能量；

對于電池供電的電動車，電機通用通過一個8:1或10:1的變速箱連接到車輪； ? ?

因此，主要的危害有：非預期的過度牽引，非預期的制動，以及高壓電擊；

這些危害被整車廠識別，并標識以ASIL-B，ASIL-D不同的安全級別（ASIL，Automotive Safety Integrity Level）

因此，在本文的分析中，安全目標(Safty Goal)考慮如下：

SG1：避免加速扭矩超過50Nm，或超過+5%的預期控制扭矩（ASIL-D，FTTI=200ms）

SG2：避免制動扭矩超過50Nm，或超過+5%的預期制動扭矩

牽引逆變器的典型控制流程如下

VCU通過CAN總線，向處理單元發送扭矩控制指令

處理單元收到扭矩控制指令

處理單元基于當前的電機運行狀態（通過傳感器獲取），以及收到的控制指令，計算出需要輸出的PWM占空比；

驅動電路基于PWM占空比驅動橋臂開關

處理器測量系統的狀態，包括電流，電機軸位置，電機轉速，電壓等，完成閉環控制

下面，將基于ISO26262的理論和要求，介紹安全目標，功能需求，技術需求，硬件需求，軟件需求

4

執行-檢查的處理架構

在處理器域，導致違反SG1和SG2安全目標的主要的失效機制，可以總結為：

通信的失效，或者計算的失效；本文不討論通信的失效，這類失效一般通過對CAN通信消息的數據完整性校驗來實現；

上圖中執行-檢查架構，用于預防處理器的計算失效；

架構中，執行單元實現了主要電機控制需要功能，包括FOC控制算法，電機控制算法，數學計算庫等；

檢查單元負責檢查非安全狀況并保證系統運行在安全狀態；

架構中，執行單元聚焦在功能及性能，檢查單元聚焦實現安全目標；在ISO26262的定義里意味著，執行單元只需要符合QM（Quality Managed）標準，而檢查單元需要符合ASIL-D的標準；

在本文研究中，我們將檢查單元的功能以及需求，提煉并在名叫安全管理(Safety Manager)的系統單元中；

如上圖，結合NXP公司的MPC5775E微控制器，以及FS65功能安全SBC（System Basic Chip），可以輕松的實現執行-檢查的安全架構；

我們將執行器的工作分配給Core 0(Non-LockStep)，將安全管理的工作分配給CPU1(LockStep)；

常見的兩個內核的失效，通過MPC5775E內部的安全機制檢查，或者通過外部的安全SBC FS65檢查，這些機制可以包括故障收集及控制單元，時鐘監控單元，電源管理單元，內存保護單元，這些單元可以運行在FS SBC上；安全單元的失效，需要再通過監控FS65實現，并在識別出故障或失效時候，控制系統進入安全狀態（通過直接配置電機控制接口）；

逆變器的安全運行狀態的機制，可以通過靈活的，模塊化的方式，在NXP的安全概念指引下實現；

5

永磁同步電機控制接口的安全概念

針對電動汽車的一個限制，是永磁同步電機電機運行產生的高反電動勢；在高速運行情況下，如果永磁同步電機的相繞組處于斷開狀態，如下圖所示

那么將可能導致高于電池電壓的反電動勢,這將引起可再生的電流，以及非預期的制動扭矩；為了防止這個危害，系統需要短路橋臂所有的高邊開關，或者所有的低邊開關

上述的應用安全需求，可以通過如下架構實現

一套獨立的，用于控制高邊以及低邊開關的控制電路；

如果單點故障，可能導致高邊或低邊不可控制，系統將無法正常運行；

快速的短路保護電路（上圖A）

短路電路，可能永久性損害開關橋，并導致系統進入非安全狀態；因為短路失效需要在非常短的時間內處理，MCU無法滿足，因此需要通過門驅動電路GD3100來實現；

上層應用的診斷以及安全的應對措施（上圖B）

電機控制接口的失效，可能的原因很多：電機相繞組，IGBT開關，門驅動，分立的芯片，冷卻系統，針對不同的原因，需要不同的應對措施；高邊的失效保護需要快速將三相繞組短路到電池，而低邊的開路保護則是短路到地GND；GD3100門驅動電路是基于ASIL-D級別進行開發的，因此其內部有豐富的自診斷機制，能夠檢查出99%的內部故障，并可以通過冗余的通信機制通知到MCU的安全管理單元

反應通道（上圖C）

當MCU接收到故障上報，內部的安全管理邏輯可以決策出最合適的安全狀態；并通過GD3100專門的IO引腳進行控制；整個決策和響應需要在~100us的FTTI內；

NXP的GD3100門驅動是上述架構的重要組成，主要的差異特性有：

直接控制IGBT/SiC開關管；在降低整體失效率的同時，提供了一條獨立的電機控制路徑

快速的短路保護特性，對IGBT的保護時間<2us，對SiC則更快；

高診斷覆蓋率：GD3100基于ISO26262進行設計，針對內部故障，內部自檢測試以及CRC校驗有高覆蓋率；

6

通信以及傳感器的安全概念

為了實現閉環，電機控制算法需要采樣電流，電機的轉子角度以及電池的電壓；如果如上的傳感器信息采集有錯誤，將直接影響輸出給電機的指令；因此，對于傳感器的安全需求，是針對傳感器傳輸全鏈路的故障診斷，包括傳感器，放大調理單元，模擬數字轉換，以及傳感器數據的預處理等；

本文，我們以電機位置傳感器為例闡述；方法論和電流以及電壓采樣的類似；

系統采用固定在轉軸上的旋轉變壓器，放大調理電路，以及解碼模塊（eTPU）；eTPU是基于處理器及定時器完成的位置解碼算法模塊；這個架構的優勢在于避免浪費CPU0的算力；

轉速反饋的全流程說明：

eTPU產生旋轉變壓器的激勵信號

物理相位相差90°C的兩個繞組，感應出SIN/COS兩路信號；

Sigma Delta ADCs采樣兩路經過調理放大后的信號，并與激勵信號完成同步；處理完成的結果，存儲在eTPU的RAM中；

信號基于觀測器模型進行處理，解調后得到角度及速度信息；

計算得到的角度傳遞給電機控制算法

位于安全內核CPU1的RDC檢測器，針對上述的信號鏈路進行監測及診斷；

輸入監控的單元檢查原始數據，并通過過零檢測計算與激勵信號的同步，信號的最大和最小幅度，單位向量；

整個檢測功能可以識別出99%由于調理，繞組，激烈鏈路，Sigma Delta ADC可能存在的硬件失效；

其中

ATO檢測功能，采用和eTPU不同的角度計算方法，并運行合理性檢測程序；它可以檢測eTPU的故障；

外推檢測單元（extrapolation tracker）檢查角度外推法可能存在的失效；

審核編輯：劉清