付 越， 王 斌， 李 波， 張 茨， 佘才青

（1.中國(guó)汽車技術(shù)研究中心有限公司， 天津 300300；2.合肥巨一動(dòng)力系統(tǒng)有限公司， 安徽 合肥 230000）

近年來(lái)，中國(guó)新能源汽車產(chǎn)業(yè)發(fā)展迅速，特別是國(guó)內(nèi)自主品牌企業(yè)，已逐步掌握了新能源三電核心技術(shù)。其中，電驅(qū)動(dòng)系統(tǒng)作為新能源汽車的核心部件，控制電機(jī)輸出驅(qū)動(dòng)轉(zhuǎn)矩或制動(dòng)轉(zhuǎn)矩，實(shí)現(xiàn)整車加速、減速、前進(jìn)和倒退，不僅決定了整車動(dòng)力性能，而且與行車安全緊密相關(guān)。國(guó)際標(biāo)準(zhǔn)化組織ISO于2011年發(fā)布了ISO 26262系列標(biāo)準(zhǔn)，旨在將由于車輛電子電氣系統(tǒng)故障導(dǎo)致的安全風(fēng)險(xiǎn)降低到合理可接受的水平，并在2018年發(fā)布了第二版［1］。國(guó)外主流車企紛紛引入系統(tǒng)化的功能安全技術(shù)要求以提升安全水平，國(guó)內(nèi)電驅(qū)動(dòng)系統(tǒng)相關(guān)企業(yè)對(duì)功能安全標(biāo)準(zhǔn)了解不深，所生產(chǎn)的產(chǎn)品不符合功能安全要求，安全和品質(zhì)無(wú)法得到保證，在一定程度上對(duì)中國(guó)電驅(qū)動(dòng)產(chǎn)業(yè)造成技術(shù)壁壘。隨著修改采用ISO 26262-2011的國(guó)家標(biāo)準(zhǔn)GB/T 34590-2017《道路車輛 功能安全》正式發(fā)布，國(guó)內(nèi)汽車企業(yè)逐步將功能安全技術(shù)導(dǎo)入到企業(yè)研發(fā)和生產(chǎn)管理中，但該標(biāo)準(zhǔn)僅提供了方法論，未涉及特定電控系統(tǒng)的具體設(shè)計(jì)指導(dǎo)。目前全國(guó)汽車標(biāo)準(zhǔn)化技術(shù)委員會(huì)針對(duì)電動(dòng)汽車電池管理系統(tǒng)制定并發(fā)布了GB/T 39086-2020《電動(dòng)汽車用電池管理系統(tǒng)功能安全要求及試驗(yàn)方法》，并正在針對(duì)驅(qū)動(dòng)電機(jī)系統(tǒng)開(kāi)展GB/T《電動(dòng)汽車用驅(qū)動(dòng)電機(jī)系統(tǒng)功能安全要求及試驗(yàn)方法》標(biāo)準(zhǔn)的制定［2-4］。

功率控制單元 （以下簡(jiǎn)稱PCU） 是電驅(qū)動(dòng)系統(tǒng)的主要組成部分，對(duì)其效率、功率密度和可靠性起著主導(dǎo)作用。在PCU系統(tǒng)工作過(guò)程中，如發(fā)生系統(tǒng)性失效或硬件隨機(jī)失效，有可能會(huì)導(dǎo)致電機(jī)發(fā)出非預(yù)期的驅(qū)動(dòng)或制動(dòng)扭矩，在某些駕駛場(chǎng)景下使車輛發(fā)生碰撞、追尾等事故，危及駕乘人員安全。本文以某款混合動(dòng)力汽車上搭載的PCU系統(tǒng)為例，從功能安全開(kāi)發(fā)概念階段的分析出發(fā)，提出安全目標(biāo)、功能安全要求和技術(shù)安全要求。并在V模型開(kāi)發(fā)右側(cè)，以故障注入測(cè)試方法為例，給出驗(yàn)證和確認(rèn)方法的示例。

1 相關(guān)項(xiàng)定義

開(kāi)展PCU系統(tǒng)功能安全概念階段開(kāi)發(fā)，首先要對(duì)PCU系統(tǒng)進(jìn)行相關(guān)項(xiàng)定義，包括：功能概念、邊界和接口、運(yùn)行模式和狀態(tài)、相關(guān)項(xiàng)的約束、法規(guī)要求、已知的失效模式和危害等。本文所分析的為某款緊湊型插電式混合動(dòng)力汽車上所搭載的電驅(qū)動(dòng)系統(tǒng)，其主要功能是為整車提供動(dòng)力、通過(guò)車載充電器為電池充電等，而PCU主要負(fù)責(zé)電驅(qū)動(dòng)系統(tǒng)的能量流向和分配。整體動(dòng)力總成方案如圖1所示，其中虛線框?yàn)镻CU相關(guān)項(xiàng)范圍，主要包括：高壓變換器/復(fù)用充電機(jī) （BOOST/OBC）、控制器 （MCU）、逆變器、電動(dòng)機(jī)（E-Motor） 和發(fā)電機(jī)（G-Motor） 等。

1） 電動(dòng)機(jī)：通過(guò)以一定開(kāi)關(guān)管動(dòng)作的逆變器控制實(shí)現(xiàn)功率轉(zhuǎn)換過(guò)程，其可工作于電動(dòng)模式或發(fā)電模式。在發(fā)電模式，電機(jī)為高壓電池充電；在電動(dòng)模式，電機(jī)為系統(tǒng)提供驅(qū)動(dòng)力。

2） 發(fā)電機(jī)：同樣通過(guò)以一定開(kāi)關(guān)管動(dòng)作的逆變器控制實(shí)現(xiàn)動(dòng)能向電能轉(zhuǎn)換的過(guò)程，其由發(fā)動(dòng)機(jī)驅(qū)動(dòng)發(fā)電機(jī)為高壓電池充電或者為電動(dòng)機(jī)提供電能。

3） 控制器：控制逆變器實(shí)現(xiàn)直流高壓與交流電壓的互相轉(zhuǎn)換，控制三相交流電壓的幅值與頻率，進(jìn)而控制電動(dòng)機(jī)和發(fā)電機(jī)的輸出扭矩。本文選取了TI公司的TMS570LS1115芯片實(shí)現(xiàn)系統(tǒng)故障監(jiān)控、故障處理等控制功能，以及TMS320F28379D芯片，實(shí)現(xiàn)電動(dòng)機(jī)、發(fā)電機(jī)、BOOST/OBC的控制功能。

圖1 PCU系統(tǒng)相關(guān)項(xiàng)邊界和接口

4） 逆變器：根據(jù)MCU發(fā)出的PWM控制指令將Boost升壓的直流電轉(zhuǎn)換為高壓交流電，以此控制發(fā)電機(jī)和電動(dòng)機(jī)工作。

5） 高壓變換器/復(fù)用充電機(jī)：高壓Boost變換器受MCU控制以實(shí)現(xiàn)電池高壓與電機(jī)輸入直流高壓的升降壓。復(fù)用充電機(jī)受MCU控制將交流電轉(zhuǎn)換為直流電，將電網(wǎng)的電能轉(zhuǎn)化為車載高壓電池的電能。在本項(xiàng)目中OBC被集成在Boost中。

PCU系統(tǒng)的主要功能列表見(jiàn)表1。

表1 PCU系統(tǒng)功能列表

2 危害分析和風(fēng)險(xiǎn)評(píng)估

基于上文的相關(guān)項(xiàng)定義，對(duì)PCU系統(tǒng)開(kāi)展危害分析和風(fēng)險(xiǎn)評(píng)估。首先對(duì)PCU系統(tǒng)發(fā)生功能異常表現(xiàn)時(shí)，車輛所處的運(yùn)行場(chǎng)景及運(yùn)行模式進(jìn)行描述，包括正確使用車輛和合理可預(yù)見(jiàn)的不正確使用車輛的情況。企業(yè)在實(shí)際開(kāi)發(fā)中通常會(huì)根據(jù)產(chǎn)品應(yīng)用及目標(biāo)市場(chǎng)情況構(gòu)建場(chǎng)景庫(kù)，通過(guò)場(chǎng)景列表組合的方式確定運(yùn)行場(chǎng)景。表2提供了本文中所分析車輛的典型運(yùn)行場(chǎng)景示例［4-5］。然后在整車層面定義由PCU系統(tǒng)的功能異常表現(xiàn)導(dǎo)致的危害，可通過(guò)FMEA、HAZOP、STPA等危害識(shí)別方法系統(tǒng)性地識(shí)別危害。以“輸出驅(qū)動(dòng)扭矩”功能為例，表3提供了應(yīng)用HAZOP分析方法識(shí)別相關(guān)項(xiàng)的功能異常表現(xiàn)的示例。

