电驱动系统的Fail Operational安全设计

我最近看了两个NXP的设计研讨会《SAFETY CONCEPT FOR HV/LV POWER CONVERTERS》和《FAULT TOLERANT MOTOR CONTROL IN POWERTRAIN APPLICATION》，这两个分别针对将来带有高阶自动辅助驾驶功能的车辆，在动力总成方面的安全性设计。这也代表欧洲的核心观点，随着ADAS的功能往上走，设计的安全性是需要让车停在一个安全的地方。

我不知道这个方向对于成本要求多高，但是这反应欧洲的一个重点设计趋势，和我们注重产品性价比和极致的设计方向是存在很大的分歧的。

▲图1.从Fail Safe到Fail Operational

SSL A到SSL G这里的定义，涉及对于驱动系统、转向和驾驶的基本要求，也是对车辆运行状态的定义。代表智能汽车如果真的要做成那样，内部的电驱动动力总成系统的安全设计也提高了。

▲图2.欧洲转向L3其实成本很高

Part 1

DC-DC的设计要求

具备自动辅助驾驶汽车中的车载摄像头和传感器收集大量数据，核心计算平台需要实时处理这些数据，以确保车辆保持在正确的车道上并在前往目的地时安全运行。整车计算平台控制对云端通信，根据天气变化和不断变化的道路状况（如绕路和道路碎片）进行规划控制的调整。 目前所有的重要感知、处理和执行部分，都需要实现关键任务系统（包括电源）的冗余。

目前这些涉及安全的设备如何处理电源的问题就成了一个比较大的问题，这里有板级、系统级别多种，在系统层面希望高压转低压DC-DC具备安全冗余。

▲图3.电池原材料价格

具备Fail Safe的DCDC的基本架构：

▲图4.DCDC的Fail Safe设计 从Fail Safe的设计到Fail Operational主要分成三个部分：●功率级：把原来的功率拓扑改为T型结构。●测量级：采用荣誉的算法，来实现对高压端和低压端的采集。

●控制级：围绕MCU层面的冗余设计。

▲图5.DCDC的Fail Operational的设计

这里的思路，是把一个DCDC加强，在各个维度通过功能安全分析做加强。当然我也可以通过两个DC-DC的处理，或者在OBC里面再做一些额外功率级别的借用。

▲图6.大系统上12V的DC-DC架构拓扑的选择

Part 2

驱动系统

在驱动逆变器的设计里面，控制部分主要涵盖6个部分，高压测量、电机温度测量，电机位置测量、相电流检测、控制回路和功率回路。电源和通信部分包括低压供电、高压供电和车载通信。

▲图7.功率逆变器的功能分解

逆变器环节，如果我们加入额外的桥来做冗余，这个可能效果更好一些。这种设计是在成本和体积上面做折衷考虑。

▲图8.额外的功率Leg

▲表1.效用分析

小结：我们其实能看到，中国在市场上跑到领先位置，但我们的设计理念和欧洲哪怕在动力总成的思路上，都有很大的差异。当然这不能说谁对谁错，只是一种设计路线的选择。

审核编辑 ：李倩