9 Szenarien zur Fehlerinjektion des Motorantriebs für die Validierung der Steuerung

Die Fehlerinjektion zeigt, wie ein Controller reagiert, wenn der Wechselrichter keine Befehle mehr ausführt. Sie messen die Erkennungszeit, die Regelungsstabilität und den Weg zu einem sicheren Zustand. Eine strenge Testsuite erkennt Fehler, die bei der Inbetriebnahme niemals auftreten. Mit Hardware(HIL) können Sie diese Tests durchführen, ohne auf leistungsstarke hardware verzichten zu müssen.

Komplexe Antriebe können auf vielfältigere Weise ausfallen als nur durch eine einzige Überstromabschaltung. Mehrphasige Maschinen und eine Steuerung mit hoher Bandbreite lassen weniger Spielraum für unübersichtliche Schutzlogik. Wiederholbarkeit ist wichtig, da Firmware-Änderungen subtil sind. Durch Fehlerinjektion erhalten Sie bei jedem Durchlauf dieselbe Störung im selben Millisekundenbereich.

„Die Wiederholbarkeit ist genauso wichtig wie die Schwere.“

Was die Controller-Validierung von der Fehlerinjektion des Motorantriebs verlangt

Die Controller-Validierung erfordert Fehler, die wiederholbar sind, mit einem Zeitstempel versehen sind und an explizite Pass-/Fail-Grenzwerte gebunden sind. Jedes injizierte Ereignis sollte die Erkennung, eine stabile Steuerungsaktion und einen sicheren Endzustand nachweisen. Protokolle sollten den Auslösezeitpunkt, wichtige Signale und Zustandsübergänge erfassen. 

Halten Sie einen festen Betriebspunkt ein und variieren Sie jeweils einen Fehlerparameter. Eine einfache Überprüfung ist ein konstantes Drehmoment bei mittlerer Drehzahl, während Sie einen Stromsensor-Offset von 5 % hinzufügen und die Regelung und Drehmomentschätzung beobachten. Wiederholen Sie dies bei niedriger Drehzahl, wo der Beobachter mehr Gewicht hat. Der Kontrast deckt die Schutzlogik auf, die von einer Betriebsecke abhängt.

9 Szenarien zur Fehlerinjektion beim Motorantrieb zum Testen

Diese neun Szenarien decken Energie-, Schalt-, Sensor- und Zeitfehler ab, die in Antriebsprogrammen auftreten können. Jedes Szenario unterstützt Pass-Kriterien, die strenger sind als eine einfache Auslösung. Führen Sie jeden Fehler an zwei Betriebspunkten aus, z. B. niedrige Drehzahl, hohes Drehmoment und hohe Drehzahl, geringe Last. Halten Sie die eingespeiste Wellenform über alle Revisionen hinweg identisch.

1. Einphasiger Leerlauf während des Betriebs mit konstantem Drehmoment

Eine offene Phase zwingt den Strom umzuleiten und kann die Phasen an ihre Grenzen bringen. Lösen Sie die Öffnung bei 30 % Nennmoment und konstanter Drehzahl aus und protokollieren Sie dann die Erkennungszeit und die Strombegrenzung. Zu den Bestehenskriterien gehören ein begrenzter Drehmomentfehler und ein sauberer Übergang in den Fehlerzustand. Wiederholen Sie den Vorgang nahe der Grunddrehzahl, um die Stabilität bei geringerer Spannungsreserve zu überprüfen.

2. Einphasiger Kurzschluss am Wechselrichterausgang

Ein Phasenschluss ist hochenergetisch und testet das Schutz-Timing. Injizieren Sie einen Kurzschluss am Wechselrichterausgang und überprüfen Sie, ob der Controller die Gates blockiert, bevor der Strom Ihren Schwellenwert überschreitet. Überprüfen Sie die Reihenfolge von PWM-Abschaltung, Schützbefehlen und Fehlerverriegelung. Wiederholen Sie dies bei zwei Gleichstrom-Zwischenkreisspannungen, damit die Erkennung nicht auf einen Buspegel abgestimmt ist.

3. Mehrphasige Verluste in mehrphasigen Motorarchitekturen

Lassen Sie zwei Phasen gleichzeitig auf einer 12-Phasen-Maschine ausfallen und überprüfen Sie, ob die Stromreferenzen auf die intakten Phasen umgeschaltet werden. Legen Sie einen reduzierten Drehmomentwert fest und überprüfen Sie, ob die thermischen Schätzungen mit der neuen Belastung übereinstimmen. Eine solide Implementierung sorgt für ein gleichmäßiges Drehmoment unter Einhaltung der phasenspezifischen Stromgrenzwerte. Mit OPAL-RT HIL mit FPGA-Timing können Sie das Verhalten gekoppelter Maschinen wiedergeben und die Rekonfigurationslogik sicher abstimmen.

4. Spannungsabfall im Gleichstromzwischenkreis und vollständiger Ausfall des Gleichstrombusses

Wenden Sie einen DC-Link-Sag-Schritt an, z. B. einen Abfall von 20 % in 5 ms, und beobachten Sie das Zusammenspiel von Spannungsbegrenzer und Stromregelung. Bei einem Pass-Fall wird das Drehmoment sanft reduziert und bleibt stabil. Bei einem vollständigen Ausfall sollte das System je nach Ihren Systemregeln in den Freilauf oder in einen kontrollierten Stopp übergehen. Wiederholen Sie den Vorgang unter Regeneration, um sicherzustellen, dass der Regler keine negativen Spannungen ansteuert, die er nicht erzeugen kann.