運(yùn)行場(chǎng)景和危害的相關(guān)組合可確定危害事件，并對(duì)每一個(gè)危害事件定義為E （暴露概率）、C （可控性）、S （嚴(yán)重度） 三個(gè)參數(shù)，以及對(duì)應(yīng)的ASIL等級(jí)，HARA分析示例見(jiàn)表4。以表4中“非預(yù)期輸出驅(qū)動(dòng)扭矩”導(dǎo)致的危害事件為例：由于在較高車速發(fā)生彎道碰撞，通常會(huì)產(chǎn)生特別嚴(yán)重或致命傷害，嚴(yán)重度為S3。大多數(shù)駕駛員平均每天都會(huì)遭遇此駕駛場(chǎng)景，其在平均駕駛時(shí)間中的占比大于10%，暴露概率為E4。由于大于90%的駕駛員可通過(guò)制動(dòng)或轉(zhuǎn)向控制車輛避免發(fā)生碰撞，可控性為C2。根據(jù)S、E、C三個(gè)參數(shù)的組合，該危害事件的汽車安全完整性等級(jí)為ASIL C。

表2 車輛典型運(yùn)行場(chǎng)景示例

表3 運(yùn)用HAZOP方法識(shí)別相關(guān)項(xiàng)功能異常表現(xiàn)

應(yīng)確定每一個(gè)危害事件的ASIL等級(jí)，并為具有ASIL等級(jí)的危害事件確定一個(gè)安全目標(biāo)。對(duì)于上述危害事件，其安全目標(biāo)為：防止電機(jī)非預(yù)期的輸出驅(qū)動(dòng)扭矩。安全目標(biāo)是相關(guān)項(xiàng)最高層面的安全要求，安全目標(biāo)的定義應(yīng)包含其相關(guān)屬性，包括ASIL等級(jí)及確定ASIL等級(jí)所需的量化值，即：安全度量。對(duì)于本文中所分析的PCU系統(tǒng)，開(kāi)展HARA分析后得到表5中的安全目標(biāo)示例。

為上述每一個(gè)安全目標(biāo)導(dǎo)出至少一項(xiàng)功能安全要求，考慮包括故障避免、故障探測(cè)、故障控制、安全狀態(tài)、故障容錯(cuò)、功能降級(jí)、駕駛員警告、故障容錯(cuò)時(shí)間間隔、故障處理時(shí)間間隔等策略。并將其分配給相關(guān)項(xiàng)的初步架構(gòu)要素或外部措施。本文針對(duì)表5中的安全目標(biāo)SG1、SG2，給出如下的功能安全要求示例。

1） FSR_01：電驅(qū)動(dòng)控制系統(tǒng)應(yīng)通過(guò)CAN總線建立通信接口，QM→SG1、SG2。

表4 HARA分析示例

2） FSR_02：電驅(qū)動(dòng)控制系統(tǒng)應(yīng)通過(guò)CAN總線接收電動(dòng)機(jī)和發(fā)電機(jī)的扭矩需求值，ASIL C→SG1、SG2。

3） FSR_03：電驅(qū)動(dòng)控制系統(tǒng)應(yīng)通過(guò)CAN總線向VCU持續(xù)發(fā)送電動(dòng)機(jī)和發(fā)電機(jī)的實(shí)際扭矩值，ASIL C→SG1、SG2。

4） FSR_04：電驅(qū)動(dòng)系統(tǒng)進(jìn)行電驅(qū)動(dòng)和發(fā)電的整車功能時(shí)，應(yīng)避免輸出扭矩非預(yù)期地超出電動(dòng)機(jī)/發(fā)電機(jī)需求扭矩，當(dāng)超出的扭矩值在一定時(shí)間閾值內(nèi)超出扭矩閾值，則電驅(qū)動(dòng)系統(tǒng)應(yīng)進(jìn)入安全狀態(tài)，ASIL C→SG1。

