電機控制器可靠性和功能安全關鍵技術——新能源汽車百家講壇紀要

時間：2017/08/26

主講人：黃洪劍 上海大郡動力控制技術有限公司 副總工程師

主題：電機控制器可靠性和功能安全關鍵技術

主辦方：杭州水雲間信息技術有限公司

整理：天風電新楊藻團隊

一、電機控制器可靠性概述

1.1 電機控制系統介紹

功能：接收整車控制器的指令，驅動電機輸出制定的轉矩；

電機控制器的力矩控制原理：

首先，從電機上通過電流感測器取得相電流，只需兩項電流就可以；通過位置感測器取得電機轉子為止；通過轉子位置和兩相電流進行坐標變換，得到ID和IQ

然後，通過PI調節器，輸出D軸電壓和Q軸電壓，再通過坐標變換變成Uα和Uβ，通過PMW區域發生脈衝控制信號，驅動電子電子裝置，給電機產生差不多正弦的電壓。

1.1在整車中的應用

整車壽命：20萬公里，一般整車廠給的指標20萬公里，有些更長，現在有些要求50萬公里；

工作使勁：10-15年，

電機控制器：8000-1萬小時

工作環境溫度：純電動車-40℃~80℃；混合動力因為放置在發動機邊上，所以上限溫度到了105℃。

溫度循環次數：主要和IGBT有關的要求，2萬次以上

振動次數：如果放在發動機或者變速箱上，回到18-20；一般3-5G；

環境：各種各樣的環境都有。

可以看出來，電機控制在整車應用非常複雜，工況本身循環反覆波動，工作歡迎和一般的工業應用比起來非常惡劣，主要是溫度和振東很厲害，長時間工作溫度比較高的環境。因為放在車上，所以裝配的體積和重量也有嚴格的限制。

1.2電機控制器可靠性概述——可靠性的幾重定義

1）在規定條件下、規定時間內，無故障執行規定的功能（自身功能以及不影響系統中其他部件正常工作）

2）在超出規定條件時（一定限度），及時輸出故障信號，進入故障保護模式，自身不損壞；

3）自身發生故障時，及時輸出故障信號，進入故障保護模式，自身以及外部系統不發生次生硬體損壞；

4）外部相關對象發生故障時，及時輸出故障信號、進入故障保護模式，自身以及外部系統不發生次生硬體損壞；

5）發生故障時（內部、外部），對系統影響較小，（功能受限狀態無功能但未造成其他損害無功能但不影響安全）

6）預見故障的發生，在故障影響較小提前報警。

二、可控性設計與驗證

下面講一些與可靠性有關的技術

2.1 可靠性設計與驗證——IGBT壽命

IGBT在控制器里應該是最關鍵的一個部件，IGBT失效的因素很多，比如機械失效（連接線、焊接層、塑殼段子等）、電器失效（過溫、過壓、過流等），其他失效。

這種圖來源於IGBT廠商的一張圖，

2.2 可靠性設計與驗證——IGBT壽命計算

IGBT壽命以循環工作次數來衡量的，IGBT壽命δT結——結溫變化的次數。評估IGBT壽命計算方法，下圖是絕大部分IGBT廠商用的方法：

首先：運行工況輸入。對於IGBT廠商來說沒有工況輸入這個環節，主要是對整車廠來講，做控制器的時候有一個運行工況的輸入。常規有幾種循環工況，但不會只用一個，每種工況佔有一定的比例。

然後：根據運行工況、整車特性、電機特性等，計算得到對應運行工況控制器的電壓、電流運行曲線。

然後：根據控制器損耗模型，確定IGBT損耗曲線；

然後：通過控制器熱模型確定IGBT結溫曲線，到這一步得到了一個運行工況對應的在整個生命周期中，IGBT的結溫變化，這一步已經可以計算IGBT壽命。

然後：通過雨流計數法確定IGBT結溫變化值與循環次數的關係。其實就是把不同結溫變化時間，折算到一個固定的結溫下面，結合廠商提供的壽命曲線，確定IGBT的壽命。

這是整個計算過程。

如果簡單用這樣一個曲線來看，按照要求的8000-10000小時，按照整車廠工況數據折算下來，可能折算出幾十年。從目前計算情況來看大概這樣。實際情況，從整車這麼多年跑下來經驗數據來看，也的確沒有因為這樣一個壽命造成電機損壞。

2.3可靠性設計與驗證——IGBT壽命評估

前面講到，根據實際計算情況和實際整車運行情況數據來看，IGBT壽命遠遠大於實際的要求。但正常情況，所有整車廠有要求，會有耐久試驗。控制器也會做這個試驗。

1）模擬計算：通過計算得到全生命周期實際工況對應的等價循環工作次數，查壽命曲線是否滿足IGBT壽命限制。

2）耐久試驗：模擬實際運行工況進行全生命周期耐久試驗，實驗過程監控是否損壞；

3）加速壽命試驗：

方法一：基於耐久試驗工作條件，不改變工況循環，提高水冷系統入口溫度，從而提高ＩＧＢＴ工作溫度，此條件下的工作循環次數等價於數倍的正常耐久試驗條件下的工作循環次數，具體倍數需要根據運行條件進行計算，此方法受限於正常耐久試驗時水冷系統入口溫度要求，可能無法提升或提升有限（提升後可能控制器內部器件溫度超標無法正常工作）

