کنترل ایمن یک اینورتر اصطکاکی در خودروهای الکتریکی

ایمنی، نگرانی اصلی در طراحی اینورتر اصطکاکی خودروی الکتریکی (‏EV)‏ و همچنین سیستم‌های کنترل آن‌ها است. این مقاله درباره الزامات بحث کرده و یک راه‌حل نمونه را مطرح می‌کند.

اینورتر اصطکاکی جز مهمی در وسایل نقلیه الکتریکی هستند، نه تنها برای عملکرد بلکه برای ایمنی. اینورتر دارای درایوهای خروجی سه‌فاز برای هر موتور هاب است، که به طور مستقل برای گشتاور و سرعت کنترل می‌شوند. تحت شرایط ترمز، موتورها به عنوان ژنراتور عمل می‌کنند و توان حاصل را می توان از طریق اینورتر برای ترمز احیا کننده و بازگشت انرژی به باتری انتقال داد.

نگرانی‌های ایمنی را می توان به صورت زیر خلاصه کرد:

کشش ناخواسته
ترمز ناخواسته
خطر شوک الکتریکی

در دنیای خودرو، ریسک‌های ایمنی توسط سطح یکپارچگی ایمنی خودرو (‏ASIL)‏ مطابق با ISO 26262، از ASIL-A تا ASIL-D، که بالاترین سطح است، تقسیم می‌شوند. این طبقه بندی قابل کاربرد برای اجزا یا سیستم‌هایی است که در صورت عدم فعالیت درست می‌توانند منجر به آسیب های تهدید کننده زندگی شوند. همچنین یک مقوله QM، یا “مدیریت کیفیت”، برای رویدادهایی وجود دارد که هیچ خطر جانی ای ندارند. در این مقاله خطر شوک الکتریکی در نظر گرفته نمی‌شود.

خطرات و محدودیت‌های اینورتر اصطکاکی در کاربردهای خودروهای الکتریکی

محدودیت‌های ایمنی معمول برای یک سیستم اصطکاک خودروی الکتریکی، جلوگیری از گشتاور بیش از ۵۰Nm با ۵ درصد خطا است. یا جلوگیری از ترمز بیش از حد. هر دوی اینها به عنوان خطرات ASIL-D با تاخیر قابل تحمل نقص (‏FTTI)‏ ۲۰۰ms طبقه‌بندی می‌شوند، یعنی زمانیکه سیستم فرصت دارد تا به یک وضعیت ایمن برود. شکل ۱ معماری ساده شده درایو برای یک موتور را نشان می‌دهد. یک فلوی کنترل معمولی به صورت زیر است:

یک فرمان گشتاور از واحد کنترل وسیله نقلیه (VCU) از طریق یک اتصال باس CAN فرستاده می‌شود.
فرمان گشتاور توسط واحد پردازش (‏PU) دریافت می‌شود.
PU سیگنال مدولاسیون پهنای پالس بعدی (‏PWM)‏ را برای درایورهای گیت اینورتر مطابق با تقاضای گشتاور و وضعیت سیستم محاسبه می‌کند.
درایور های گیت باعث می‌شوند که توان به جریان‌های فاز خروجی موتور سوئیچ شود.
PU موقعیت موتور، سرعت، جریان‌های فازی و ولتاژ را همراه با نشانه‌های خطا برای بستن حلقه کنترل و اصلاح کردن خطاها نظارت می‌کند.

شکل ۱: معماری درایو موتور ساده‌شده.

طرح دستیابی به این جریان کنترل با سطوح ایمنی ASIL مناسب، اکنون با استفاده از یک راه‌حل از NXP توصیف خواهد شد که مجموعه‌ای از ICهای در نظر گرفته‌شده برای برنامه را براساس خانواده میکروکنترلر MPC5775B / E ارایه می‌دهد.

توابع کنترل را می توان به “انجام” و “چک کردن” تقسیم کرد.
شکست‌ها در پردازش را می توان به ارتباطات و محاسبات تقسیم کرد. ارتباطات ذکر شده، یک تابع از اتصالات CAN است و توسط روشهای محافظت از CAN که در ادامه ذکر خواهد شد، محافظت میشود. نقص‌ها در پردازش در میکروکنترلر NXP با یک معماری “چک کردن و انجام”، تقسیم نیاز عملکردی اصلی “انجام” با الگوریتم های کنترل پیچیده آن مانند کنترل میدانی (‏FOC)‏ و محاسباتی که از تابع “کنترل‌کننده” تشخیص و تصحیح خطا می آیند، کنترل می‌شوند.
آرایش تقسیم شده از خطرات شکست در یک بلوک موثر بر بلوک دیگر جلوگیری کرده و امکان تخصیص کارآمدتر منابع پردازشی را فراهم می‌آورد. از آنجا که تمام عملکردهای مرتبط با ایمنی با “چک کننده” هستند، باید ASIL-D واجد شرایط باشد، اما “انجام دهنده” می‌تواند تنها QM باشد. شکل ۲ نحوه تقسیم وظایف ایمنی را در یک نمودار بلوکی جزیی نشان می‌دهد.

