多相电动驱动的容错控制工作流

核心要点

• 多相驱动中的容错控制仅在检测、隔离、重配置和降额作为单一工作流程设计，且具备可测试的验收标准时方能有效运作。
• 冗余设计仅在确信隔离后才有效，因为误跳闸和不安全的复位往往比原始故障造成更多停机时间和压力。
• 硬件在环验证将保护时序和降级模式限制转化为可重复、可审计的行为，确保在故障发生时仍能值得信赖。

多相驱动器的容错控制仅在将其视为端到端工作流时才有效。

多相电机驱动系统赋予您额外的自由度，但冗余机制无法自行管理。控制软件必须快速检测异常行为，精准隔离故障部件（无需猜测），并在保持在热量和电压限制范围内时重新配置电流指令。电动机及电机驱动系统约占全球用电量的 占全球电力消耗的46% ，因此具备优雅降级的驱动器能有效保障运行时间、优化能耗并保护硬件。

最可靠的团队将故障视为一种具有明确规则的正常运行模式，而非需要临时补丁处理的罕见例外。

这种立场决定了后续所有环节——从传感器选型到扭矩指令的门控方式、市场活动记录，乃至保护行为的验证。当这些环节整合为统一工作流时，多相硬件便成为真正可用的安全裕度。

多相电机驱动系统的容错控制目标

容错控制旨在故障发生后保持多相驱动器的稳定性和可预测性，同时限制损伤并保障人员安全。您需要实现受控扭矩、电流限制和可预测的热行为，同时确保正常模式与降级模式之间具有可重复的切换过程。可行的设计方案应在编码开始前设定可量化的验收标准。

从可验证的目标入手，而非口号。转矩纹波、峰值相电流、直流母线过电压和逆变器结温等参数均可转化为合格/不合格的检测标准。第二类目标则关注系统行为表现，例如相位缺失后能维持转矩的时间长度，以及驱动器在疑似短路时必须多快降低电流。明确的目标能避免团队仅凭"感觉合适"来调整保护措施。

多相驱动器虽能增加选项，但也埋下隐患。额外相位可维持扭矩输出，但若检测逻辑薄弱，反而会掩盖故障。完善的操作流程应将冗余视为条件性措施——仅在故障隔离确认且控制器切换至已知极限模式后方可启用。

多相逆变器与电机绕组中的故障类型

多相电动驱动器的故障可归入若干类别，这些类别决定了正确的控制响应。功率级故障包括开关开路和开关短路行为。电机故障包括相间开路、相间短路及绝缘击穿模式。传感器和估计器故障常表现为类似被控对象故障的特征，因此需要特殊处理。

分类至关重要，因为保护措施不可互换。疑似短路需立即启动限流和闸极阻塞逻辑，而缺相故障通常可通过控制重新分配处理。传感器故障则介于两者之间——单个电流传感器失效可能触发错误隔离和不必要的降额。优质设计会构建映射关系，将每类故障与检测信号、确认规则及后续允许的控制模式紧密关联。

优先级应依据风险而非便利性设定。能在微秒级内恶化的电气故障需获得最快响应路径，通常通过固件或专用逻辑实现。而发展周期较长的故障（如绕组劣化）同样重要，因其可能导致估算偏差并压缩热余量。将这两类故障分级处理，可避免采用单一停机策略，从而避免浪费多相驱动器的优势。

快速故障检测的信号选择与阈值设定

快速检测依赖于能早期响应、在劣化模式下仍可观测且在不同工作点保持稳定的信号。相电流、直流母线电压及开关节点行为通常携带最早的故障特征。当传感器仍可靠时，模型残差可提升检测灵敏度。优秀的阈值策略需在检测速度与误跳风险间取得平衡。

检测效果最佳时，应将第一层限定在能在噪声和瞬态条件下值得信赖的信号上。以下五类信号通常能提供强覆盖性，且无需进行繁重计算：

• 与指令电流相关的相电流幅值与不对称性检查
• 由测量电流衍生的零序电流或谐波指示器
• 开关期间直流母线电压变化率市场活动
• 功率级门控指令与去饱和风格反馈
• 测量与估计电状态之间的残余误差

阈值应适应运行状态，因为启动和再生状态与稳态转矩的特性不同。采用多级逻辑：快速限值首先降低电流，随后通过较慢的确认步骤决定隔离与模式切换。滤波器虽有帮助，但过长的窗口会掩盖快速故障，因此需将时间常数与电气频率及切换速率保持关联。目标是实现可靠的报警机制，确保触发时能获得可信赖的警报。

