EPS (Electronic Power Steering) ist eines von vielen Schlagwörtern, mit dem ein Käufer eines neuen Autos konfrontiert wird. Was bedeutet dieser Begriff? Welche Funktionalität wird be- nötigt, um eine elektronische Unterstützung der Lenkung zu realisieren, und welche Sicherheitsaspekte müssen bei der Auswahl der elektronischen Komponenten beachtet werden? Der hier vorgestellte Mikrocontroller der XC2300-Familie erfüllt die geforderten Standards.
Am Beispiel der elektromechanischen Lenkung zeigt sich, dass unter anderem aufgrund von maßgeschneiderten Peripherien, leistungsstarken Prüfsummenverfahren und den Komponenten zur Fehlerüberwachung spezielle Mikrocontroller zur Ansteuerung verschiedenster sicherheitsrelevanter Applikationen optimal geeignet sind. Eine Electro-mechanical Power Steering (EPS) ist ein System, bei dem ein elektronisch geregelter Elektromotor das herkömmliche hydraulische System ersetzt. Dieser Ansatz hat gegenüber einer hydraulischen Lenkung viele Vorteile. Die Montage wird vereinfacht, kein giftiges Hydrauliköl fällt mehr an, der Kraftstoffverbrauch wird um circa 0,3l/ 100 km gesenkt und zusätzliche Sicherheitsfunktionen wie aktive Lenkrückstellung lassen sich problemlos integrieren.
Die Architektur des EPS
Das EPS besteht aus einem Steuergerät, mehreren Sensoren, einem Antriebsmotor und der mechanischen Lenkeinheit. Das Steuergerät übernimmt die Regelung des Systems und versorgt den elektrischen Motor mit den notwendigen Informationen. Verschiedene Sensoren, wie der Lenkwinkel- oder der Lenkmomentsensor, übermitteln Daten an das Regelungssystem. Die Erkennung der Motorposition und des Motorstroms gewährleisten einen optimalen Arbeitspunkt des Motors.
Als Antriebsmotor einer elektromechanischen Lenkung dient eine Synchronmaschine mit Permanent-Magnet-Erregung, wobei das Drehfeld des Motors elektronisch erzeugt wird. Ein pulsweitenmoduliertes Signal beeinflusst die Geschwindigkeit und das Drehmoment. Resolver oder magnetische Sensoren auf Basis des Giant-Magnetic-Resistor (GMR)-Effekts liefern die Daten zur Motorlagenerkennung. Die Kräfte auf die Lenksäule und die damit notwendigen Eingriffe des Motors werden über lineare Hallsensoren erfasst. Die Information über die Fahrgeschwindigkeit wiederum liefert ein Radsensor. Der Lenkwinkelsensor stellt die Information über die momentane Position des Lenkrades zur Verfügung. Über das Controller Area Netzwerk (CAN) werden diese Signale eingespeist und im Steuergerät aufbereitet. Dieses besteht unter anderem aus CAN-Transceivern, Schaltungen zur Signalaufbereitung und Mikrocontrollern. Steuerungs- und Regelungsaufgaben werden dabei von dem Zentralrechner realisiert. Die Sicherheitsüberwachung wird durch den Safety-Monitor, den Zentralrechner und einen externen Watchdog gewährleistet.
Durch die höheren Anforderungen an Motordynamik und konstantes Drehmoment wird die feldorientierte Regelung angewandt. In konstanten Zeitintervallen werden sowohl mehrere Koordinaten-Transformationen (Clark-/Parktransformation), als auch die Regelung beider Phasenströme sehr aufwändig berechnet. Eine Multiply-and-Accumulate (MAC)-Einheit reduziert je nach Implementierung spürbar bis zu 50 % der Rechenlast. Zur Steigerung der Effizienz des Inverters wird ein pulsweitenmoduliertes Signal (PDW) generiert, das auf dem Raum-Zeiger-Verfahren basiert. Die Anforderung an Echtzeitfähigkeit, Diagnose und Kommunikation mit dem Netzwerk lassen nur einen leistungsfähigen Mikrocontroller mit 32-Bit-Leistungsfähigkeit in Frage kommen.
