Wechselrichter für Antriebsmotoren stellen in Elektrofahrzeugen eine Schlüsselkomponente dar, und das nicht nur in punkto Funktionalität, sondern auch in punkto Sicherheit. Der Wechselrichter – auch Inverter genannt – versorgt die einzelnen Nabenmotoren mit Drehstrom und sorgt dafür, dass diese unabhängig voneinander auf das richtige Drehmoment und die richtige Drehzahl eingestellt werden.

Beim Bremsen und „Segeln“ wirken die Motoren als Generatoren, und die daraus resultierende Leistung lässt sich durch den Wechselrichter beim regenerativen Bremsen in die Batterie zurückspeisen. In Bezug auf funktionale Sicherheit sind drei Fälle besonders relevant: unbeabsichtigter Anlauf, unbeabsichtigtes Bremsen und Gefahr eines Stromschlags. Dieser Artikel konzentriert sich auf den unbeabsichtigten Anlauf und unbeabsichtigtes Bremsen.

Bild 1: Vereinfachte Architektur einer Ansteuerung für einen Motor.

Bild 1: Vereinfachte Architektur einer Ansteuerung für einen Motor. NXP

Im Automobilbereich sind Sicherheitsrisiken nach ISO 26262 in ASIL-Stufen (Automotive Safety Integrity Level) klassifiziert. Diese reichen von ASIL-A bis ASIL-D, der höchsten Stufe, die für Komponenten oder Systeme gilt, die durch Ausfall oder Fehlfunktionen lebensbedrohliche Situationen oder tödliche Verletzungen verursachen können. Darüber hinaus gibt es eine Kategorie „Qualitätsmanagement“ (QM) für Ereignisse, die keine Gefahr für das Fahrzeug darstellen.

Gefahren bei EV-Anwendungen

Typische Sicherheitsgrenzwerte für ein EV-Antriebssystem sind die Verhinderung einer Überschreitung des Drehmoments von mehr als 50 Nm oder +/- 5 Prozent des angeforderten Werts beziehungsweise die Verhinderung einer Überschreitung der Bremswirkung über die gleichen Grenzwerte hinaus. Beide würden als unter ASIL-D fallende Gefahren mit einem fehlertoleranten Zeitintervall (FTTI) von 200 ms als Zielwert eingestuft. Das ist die maximale Zeit, die das System für den Übergang in einen sicheren Zustand benötigen sollte.

Bild 1 zeigt die vereinfachte Architektur einer Ansteuerung für einen Motor. Ein typischer Steuerungsablauf sieht wie folgt aus:

  • Ein Drehmomentbefehl wird vom Fahrzeugsteuergerät (VCU, Vehicle Control Unit) über eine CAN-Bus-Verbindung gesendet.
  • Der Drehmomentbefehl wird von der Prozessoreinheit (PU, Processing Unit) empfangen.
  • Die PU berechnet das nächste pulsbreitenmodulierte Signal (PWM, Pulse Width Modulation) für die Gate-Treiber des Wechselrichters in Abhängigkeit von Drehmomentanforderung und Systemzustand.
  • Die Gate-Treiber bewirken, dass die Leistungsschalter die Phasenströme an den Motor anlegen.
  • Die PU überwacht Motorposition, Drehzahl, Phasenströme und -spannungen sowie Fehlereinflüsse und sorgt für die Aufrechterhaltung eines geschlossenen Regelkreises und die Korrektur etwaiger Fehler. Das Schema für die Realisierung eines solchen Kontrollflusses mit geeigneten ASIL-Sicherheitsstufen wird nun anhand einer Lösung von NXP beschrieben.

Steuerungsfunktionen lassen sich in „Tun“ und „Prüfen“ unterteilen

Bild 2: ASIL-Kategorien einer Wechselrichter-Implementierung für Elektrofahrzeuge.

Bild 2: ASIL-Kategorien einer Wechselrichter-Implementierung für Elektrofahrzeuge. NXP

Die Umsetzung des Konzepts in Bild 2 mit Schaltkreisen von NXP

Bild 3: Die Umsetzung des Konzepts in Bild 2 mit Schaltkreisen von NXP. NXP

Fehler in der Verarbeitung lassen sich in die Zweige Kommunikation und Berechnung unterteilen. Erstere sind eine Funktion der CAN-Verbindung und sind durch Standard-Integritätsschutztechniken in CAN-Befehlen abdeckbar. Die Überwachung von Verarbeitungsfehlern in der NXP-Mikrocontroller-Lösung erfolgt mit einer „Doer-Checker“-Architektur, welche die Hauptfunktionsanforderung „Doer“ mit ihren komplexen Steuerungsalgorithmen wie feldorientierter Steuerung (FOC, Field Oriented Control) und Berechnung von der „Checker“-Funktion zur Fehlererkennung und -korrektur trennt. Diese Separation verhindert, dass sich Fehlerquellen in einem Block auf den anderen auswirken, und sie ermöglicht obendrein eine effizientere Zuordnung von Prozessorressourcen. Da alle sicherheitsrelevanten Funktionen im Checker stattfinden, muss dieser ASIL-D-qualifiziert sein, während der Doer nur QM-Anforderungen genügen muss. Bild 2 zeigt in einem detaillierteren Blockschaltbild, wie die Sicherheitsfunktionen separiert sind.

Bild 3 zeigt die gleichen Funktionen, diesmal jedoch wie sie zwischen dem MPC5775E-Mikrocontroller und dem FS65xx-Safety-Power-System-Basis-Chip aufteilbar sind. Diese Kombination implementiert den Doer im Kern 0 (ohne Lockstep) des MPC5775E, während der Sicherheitsmanager (Checker) im Lockstep-Kern 1 realisiert wird. Jeder mögliche gemeinsame Fehler zwischen den beiden Kernen wird durch interne Mechanismen des Mikrocontrollers wie Taktüberwachungs- und Energiemanagementblöcke sowie extern durch das FS65xx-IC erkannt, welches Takt, Strom, Speicher und Softwareausführung überwacht. Das FS65xx überwacht auch den Safety Manager des Kerns 1 im Mikrocontroller und kann die Schnittstelle zum Antriebsmotor direkt in einen sicheren Zustand versetzen. Eine ganze Reihe von Bibliotheksfunktionen steht zur Verfügung, wenn es darum geht, für ein bestimmtes Sicherheits-Runtime-Framework den Safety Manager gemäß dem NXP-Sicherheitskonzept zu realisieren.

Schnittstelle zum Permanentmagnet-Synchronmotor – Sicherheitskonzept

Im realen Leben ist es so, dass, wenn ein Elektrofahrzeug bremst oder im Fahrbetrieb „segelt“, alle Schalter des Wechselrichters aus sind und die Motoren eine Back EMF erzeugen, welche einen regenerativen Strom und ein unkontrolliertes Bremsmoment am Fahrzeug verursacht. Um diese Gefahr zu vermeiden, schließt der Wechselrichter alle High- beziehungsweise Low-Side-Switches, um die Motorwicklungen effektiv kurzzuschließen (Bild 4).

Um dies sicher zu erreichen, darf ein singulärer Fehler nicht dazu führen, dass die High-Side- wie auch die Low-Side-Switches nicht geschaltet werden können. Deshalb ist eine unabhängige Steuerung der High-Side- und Low-Side-Switches unabdingbar.

Für den Fall eines Kurzschlusses, der die Wechselrichterbrücke beschädigen und in einem unsicheren Zustand hinterlassen könnte, ist eine Schutzfunktion direkt an den Wechselrichterschaltern vorzusehen. Dieser Schutz muss schnell reagieren und darf nicht warten, bis der Mikrocontroller eingreift. Daher ist eine Strom- beziehungsweise Antisättigungsüberwachung direkt an den Schaltern erforderlich. Der speziell für ISO 26262 ASIL-C/D entwickelte NXP-Baustein MC33GD31xx reagiert auf Kurzschlüsse innerhalb von 2 µs bei IGBT-Schaltern und noch schneller bei SiC-Bausteinen.

Um zerstörerische Überspannungsspitzen zu vermeiden, verfügt er über eine Signalformer-Funktion (Wave Shaping) für den Abschaltvorgang. Der Baustein bringt eine galvanische Trennung, umfassende Diagnosefunktionen und eine Fehlerüberwachung für Überstrom, Übertemperatur und Unterspannung mit. Für alle Fehler rund um den Wechselrichter, wie zum Beispiel mangelnde Kühlung oder Ausfall eines Gate-Treibers oder diskreter Komponenten, verwaltet und meldet er den Status autonom über seinen INTB-Anschluss und die redundante SPI-Schnittstelle. Das IC erkennt einen fehlerhaften Schalter und versetzt das System je nach Fehlermodus blitzschnell in einen sicheren Zustand, indem alle High-Side- und Low-Side-Schalter gleichzeitig durchgeschaltet werden.

Dank integriertem Selbsttest (BIST), einer Watchdog-Funktion und zyklischen Redundanzprüfungen (CRC) für Daten kann das IC außerdem 99 Prozent aller internen Fehler erkennen. Fehler, die an die Safety-Manager-Funktion des Mikrocontrollers zurückgemeldet werden, erzwingen eine Entscheidung darüber, welcher sichere Zustand angemessen ist. Über einen redundanten sicheren Pfad im IC wird ein Befehl an den MC33GD31xx-Baustein ausgegeben, um innerhalb des FTTI von 100 µs direkt das Gate des Schalters anzusteuern. Der entsprechende Aufbau ist in Bild 5 dargestellt.

Sicheres Schließen des Motorpositions-Regelkreises

Bild 4: Damit kein unkontrolliertes Bremsmoment erzeugt wird, schließt der Wechselrichter alle Switches und schließt die Motorwicklung kurz: a) alle Switches offen (unsicher), b) High-Side-Switches geschlossen, c) Low-Side-Switches geschlossen.

Bild 4: Damit kein unkontrolliertes Bremsmoment erzeugt wird, schließt der Wechselrichter alle Switches und schließt die Motorwicklung kurz: a) alle Switches offen (unsicher), b) High-Side-Switches geschlossen, c) Low-Side-Switches geschlossen. NXP

Bild 5: Sicherheitsfunktionen rund um die Schnittstelle des Antriebsmotors.

Bild 5: Sicherheitsfunktionen rund um die Schnittstelle des Antriebsmotors. NXP

Die Erfassung der Motorposition, wie sie das Sicherheitskonzept von NXP vorsieht.

Bild 6: Die Erfassung der Motorposition, wie sie das Sicherheitskonzept von NXP vorsieht. NXP

Zur Steuerung des EV-Motors erfolgt eine Überwachung von Phasenstrom, Winkelstellung und Batteriespannung. Die verwendeten Sensoren sind absolut entscheidend für die Bereitstellung genauer Informationen und müssen ausfallsicher sein, um falsche Motorbefehle und daraus resultierende Gefahren zu vermeiden. Im von NXP vorgestellten Sicherheitskonzept für den Wechselrichter (Bild 6) wird angenommen, dass die Motorposition über einen auf der Motorwelle montierten mechanischen Positionsgeber (Resolver) erfasst wird. Dessen Ausgangssignal wird verstärkt und ein Software-Resolver (eTPU) analysiert die komplexen Timing-Ereignisse mithilfe einer Kombination aus Prozessor- und Timer-Kanälen. Aus Sicherheitsgründen und zur Vermeidung von Rechenlast auf den Hauptsteuerungsalgorithmus für den Motor ist die eTPU von Kern 0 und Kern 1 in der MPC5775E-MCU getrennt.