避免误跳闸和误复位的故障隔离方法

故障隔离功能可精确定位故障点，使控制器能选择正确的降级模式而非盲目猜测。稳健隔离机制采用多重冗余证据而非单一阈值触发，同时避免激进的自动重置行为，防止设备承受重复应力。隔离逻辑应生成清晰可追溯的决策记录，便于后续测试复现。

将设计隔离视为一系列逐步缩小可能性的检查，随后通过第二组信号进行确认。区分"疑似故障"与"确认故障"，并将每种状态与允许操作关联。此举可防止短暂测量异常触发全模式切换，同时帮助操作员和测试工程师理解：当未出现明显损坏时，驱动器为何会降低扭矩。

容错控制并非单一算法，而是一套经过验证的行为模式，能在压力下为你提供可靠保障。

当能够随意重现边界情况时，隔离规则更易于验证。OPAL-RT的实时数字仿真器可针对您的精确控制代码和保护时序执行故障注入，助您在不损坏硬件的前提下调整确认窗口。在早期隔离设计阶段，这种可重复性比完美的厂址保真度更为重要。实际目标很简单：每次发生相同故障时，驱动器都应执行相同操作。

控制重配置以在缺相故障时保持扭矩

控制重构在隔离后改变电流参考值、调制规则和约束条件，使驱动器在有效相位减少的情况下保持稳定。控制器必须在限制铜损和逆变器应力的同时保持扭矩输出。优雅的解决方案是切换至预定义的降级控制器，而非采用临时拼凑的增益参数。多相系统可重新分配电流，但仅限于已知边界内。

六相永磁同步电机可阐释"容错"与"故障稳定"的差异。当某相发生开路时，可将其隔离，随后将产生转矩的电流基准投影至剩余健康子空间，从而维持平均转矩的可控性。此时必须收紧电流限制，因剩余相位需承载更高均方根电流，且调制策略需避免单相过载至饱和。该工作流程确保电机保持可控状态，而非仅维持空转。

重新配置存在必须预先接受的权衡。扭矩波动通常会加剧，可能引发机械共振并增加噪音。随着铜损攀升，效率随之下降，这将压缩热余量并缩短高扭矩工况下的允许运行时间。优质设计会将这些限制暴露给更高层级的控制系统，从而使系统在温度飙升前主动降低扭矩。

降额规则与安全降级运行限制

降额定义了故障发生后允许的转矩、转速和占空比上限，以确保驱动装置安全稳定运行。这些限制应具有确定性，并与绕组温度、逆变器温度及直流母线状态等可量化参数挂钩。降额还需设定明确的退出条件，因为长期在降额模式下运行可能掩盖潜在故障。其目标在于实现受控性能，而非最大性能。

降额设计应基于现有设计约束条件构建。热模型与温度传感器设定持续电流限制，而电压裕度与调制限制则决定高速运行能力。电机系统消耗约 70% 制造用电的70%，因此制定避免不必要损耗的降额策略，即使在故障期间也能降低运营成本。关键在于将降额转化为一套可预测、可验证的规则体系。

操作员和系统软件需要降额逻辑提供简单明确的输出。当热余量缩减时，应设定允许的扭矩限制、允许的转速限制，以及该工作点下的最大持续时间。将复位和恢复操作与经验证的稳定状态挂钩，而非仅依赖计时器，以避免向仍存在故障的驱动腿施加全扭矩。规范的降额策略能将降级运行转化为可控状态，而非紧急状况。

基于实时模型和硬件在环测试的验证工作流

验证证明检测、隔离、重配置和降额功能在所有工作点和故障时序下均表现正确。纯软件测试无法捕捉影响保护行为的时序、量化及I/O延迟。基于真实系统模型的硬件在环测试通过连接控制硬件的实时模型弥补了这一缺口。最终应获得可追溯证据，证明保护功能完全符合设计要求。

验证工作应从与故障类别及验收标准相匹配的故障注入方案开始。全面扫描速度、负载及直流母线工况，随后在多个电气角度注入故障以捕捉最恶劣工况下的应力。记录从故障发生到电流限制的时间、隔离正确性及降级控制器稳定性。将每次意外复位或误跳闸视为测试失败，因操作人员将视其为可靠性丧失。

长期可靠性源于不断重复此工作流程，直至保护行为变得枯燥乏味——因为乏味意味着可预测。OPAL-RT系统常用于实时执行这类闭环测试，通过可重复的故障注入与时序验证，协助团队在硬件投入前锁定边界情况。正是这种严谨性，将多阶段冗余转化为值得信赖的运行能力。容错控制并非单一算法，而是经受压力考验的可靠行为集合。