付 越， 王 斌， 李 波， 張 茨， 佘才青

（1.中國汽車技術(shù)研究中心有限公司， 天津 300300；2.合肥巨一動力系統(tǒng)有限公司， 安徽 合肥 230000）

近年來，中國新能源汽車產(chǎn)業(yè)發(fā)展迅速，特別是國內(nèi)自主品牌企業(yè)，已逐步掌握了新能源三電核心技術(shù)。其中，電驅(qū)動系統(tǒng)作為新能源汽車的核心部件，控制電機輸出驅(qū)動轉(zhuǎn)矩或制動轉(zhuǎn)矩，實現(xiàn)整車加速、減速、前進和倒退，不僅決定了整車動力性能，而且與行車安全緊密相關(guān)。國際標(biāo)準(zhǔn)化組織ISO于2011年發(fā)布了ISO 26262系列標(biāo)準(zhǔn)，旨在將由于車輛電子電氣系統(tǒng)故障導(dǎo)致的安全風(fēng)險降低到合理可接受的水平，并在2018年發(fā)布了第二版［1］。國外主流車企紛紛引入系統(tǒng)化的功能安全技術(shù)要求以提升安全水平，國內(nèi)電驅(qū)動系統(tǒng)相關(guān)企業(yè)對功能安全標(biāo)準(zhǔn)了解不深，所生產(chǎn)的產(chǎn)品不符合功能安全要求，安全和品質(zhì)無法得到保證，在一定程度上對中國電驅(qū)動產(chǎn)業(yè)造成技術(shù)壁壘。隨著修改采用ISO 26262-2011的國家標(biāo)準(zhǔn)GB/T 34590-2017《道路車輛 功能安全》正式發(fā)布，國內(nèi)汽車企業(yè)逐步將功能安全技術(shù)導(dǎo)入到企業(yè)研發(fā)和生產(chǎn)管理中，但該標(biāo)準(zhǔn)僅提供了方法論，未涉及特定電控系統(tǒng)的具體設(shè)計指導(dǎo)。目前全國汽車標(biāo)準(zhǔn)化技術(shù)委員會針對電動汽車電池管理系統(tǒng)制定并發(fā)布了GB/T 39086-2020《電動汽車用電池管理系統(tǒng)功能安全要求及試驗方法》，并正在針對驅(qū)動電機系統(tǒng)開展GB/T《電動汽車用驅(qū)動電機系統(tǒng)功能安全要求及試驗方法》標(biāo)準(zhǔn)的制定［2-4］。

功率控制單元 （以下簡稱PCU） 是電驅(qū)動系統(tǒng)的主要組成部分，對其效率、功率密度和可靠性起著主導(dǎo)作用。在PCU系統(tǒng)工作過程中，如發(fā)生系統(tǒng)性失效或硬件隨機失效，有可能會導(dǎo)致電機發(fā)出非預(yù)期的驅(qū)動或制動扭矩，在某些駕駛場景下使車輛發(fā)生碰撞、追尾等事故，危及駕乘人員安全。本文以某款混合動力汽車上搭載的PCU系統(tǒng)為例，從功能安全開發(fā)概念階段的分析出發(fā)，提出安全目標(biāo)、功能安全要求和技術(shù)安全要求。并在V模型開發(fā)右側(cè)，以故障注入測試方法為例，給出驗證和確認(rèn)方法的示例。

1 相關(guān)項定義

開展PCU系統(tǒng)功能安全概念階段開發(fā)，首先要對PCU系統(tǒng)進行相關(guān)項定義，包括：功能概念、邊界和接口、運行模式和狀態(tài)、相關(guān)項的約束、法規(guī)要求、已知的失效模式和危害等。本文所分析的為某款緊湊型插電式混合動力汽車上所搭載的電驅(qū)動系統(tǒng)，其主要功能是為整車提供動力、通過車載充電器為電池充電等，而PCU主要負責(zé)電驅(qū)動系統(tǒng)的能量流向和分配。整體動力總成方案如圖1所示，其中虛線框為PCU相關(guān)項范圍，主要包括：高壓變換器/復(fù)用充電機 （BOOST/OBC）、控制器 （MCU）、逆變器、電動機（E-Motor） 和發(fā)電機（G-Motor） 等。