5） FSR_05：電驅(qū)動(dòng)系統(tǒng)應(yīng)對(duì)逆變器的PWM扭矩控制信號(hào)進(jìn)行診斷，根據(jù)故障相位的數(shù)量關(guān)斷開(kāi)關(guān)，進(jìn)行以下操作：?jiǎn)蜗辔?、兩相位或更多相位關(guān)斷功率管，ASIL C→SG1、SG2。

完成功能安全概念、相關(guān)項(xiàng)的系統(tǒng)架構(gòu)設(shè)計(jì)后，需要在系統(tǒng)層面定義技術(shù)安全要求，并將技術(shù)安全要求分配給系統(tǒng)的各要素或其他技術(shù)。以上述的功能安全要求FSR_02對(duì)應(yīng)的技術(shù)安全要求如下示例。

①TSR_02_01：電驅(qū)動(dòng)系統(tǒng)必須持續(xù)讀取CAN信息中的扭矩指令。

②TSR_02_02：電驅(qū)動(dòng)系統(tǒng)必須解析信息中的扭矩指令。

③TSR_02_03：TMS570芯片必須對(duì)CAN接收?qǐng)?bào)文進(jìn)行E2E校驗(yàn)（例如：CRC校驗(yàn)等）。

④TSR_02_04：E2E校驗(yàn)連續(xù)故障次數(shù)超過(guò)10次，TMS570芯片通過(guò)CAN通信上報(bào)VCU并控制電機(jī)進(jìn)入安全狀態(tài)。

⑤TSR_02_05：TMS570芯片應(yīng)檢測(cè)VCU請(qǐng)求扭矩范圍的有效性。

⑥TSR_02_06：VCU請(qǐng)求扭矩超過(guò)合理范圍，TMS570芯片通過(guò)CAN通信上報(bào)VCU并控制電機(jī)進(jìn)入安全狀態(tài)。

⑦TSR_02_07：CAN通信E2E校驗(yàn)故障如果恢復(fù)，電驅(qū)動(dòng)系統(tǒng)應(yīng)能恢復(fù)工作。

⑧TSR_02_08：任何一個(gè)郵箱的CAN通信丟失達(dá)到故障允許閾值時(shí)間，電驅(qū)動(dòng)系統(tǒng)進(jìn)入安全狀態(tài)。

⑨TSR_02_09：任何一個(gè)郵箱的CAN通信丟失小于故障允許閾值時(shí)間，電驅(qū)動(dòng)系統(tǒng)應(yīng)能恢復(fù)工作。

為了提供證據(jù)證明系統(tǒng)架構(gòu)設(shè)計(jì)符合功能安全和技術(shù)安全要求，需要開(kāi)展集成測(cè)試活動(dòng)，以檢查功能安全及技術(shù)安全要求的正確實(shí)施、安全機(jī)制正確的功能表現(xiàn)、準(zhǔn)確性和時(shí)序、接口的一致性和正確實(shí)施及足夠的魯棒性。其中針對(duì)技術(shù)安全要求和集成測(cè)試用例的導(dǎo)出方法可得出具體的測(cè)試用例，該類測(cè)試用例的測(cè)試一般通過(guò)基于需求的測(cè)試、故障注入、壓力測(cè)試等。

