文章来源:《永磁同步电机控制器电控系统功能安全开发技术研究》
作者单位:中国第一汽车股份有限公司技术中心汽车电子部
引言
随着电子电气系统在汽车上的广泛应用,电子电器产品的功能安全问题得到越来越多的关注。道路车辆功能安全标准ISO 26262为汽车电子/电气系统功能安全开发提供了指导。在理解此标准的基础上,结合永磁同步电机控制单元(Motor Control Unit,简称MCU)电控系统开发项目,进行功能安全技术开发,主要进行MCU系统的对象定义、危害分析和风险评估、确定功能安全完整性等级、设计功能安全方案。从测试结果来看,在故障发生的情况下,系统能够切断动力输出,进入安全状态,保证人员安全,有效减少危害的发生。
1 功能安全标准简介
1.1 ISO 26262标准来源及适用范围
ISO 26262标准是从可编程电子电器系统的功能安全标准IEC 61508发展而来,根据汽车行业的分布式开发特点而产生的功能安全应用标准。2011年11月15日正式发布。主要适用于3.5t 下量产乘用车(特殊用途车辆除外,如残疾人用车)上的与安全相关的电子电气系统。
1.2 ISO 26262标准主要内容
ISO 26262标准包括术语定义、功能安全管理等10部标准中的概念阶段、系统产品开发、硬件产品开发、软件产品开发、生产和运行5部分遵循V流程开发方法,被定义为系统安全生命周期。其中硬件产品开发和软件产品开发在各自的开发阶段遵循V流程开发方法,如图1准提供了一个基于汽车安全生命周期开发的指导方法,并支持在安全生命周期各阶段内对必要活动进行剪裁,能够在产品的开发流程中,预先分析和评估潜在的危害和风险现通过实施科学的安全技术措施、规范和方法来降低风险,利用软、硬件系统化的测试、验证方法,使电子电器产品的安全功能在安全生命周期内满足汽车安全完整性等级的要求,提升系统可靠性,避免不合理的残余风险。
1.3 汽车安全完整性等级
汽车安全完整性等级(ASIL)在ISO 26262标准第三部分《概念阶段》的7-4-4中进行了定义。通过危害分析和风险评估的结果得到:系统的功能安全风险越大,对系统的功能要求越高,系统就具有更高的汽车安全完整性等级。A、B、C、D四个等级,ASILA等级最低,ASILD最高,QM表示对安全不做要求。每一个危害事件的ASIL等级使用“严重度(s)''、“暴露率(E)”和“可控性(C)”这三个参数来确定,具体如表1所示。
2 电机控制系统研究背景及简介
电驱动系统是电动汽车的关键动力总成之一,因此电驱动系统相关电子电器产品的功能安全开发至关重要,电机控制系统的功能安全开发,为电驱动系统在极端工况下正常运行提供了有效地保障,具有重要意义。
电机控制系统的基本工作原理如图2所示:MCU接收驾驶员指令、CAN信息、故障信息通过工况识别功能识别整车运行工况,将识别到的工况需求以目标扭矩的形式,分配给各个功能模块进行相应运算,通过电压调制模块输出六记PWM信号,驱动IGBT工作,IGBT输出可变频率的电流驱动电机工作,控制电机按照整车运行工况需求工作。
3 电机控制系统功能安全开发
3.1 对象定义
依据IS0 26262标准第3部分《概念阶段》中的对象定义5.4章节“要求和建议”定义电机控制系统主要功能、接口、法规要求等。目的是定义并描述对象,及其与环境和其他对象的依赖性和相互影响声充分理解对象,以便在执行后续阶段的活动时,提供更好的支持。电机控制系统的主要功能是控制电机按照整车工况需求输出动力衷主要研究对象为电机控制单元和驱动板,如图3中虚线框所示。接口关系有主继电器、点火开关、整车CAN、旋转变压器、电机温度传感器、三路IGBT温度传感器、以及六路PWM驱动信号组成。法规约束为标准GB/T18488-2015《电动汽车用电机及其控制器试验方法》。
3.2 危害分析和风险评估
危害分析和风险评估的目的是识、别对象定义中因故障而引起的危害,并对危害进行分类,制定安全目标句避免不合理的风险,根据对象定义中的潜在失效模式,定义ASIL等级,下面分析电机控制系统功能安全完整性等级中的车辆场景定义,如表2所示,从道路类型、路面等几方面分析得出电机控制系统可能的驾驶场景,得出暴露率等级。
通过经验总结分析,得出海合动力汽车永磁同步电机控制系统,存在11种危害定义,分别是:
①车辆无预期加速(C),
②车辆无逾期减速(C),
③车辆朝驾驶员预期的反方向驱动(B),
④力矩小于期望值(QM),
⑤制动力矩不足/制动力矩损失(C),
⑥车轮抱死(C),
⑦动力统部件非预期旋转(QM),
⑧失火、烟、表面发(C),
⑨高压电电击事故(C),
⑩泄露有毒气体(C),
⑪力矩抖动(C)。
下面以车辆元预期加速为例,详细展示如何对危害事件进行场景分析、严重度度量、可控度定义,确认由车辆无逾期加速引起的多个危害事件的ASIL等级,如表3所示,通过对各危害事件进行分析,得出各个危害事件的ASIL等级,车辆无预期加速定义为各危害事件中最高级别的ASIL等级,因此车辆无预期加的ASIL等级为C。
通过对上述11中危险事件进行危害分析和风险评估得出系统的安全目标:阻止这11种危害的发生。
3.3 功能安全概念设计
功能安全概念设计的目的是从功能安全目标中得出功能安确保达到预期的功能安全目标。MGU电控系统遵循三级技术安MGTl电控系统定义了在不同运行模式下的故障检测、故障容错时间、在国际上,构设计方法在汽车电于产品等安全相关的领域得到了普遍应用。
3.4 监控功能设计与验证
MCU电控系统三级监控中的第一层结构为:系统的主要控制功能和故障诊断功能;第二层结构为功能安全相关的监控部分;第三层结构的监控功能分为两部分:一部分在主控芯片上,另一部分在监控芯片上,监控芯片降低外部风险,为单独硬件,主要监控控制器是否正常工作。由图4可以看出,当第二层或第三层发生故障珍触发故障使能标均能关断执行器的驱动,确保系统进入安全状态。
根据功能安全三层监控设计方案,验证电机控制系统发生严重故障时,系统是否切断IGBT输出,进入安全状态。从试验结果来看,当故障发生时,系统能够及时切断执行器,进入安全状态,因此验证通过,详见图5所示。
4 结束语
通过永磁同步电机控制系统的功能安全开发,实现对象范围定义、电机控制系就危害和风险分析、定义ASIL等级,导出安全目标;在此基础上,实现功能安全概念设计功能,从测试结果来看,当故障发生时,系统能够切断动力输出,保障了驾驶员和车辆周边人员安全,有效的减少危害发生,提高了车辆安全性。