1） 電動機：通過以一定開關(guān)管動作的逆變器控制實現(xiàn)功率轉(zhuǎn)換過程，其可工作于電動模式或發(fā)電模式。在發(fā)電模式，電機為高壓電池充電；在電動模式，電機為系統(tǒng)提供驅(qū)動力。

2） 發(fā)電機：同樣通過以一定開關(guān)管動作的逆變器控制實現(xiàn)動能向電能轉(zhuǎn)換的過程，其由發(fā)動機驅(qū)動發(fā)電機為高壓電池充電或者為電動機提供電能。

3） 控制器：控制逆變器實現(xiàn)直流高壓與交流電壓的互相轉(zhuǎn)換，控制三相交流電壓的幅值與頻率，進而控制電動機和發(fā)電機的輸出扭矩。本文選取了TI公司的TMS570LS1115芯片實現(xiàn)系統(tǒng)故障監(jiān)控、故障處理等控制功能，以及TMS320F28379D芯片，實現(xiàn)電動機、發(fā)電機、BOOST/OBC的控制功能。

圖1 PCU系統(tǒng)相關(guān)項邊界和接口

4） 逆變器：根據(jù)MCU發(fā)出的PWM控制指令將Boost升壓的直流電轉(zhuǎn)換為高壓交流電，以此控制發(fā)電機和電動機工作。

5） 高壓變換器/復(fù)用充電機：高壓Boost變換器受MCU控制以實現(xiàn)電池高壓與電機輸入直流高壓的升降壓。復(fù)用充電機受MCU控制將交流電轉(zhuǎn)換為直流電，將電網(wǎng)的電能轉(zhuǎn)化為車載高壓電池的電能。在本項目中OBC被集成在Boost中。

PCU系統(tǒng)的主要功能列表見表1。

表1 PCU系統(tǒng)功能列表

2 危害分析和風(fēng)險評估

基于上文的相關(guān)項定義，對PCU系統(tǒng)開展危害分析和風(fēng)險評估。首先對PCU系統(tǒng)發(fā)生功能異常表現(xiàn)時，車輛所處的運行場景及運行模式進行描述，包括正確使用車輛和合理可預(yù)見的不正確使用車輛的情況。企業(yè)在實際開發(fā)中通常會根據(jù)產(chǎn)品應(yīng)用及目標(biāo)市場情況構(gòu)建場景庫，通過場景列表組合的方式確定運行場景。表2提供了本文中所分析車輛的典型運行場景示例［4-5］。然后在整車層面定義由PCU系統(tǒng)的功能異常表現(xiàn)導(dǎo)致的危害，可通過FMEA、HAZOP、STPA等危害識別方法系統(tǒng)性地識別危害。以“輸出驅(qū)動扭矩”功能為例，表3提供了應(yīng)用HAZOP分析方法識別相關(guān)項的功能異常表現(xiàn)的示例。

運行場景和危害的相關(guān)組合可確定危害事件，并對每一個危害事件定義為E （暴露概率）、C （可控性）、S （嚴(yán)重度） 三個參數(shù)，以及對應(yīng)的ASIL等級，HARA分析示例見表4。以表4中“非預(yù)期輸出驅(qū)動扭矩”導(dǎo)致的危害事件為例：由于在較高車速發(fā)生彎道碰撞，通常會產(chǎn)生特別嚴(yán)重或致命傷害，嚴(yán)重度為S3。大多數(shù)駕駛員平均每天都會遭遇此駕駛場景，其在平均駕駛時間中的占比大于10%，暴露概率為E4。由于大于90%的駕駛員可通過制動或轉(zhuǎn)向控制車輛避免發(fā)生碰撞，可控性為C2。根據(jù)S、E、C三個參數(shù)的組合，該危害事件的汽車安全完整性等級為ASIL C。

表2 車輛典型運行場景示例

表3 運用HAZOP方法識別相關(guān)項功能異常表現(xiàn)

應(yīng)確定每一個危害事件的ASIL等級，并為具有ASIL等級的危害事件確定一個安全目標(biāo)。對于上述危害事件，其安全目標(biāo)為：防止電機非預(yù)期的輸出驅(qū)動扭矩。安全目標(biāo)是相關(guān)項最高層面的安全要求，安全目標(biāo)的定義應(yīng)包含其相關(guān)屬性，包括ASIL等級及確定ASIL等級所需的量化值，即：安全度量。對于本文中所分析的PCU系統(tǒng)，開展HARA分析后得到表5中的安全目標(biāo)示例。

為上述每一個安全目標(biāo)導(dǎo)出至少一項功能安全要求，考慮包括故障避免、故障探測、故障控制、安全狀態(tài)、故障容錯、功能降級、駕駛員警告、故障容錯時間間隔、故障處理時間間隔等策略。并將其分配給相關(guān)項的初步架構(gòu)要素或外部措施。本文針對表5中的安全目標(biāo)SG1、SG2，給出如下的功能安全要求示例。

1） FSR_01：電驅(qū)動控制系統(tǒng)應(yīng)通過CAN總線建立通信接口，QM→SG1、SG2。

表4 HARA分析示例

2） FSR_02：電驅(qū)動控制系統(tǒng)應(yīng)通過CAN總線接收電動機和發(fā)電機的扭矩需求值，ASIL C→SG1、SG2。

3） FSR_03：電驅(qū)動控制系統(tǒng)應(yīng)通過CAN總線向VCU持續(xù)發(fā)送電動機和發(fā)電機的實際扭矩值，ASIL C→SG1、SG2。

4） FSR_04：電驅(qū)動系統(tǒng)進行電驅(qū)動和發(fā)電的整車功能時，應(yīng)避免輸出扭矩非預(yù)期地超出電動機/發(fā)電機需求扭矩，當(dāng)超出的扭矩值在一定時間閾值內(nèi)超出扭矩閾值，則電驅(qū)動系統(tǒng)應(yīng)進入安全狀態(tài)，ASIL C→SG1。

5） FSR_05：電驅(qū)動系統(tǒng)應(yīng)對逆變器的PWM扭矩控制信號進行診斷，根據(jù)故障相位的數(shù)量關(guān)斷開關(guān)，進行以下操作：單相位、兩相位或更多相位關(guān)斷功率管，ASIL C→SG1、SG2。

完成功能安全概念、相關(guān)項的系統(tǒng)架構(gòu)設(shè)計后，需要在系統(tǒng)層面定義技術(shù)安全要求，并將技術(shù)安全要求分配給系統(tǒng)的各要素或其他技術(shù)。以上述的功能安全要求FSR_02對應(yīng)的技術(shù)安全要求如下示例。

①TSR_02_01：電驅(qū)動系統(tǒng)必須持續(xù)讀取CAN信息中的扭矩指令。

②TSR_02_02：電驅(qū)動系統(tǒng)必須解析信息中的扭矩指令。

③TSR_02_03：TMS570芯片必須對CAN接收報文進行E2E校驗（例如：CRC校驗等）。

④TSR_02_04：E2E校驗連續(xù)故障次數(shù)超過10次，TMS570芯片通過CAN通信上報VCU并控制電機進入安全狀態(tài)。

⑤TSR_02_05：TMS570芯片應(yīng)檢測VCU請求扭矩范圍的有效性。

⑥TSR_02_06：VCU請求扭矩超過合理范圍，TMS570芯片通過CAN通信上報VCU并控制電機進入安全狀態(tài)。

⑦TSR_02_07：CAN通信E2E校驗故障如果恢復(fù)，電驅(qū)動系統(tǒng)應(yīng)能恢復(fù)工作。

⑧TSR_02_08：任何一個郵箱的CAN通信丟失達到故障允許閾值時間，電驅(qū)動系統(tǒng)進入安全狀態(tài)。

⑨TSR_02_09：任何一個郵箱的CAN通信丟失小于故障允許閾值時間，電驅(qū)動系統(tǒng)應(yīng)能恢復(fù)工作。

為了提供證據(jù)證明系統(tǒng)架構(gòu)設(shè)計符合功能安全和技術(shù)安全要求，需要開展集成測試活動，以檢查功能安全及技術(shù)安全要求的正確實施、安全機制正確的功能表現(xiàn)、準(zhǔn)確性和時序、接口的一致性和正確實施及足夠的魯棒性。其中針對技術(shù)安全要求和集成測試用例的導(dǎo)出方法可得出具體的測試用例，該類測試用例的測試一般通過基于需求的測試、故障注入、壓力測試等。