方法二：基於耐久試驗工作條件，不改變環境溫度和水冷系統入口溫度，改變工況，提升負載（轉速、轉矩）變化幅度和次數，平均負載與正常耐久試驗工況一致，使同等時間下等價循環工作次數提升。從而在較短時間內達到與正常耐久試驗等價的工作循環次數，此方法需要進行模擬計算得到不同工況下等循環次數。

方法一與方法二的結合。

2.3 可靠性設計與驗證——IGBT結溫估算

IGBT結溫估算對於可靠性的意義

１、結溫是判定ＩＧＢＴ是否安全工作的重要條件之一，而ＮＴＣ相應慢，不能正確、及時反映結溫波動狀況，通過結溫估計，得到ＩＧＢＴ實時的接吻狀況，可以提前保護，避免ＩＧＢＴ過熱導致失效。

2、通過結溫估算，得到ＩＧＢＴ的結溫循環情況，進而預估ＩＧＢＴ工作壽命。

3、通過ＩＧＢＴ損耗實時計算，聯合熱模型，可評估散熱系統的狀態（導熱硅脂、水冷系統是否正常）

ＩＧＢＴ結溫估算流程：

首先：檢測出輸出電流直流母線電壓；

然後：根據控制狀態判斷ＩＧＢＴ導通還是二極體導通工作；

如果ＩＧＢＴ導通，可以查擬合曲線導致的Ｖｃｅ電壓，還有Ｅｏｎ、Ｅｏｆｆ，計算導通損耗和開關損耗，合成總損耗，然後通過ＭＴＣ的溫度估計出結溫。這是一個很常規的結溫估算方式，但有效性，試驗中很難證明其有效性。穩態可以，損態證明不是那麼容易。

２.４可靠性設計與試驗——薄膜電容壽命

控制系統另外一個關鍵部件——薄膜電容。薄膜電容在控制器里，應該說承受溫度標準最低的， 影響薄膜電容壽命的主要因素：電壓、溫度。

１）電壓：金屬化膜並不是理想均勻的，電壓會使金屬化膜產生自愈點，從而使電容的容量下降，絕緣老化等；

２）溫度：溫度應力作用會加速介質老化、加速電參數退化、促進電場強度下降；

薄膜電容壽命也是工作時間衡量的，計算方法和ＩＧＢＴ有點兒像：

從運行工況的輸入，來輸入控制器的電壓電流這些曲線；然後通過模擬可以確定薄膜電容上面的電壓、電流曲線，通過薄膜電容內部的ＥＳＲ可以確定損耗。然後通過壽命曲線計算出電容的壽命。

薄膜電容壽命評估方法

１）模擬計算：通過計算得到全生命周期實際工況對應的等價工作時間，查壽命曲線是否滿足薄膜電容壽命限制；

２）耐久試驗：模擬實際運行工況進行全生命周期耐久試驗，試驗過程監控是否損壞。

３）加速壽命試驗：

方法一：基於耐久試驗工作條件，不改變工況循環，提高水冷系統入口溫度，從而提高薄膜電容工作溫度，此條件下的工作時間等價於數倍的正常耐久試驗條件下的工作時間，具體倍數需要根據運行條件進行計算。此方法受限於正常耐久實驗時水冷系統入口溫度要求，可能無法提升或提升有限（提升後可能控制器內部器件溫度超標無法正常工作）。

方法二：基於耐久試驗工作條件，不改變環境溫度和水冷系統入口溫度，提高直流母線電壓，此條件下的工作時間等價於數倍的正常耐久試驗條件下的工作時間，具體倍數需要根據運行條件進行計算，此方法受限於正常耐久試驗的直流母線電壓要求，可能提升有限（最高提升到滿功率輸出最高工作電壓），且會提高控制器的內部溫升（ＩＧＢＴ損耗會增加）。