Reaktionschnell, flexibel, zuverlässig
Die Entwicklung des Sicherheitskonzeptes der Mikrocontroller der XC2300-Familie orientiert sich an den Anforderungen der Norm International Electronical Commission (IEC) 61508 gemäß Sicherheitsstufe Safety Integrity Level 3 (SIL 3). Sie ist ein Sicherheitsstandard für die funktionale Sicherheit von Elektroniksystemen, der in der Automobilindustrie derzeit erörtert und voraussichtlich Ende 2008 in Europa eingeführt wird. Das Sicherheitskonzept besteht aus einer Kombination aus Hardware und Software. Ein eigener Watchdog mit unabhängiger Takterzeugung und ein Safety-Monitor stellen die Hardware Komponenten dar. Bei der Implementierung der Software-Maßnahmen wird eine Aufteilung vorgenommen. Zum einen wird die Hardware des Mikrocontrollers wie Fehlerkorrektur des Flash-Speichers, Context-Switch oder auch der Opcode-Decoder überprüft, zum anderen wird der korrekte Programmablauf überwacht. Sensitive Daten werden dem Prüfsummenverfahren Cyclic Redundancy Check (CRC) unterzogen. Weiterhin dient das Testen des kompletten Systems durch Einschleusen von fehlerhaften Stimuli und die darauf folgende Reaktion des Steuergerätes als Sicherheitsüberprüfung.
Eine Memory-Protection-Einheit (MPU) erhöht die Betriebssicherheit bei der Zusammenführung verschiedener Software-Komponenten. Dadurch ermöglicht sie es, dass sicherheitskritische und sicherheitsunkritische Funktion getrennt von einander in gesicherten bzw. ungesicherten Bereichen abgearbeitet werden. Die MPU kontrolliert dabei den Vorgang der Abschottung der verschiedenen Funktionen und bietet zuverlässige Mechanismen zur Vermeidung von Interferenzen.
Das Herzstück des Sicherheitskonzepts
Die XC2300-Familie wurde für sicherheitsrelevante und echtzeitsensitive Applikationen entwickelt. Ausgestattet ist sie mit einer MAC-Einheit, durch die Matrizen-Operationen oder auch Finite-Impulse-Response (FIR)-Filter-Funktionen mühelos implementiert werden können. Neben den 128 Interrupt-Quellen steht zusätzlich eine DMA-Transfer-Option in Form eines Peripheral-Event-Controllers (PEC) zur Verfügung, wodurch sich komfortabel umfangreiche Datenblöcke innerhalb des Adressierungsbereiches verschieben beziehungsweise kopieren lassen.
Eine physikalische Trennung des Flash-Speichers in mehrere Blöcke und eine automatische Fehlerkorrekturüberwachung erhöhen die Betriebssicherheit. Einzelne Flashbereiche können individuell mit einem Kennwort gegen Lesen und Schreiben geschützt werden. Die Datensicherheit des SRAM wird über eine automatische Fehlerkorrekturüberwachung gewährleistet. Der unerlaubte Zugriff auf CPU-relevante Register wird durch eine Aktivierung benutzerspezifischer Funktionen verhindert.
Zu den Peripheriemodulen gehören neben flexiblen Timereinheiten, drei Usic-Einheiten, drei Capture-Compare-Module (Capcom), Echtzeituhr und Watchdog-Funktionen, zwei schnelle A/D-Wandler und drei CAN-Controller-Nodes mit Gateway-Funktionalität. Jede Capcom-Einheit besitzt zwei unabhängige 16-Bit breite Timer. Sie dienen zur Erzeugung von PWM-Signalen oder der Erfassung von Periodendauer und Duty-Cycle von Eingangssignalen. Im Störungsfall ist es möglich, jeden der Kanäle unmittelbar in einen inaktiven Zustand zu versetzen. Mittels verschiedener Triggerquellen können synchron oder gezielt verzögerbar zwei synchrone AD-Wandlungen gestartet werden. Dadurch lassen sich beide Phasenströme zeitgleich wandeln. Die Resultate werden mit Hilfe des PEC in einen beliebigen Speicherbereich zur Weiterverarbeitung kopiert.
Infineon; Telefon: 089/234-0; E-Mail: robert.weiss@infineon.com
Teilen: