电机控制器是电动汽车或者混动汽车的主要牵引系统，接受来自上层控制器(如整车控制器或者混动控制器)的指令，并通过电机控制算法，功率开关器件的控制，实现驱动电机或者产生制动回收能量的目的。根据ISO26262的相关要求，功能安全主要关注的是控制器相关的 电子电气系统 ，通常电机控制器的目标应用及应用接口如图1所示。

电机控制器的控制流主要包括：

来自于整车控制器的扭矩指令通过CAN总线发送至电机控制器；

扭矩指令被信号处理单元接收和处理；

信号处理单元根据系统的当前状态计算需要的PWM占空比；

功率开关根据接收到的PWM占空比开通和关断功率开关，使得电机各相开通和关断；

信号处理单元测量系统状态：如电流，位置，转速，电压，温度等进行闭环控制，并进行电流调制；    

Part1：电机控制器的安全目标与安全状态

• 电机控制器的功能安全目标

对于纯电电驱动系统，其安全目标一般包含扭矩安全，高压安全，热安全；对于混动电驱动系统，由于有发电机的存在，一般还包含针对发电机的充电安全和启停功能安全。这些安全目标中， 扭矩安全的安全等级最高，一般为 ASIL C 或者 ASIL D ，其余安全目标的安全等级为 ASIL A 或者 ASILB，具体根据主机厂 HARA 分析的结果而提出的具体需求为准。

对于纯电电驱动系统，电机通常承担驱动功能，所以纯电电驱动系统功能安全目标及安全等级 (某一 G 主机厂要求) 为表 1：

对于混动电驱动系统，由于系统中驱动电机和发电机同时存在，所以混动电驱动系统功能安全目标与安全等级（某一 X 主机厂要求）为表 2：

Part2：电机控制器的安全状态

永磁同步电机由于其在转子上的永磁体，在高速旋转时会产生较高的反电动势，假设功率模块中的所有功率管都处于开通状态，当反电动势电压高于母线电池电压时，会通过功率模块中的续流二极管反向回流到高压电池，通过的电流会产生制动扭矩，从而违反非预期扭矩产生的安全目标。为了防止这种违反安全目标的异常情况出现，电机控制器需要通过将高边 3 相功率管短路, 称为 高边 ASC ，或者低边 3 相功率管短路 (ASC, Active Short Circuit)，称为 低边 ASC ，从而防止反电动势过高产生非预期扭矩。

然而，在低速的某个工况点，ASC 会对电机转子产生较大的制动扭矩，该制动扭矩能够使电机实现快速停车，进入安全状态。同时，巨大的脉冲电流也会对 IGBT 产生冲击，需要考虑 IGBT 抗电流冲击的能力。因此，在整车系统中该扭矩为“非预期扭矩”，可能会对驾驶员对车辆的操控产生影响。

另外，ASC 发生瞬间会产生极大的 d 轴电流，该电流可能会导致电机内部永磁体退磁。需要在系统层面对该制动扭矩的值进行定义，从而评价 ASC 对系统安全目标的影响。

需要说明的是，取决于系统及开关管的状态，优先采用低边 ASC，如图 a所示，低边功率管出现故障的时候，可以选择高边 ASC，如图 b所示。由于控制电机控制器进入 ASC 状态时，由于高转速下反电势产生的大电流等需要很多手段来消除其不利影响，低速时反电动势不会升高到超过母线电压，因此需要进入开关管开路状态，这种状态称为 (SPO，Safty Pulse Off) 或者 freewheeling ，如图 c所示。通常根据永磁同步电机的特性，会在 5000rpm-6000rpm 之间的某个转速点作为门限，门限以下其安全状态为 SPO，门限以上安全状态为ASC。

  (c) SPO

电机控制器的安全状态汇总如表 3所示：

需要说明的是，在很多系统设计中，还有定义一种其他的安全状态为 功率降额 ，即系统以非全功率的形式输出扭矩控制，这种情况下，系统监测到有故障发生，但故障通过一定的降额处理是有可能恢复正常工作的，所以这种情况下，系统不会以整车控制请求的扭矩全功率输出。

Part3：电机控制器的功能安全架构 (功能-功能监控安全架构)

实现功能-功能监控的安全架构，需要采用多核微控制器 (支持 ASILD)+ 系统基础芯片 (支持ASILD) 的电机控制器架构，如图 3所示。该架构的主要组成部分包括：

