彭曉宇

（中國第一汽車股份有限公司技術(shù)中心 汽車電子部，吉林 長春 130011）

電機(jī)控制器控制單元作為電動汽車動力總成的核心部件，直接控制扭矩和車速，涉及大功率IGBT驅(qū)動、高電壓和大電流，處于強(qiáng)電磁干擾環(huán)境中，如果發(fā)生失效，將危及到整車、駕駛員和行人的安全。

關(guān)于汽車電子功能安全，目前國際上通用的標(biāo)準(zhǔn)為ISO 26262和VDA E-Gas Monitoring Concept，ISO 26262為國際標(biāo)準(zhǔn)化組織頒布的汽車電子/電氣系統(tǒng)功能安全標(biāo)準(zhǔn)，VDA E-Gas Monitoring Concept是由奧迪、戴姆勒克萊斯勒、保時捷、大眾等歐洲主流整車廠，以及博世、大陸等汽車電子主流供應(yīng)商共同制定的《汽油機(jī)和柴油機(jī)的電子節(jié)氣門監(jiān)控標(biāo)準(zhǔn)》，其通用的監(jiān)控概念同樣適用于動力電機(jī)控制器。ISO 26262和VDA E-Gas Monitoring Concept為本文提供了理論基礎(chǔ)，本文的分析按照圖1所示的ISO 26262開發(fā)過程進(jìn)行。本文的需求開發(fā)在實(shí)踐層面上符合圖2所示的VDA EGAS三級安全監(jiān)控機(jī)制。

1 電機(jī)控制系統(tǒng)結(jié)構(gòu)功能示意圖

電機(jī)控制系統(tǒng)的系統(tǒng)框圖如圖3所示，扭矩指令和速度指令信息由HCU通過CAN總線下發(fā)給電機(jī)控制器，電機(jī)控制器采集相電流、母線電壓和電機(jī)轉(zhuǎn)子位置計(jì)算出實(shí)際扭矩和實(shí)際轉(zhuǎn)速，通過轉(zhuǎn)速閉環(huán)控制和扭矩閉環(huán)控制完成扭矩控制、轉(zhuǎn)速控制和電壓控制。

圖1 ISO 26262功能安全開發(fā)流程圖

圖2 VDA EGAS三級安全監(jiān)控機(jī)制示意圖

圖3 電機(jī)控制系統(tǒng)結(jié)構(gòu)功能示意圖

2 電機(jī)控制系統(tǒng)危害分析與風(fēng)險(xiǎn)評估

由上述分析可知，電機(jī)控制系統(tǒng)的主要功能可以歸納為以下3點(diǎn)：①扭矩控制；②轉(zhuǎn)速控制；③電壓控制。針對這3項(xiàng)主要功能對其進(jìn)行失效模式分析和風(fēng)險(xiǎn)分析，也對風(fēng)險(xiǎn)的嚴(yán)重等級、發(fā)生頻度和可控性進(jìn)行了分析，得出每一項(xiàng)風(fēng)險(xiǎn)對應(yīng)的ASIL等級和安全目標(biāo)，見表1和表2。

表1 危害分析與風(fēng)險(xiǎn)評估

表2 安全目標(biāo)與安全狀態(tài)

3 電機(jī)控制系統(tǒng)功能安全需求與技術(shù)安全需求

根據(jù)ISO 26262第三部分的要求，從上面列出的功能安全目標(biāo)和安全狀態(tài)導(dǎo)出功能安全需求，如表3所示，列出了達(dá)成安全目標(biāo)和安全狀態(tài)的功能層面的必備條件。

根據(jù)ISO 26262第四部分的要求，需要將功能安全需求轉(zhuǎn)化為技術(shù)安全需求，結(jié)合電機(jī)系統(tǒng)的結(jié)構(gòu)和功能，遵循功能安全診斷、冗余、監(jiān)控和關(guān)斷這4個主要方法，得出技術(shù)安全需求主要內(nèi)容見表4。

4 電機(jī)控制系統(tǒng)硬件安全需求分析

由技術(shù)安全需求向下分解，在硬件層面上形成硬件安全需求，主要內(nèi)容見表5。

表3 功能安全需求

5 電機(jī)控制系統(tǒng)硬件安全需求處理單點(diǎn)故障的能力分析

ISO 26262要求盡量降低隨機(jī)硬件故障導(dǎo)致的單點(diǎn)失效，下面對上述硬件安全需求處理單點(diǎn)故障的能力進(jìn)行分析，由表6可見，對于常見的隨機(jī)硬件故障，按照上述安全需求設(shè)計(jì)的硬件能夠保證系統(tǒng)正常運(yùn)行或進(jìn)入安全狀態(tài)，不會產(chǎn)生不可接受的風(fēng)險(xiǎn)。

6 結(jié)束語

隨著新能源汽車的普及和功能安全標(biāo)準(zhǔn)的落地，作為新能源汽車主要動力源的動力電機(jī)的功能安全重要性日益凸顯。本文所述的安全需求具有平臺化和通用化的特征，基于上述的硬件安全需求，在某款新能源汽車的永磁同步電機(jī)項(xiàng)目上進(jìn)行了硬件設(shè)計(jì)實(shí)現(xiàn)，經(jīng)過臺架試驗(yàn)的驗(yàn)證，該安全需求正確合理，有效地保證了整個電機(jī)控制系統(tǒng)的功能安全。

表5 硬件安全需求

表6 硬件安全需求處理單點(diǎn)故障的能力分析