电车试验：电机系统与电驱动总成安全——电驱动总成故障保护机制

乘用车电驱动总成的保护机制至少需要包括下列内容，具体处理策略实施可由整车厂与电驱动总成供应商协商达成一致。商用车电驱动总成的保护机制可参考乘用车要求，可按照与整车厂协商结果执行。

乘用车涉及功能安全相关的故障保护需要考虑安全状态。故障触发机制和恢复机制需要根据整车厂需求来完成设计和验证。

一、故障触发机制

根据一个或多个条件的判断，在一定的时间内判定当前故障状态是否已被触发的机制，叫做故障触发机制。

基本的故障触发机制包括以下类型：

当故障状态被触发后，根据当前的实际运行状态，在尽量减小对驾驶人产生干扰的前提下将系统进入安全状态的机制，叫做故障保护机制。

基本的故障保护机制包括以下类型：

1）电路板上单一物理量单次超出既定限值，触发故障状态。可以是模拟信号触发硬件故障保护，也可以是硬件驱动故障触发故障保护。

2）软件内部单一量单次超出限值【可标定】，触发故障状态。

3）软件内部单一量多次超出限值【可标定】，触发故障状态。

4）软件内部单一量在一段时间T【可标定】内N【可标定】次超出限值【可标定】，触发故障状态。

5）软件内部单一量与实时监控计算值【不可标定，变量】的偏差超出限值【可标定】，触发故障状态。

6）软件内部多个量超出限值【可标定】，并根据一定的逻辑判断后，触发故障状态。

7）主控芯片利用本身的检测机制保证程序执行正确性，否则触发故障状态,(例如：主控芯片检测时钟等信息，故障的触发是检测锁相环PLL 的丢失（不可标定），)同时也要保证计算结果的正确，通过例如lockstep 等机制检测故障，程序流也可以依据芯片内置watchdog 保证执行周期，同时检测故障。

8）外设其他功能安全芯片保证主控芯片正常工作，否则触发故障状态。具体时序参考芯片手册。外设功能安全相关芯片检测程序运行状态。问答式检测在线机制或超时时间（可标定）进入Safety Sate 状态。

9）在一段时间T【可标定】内未完成预设功能，触发故障状态。这里预设功能不是指芯片本身的故障，而是电机控制器设计的基本功能，常见如：自学习，主动放电等。

二、故障保护机制（进入安全状态或切换安全状态）

基本的故障保护机制包括以下类型：

1）软件检测模拟值包含电压、转速、温度等是否超出设置值【可标定】，系统进入ASC 主动短路状态或三相开路状态，上报故障信息，存储故障信息，冻结相关数据帧。

2）根据IGBT 当前的状态（正常、上桥故障、下桥故障），系统进入ASC 上桥短路状态或ASC 下桥短路状态。硬件检测模拟值是否超出限制值或存在硬件驱动故障，系统进入ASC 主动短路状态。

3）根据系统状态，系统进入ASC 主动短路状态或三相开路状态，上报故障信息，存储故障信息，冻结相关数据帧。根据IGBT 当前的状态（正常、上桥故障、下桥故障），系统进入ASC 上桥短路状态或ASC 下桥短路状态。

4）进入零转矩模式。上报故障信息，存储故障信息，冻结相关数据帧。

5）进入跛行回家(Limp-home)模式，采取降额措施，具体降额的量以及比例与故障源物理量相关，其相关性可标定。上报故障信息，存储故障信息，冻结相关数据帧。

6）进入冗余模式，不做故障上报，存储故障信息。

7）故障条件消失时，清除故障，根据当前转速、电压等模拟信号，经过一定时间（可以标定）从主动短路ASC 的安全状态可以切换到三相开路的安全状态，进入低压上电完成后的初始状态模式。

当故障状态被触发并进入安全状态后，根据当前的实际运行状态，使系统退出故障状态并具备重新实现原有功能的能力的机制，叫做故障恢复机制。

基本的故障恢复机制包括以下类型：

1）钥匙拔出，等待数秒后，重新执行KL15 重新上低压电唤醒，清除故障。

2）KL15 重新上低压电唤醒，清除故障。

3）故障条件不满足时，KL50 重新上高压电，清除故障。

4）故障条件不满足时，CAN 通信发出特定指令后，清除故障。

5）故障条件不满足时，经过一段时间T【可标定】后，或者满足一定计数条件【可标定】，清除故障。

6）故障条件不满足时，自动清除故障。一些降额故障或者0 扭矩模式可以自动恢复，但是建议恢复阈值的设计考虑滞环。

四、电驱动系统故障保护示例

下面是保护策略实施案例，供参考：

1、转矩反馈异常

故障描述：实际转矩与命令转矩偏差超过一定范围时，进行故障计数，同时，偏差在正常范围内，故障计数值需要减少。根据故障计数值达到不同阈值进行分级处理，故障分级阈值可以进行标定。转矩异常的原因可能是初始旋变位置错误或者电机参数不正常。