方法一與方法二結合。

２.５可靠性設計與驗證——汽車級器件

汽車級器件涉及到設計、質量、成本和交付方面的要求：

２.６可靠性設計與驗證——控制器整機可靠性驗證試驗

三、電機控制器的功能安全

３.１功能安全概述

汽車上的功能安全就是ＩＳＯ２６２６２，當然不止是說產品符合，更重要的是開發流程遵循２６２６２的規定。像軟體很多時候驗證手段，都是在開發流程上。

電機控制器的安全目標比較單純，就是轉矩安全。一般設定的電機控制器的安全目標有幾個：非預期的增大、非預期的反向、抖動。

安全狀態：關管（ＩＧＢＴＯＦＦ）、電機端部短路（ＡＳＣ）。

這種狀態又可能產生大的付轉矩。

３.２功能安全基本架構

功能安全基本架構：輸入－執行－輸出幾塊組成。

輸入：來自電機信號，三相電流、直流母線電壓；有些公司還會把電機溫度也加上去

執行：分幾層，正常轉矩控制單元、轉矩監控單元、CPU運行監控層次

輸出：輸出驅動

３.３功能安全——安全機制

對應上面基本架構，有相應的安全機制來保證收到的東西是正常的，或者異常能馬上發現。

１）對於ＣＡＮ通訊監控，需要ＣＡＮ的Ｅ２Ｅ保護，就是ＣＡＮ有一個應答機制，必須把收到的命令再反饋給整車，確認理解這個命令是對的。這個講起來比較簡單，但是電機控制器自己做不到這一點，必須有整車系統配合才能達成。另外是電流和電壓採樣監控，正常來說，電流只要兩相就可以控制，為了電流監控會採用三相電流感測器。

２）母線電壓監控：相對簡單，母線電壓採樣本身和整車進行比較，就能達成電壓監控；

３）位置監控：硬體解碼ｓｅｎｓｏｒｌｅｓｓ位置比較，然後軟體診斷；

４）ＰＷＭ和ＩＧＢＴ監控：這一塊實踐起來有一定難度，如果要完整實現需要付出高成本代價。對ＰＷＭ路徑，CPU出去的時候監控一次信號，後面輸出還可以再監控一次。但是到了IGBT輸出，如果要監控就會對輸出電壓採樣。對輸出電壓硬體電壓採樣，需要成本代價。

５）電源與MCU監控：電源晶元也一樣，採用專用的晶元

６）安全關斷：所有安全狀態都需要關斷，需要保證關斷本身是安全的。

所有東西加在一起，沒有辦法完全覆蓋所謂的安全。所以，最後有一級，轉矩的估算。籠統放在一起，控制和命令是否一致。

３.４功能安全——相電流採樣安全機制

剛剛講過，兩相電流就能實現控制，為什麼還要用三相，就是為了冗餘採樣。原理：只要電機正常沒有發生對地短路。三相電流符合位０.所以第三相電流能用來確認電機系統是否有問題。

Ｉｕ＋Ｉｖ＋Ｉｗ＝０

三相電流採樣通道，有一個作為冗餘校驗使用；

Ａ／模塊失效（或Ａ／Ｄ參考電源失效）可通過與之無關的另外一個Ａ／Ｄ模塊採樣重複校驗，也可以使用與之無關的標準電壓信號作為Ａ／Ｄ模塊的採樣輸入進行比較校驗。

三個電流感測器發生同等增益偏差，由電機電壓方程進行校驗

感測器電源由獨立電源監控迴路監控

３.５功能安全——電機轉子位置採樣安全機制

由ＭＣＵ另外一個無關的Ａ／Ｄ模塊對旋變激勵信號和反饋信號進行重複校驗，保證信號物理特性無問題；

軟體上實施電機轉子位置估計演算法，對旋變解碼得到的轉子位置進行重複校驗。

３.６功能安全——靜止時電機轉子位置估計演算法

脈衝電壓法：利用永磁同步電機的飽和性凸極效應，通過向電機定子繞組中施加不同角度的電壓矢量，通過其電流相應來判斷永磁同步電機轉子位置

脈振高頻電壓信號注入法：通過在估計旋轉坐標系的Ｄ軸注入高頻正弦電壓信號，使用其在ｑ軸產生的高頻電流信號進行轉子位置估計。

３.７功能安全——轉矩估計演算法

功率法：根據三相電流和三相電壓計算輸入到電機的功率，再查表得知電機損耗，可以得到電機輸出功率，根據輸出功率和轉速即可計算出輸出轉矩，極低速時不可用。

電壓磁鏈法

在高速區，可以用功率法計算轉矩，因為非常直接，算出來的精度至少在實驗室和外面實車相比精度也不錯。電壓磁鏈法，稍微複雜一點兒，大多用在低速和高速疊加的地方，兩種方法相互校驗。

四、故障保護和容錯運行

４.１自診斷功能

時機：整車上電初始化完成後

自檢項目：

１）電源（高壓、低壓、各個控制電源）

２）ＥＥＰＲＯＭ數據

３）電流感測器偏置

４）旋轉編碼器信號斷線、短路

５）旋轉編碼器位置

６）電流感測器增益、ＩＧＢＴ迴路

７）電機繞組電阻

８）電機繞組電感、電機退磁

９）輸出缺相

４.２外部相關部件診斷功能

１）電機磁鋼局部退磁：反電勢諧波估算技術

２）電機轉子過熱：電機損耗估算技術

３）散熱系統異常

４）軸承異常：轉速諧波分析技術

５）電機參數異常：在線參數估計技術

現在講的這些外部專斷，和功能安全沒有必然聯繫。甚至，有些地方考慮功能安全的話，這裡面有些東西是不能用的。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！