表5 安全目標(biāo)示例

3 故障注入測(cè)試方法

在PCU開(kāi)發(fā)的不同階段，包括軟件單元、軟硬件集成、系統(tǒng)集成、整車集成階段，均應(yīng)開(kāi)展功能安全驗(yàn)證，以確保功能安全要求實(shí)現(xiàn)的正確性與安全目標(biāo)的一致性和符合性。其中故障注入測(cè)試是進(jìn)行驗(yàn)證和確認(rèn)的一種有效和常用的測(cè)試方法，該方法通過(guò)使用特殊的方法向運(yùn)行中的測(cè)試對(duì)象注入故障，可通過(guò)特殊的測(cè)試接口在軟件中完成，或通過(guò)特殊準(zhǔn)備的硬件完成。本文搭建了硬件在環(huán)（HIL） 測(cè)試平臺(tái)，如圖2所示，可用于PCU系統(tǒng)的信號(hào)級(jí)和電控功率級(jí)故障注入測(cè)試驗(yàn)證。信號(hào)級(jí)HIL是通過(guò)dSPACE模擬逆變器、電機(jī)、機(jī)械執(zhí)行部分，而功率級(jí)PHIL測(cè)試是通過(guò)電機(jī)模擬器與MCU相連。HIL實(shí)現(xiàn)模擬的過(guò)程僅需上位機(jī)編程，無(wú)需額外硬件參與，因此在修改電機(jī)參數(shù)或修改被模擬部分的參數(shù)時(shí)方便快捷，可大大提高功能驗(yàn)證和故障注入在測(cè)試開(kāi)發(fā)測(cè)試階段的效率。

圖2 PHIL測(cè)試平臺(tái)

本文搭建的測(cè)試平臺(tái)，可針對(duì)PCU系統(tǒng)不同故障類型開(kāi)展如下故障注入測(cè)試項(xiàng)目，見(jiàn)表6。通過(guò)設(shè)計(jì)測(cè)試用例，實(shí)現(xiàn)工況自動(dòng)化測(cè)試能力［6-7］。

根據(jù)底層故障模式和種類，結(jié)合HIL臺(tái)架完成故障注入測(cè)試，評(píng)價(jià)安全機(jī)制和安全措施是否有效執(zhí)行，以及執(zhí)行結(jié)果是否實(shí)現(xiàn)了功能安全要求。

以CAN總線故障為例，電機(jī)控制器一般放置在動(dòng)力CAN網(wǎng)絡(luò)中，駕駛員的控制命令輸出給整車控制器，整車控制器經(jīng)過(guò)策略執(zhí)行后，輸出扭矩控制指令給電機(jī)控制器，如果整車控制器和電機(jī)控制器之間的CAN傳輸發(fā)生故障 （例如：VCU CAN總線受干擾導(dǎo)致CAN總線節(jié)點(diǎn)丟失、或CAN總線的R/C阻抗變化大都有可能導(dǎo)致信號(hào)接收的不完整），電機(jī)控制器收不到扭矩指令，可能會(huì)造成整車危害。圖3是CAN總線故障注入測(cè)試界面，模擬故障如短路、斷路、R/C阻抗等。

表6 故障類型和測(cè)試項(xiàng)目

圖3 CAN總線故障注入

注入故障后，考察系統(tǒng)內(nèi)部的安全機(jī)制和安全措施是否正常發(fā)揮作用，使系統(tǒng)在故障響應(yīng)時(shí)間間隔內(nèi)進(jìn)入了安全狀態(tài)，如：主動(dòng)短路模式 （ASC）、滑行模式 （Freewheeling）等。如圖4所示，在高速零扭矩控制狀態(tài)下，通信故障 （前一個(gè)脈沖信號(hào)） 發(fā)生后，激發(fā)安全機(jī)制，電控進(jìn)入ASC模式，通信恢復(fù) （后一個(gè)脈沖信號(hào)），電控回到零扭矩控制模式。根據(jù)測(cè)試結(jié)果可以看到，本文搭建的測(cè)試平臺(tái)可有效實(shí)現(xiàn)信號(hào)級(jí)和功率級(jí)的功能安全故障注入測(cè)試。

圖4 通信故障和恢復(fù)對(duì)電控的影響

4 結(jié)束語(yǔ)

本文以某混動(dòng)車型搭載的PCU系統(tǒng)為例，給出了PCU系統(tǒng)在概念階段功能安全開(kāi)發(fā)的示例，并搭建了功率級(jí)HIL硬件測(cè)試平臺(tái)，給出了通過(guò)進(jìn)行故障注入測(cè)試進(jìn)行功能安全驗(yàn)證和確認(rèn)的方法。從功能安全開(kāi)發(fā)V模型的左側(cè)和右側(cè)兩個(gè)方面給出了示例，為企業(yè)實(shí)際開(kāi)展電控系統(tǒng)功能安全正向開(kāi)發(fā)提供了借鑒和參考。