故障处理策略：

1）1 级故障进行降额处理，降额系数可标定，如果计数值小于故障阈值表示此故障可以进行恢复。取消降额保护。

2）3 级故障根据当前转速信息进行关管封脉冲或者主动短路处理，当转速降低到一定转速时，主动短路状态建议进入低压上电完成后的初始状态。

2、CAN 通讯故障

故障描述：

1）超时监控。通过检测同ID 报文的Livecounter 计数值来进行监控，当Livercounter的不连续的情况出现一次，则记一次故障计数，当故障计数在一定时间内出现一定次数，则报出通讯失效故障，否则清0 故障计数值。

2）探测总线通信失效，发送信息回读。MCU 从总线上回读已发送信息并与原始信息做比较。MCU 发送一帧特殊信息帧给整车控制器，整车控制器经过一个周期回复此信息，MCU 接收到之后进行比较。如信息不一致，报出通讯故障。

3）用于探测帧丢失，帧计数器。MCU 接收整车报文时，整车发送给MCU 的报文，对同一帧ID，进行计数每个单独的安全相关帧包含一个作为信息一部分的计数器。在生成每个连续帧时计数器值增加(翻转)。MCU 随后能通过验证计数器的值是否增加了1 来探测任何的帧丢失或者帧未更新。如果帧未更新的话，报出帧丢失故障。

故障保护策略：通讯故障报出后可以进行降额处理，此故障在CAN 通讯监测恢复后可以设置一定的扭矩恢复斜率，但是当can 故障在一定时间内多次出现故障后建议取消恢复机制。

3、微控制器故障（举三个例子，依赖芯片本身的安全机制）

故障描述：

1）时钟频率监测，MCU 提供内部时钟监控功能，可以监测芯片各模块的时钟信号。

芯片内可以生成100MHz 的时钟信号，独立于PLL 系统工作。系统以这个时钟为参考，生成一个参考计数器来校验其他模块的时钟。如果计数器有溢出，则说明发生错误。可以检测到计数器要么低于下限值（时钟过慢）要么高于上限值（时钟过快）。

2）静态随机存取存储器的错误探测纠错码，静态随机存取存储器可以执行4 个代码间距的错误代码修正，修正单字节错误和检测双字节错误。

3）程序存储器错误探测纠错码，为了预防数据损坏，程序存储器中数据包含错误探测纠错码。在程序存储器中数据可以进行两个位误差校正，三个位错误检测。

故障保护策略：根据芯片手册查询相关安全机制同时和硬件外围电路的设计相关。

4、高压电容快速放电故障

故障描述：当主动放电时间超过3 秒钟，且母线电压未降低到放电要求电压时，报放电超时。

故障保护策略：退出放电模式，或者切入其他放电模式，建议采用电机放电和电阻放电的其中一种方案。

5、控制器直流侧短路

故障描述：当检测到直流侧发生短路时，报出故障。

故障保护策略：控制器一般报出Desat 故障，驱动芯片会关掉IGBT，如果进入三相短路状态，需要知道当前是哪个管报的Desat 故障，转速较低时，可以采用封脉冲处理。

6、控制器交流侧短路

故障描述：分为相间短路、对壳体短路，对母线正或者对母线负短路，当交流传感器检测到过流或者其他驱动芯片报Desat 故障。

故障保护策略：过流故障根据当前转速信息进入关管封脉冲或者主动短路的处理策略，当转速降低到一定值时，主动短路可以退出并进入关管状态。Desat 故障同上。其中对壳体短路，一般会检测出三相电流之和较大不合理。

7、自检异常

故障描述：MCU 检测异常。

故障保护策略：报自检故障，禁止执行预充操作。自检时间整车厂一般会明确要求。

此外根据整车厂单独要求会添加自学习功能，那么就要考虑自学习时间和自学习失败的报警。

8、过压(高压)

故障描述：母线检测电压高于过压阈值。

故障保护策略：

1）一级过压：随着电压升高，电机响应扭矩线性降低。

2）二级过压：电机响应扭矩保持为0。

3）三级过压：三相短路。当转速降低到一定值时，主动短路可以退出并进入关管状态。避免车辆静止状态还处于三相短路中，导致IGBT 烧毁。

9、欠压(高压)

故障描述：母线检测电压低于过压阈值。

故障保护策略：

1）一级欠压：随着电压降低，电机响应扭矩线性降低。

2）二级欠压：电机响应扭矩保持为0。

10、断路/开路(高压)

