一种电动汽车电机控制器的安全状态处理电路的制作方法

1.本发明涉及电动汽车电机控制器领域，尤其是涉及一种电动汽车电机控制器的安全状态处理电路。


背景技术：

2.电机控制器是电动汽车的核心动力控制系统，在驾驶过程中若因为系统部件的某些失效导致电机非预期的扭矩输出或是非预期的直流母线过压，可能直接地或间接地对人员产生安全危害事故。功率桥的三相全桥关断和电机三相主动短路是电机控制系统的两种可靠安全状态，及时有效地使系统进入以上安全状态可以预防上述两类非预期失效导致的安全危害事件的发生。
3.授权公告号为cn104199370b的发明公开了一种车用电机控制器的安全监控电路，包括芯片供电电路、芯片监控电路、故障诊断电路，其中，所述芯片供电电路包括主控芯片电源电路和监控芯片电源电路，主控芯片电源电路用于将电源电压转换成主控芯片所需要的电压，监控芯片电源电路用于将电源电压转换成监控芯片所需要的电压；所述芯片监控电路包括主控芯片和监控芯片，主控芯片连接并控制电机运转，监控芯片用于对主控芯片的运行状态进行监控；所述故障诊断电路包括电机相电流过流检测电路，功率开关过温检测电路，母线电压过压检测电路，igbt使能信号a，igbt使能信号b以及功率桥使能信号。
4.该安全监控电路通过主控芯片采集模拟信号并控制电机运转，还监控故障诊断电路的数字信号，以此来控制功率开关管，但通过主控芯片直接控制功率开关管存在以下缺陷：
5.主控芯片本身即用于控制功率开关管的运行，当还需要根据故障诊断电路的数字信号，对功率开关管进行安全保护控制时，该结构不符合功能安全高等级的要求，并且此时的安全保护控制也难以保证及时性的要求。


技术实现要素：

6.本发明的目的就是为了克服上述现有技术存在不符合高等级功能安全要求，安全保护及时性差和安全保护覆盖范围不足的缺陷而提供一种电动汽车电机控制器的安全状态处理电路。
7.本发明的目的可以通过以下技术方案来实现：
8.一种电动汽车电机控制器的安全状态处理电路，包括主要的安全状态处理路径，该主要的安全状态处理路径包括主要安全逻辑电路和依次连接的pwm信号缓冲器、igbt驱动电路和三相全桥电路，所述主要安全逻辑电路的输出信号接入pwm信号缓冲器和igbt驱动电路之间的信号传输线路中；
9.所述pwm信号缓冲器用于接收主控芯片的控制信号进行pwm控制；所述主要安全逻辑电路用于在主控芯片检测到系统安全相关故障时，接收主控芯片的控制信号，禁止pwm信号缓冲器的pwm控制，并通过igbt驱动电路控制所述三相全桥电路，选择进入对应的安全状
态。
10.进一步地，所述主要安全逻辑电路的输出端线路中还连接有防反隔离二极管。
11.进一步地，所述主要安全逻辑电路接收的主控芯片的控制信号包括pwm控制使能信号和快速安全状态控制信号，主要安全逻辑电路根据所述pwm控制使能信号禁止pwm信号缓冲器的pwm控制、根据所述快速安全状态控制信号通过igbt驱动电路控制所述三相全桥电路，选择进入对应的安全状态。
12.进一步地，所述安全状态处理电路还包括备用的安全状态处理路径，该备用的安全状态处理路径包括依次连接的备用安全逻辑电路和低压侧驱动安全逻辑处理电路，所述低压侧驱动安全逻辑处理电路连接所述igbt驱动电路。
13.所述备用安全逻辑电路用于接收主控芯片状态监控信号和高压过压信号，当所述主控芯片状态监控信号为主控芯片失效时，激活所述备用安全逻辑电路，通过低压侧驱动安全逻辑处理电路，禁止igbt驱动电路响应前级的pwm控制信号，并根据所述高压过压信号通过低压侧驱动安全逻辑处理电路，对igbt驱动电路进行控制，从而使三相全桥电路选择进入对应的安全状态。
14.进一步地，所述备用安全逻辑电路输出有安全状态使能信号、上三桥臂安全状态控制信号和下三桥臂安全状态控制信号，所述低压侧驱动安全逻辑处理电路根据所述安全状态使能信号禁止igbt驱动电路响应前级的pwm控制信号、根据所述上三桥臂安全状态控制信号和下三桥臂安全状态控制信号对igbt驱动电路进行控制，从而使三相全桥电路选择进入对应的安全状态。
