看看头条

电机控制器可靠性和功能安全关键技术

一、电机控制器可靠性概述

1.1 电机控制系统介绍

功能:接收整车控制器的指令,驱动电机输出制定的转矩;

电机控制器可靠性和功能安全关键技术

电机控制器的力矩控制原理:

首先,从电机上通过电流传感器取得相电流,只需两项电流就可以;通过位置传感器取得电机转子为止;通过转子位置和两相电流进行坐标变换,得到ID和IQ

然后,通过PI调节器,输出D轴电压和Q轴电压,再通过坐标变换变成Uα和Uβ,通过PMW区域发生脉冲控制信号,驱动电子电子装置,给电机产生差不多正弦的电压。

电机控制器可靠性和功能安全关键技术

1.1在整车中的应用

整车寿命:20万公里,一般整车厂给的指标20万公里,有些更长,现在有些要求50万公里;

工作使劲:10-15年,

电机控制器:8000-1万小时

工作环境温度:纯电动车-40℃~80℃;混合动力因为放置在发动机边上,所以上限温度到了105℃。

温度循环次数:主要和IGBT有关的要求,2万次以上

振动次数:如果放在发动机或者变速箱上,回到18-20;一般3-5G;

环境:各种各样的环境都有。

电机控制器可靠性和功能安全关键技术

可以看出来,电机控制在整车应用非常复杂,工况本身循环反复波动,工作欢迎和一般的工业应用比起来非常恶劣,主要是温度和振东很厉害,长时间工作温度比较高的环境。因为放在车上,所以装配的体积和重量也有严格的限制。

1.2 电机控制器可靠性概述——可靠性的几重定义

1)在规定条件下、规定时间内,无故障执行规定的功能(自身功能以及不影响系统中其他部件正常工作)

2)在超出规定条件时(一定限度),及时输出故障信号,进入故障保护模式,自身不损坏;

3)自身发生故障时,及时输出故障信号,进入故障保护模式,自身以及外部系统不发生次生硬件损坏;

4)外部相关对象发生故障时,及时输出故障信号、进入故障保护模式,自身以及外部系统不发生次生硬件损坏;

5)发生故障时(内部、外部),对系统影响较小,(功能受限状态→ 无功能但未造成其他损害→ 无功能但不影响安全)

6)预见故障的发生,在故障影响较小提前报警。

二、可控性设计与验证

下面讲一些与可靠性有关的技术

2.1 可靠性设计与验证——IGBT寿命

IGBT在控制器里应该是最关键的一个部件,IGBT失效的因素很多,比如机械失效(连接线、焊接层、塑壳段子等)、电器失效(过温、过压、过流等),其他失效。

电机控制器可靠性和功能安全关键技术

这种图来源于IGBT厂商的一张图,

2.2 可靠性设计与验证——IGBT寿命计算

IGBT寿命以循环工作次数来衡量的,IGBT寿命δT结——结温变化的次数。评估IGBT寿命计算方法,下图是绝大部分IGBT厂商用的方法:

首先:运行工况输入。对于IGBT厂商来说没有工况输入这个环节,主要是对整车厂来讲,做控制器的时候有一个运行工况的输入。常规有几种循环工况,但不会只用一个,每种工况占有一定的比例。

然后:根据运行工况、整车特性、电机特性等,计算得到对应运行工况控制器的电压、电流运行曲线。

然后:根据控制器损耗模型,确定IGBT损耗曲线;

然后:通过控制器热模型确定IGBT结温曲线,到这一步得到了一个运行工况对应的在整个生命周期中,IGBT的结温变化,这一步已经可以计算IGBT寿命。

然后:通过雨流计数法确定IGBT结温变化值与循环次数的关系。其实就是把不同结温变化时间,折算到一个固定的结温下面,结合厂商提供的寿命曲线,确定IGBT的寿命。

这是整个计算过程。

电机控制器可靠性和功能安全关键技术

如果简单用这样一个曲线来看,按照要求的8000-10000小时,按照整车厂工况数据折算下来,可能折算出几十年。从目前计算情况来看大概这样。实际情况,从整车这么多年跑下来经验数据来看,也的确没有因为这样一个寿命造成电机损坏。

2.3 可靠性设计与验证——IGBT寿命评估

前面讲到,根据实际计算情况和实际整车运行情况数据来看,IGBT寿命远远大于实际的要求。但正常情况,所有整车厂有要求,会有耐久试验。控制器也会做这个试验。

1)仿真计算:通过计算得到全生命周期实际工况对应的等价循环工作次数,查寿命曲线是否满足IGBT寿命限制。

2)耐久试验:模拟实际运行工况进行全生命周期耐久试验,实验过程监控是否损坏;