5. Fehlzündung des Gate-Treibers, was zu unkontrollierten Schaltzuständen führt

Eine Fehlzündung tritt auf, wenn die befohlene Umschaltung und die tatsächliche Umschaltung nicht übereinstimmen, was zu einem schnellen Überstrom führen kann. Modellieren Sie ein feststehendes High- oder Low-Gate an einem Gerät und stellen Sie sicher, dass die Erkennung nicht von einem einzigen Symptom abhängt. Vergewissern Sie sich, dass der Controller wiederholte Neustartversuche vermeidet, die zu thermischer Belastung führen. Verschieben Sie den Zeitpunkt der Fehlzündung innerhalb der PWM-Periode, um tote Winkel zu überprüfen.

6. Offset, Rauschen oder Signalverlust des Stromsensors

Fehler bei der Strommessung erscheinen zunächst geringfügig, bis sie die Drehmoment- und Schutzschwellenwerte beeinflussen. Injizieren Sie eine langsame Offset-Rampe, dann einen plötzlichen Sprung, und überprüfen Sie, ob die Plausibilitätsprüfungen auslösen, bevor der Fehler integriert wird. Ein kurzer Signalverlust sollte keine Schleifen zum Absturz bringen, wenn die Abtastwerte einfrieren, auf Null fallen oder ungültig werden. Die Injektion von Rauschen sollte nachweisen, dass die Filterung keine Verzögerung verursacht, die die Regelung destabilisiert.

7. Ausfall des Resolvers oder Encoders mit Auswirkungen auf die Positionsrückmeldung

Positionsrückmeldungsfehler können die feldorientierte Regelung schnell destabilisieren, insbesondere bei Drehzahlen nahe Null. Frieren Sie das Winkelsignal für 20 ms ein und überprüfen Sie, ob ein geregelter Stopp oder ein Fallback-Schätzer ohne Stromspitzen startet. Ein vertauschter Sin- und Cos-Kanalfehler testet Plausibilitätsprüfungen und Vorzeichenkonventionen. Wiederholen Sie dies bei hoher Drehzahl, um zu bestätigen, dass der Überdrehzahlschutz funktioniert, wenn die Winkelverfolgung zusammenbricht.

8. Thermische Schutzfehler aufgrund von Überhitzung des Wechselrichters oder Motors

Thermische Fehler testen, wie Sie Grenzwerte anwenden, nicht nur den Auslösepunkt. Erzwingen Sie einen Sprung der Temperaturschätzung über einen Derating-Schwellenwert und bestätigen Sie, dass die Drehmomentgrenzen reibungslos und ohne Schwankungen angewendet werden. Ein zweiter Test erzwingt eine kritische Übertemperatur, um das Abschaltverhalten und die Regeln für die Neustartsperre zu überprüfen. Kombinieren Sie den Fehler mit einem hohen Drehmoment, damit der Schutz unter Belastung funktioniert.

9. Überlauf der Steuerungsaufgabe oder verpasster Echtzeit-Ausführungszyklus

Timing-Fehler bleiben unbemerkt, bis sie die Stabilität beeinträchtigen, insbesondere bei engen Stromschleifen-Deadlines. Fügen Sie einen fehlenden Steuerzyklus ein und überprüfen Sie, ob Watchdog, Zustandsmaschine und PWM-Aktualisierungsregeln ein vorhersagbares Ergebnis liefern. Fügen Sie Jitter hinzu, z. B. eine Verzögerung von 200 Mikrosekunden alle 10 ms, um Integrator-Windup und Observer-Drift aufzudecken. Dieser Test belegt die Ausfallsicherheit des Controllers bei CPU-Lastspitzen.

„Verschieben Sie den Fehlzündungszeitpunkt innerhalb der PWM-Periode, um tote Winkel zu überprüfen.“

Wie man Fehlerszenarien für HIL-basierte Tests priorisiert

Beginnen Sie mit Fehlern, die hardware einem Ereignis beschädigen können, und gehen Sie dann zu Fehlern über, die die Leistung im Laufe der Zeit beeinträchtigen. Kurzschlüsse, Gate-Fehlzündungen und DC-Bus-Ausfälle stehen an erster Stelle, da das Timing entscheidend ist. Sensor- und Rückkopplungsfehler kommen als Nächstes, da sie Erwärmungs- und Drehmomentfehler überdecken können. Timing-Fehler schließen die Reihe ab, indem sie software unter Last nachweisen.

Eine einfache Bewertungsmethode nutzt gespeicherte Energie, Beobachtbarkeit und erforderliche Wiederherstellungsmaßnahmen, um Tests zu bewerten. Dieser Ansatz sorgt für einen ehrlichen Plan, wenn die Laborzeit knapp ist. OPAL-RT ist besonders nützlich, wenn Sie deterministisches Timing und exakte Wiederholungen über viele Controller-Builds hinweg benötigen. Disziplinierte Fehlerinjektion schafft Vertrauen, da sie Überraschungen durch Messungen ersetzt.