15.进一步地，所述安全状态处理电路还包括高压侧冗余安全状态控制路径，该高压侧冗余安全状态控制路径包括故障逻辑处理电路、高压侧驱动安全逻辑处理电路、高压备用电源和开关管，所述故障逻辑处理电路分别连接所述高压侧驱动安全逻辑处理电路和开关管的门极，所述高压侧驱动安全逻辑处理电路还连接所述igbt驱动电路，所述开关管的源极连接所述高压备用电源，所述开关管的漏极接入所述igbt驱动电路和三相全桥电路之间的信号传输线路中，所述高压备用电源连接所述高压侧驱动安全逻辑处理电路；
16.所述故障逻辑处理电路用于接收高压过压信号和低压欠压信号，所述高压备用电源的电压小于所述igbt驱动电路的高压侧电压；所述低压欠压信号为igbt驱动电路低压侧供电电压信号；
17.所述故障逻辑处理电路根据低压欠压信号，使能所述高压侧驱动安全逻辑处理电路，对高压备用电源的电流进行输出处理；
18.所述故障逻辑处理电路还根据所述高压过压信号进行检测，若检测到高压过压，则使能所述高压侧驱动安全逻辑处理电路，使得所述igbt驱动电路输出侧门级控制信号为高阻态；并在延时处理后导通所述开关管控制所述三相全桥电路进入对应的安全状态。
19.进一步地，所述安全状态处理电路还包括高压侧过压检测电路，该高压侧过压检测电路用于检测母线电压，生成所述高压过压信号。
20.进一步地，所述故障逻辑处理电路包括逻辑组合单元、滤波单元和延时处理单元。
21.进一步地，所述开关管漏极通过防反隔离二极管接入所述igbt驱动电路和三相全桥电路之间的信号传输线路中。
22.进一步地，所述安全状态处理电路还包括信号隔离电路，所述低压欠压信号通过
信号隔离电路接入所述故障逻辑处理电路。
23.与现有技术相比，本发明具有以下优点：
24.(1)本发明主要的安全状态处理路径在主控芯片检测到安全相关故障时，通过主要安全逻辑电路禁止pwm信号缓冲器的pwm控制，并由主要安全逻辑电路根据主控芯片的指令，选择控制三相全桥的上三桥臂或下三桥臂进入安全状态；
25.该过程克服了主控芯片沿用原先的pwm控制路径进行保护控制产生的不符合高等级功能安全要求，及时性差以及安全保护范围不足的缺陷；本发明主要的安全状态处理路径能保证高等级的功能安全完整性，且能根据主控芯片的信号迅速调整，及时进行启动安全保护。
26.(2)目前国内外的电机控制系统很少有单独设计专用的安全状态处理电路，在相关故障发生或者相关功能失效后，尤其是主控芯片或主要供电电源失效后，控制器不能安全可靠的启动安全保护功能并有效的维持安全状态。
27.本发明提出使用独立于主控芯片的外部硬件监控，采用主辅两个安全状态执行路径，在主控芯片能工作的情况下系统能够诊断各种功能失效并通过主要安全路径进行功能安全保护，能在主控芯片不能工作的情况下通过硬件监控状态信号独立触发备用安全路径并执行功能安全保护。
28.(3)本发明充分考虑了主电源欠压或掉电后的安全状态处理，使用高压备用电源保持驱动高压侧的供电，在低压侧的所有部件欠压不能正常工作时，通过独立的高压侧检测电路和控制逻辑保证系统进入并保持安全状态；备用电路在主电源正常状态下轻载工作能耗低，实用性强。
29.(4)本发明能够根据系统实际运行工况选择进入三相全桥关管或主动三相短路的安全状态。在主要安全路径工作模式下，通过判断高压值或转速值选择是否进入三相主动短路状态来预防系统发生过压危害事件；在备用路径工作模式下，通过判断高压硬件过压信号选择是否进入三相主动短路安全状态；在由于主电源失效而低压侧电路不能工作时，高压侧冗余安全路径能通过硬件检测逻辑选择是否强制进入驱动下三桥臂主动短路的安全状态。当高压过压信号解除后，以上三个安全状态路径均能够切换至并保持三相全桥关管状态，整个安全状态处理电路逻辑合理，安全可靠。
30.(5)本发明只需要在现有的电机控制电路中增加独立的检测和逻辑处理单元，可设计成参数可调的专用集成电路，易实现，成本低，可移植性强，便于调试和推广应用。
附图说明
31.图1为本发明实施例中提供的一种电动汽车电机控制器的安全状态处理电路的结构示意图。
具体实施方式
32.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
33.因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
34.实施例1
35.本实施例提供一种电动汽车电机控制器的安全状态处理电路，包括主要的安全状态处理路径，该主要的安全状态处理路径包括主要安全逻辑电路和依次连接的pwm信号缓冲器、igbt驱动电路和三相全桥电路，主要安全逻辑电路的输出信号接入pwm信号缓冲器和igbt驱动电路之间的信号传输线路中；
36.pwm信号缓冲器用于接收主控芯片的控制信号进行pwm控制；主要安全逻辑电路用于在主控芯片检测到系统安全相关故障时，接收主控芯片的控制信号，禁止pwm信号缓冲器的pwm控制，并通过igbt驱动电路控制三相全桥电路，选择进入对应的安全状态。
37.优选的，主要安全逻辑电路的输出端线路中还连接有防反隔离二极管。
38.如图1所示，本实施例中，上述安全状态处理电路具体包括：pwm控制使能输入pwm_en、快速安全状态控制信号(fsh_1和fsl_1)、pwm信号缓冲器u1、igbt驱动电路u2、主要安全逻辑电路u5、防反隔离二极管(d4、d5、d6、d7、d8、d9)和执行器三相全桥电路u11；
39.pwm控制使能信号pwm_en、pwm信号缓冲器u1和igbt驱动电路u2组成正常的6路pwm控制路径，系统无故障时，pwm_en使能u1输出并通过u2进行正常的6路pwm控制。
40.pwm控制使能信号pwm_en、快速安全状态控制输入信号fsh_1和fsl_1、主要安全逻辑电路u5、防反隔离二极管(d4、d5、d6、d7、d8和d9)和igbt驱动电路u2共同组成主要的安全状态处理路径；检测到系统发生安全相关故障时，pwm_en禁止上述6路pwm控制路径，同时pwm_en逻辑取反之后使能u5，判断fsh_1和fsl_1的电平状态选择控制三相全桥的上三桥臂(g1、g2和g3)或下三桥臂(g4、g5和g6)进入安全状态(主动三相短路或三相全桥关管)。
41.作为一种优选的实施方式，安全状态处理电路还包括备用的安全状态处理路径，用于在主控芯片故障时工作，具体地：
42.备用的安全状态处理路径包括依次连接的备用安全逻辑电路和低压侧驱动安全逻辑处理电路，低压侧驱动安全逻辑处理电路连接igbt驱动电路，
43.备用安全逻辑电路用于接收主控芯片状态监控信号和高压过压信号，当主控芯片状态监控信号为主控芯片失效时，激活备用安全逻辑电路，通过低压侧驱动安全逻辑处理电路，禁止igbt驱动电路响应前级的pwm控制信号，并根据高压过压信号通过低压侧驱动安全逻辑处理电路，对igbt驱动电路进行控制，从而使三相全桥电路选择进入对应的安全状态。
44.上述主控芯片状态监控信号可以通过独立于主控芯片监控芯片或其它监控电路获取。
45.本实施例中，独立监控芯片状态输入信号、高压过压信号、备用安全逻辑电路u6和低压侧驱动安全逻辑处理电路u3组成备用的安全状态处理路径；独立的监控芯片检测到主控芯片故障时，判断低压侧高压过压信号的状态并通过u6和u3独立地控制三相全桥的上三桥臂(g1、g2和g3)或下三桥臂(g4、g5和g6)进入安全状态(主动三相短路或三相全桥关管)。
46.独立监控芯片状态输入信号、高压过压信号通过备用安全逻辑u6能够独立的输出
安全状态使能信号fsen_l、上三桥臂安全状态控制信号fsh_2以及下三桥臂安全状态控制信号fsl_2。
47.低压侧驱动安全逻辑处理电路u3能有效禁止igbt驱动电路u2响应输入侧信号(pwmh_1、pwmh_3、pwmh_5、pwml_2、pwml_4、pwml_6)。
48.作为一种优选的实施方式，安全状态处理电路还包括高压侧冗余安全状态控制路径，用于在系统低压主电源失效时备用电源及时地介入并维持驱动电路的高压侧供电；