表5 安全目標(biāo)示例

3 故障注入測試方法

在PCU開發(fā)的不同階段，包括軟件單元、軟硬件集成、系統(tǒng)集成、整車集成階段，均應(yīng)開展功能安全驗證，以確保功能安全要求實現(xiàn)的正確性與安全目標(biāo)的一致性和符合性。其中故障注入測試是進行驗證和確認(rèn)的一種有效和常用的測試方法，該方法通過使用特殊的方法向運行中的測試對象注入故障，可通過特殊的測試接口在軟件中完成，或通過特殊準(zhǔn)備的硬件完成。本文搭建了硬件在環(huán)（HIL） 測試平臺，如圖2所示，可用于PCU系統(tǒng)的信號級和電控功率級故障注入測試驗證。信號級HIL是通過dSPACE模擬逆變器、電機、機械執(zhí)行部分，而功率級PHIL測試是通過電機模擬器與MCU相連。HIL實現(xiàn)模擬的過程僅需上位機編程，無需額外硬件參與，因此在修改電機參數(shù)或修改被模擬部分的參數(shù)時方便快捷，可大大提高功能驗證和故障注入在測試開發(fā)測試階段的效率。

圖2 PHIL測試平臺

本文搭建的測試平臺，可針對PCU系統(tǒng)不同故障類型開展如下故障注入測試項目，見表6。通過設(shè)計測試用例，實現(xiàn)工況自動化測試能力［6-7］。

根據(jù)底層故障模式和種類，結(jié)合HIL臺架完成故障注入測試，評價安全機制和安全措施是否有效執(zhí)行，以及執(zhí)行結(jié)果是否實現(xiàn)了功能安全要求。

以CAN總線故障為例，電機控制器一般放置在動力CAN網(wǎng)絡(luò)中，駕駛員的控制命令輸出給整車控制器，整車控制器經(jīng)過策略執(zhí)行后，輸出扭矩控制指令給電機控制器，如果整車控制器和電機控制器之間的CAN傳輸發(fā)生故障 （例如：VCU CAN總線受干擾導(dǎo)致CAN總線節(jié)點丟失、或CAN總線的R/C阻抗變化大都有可能導(dǎo)致信號接收的不完整），電機控制器收不到扭矩指令，可能會造成整車危害。圖3是CAN總線故障注入測試界面，模擬故障如短路、斷路、R/C阻抗等。

表6 故障類型和測試項目

圖3 CAN總線故障注入

注入故障后，考察系統(tǒng)內(nèi)部的安全機制和安全措施是否正常發(fā)揮作用，使系統(tǒng)在故障響應(yīng)時間間隔內(nèi)進入了安全狀態(tài)，如：主動短路模式 （ASC）、滑行模式 （Freewheeling）等。如圖4所示，在高速零扭矩控制狀態(tài)下，通信故障 （前一個脈沖信號） 發(fā)生后，激發(fā)安全機制，電控進入ASC模式，通信恢復(fù) （后一個脈沖信號），電控回到零扭矩控制模式。根據(jù)測試結(jié)果可以看到，本文搭建的測試平臺可有效實現(xiàn)信號級和功率級的功能安全故障注入測試。

圖4 通信故障和恢復(fù)對電控的影響

4 結(jié)束語

本文以某混動車型搭載的PCU系統(tǒng)為例，給出了PCU系統(tǒng)在概念階段功能安全開發(fā)的示例，并搭建了功率級HIL硬件測試平臺，給出了通過進行故障注入測試進行功能安全驗證和確認(rèn)的方法。從功能安全開發(fā)V模型的左側(cè)和右側(cè)兩個方面給出了示例，為企業(yè)實際開展電控系統(tǒng)功能安全正向開發(fā)提供了借鑒和參考。