故障描述：当检测到断路/开路时，报出故障，交流侧断路可以检测三相不平衡。

故障保护策略：根据当前转速信息进入关管封脉冲或者主动短路的处理策略，当转速降低到一定值时，主动短路可以退出并进入关管状态。

11、过流(高压)

故障描述：当检测到过流时，报出故障。

故障保护策略：根据当前转速信息进入关管封脉冲或者主动短路的处理策略，当转速降低到一定值时，主动短路可以退出并进入关管状态。

12、驱动电机过温保护

故障描述：电机温度检测高于过温阈值，这里需要注意在热安全中有提及，电机转子温度需要有必要的监控手段。

故障保护策略：

1）一级过温：随着电机温度上升，电机响应扭矩线性降低。

2）二级过温：电机响应扭矩为0。

3）三级过温：根据当前转速信息进入关管封脉冲或者主动短路的处理策略，当转速降低到一定值时，主动短路可以退出并进入关管状态。

13、驱动电机控制器过温保护

故障描述：控制器温度检测高于过温阈值。

故障保护策略：

1）一级过温：随着电机控制器温度上升，电机响应扭矩线性降低。

2）二级过温：电机响应扭矩为0。

3）三级过温：根据当前转速信息进入关管封脉冲或者主动短路的处理策略，当转速降低到一定值时，主动短路可以退出并进入关管状态。

14、驱动电机控制器低压欠压

故障描述：当检测到电机控制器低压欠压时，报出故障。

故障保护策略：根据当前转速信息进入关管封脉冲或者主动短路的处理策略，当转速降低到一定值时，主动短路可以退出并进入关管状态。

15、旋变故障

故障描述：

1）SIN/COS 超出范围（幅值超限）(DOS)；

2）EXC 短路、开路，EXC 的相位和SIN/COS 相位超范围（LOT）；

3）SIN/COS 短路、开路（LOS）；

4）SIN/COS 正弦度不好（DOS）；

5）SIN/COS 大小波（包络幅值周期性变化）(DOS)。

故障处理策略：进行故障计数，同时，偏差在正常范围内，故障计数值需要减少。根据故障计数值达到不同阈值进行分级处理，故障分级阈值可以进行标定。

1）1 级故障进行降额处理，降额系数可标定，如果计数值小于故障阈值表示此故障可以进行恢复，取消降额保护。

2）3 级故障根据当前转速信息进行关管封脉冲或者主动短路处理，当转速降低到一定转速时，主动短路应当退出进入关管状态。

16、位置信息检测异常

故障描述：电机在转矩控制过程中，不管是根据外部解码芯片得到的位置信息，还是MCU 本身自带的软件解码功能得到的位置信息，都建议与估算转子位置进行二次校验。保证转子位置信息的正确性。

故障处理策略：当检测到转子位置偏差较大时，根据当前转速选择策略，需要切换无位置传感器控制算法并降低扭矩输出还是进入三相短路保护状态。

17、驱动电机超速

故障描述：当检测到电机转速超过超速阈值时，报出故障。

故障保护策略：

1）一级超速：随着电机转速上升，电机响应扭矩线性降低。

2）二级超速：电机响应扭矩为0。

3）三级超速：三相短路当转速降低到一定转速时，主动短路应当退出进入关管状态。

18、12V/24V 供电丢失或者异常

故障描述：

1）无供电、毛刺、震荡、偏移；

2）过压；

3）欠压。

故障处理策略：芯片检测到供电异常切入备用12V/24V 电源，如果没有备用电源则考虑延迟下电来进行降额停机处理。

19、PWM 输出异常

故障描述：

1）常开；

2）缺相（无输出）；

3）频率漂移；

4）占空比漂移；

5）上升下降沿漂移。

故障处理策略：根据当前转速信息进行关管封脉冲或者主动短路处理，当转速降低到一定转速时，主动短路应当退出进入关管状态。

20、IGBT 功率输出模块异常

故障描述：

1）短路；

2）过压（母线电压主接触器断开、集成电感过大）；

3）过流（负载过大导致过流）；

4）开路。

故障处理策略：根据当前转速信息进行关管封脉冲或者主动短路处理，当转速降低到一定转速时，主动短路应当退出进入关管状态。

21、IGBT 结温过高

故障描述：控制器借助IGBT 损耗等信息进行结温估算，当超过一定阈值时，进行故障处理。

故障处理策略：

1）一级过温：随着电机控制器温度上升，电机响应扭矩线性降低。

2）二级过温：电机响应扭矩为0。

3）三级过温：根据当前转速信息进入关管封脉冲或者主动短路的处理策略，当转速降低到一定值时，主动短路可以退出并进入关断状态。