• 满足功能安全目标 ASIL C/D 要求的 32 位多核微控制器 (MCU) ；

• 满足功能安全目标 ASIL C/D 要求的系统基础芯片；

系统基础芯片，除了实现电源供电的基本功能外，还通过看门狗实时监控多核微控制器的状态，当微控制器状态异常，即两个不同核之间的共因失效或者功能安全管理模块出现失效时，系统基础芯片会监控到异常，同时抢夺对系统的控制权，通过外部安全仲裁模块实现系统进入安全状态。

• 满足功能安全目标 ASIL C/D 要求的高压隔离驱动芯片；

隔离驱动芯片在实现将微控制器发出的 PWM 占空比信号转化为驱动功率模块的开关状态外，还要负责对功率模块的安全保护功能，如退饱和保护，短路及过流保护等；同时驱动芯片还要将自身的状态实时反馈给微控制器，出现故障时为控制可以通过安全状态仲裁及关断路径仲裁，控制系统进入对应安全状态；驱动芯片最重要的安全功能为失效安全使能功能，微控制器或者系统基础芯片可以通过安全逻辑及驱动芯片，在系统发生失效时，通过对应关断路径将系统使能至安全状态。

• 安全逻辑；

早期电机控制器的安全逻辑功能通常采用 CPLD 芯片来实现，新一代电机控制器的安全逻辑通常采用开发者搭建的调理电路来实现；通过对不同来源的故障信号进行真值表仲裁及锁存，及时将系统使能至安全状态，同时对于锁存的故障，需要通过特殊方式如系统复位才能恢复至默认状态。

• 关断路径

关断路径是指当系统出现故障时，系统通过传感器采集到的系统状态，结合功能安全状态的仲裁，选择合适的关断方式使系统进入对应安全状态，这些不同的关断方式，或者使得系统进入安全状态的不同路径，称为 关断路径 。常见的关断路径类型如表 4所示，根据功能安全架构，如图 4，5，6，7，8所示分别为 SP1，SP2，SP3，SP4，SP5 的关断路径架构图。

Part4：永磁同步电机的功能及技术安全概念

• 扭矩安全，转速安全与热安全

实现转矩安全需求的基本方法是监控控制器的输出扭矩，因此扭矩安全的实现需要有两个独立的部分，分别为 安全等级为 QM(C) 的扭矩控制和安全等级为 ASIL C(C) 的扭矩监控 ；转速控制通常是以转速环为外环，扭矩环为内环的控制方式，因此转速安全实现与扭矩安全基本相同，也是分为安全等级为 QM(C) 的转速控制和安全等级为 ASIL C(C) 的转速监控 ，两者相互独立。

由于热安全的功能安全等级一般为 ASIL B，因此其实现分为安全等级为 QM(B) 的温度降额保护和安全等级为 ASIL B(B) 的温度监控，两者相互独立。在控制器检测到过温失效发生时，通常先进行降额工作，如果温度继续升高，则需要进入安全状态，一般过温保护的安全状态与扭矩控制失效的安全状态相同，均为主动短路 (ASC) 或者安全路径关断 (SPO)，因此将温度保护与扭矩保护一起呈现在如图 9所示。

• 高压安全

电机控制器必须在非紧急和紧急状态下实现对直流母线电容的放电，否则会存在在整车回路带电情况时存在电击的风险。根据 GB/T 18488-1 规定，控制器主动放电功能应能在 3s 内将母线电压降低至 60V。常用的主动放电方案有电机绕组放电，IGBT 直通放电，电阻放电等。采用电阻放电方案时，需要在 功能监控层定义主动放电的状态机 ，且状态机的实现与功能层的正常状态机实现相互独立。

高压安全在软件层面的监控主要是通过与功能层与功能监控层的电压比较得出，当相互独立的采集通道采集到的电压大于一定门限时，系统会有故障报出并进入安全状态。

Part5：总结

本文对电机控制器的功能安全目标，安全状态，功能安全架构，关断路径及技术安全概念进行了介绍，对于初步涉及功能安全的工程师会有一定的指导作用。未来电机控制器会往多相电机 (应对自动驾驶的 fail-operational) 或者多合一 (OBC 与逆变器共用电机绕组) 的方向持续发展迭代，对于多项电机，本文提出的功能安全相关设计可以持续应，对于多合一电力电子产品，需要增加额外的功能安全需求，如需要增加与电网间的持续隔离监控等。

除了本文在系统层面实现电机控制器的功能安全外，后续还将陆续推出如何在 芯片层面 (如隔离驱动芯片，系统基础芯片 SBC，微控制器 MCU) 实现芯片层面的功能安全目标，助力国产芯片早日实现功能安全，以及 软件层面 (如电机控制应用软件，MCAL 软件等) 实现软件的功能安全目标。