شکل ۲: دسته‌های ASIL در پیاده‌سازی اینورتر اصطکاکی خودروی الکتریکی.

شکل ۳ همان توابع را نشان می‌دهد اما اکنون نشان می‌دهد که چگونه آن‌ها می‌توانند بین میکروکنترلر NXP MPC5775E و تراشه سیستم ایمنی تغذیه NXP FS65xx تقسیم شوند. این ترکیب ایده‌آل “انجام دهنده” را در هسته صفرم (‏مرحله غیر قفل)‏ MPC5775E اجرا می‌کند در حالی که مدیر ایمنی (‏جستجوگر)‏ در هسته مرحله قفل ۱ پیاده‌سازی می‌شود. همچنین FS65xx مدیر ایمنی هسته‌ی ۱ در میکروکنترلر را با قابلیت تنظیم مستقیم رابط محرک موتور به حالت ایمن، نظارت می‌کند. طیف وسیعی از وظایف کتابخانه برای اجرای مدیر ایمنی مطابق با مفهوم ایمنی NXP برای هر چارچوب زمانی اجرای ایمنی خاص در دسترس است.

شکل ۳: اجرای توابع ایمنی در شکل ۲ با ICهای NXP.

مفهوم ایمنی برای رابط موتور سنکرون مغناطیس دائم

یک موقعیت واقعی این است که وقتی ترمزهای خودروهای الکتریکی در حال حرکت با سرعت بالا، ترمز میکنند، سوییچ‌های اینورتر اصطکاکی خاموش هستند و موتورها یک EMF برگشتی تولید می‌کنند، که باعث ایجاد جریان احیا کننده (قانون لنز) و گشتاور ترمز کنترل‌نشده بر روی وسیله نقلیه می‌شود. برای جلوگیری از این خطر، معکوس کننده با بستن تمام سوییچ‌های سمت بالا یا پایین خود واکنش می‌دهد تا به طور موثر سیم‌پیچ موتور را اتصال کوتاه کند (‏شکل ۴)‏.

شکل ۴a

شکل ۴b

شکل ۴c

شکل ۴: (a)‏تمام سوییچ‌ها باز (‏غیر ایمن)‏، (‏b)‏سوییچ‌های سمت بالا بسته، (‏c)‏سوییچ‌های سمت پایین بسته می‌شوند.

برای رسیدن به این سطح از امنیت، یک شکست تک نقطه‌ای نباید باعث شود که اتصال سوییچ سمت بالا و پایین هیچ کدام واکنش نشان ندهند. این امر نیازمند کنترل مستقل برای سوییچ‌های سمت بالا و پایین است.

حفاظت محلی از سوییچ‌های اینورتر نیز در مورد اتصال کوتاه ضروری است، که می‌تواند به پل اینورتر آسیب برساند و آن را در یک وضعیت ناایمن باقی بگذارد. حفاظت باید سریع باشد و نمی‌تواند منتظر واکنش میکروکنترلر بماند، بنابراین نیاز به پایش جریان یا ضد اشباع مستقیم در سوییچ‌ها دارد.

دستگاه NXP MC33G31xx، که به طور خاص برای ISO 26262 ASIL-C/D طراحی شده‌اند، این عمل را با یک زمان واکنش برای اتصال کوتاه با کم‌تر از ۲μs برای سوییچ‌های IGBT، و برای دستگاه‌های SiC، حتی سریعتر انجام میدهند، با شکل‌دهی موج خاموش برای جلوگیری از احتمال ولتاژ مخرب بیش از overshoot. این دستگاه دارای ایزولاسیون گالوانیک، تشخیص جامع و پایش خطا برای جریانهای اضافی، دمای بیش از حد و ولتاژ کم است. برای تمام خطاهای اینورتر اصطکاکی مانند از دست دادن خنک سازی و خرابی گیت درایور، به طور خودکار وضعیت را از طریق پین INTB و رابط SPI اضافی مدیریت و گزارش می‌کند.

IC شکست سوییچ را تشخیص می‌دهد و بسته به حالت شکست، سیستم را با تنظیم همه سوییچ‌های سمت بالا یا پایین روی هم، در یک حالت ایمن با سرعت بالا تنظیم می‌کند. همچنین IC قادر به تشخیص ۹۹% از خطاهای داخلی با تست خودکار توکار (‏BIST)‏، تابع ناظر و کنترل افزونگی چرخه‌ای (‏CRC)‏ برای داده‌ها است. نتایج به تابع مدیر ایمنی میکروکنترلر گزارش میدهند که از طریق یک “مسیر امن” اضافی در IC، یک دستور به دستگاه MC33G31xx بازمی‌گردد تا مستقیما بر روی گیت سوییچ در FTTI در بازه ۱۰۰ میکروثانیه عمل کند. این وضعیت در شکل ۵ نشان داده شده است.

شکل ۵: کنترل‌های ایمنی در اطراف رابط درایور موتور.