3)加速寿命试验:

方法一:基于耐久试验工作条件,不改变工况循环,提高水冷系统入口温度,从而提高IGBT工作温度,此条件下的工作循环次数等价于数倍的正常耐久试验条件下的工作循环次数,具体倍数需要根据运行条件进行计算,此方法受限于正常耐久试验时水冷系统入口温度要求,可能无法提升或提升有限(提升后可能控制器内部器件温度超标无法正常工作)

方法二:基于耐久试验工作条件,不改变环境温度和水冷系统入口温度,改变工况,提升负载(转速、转矩)变化幅度和次数,平均负载与正常耐久试验工况一致,使同等时间下等价循环工作次数提升。从而在较短时间内达到与正常耐久试验等价的工作循环次数,此方法需要进行仿真计算得到不同工况下等循环次数。

方法一与方法二的结合。

2.3 可靠性设计与验证——IGBT结温估算

IGBT结温估算对于可靠性的意义

1、结温是判定IGBT是否安全工作的重要条件之一,而NTC相应慢,不能正确、及时反映结温波动状况,通过结温估计,得到IGBT实时的接吻状况,可以提前保护,避免IGBT过热导致失效。

2、通过结温估算,得到IGBT的结温循环情况,进而预估IGBT工作寿命。

3、通过IGBT损耗实时计算,联合热模型,可评估散热系统的状态(导热硅脂、水冷系统是否正常)

IGBT结温估算流程:

首先:检测出输出电流直流母线电压;

然后:根据控制状态判断IGBT导通还是二极管导通工作;

如果IGBT导通,可以查拟合曲线导致的Vce电压,还有Eon、Eoff,计算导通损耗和开关损耗,合成总损耗,然后通过MTC的温度估计出结温。这是一个很常规的结温估算方式,但有效性,试验中很难证明其有效性。稳态可以,损态证明不是那么容易。

电机控制器可靠性和功能安全关键技术

2.4 可靠性设计与试验——薄膜电容寿命

控制系统另外一个关键部件——薄膜电容。薄膜电容在控制器里,应该说承受温度标准最低的, 影响薄膜电容寿命的主要因素:电压、温度。

1)电压:金属化膜并不是理想均匀的,电压会使金属化膜产生自愈点,从而使电容的容量下降,绝缘老化等;

2)温度:温度应力作用会加速介质老化、加速电参数退化、促进电场强度下降;

薄膜电容寿命也是工作时间衡量的,计算方法和IGBT有点儿像:

从运行工况的输入,来输入控制器的电压电流这些曲线;然后通过仿真可以确定薄膜电容上面的电压、电流曲线,通过薄膜电容内部的ESR可以确定损耗。然后通过寿命曲线计算出电容的寿命。

电机控制器可靠性和功能安全关键技术

薄膜电容寿命评估方法

1)仿真计算:通过计算得到全生命周期实际工况对应的等价工作时间,查寿命曲线是否满足薄膜电容寿命限制;

2)耐久试验:模拟实际运行工况进行全生命周期耐久试验,试验过程监控是否损坏。

3)加速寿命试验:

方法一:基于耐久试验工作条件,不改变工况循环,提高水冷系统入口温度,从而提高薄膜电容工作温度,此条件下的工作时间等价于数倍的正常耐久试验条件下的工作时间,具体倍数需要根据运行条件进行计算。此方法受限于正常耐久实验时水冷系统入口温度要求,可能无法提升或提升有限(提升后可能控制器内部器件温度超标无法正常工作)。

方法二:基于耐久试验工作条件,不改变环境温度和水冷系统入口温度,提高直流母线电压,此条件下的工作时间等价于数倍的正常耐久试验条件下的工作时间,具体倍数需要根据运行条件进行计算,此方法受限于正常耐久试验的直流母线电压要求,可能提升有限(最高提升到满功率输出最高工作电压),且会提高控制器的内部温升(IGBT损耗会增加)。

方法一与方法二结合。

2.5 可靠性设计与验证——汽车级器件

汽车级器件涉及到设计、质量、成本和交付方面的要求:

电机控制器可靠性和功能安全关键技术

2.6 可靠性设计与验证——控制器整机可靠性验证试验

电机控制器可靠性和功能安全关键技术

三、电机控制器的功能安全

3.1 功能安全概述

汽车上的功能安全就是ISO26262,当然不止是说产品符合,更重要的是开发流程遵循26262的规定。像软件很多时候验证手段,都是在开发流程上。

电机控制器的安全目标比较单纯,就是转矩安全。一般设定的电机控制器的安全目标有几个:非预期的增大、非预期的反向、抖动。

安全状态:关管(IGBT OFF)、电机端部短路(ASC)。

这种状态又可能产生大的付转矩。

3.2 功能安全基本架构

功能安全基本架构:输入-执行-输出几块组成。

输入:来自电机信号,三相电流、直流母线电压;有些公司还会把电机温度也加上去

执行:分几层,正常转矩控制单元、转矩监控单元、CPU运行监控层次

输出:输出驱动

电机控制器可靠性和功能安全关键技术

3.3 功能安全——安全机制

对应上面基本架构,有相应的安全机制来保证收到的东西是正常的,或者异常能马上发现。

1)对于CAN通讯监控,需要CAN的E2E保护,就是CAN有一个应答机制,必须把收到的命令再反馈给整车,确认理解这个命令是对的。这个讲起来比较简单,但是电机控制器自己做不到这一点,必须有整车系统配合才能达成。另外是电流和电压采样监控,正常来说,电流只要两相就可以控制,为了电流监控会采用三相电流传感器。

2)母线电压监控:相对简单,母线电压采样本身和整车进行比较,就能达成电压监控;

3)位置监控:硬件解码sensorless位置比较,然后软件诊断;

4)PWM和IGBT监控:这一块实践起来有一定难度,如果要完整实现需要付出高成本代价。对PWM路径,CPU出去的时候监控一次信号,后面输出还可以再监控一次。但是到了IGBT输出,如果要监控就会对输出电压采样。对输出电压硬件电压采样,需要成本代价。

5)电源与MCU监控:电源芯片也一样,采用专用的芯片

6)安全关断:所有安全状态都需要关断,需要保证关断本身是安全的。

所有东西加在一起,没有办法完全覆盖所谓的安全。所以,最后有一级,转矩的估算。笼统放在一起,控制和命令是否一致。

电机控制器可靠性和功能安全关键技术

3.4 功能安全——相电流采样安全机制

刚刚讲过,两相电流就能实现控制,为什么还要用三相,就是为了冗余采样。原理:只要电机正常没有发生对地短路。三相电流符合位0.所以第三相电流能用来确认电机系统是否有问题。

  • Iu+Iv+Iw=0

三相电流采样通道,有一个作为冗余校验使用;

  • A/模块失效(或A/D参考电源失效)可通过与之无关的另外一个A/D模块采样重复校验,也可以使用与之无关的标准电压信号作为A/D模块的采样输入进行比较校验。

  • 三个电流传感器发生同等增益偏差,由电机电压方程进行校验

  • 传感器电源由独立电源监控回路监控

电机控制器可靠性和功能安全关键技术

3.5 功能安全——电机转子位置采样安全机制

  • 由MCU另外一个无关的A/D模块对旋变激励信号和反馈信号进行重复校验,保证信号物理特性无问题;

  • 软件上实施电机转子位置估计算法,对旋变解码得到的转子位置进行重复校验。

电机控制器可靠性和功能安全关键技术

3.6 功能安全——静止时电机转子位置估计算法

  1. 脉冲电压法:利用永磁同步电机的饱和性凸极效应,通过向电机定子绕组中施加不同角度的电压矢量,通过其电流相应来判断永磁同步电机转子位置

  2. 脉振高频电压信号注入法:通过在估计旋转坐标系的D轴注入高频正弦电压信号,使用其在q轴产生的高频电流信号进行转子位置估计。

3.7 功能安全——转矩估计算法

  1. 功率法:根据三相电流和三相电压计算输入到电机的功率,再查表得知电机损耗,可以得到电机输出功率,根据输出功率和转速即可计算出输出转矩,极低速时不可用。

  2. 电压磁链法

在高速区,可以用功率法计算转矩,因为非常直接,算出来的精度至少在实验室和外面实车相比精度也不错。电压磁链法,稍微复杂一点儿,大多用在低速和高速叠加的地方,两种方法相互校验。

四、故障保护和容错运行

4.1 自诊断功能

时机:整车上电初始化完成后

自检项目:

1)电源(高压、低压、各个控制电源)

2)EEPROM数据

3)电流传感器偏置

4)旋转编码器信号断线、短路

5)旋转编码器位置

6)电流传感器增益、IGBT回路

7)电机绕组电阻

8)电机绕组电感、电机退磁

9)输出缺相

4.2 外部相关部件诊断功能

1)电机磁钢局部退磁:反电势谐波估算技术

2)电机转子过热:电机损耗估算技术

3)散热系统异常

4)轴承异常:转速谐波分析技术

5)电机参数异常:在线参数估计技术

现在讲的这些外部专断,和功能安全没有必然联系。甚至,有些地方考虑功能安全的话,这里面有些东西是不能用的。

|\n|\r

赞 (0)
分享到:更多 ()