Der Prozess läuft wie folgt ab:

  • Der Positionssensor empfängt ein hochfrequentes sinusförmiges Erregungssignal, das von der eTPU im MPC5775E bereitgestellt wird.
  • Zwei im Positionsgeber um 90 Grad zueinander versetzte Spulen erzeugen Sinus- und Cosinus-Wellenformen mit einer Phasenverschiebung von 90 Grad zum Anregungssignal. Die Kopplung erfolgt über Spulen im Rotor. Die relative Amplitude der beiden Wellenformen gibt die Winkelposition an, und ihre Modulationsfrequenz repräsentiert die Geschwindigkeit.
  • Sigma-Delta-ADCs wandeln die Sinus- und Cosinus-Signale synchron zum Erregungssignal um, und die Ergebnisse werden zur Verarbeitung im RAM gespeichert.
  • Winkel und Geschwindigkeit werden aus den demodulierten Signalen mithilfe eines Tracking Observer-Modells decodiert, wobei die Winkelgenauigkeit durch Extrapolation und eine Korrektur der Laufzeit zwischen Erfassung und Verarbeitungsende verbessert wird.
  • Jetzt erfolgt die Übergabe von Winkel und Geschwindigkeit an den Motorsteuerungsalgorithmus.
  • Im Kern 1 der MCU überwacht ein RDC-Block die Stufen in der eTPU und führt Diagnosen durch, um auf alle möglichen Fehler zu prüfen.
  • Ein Input Checker untersucht die Rohwerte des Positionssensors, um die Synchronisation des Erregungssignals, die maximalen und minimalen Amplituden der Sinus- und Cosinus-Signale und des Einheitsvektors zu verifizieren und kann 99 Prozent der Hardwarefehler in Spulen, Verstärkerstufen, der Erregerkette und der A/D-Wandlung erkennen.
  • Ein ATO Checker berechnet im Rahmen einer Plausibilitätsprüfung getrennt davon den Rotorwinkel, um einen eventuellen Ausfall der eTPU zu erkennen, und überprüft zusätzlich die Winkelextrapolationsfunktion in der eTPU.

Das RDC-Prüfmodul in der Schnittstelle zum Motor enthält eine Bibliothek von Sicherheitsfunktionen, welche der Anwender auswählen kann, um die MCU-Konfiguration an die Sicherheitsanforderungen einer bestimmten Anwendung anzupassen.

Sichere Ansteuerungskonzepte einfach realisieren

Dieser Beitrag beleuchtete die Sicherheitsanforderungen an drei Elemente eines EV-Antriebssystems: den Motorsteuerungsalgorithmus, die Schnittstelle zum Motor und die Motorposition. Die Beispiele haben gezeigt, wie das erforderliche ASIL-Niveau mit NXP-Mikrocontrollern, einem Safety-Power-Basis-Chip und einer intelligenten Gate-Ansteuerung erreichbar sind, wie in Bild 7 dargestellt. Auf diese Weise wird den Anforderungen der ISO 26262 Rechnung getragen und das unbeabsichtigte Anlaufen und Bremsen bei Elektrofahrzeugen lässt sich verhindern. Ausführlichere Beschreibungen wie Überlegungen zur Nachverfolgbarkeit, ASIL-Zuordnungsanalysen, Zustandsmaschinendaten und Fehleranalysen sind in entsprechenden Applikationsschriften auf Nachfrage bei NXP verfügbar. Die beschriebenen Konzepte sollen flexibel und an die Anwenderanforderungen anpassbar sein und wurden in Hard- und Software auf der NXP-EV-Power-Inverter-Referenzplattform implementiert. Darüber hinaus steht eine applikationsspezifische Bibliothek zur Verfügung, um die Entwicklung der Produktsicherheit zu beschleunigen.