بستن حلقه کنترل موقعیت موتور بصورت ایمن

برای کنترل موتور خودروی الکتریکی، جریان فاز، موقعیت زاویه‌ای و ولتاژ باتری نظارت می‌شوند. سنسورهای مورد استفاده به وضوح برای ارائه اطلاعات دقیق ضروری هستند و باید برای جلوگیری از فرمان‌های حرکتی نادرست و خطرات ناشی از آن، ایمن عمل کنند. در مفهوم ایمنی اینورتر NXP بحث شده‌است (‏شکل ۶)‏، حسگر موقعیت موتور به عنوان یک رزولور مکانیکی که بر روی محور موتور نصب شده‌است فرض می‌شود. خروجی تقویت می‌شود و یک تفکیک‌کننده نرم‌افزار (‏eTPU)‏ رویدادهای زمان‌بندی پیچیده را با ترکیب یک پردازنده و کانال‌های تایمر تحلیل می‌کند. eTPU برای امنیت از هسته ۰ و ۱ در میکروکنترلر NXP MPC5775E جدا شده‌است تا از هر گونه بار اضافی محاسباتی روی الگوریتم کنترل موتور اصلی جلوگیری شود.

شکل ۶: تشخیص موقعیت موتور در مفهوم ایمنی NXP.

جریان فرآیند به صورت زیر است:

رزولور یک سیگنال تحریک فرکانس بالای سینوسی ارائه‌شده توسط eTPU درون MPC5775E را دریافت می‌کند.
دو سیم‌پیچ که در رزولور در زاویه ۹۰ درجه نسبت به یکدیگر قرار گرفته‌اند، شکل موج‌های SIN و COS را با تغییر فاز ۹۰ درجه از سیگنال تحریک تولید می‌کنند، که از طریق سیم‌پیچ‌هایی در روتور کوپل شده‌اند. دامنه نسبی دو شکل موج موقعیت زاویه‌ای را نشان می‌دهد و فرکانس مدولاسیون آن‌ها نشان‌دهنده سرعت است.
مبدلهای آنالوگ به دیجیتال سیگما-دلتا سیگنال‌های SIN و COS را همزمان با سیگنال تحریک تبدیل می‌کنند، و نتایج در RAM برای پردازش ذخیره می‌شوند.
زاویه و سرعت از سیگنال‌های دیکد شده با استفاده از مدل “ردیابی ناظر” با دقت زاویه افزایش‌یافته با برون یابی و تصحیح تاخیر بین نقطه اکتساب و انتهای پردازش رمزگشایی می‌شوند.
زاویه و سرعت به الگوریتم کنترل موتور منتقل می‌شوند.
در مرکز ۱ از میکروکنترلر، یک بلوک “RDC” تمام مراحل در eTPU را پایش می‌کند و برای بررسی محدوده وسیعی از خطاهای احتمالی، عیب‌یابی انجام می‌دهد.
یک کنترل‌کننده ورودی به مقادیر خام حاصل رزولور نگاه می‌کند تا هماهنگی سیگنال تحریک، حداکثر و حداقل دامنه سیگنال‌های SIN و COS و “بردار واحد”، تشخیص ۹۹% از خطاهای سخت‌افزاری در کویل‌ها، مراحل تقویت، زنجیره تحریک و تبدیل آنالوگ به دیجیتال را بررسی کند.
یک بررسی‌کننده ATO زاویه روتور را به طور جداگانه به عنوان یک “بررسی معقول” برای تشخیص شکست eTPU محاسبه می‌کند و علاوه بر آن تابع برون یابی زاویه را در eTPU چک می‌کند.
بلوک جستجوگر RDC، با رابط موتور، شامل کتابخانه‌ای از توابع ایمنی است که می‌تواند توسط کاربر انتخاب شود تا پیکربندی میکروکنترلر را با الزامات ایمنی یک برنامه خاص انطباق دهد.

طراحی درایور اینورتر اصطکاکی خودروهای الکتریکی فعال شده با پشتیبانی NXP

در این مقاله الزامات ایمنی در سه عنصر سیستم محرک خودروی الکتریکی، یعنی الگوریتم کنترل موتور، رابط موتور و موقعیت موتور، با مثال‌هایی از چگونگی دستیابی به سطح ASIL مورد نیاز با میکروکنترلر NXP، یک تراشه پایه توان ایمنی و درایور های گیت هوشمند در شکل ۷ بررسی شده‌است.

شکل ۷: مفهوم ایمنی سخت‌افزار.

توضیحات با جزییات بیشتر، از جمله ملاحظات قابلیت ردیابی، تحلیل تخصیص ASIL، داده‌های ماشین حالت و تحلیل شکست در دفترچه های ارائه شده از NXP در دسترس هستند. مفاهیم توصیف‌شده برای انعطاف‌پذیر و سازگار بودن با نیازهای مشتری در نظر گرفته شده‌اند و در سخت‌افزار و نرم‌افزار در پلت فرم مرجع معکوس کننده توان NXP EV پیاده‌سازی شده‌اند. یک کتابخانه کاربردی خاص نیز برای کمک به سرعت بخشیدن به توسعه ایمنی محصول در دسترس است.