49.具体地，该高压侧冗余安全状态控制路径包括故障逻辑处理电路、高压侧驱动安全逻辑处理电路、高压备用电源和开关管，故障逻辑处理电路分别连接高压侧驱动安全逻辑处理电路和开关管的门极，高压侧驱动安全逻辑处理电路还连接igbt驱动电路，开关管的源极连接高压备用电源，开关管的漏极接入igbt驱动电路和三相全桥电路之间的信号传输线路中，高压备用电源连接高压侧驱动安全逻辑处理电路；
50.所述故障逻辑处理电路用于接收高压过压信号和低压欠压信号，所述高压备用电源的电压小于所述igbt驱动电路的高压侧电压；所述低压欠压信号为igbt驱动电路低压侧供电电压信号；
51.当igbt驱动电路的主电源没有掉电时，高压备用电源处于轻负载工作模式，此时高压备用电源的电压小于所述igbt驱动电路的高压侧电压，高压备用电源不用于供电；主电源掉电后，二极管d10后侧电压小于备用电源供电电压，这时高压备用电源便可以通过d10供电了。
52.所述故障逻辑处理电路根据低压欠压信号，使能所述高压侧驱动安全逻辑处理电路，对高压备用电源的电流进行输出处理；
53.所述故障逻辑处理电路还根据所述高压过压信号进行检测，若检测到高压过压，则使能所述高压侧驱动安全逻辑处理电路，使得所述igbt驱动电路输出侧门级控制信号为高阻态；并在延时处理后导通所述开关管控制所述三相全桥电路进入对应的安全状态。
54.优选地，开关管漏极通过防反隔离二极管接入igbt驱动电路和三相全桥电路之间的信号传输线路中，高压备用电源通过防反隔离二极管接入高压侧驱动安全逻辑处理电路。
55.优选地，安全状态处理电路还包括信号隔离电路，低压欠压信号通过信号隔离电路接入故障逻辑处理电路，用于实现igbt驱动电路的高压与信号低压之间的信号隔离。
56.优选地，安全状态处理电路还包括高压侧过压检测电路，该高压侧过压检测电路用于检测母线电压，生成高压过压信号。
57.本实施例中，低压欠压信号输入、信号隔离电路u10、高压侧过压检测电路u7、故障逻辑处理u8、高压侧驱动安全逻辑处理电路u4、高压备用电源u9、pmos开关管q1以及防反隔离二极管(d1、d2、d3及d10)共同组成了高压侧冗余安全状态控制路径；在系统低压主电源失效时备用电源及时地介入并维持驱动电路的高压侧供电，判断高压过压信号状态并通过使能u4和控制q1的导通或关断使系统进入安全状态(主动三相短路或三相全桥关管)。
58.所述高压备用电源u9、开关管q1和防反隔离二极管(d1、d2、d3和d10)实现冗余的高压侧驱动供电控制；u9在低压主电源未掉电的情况下保持轻载工作状态，输出电压略低于主电源(+15v)的工作电压，在主电源掉电时，u9及时地输出备用供电，通过d10对u4供电以保证高压侧驱动安全逻辑处理电路的正常工作。
59.高压侧驱动安全逻辑处理电路u4能有效禁止igbt驱动电路u2响应输入侧信号(pwmh_1、pwmh_3、pwmh_5、pwml_2、pwml_4、pwml_6)，并使u2输出侧信号为高阻态。
60.将上述优选的实施方式进行任意组合，可以得到更优的实施方式，下面对一种最优的实施方式进行具体描述。
61.一种电动汽车电机控制器的安全状态处理电路，下面结合附图进行电路描述，如图1所示，其中，pwm_en、fsh_1、fsl_1和低压欠压信号是来自于主控芯片的控制信号，6-pwms是主控芯片输出的igbt驱动控制信号，u1是pwm信号缓冲器，u2是igbt驱动电路，u3是低压侧驱动安全逻辑处理电路，u4是高压侧驱动安全逻辑处理电路，u11是执行器三相全桥电路，u5是主要安全逻辑电路，u6是备用安全逻辑电路，u7是高压过压检测电路，u9是高压备用电源，u10是逻辑信号隔离电路，u8是故障逻辑处理电路，d1～d10是防反隔离二极管，q1是pmos功率开关管，此外，pwmh_1、pwmh_3、pwmh_5、pwml_2、pwml_4和pwml_6是u1输出至u2的pwm信号，fsen_l、fsh_2和fsl_2是u6输出至u3的逻辑控制信号，fsen_h是u8输出至u4的使能信号，g1～g6是三相全桥电路的门级驱动信号，5v_h是驱动电路高压侧检测电路和逻辑处理电路的供电电源。
62.安全状态处理电路的主要安全路径：pwm_en、fsh_1和fsl_1与u5的输入端连接；u5的输出端连接至d4～d9的阳极；d4～d9的阴极分别连接至u2的低压侧输入端(pwmh_1、pwmh_3、pwmh_5、pwml_2、pwml_4和pwml_6)；u2的高压侧输出端连接至u11的门级控制端g1～g6。
63.安全状态处理电路的备用安全路径：独立监控芯片的状态信号以及高压过压信号与u6的输入端连接；u6的输出信号fsen_l、fsh_2和fsl_2连接至u3。
64.安全状态处理电路的高压侧冗余安全路径：驱动电路高压侧逻辑电源5v_h连接至u4、u7、u8和u10高压侧；低压欠压信号和高压过压信号与u8的输入端连接；u8的一路输出信号fsen_h连接至u4；u8的另一路输出信号连接至q1的门级控制端；u9的电源输出一路经d10连接至u4电源端；u9的电源输出另一路连接至q1的源极，q1的漏极连接至d1、d2和d3的阳极；d1、d2和d3的阴极分别连接至u11的门级控制端g4、g5和g6。
65.下面对该电动汽车电机控制器的安全状态处理电路的工作原理进行说明：
66.1、正常pwm控制时，pwem_en使能u1输出调理后的6路pwm控制信号，通过igbt驱动电路u2输出门级控制信号(g1～g6)来控制三相全桥功率电路u11的导通和关断。
67.2、主控芯片检测的系统故障时通过pwm_en禁止u1的输出，同时使能主要安全逻辑电路u5，主控芯片根据故障状态以及igbt驱动电路的状态设置fsh_1和fsl_1的电平，u5根据fsh_1和fsl_1的不同电平组合，通过d4、d5、d6或d7、d8、d9设置u2输入端的pwm信号电平，然后通过u2输出对应的门级控制信号使u11进入上三桥臂三相主动短路或下三桥臂三相主动短路或三相全桥关断的安全状态。
68.3、使用独立的硬件监控单元监控主控芯片，监控到失效状态时激活备用安全逻辑u6，u6输出fsen_l使能低压侧驱动安全逻辑处理电路u3，u3被使能后立即禁止u2响应前级的pwm控制信号，u6根据高压过压信号设置fsh_2以及fsl_2的电平，fsh_2及fsl_2通过u3设置u11的门级控制信号，使u11选择进入下三桥臂三相主动短路或三相全桥关断的安全状态。
69.4、主控制电源正常工作时，高压备用电源的输出电压+15v_backup略低于高压侧
主电源+15v，防反隔离二极管d10保证u9在正常工况下保持轻载工作，当主电源掉电后，u9通过d10迅速介入给驱动高压侧提供电源，保证高压侧驱动安全逻辑处理电路u4正常工作。
70.5、驱动电路高压侧电源+15v通过驱动电路内部电源变换成5v_h给高压侧检测电路以及高压侧故障逻辑处理电路提供稳定的逻辑电源，保证高压侧能有效地处理故障逻辑并进入安全状态。
71.6、主控制电源失效后，低压侧电路不能工作，上述2和3的安全状态处理电路失效，u9快速介入供电，5v_h保持对u10、u7和u8的供电，若检测到高压过压，u8立即通过fsen_h使能高压侧驱动安全逻辑处理电路u4，并使驱动电路输出侧门级控制信号为高阻态，然后fsen_h经延时处理后控制开关管q1开通，15v_backup电源通过d1、d2和d3将u11下三桥臂门级控制信号g4、g5和g6置高，使系统进入下三桥臂三相主动短路的安全状态；若未检测到高压过压则关断q1使u11切换至三相全桥关断的安全状态。
72.以上详细描述了本发明的较佳具体实施例。应当理解，本领域的普通技术人员无需创造性劳动就可以根据本发明的构思做出诸多修改和变化。因此，凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案，皆应在由权利要求书所确定的保护范围内。