基于ISO 26262的驅(qū)動電機系統(tǒng)功能安全概念設計及測試

李爭鵬

基于ISO 26262的驅(qū)動電機系統(tǒng)功能安全概念設計及測試

李爭鵬

（上海汽車集團股份有限公司 商用車技術中心，上海 200438）

驅(qū)動電機系統(tǒng)作為整車轉(zhuǎn)矩的最終輸出端，對整車行駛安全有著重要影響。基于ISO 26262標準進行驅(qū)動電機系統(tǒng)功能安全開發(fā)可以顯著降低系統(tǒng)失效率，提高系統(tǒng)穩(wěn)定性，提升驅(qū)動電機系統(tǒng)轉(zhuǎn)矩輸出正確性和可靠性。文章針對驅(qū)動電機系統(tǒng)進行功能安全概念階段開發(fā)和測試，通過危害分析和風險評估得出整車安全目標，通過安全分析和安全機制的建立，得到功能安全需求，并通過臺架故障注入形式進行確認測試。測試結(jié)果表明，使用功能安全開發(fā)的驅(qū)動電機系統(tǒng)可以有效規(guī)避驅(qū)動電機輸出轉(zhuǎn)矩過大問題，提高整車行駛的安全性。

驅(qū)動電機系統(tǒng)；功能安全；安全測試；ISO 26262

隨著汽車電動化、智能化、網(wǎng)聯(lián)化的不斷發(fā)展，汽車電子電氣的復雜度和集成度不斷攀升，由此帶來的安全風險增加，功能失效后對整車產(chǎn)生的影響也相應提高。隨著ISO 26262標準的頒布及更新[1]，功能安全逐漸引發(fā)行業(yè)關注，并且國內(nèi)標準委員會結(jié)合國情出臺了2017版GB/T 34590指導國內(nèi)企業(yè)執(zhí)行功能安全開發(fā)工作。對于整車而言，驅(qū)動電機系統(tǒng)作為扭矩指令的執(zhí)行端，如何規(guī)避或減輕因為功能失效造成的危害成為驅(qū)動電機系統(tǒng)當前工作的重點。

驅(qū)動電機系統(tǒng)主要包含驅(qū)動電機和電機控制單元（Motor Control Unit, MCU）兩個部分，MCU是驅(qū)動電機系統(tǒng)的核心部件，能夠根據(jù)接收到的扭矩請求指令通過內(nèi)部邏輯處理，將扭矩請求指令轉(zhuǎn)化為驅(qū)動電流輸出到驅(qū)動電機端，最終驅(qū)動電機產(chǎn)生對應的扭矩到輪端（扭矩包括扭矩物理值及扭矩方向）。驅(qū)動電機系統(tǒng)中任意關鍵組件失效都將導致實際驅(qū)動力偏離目標驅(qū)動力，給整車運行帶來潛在危害。近年來，國內(nèi)各大主機廠和研究院對驅(qū)動電機系統(tǒng)的功能安全概念階段的開發(fā)和確認已經(jīng)有效展開，例如吳浩等[2]論證了符合功能安全概念階段設計和安全確認方法，并以具體的安全目標為例，通過仿真試驗和實車測試具體闡述了如何確定功能安全需求中的扭矩閾值及故障診斷時間間隔，閆磊[3]及趙鑫等[4]表述了在功能安全開發(fā)過程中主機廠的作用，并對開發(fā)過程涉及的不同功能安全等級需滿足的驗證評審要求進行說明，明確了主機廠定義功能安全需求的閾值和故障診斷時間應綜合仿真分析和實車測試進行定義，保證安全目標有效的同時不影響車輛可用性。張明朗等[5]對驅(qū)動電機系統(tǒng)從部件級、系統(tǒng)級、整車級三個維度進行功能安全故障注入測試實施研究，為驅(qū)動電機系統(tǒng)的功能安全確認測試提供了指導。

1 驅(qū)動電機系統(tǒng)功能安全概念階段設計

相關項定義要求從整車層面定義相關項與其他相關項的邊界和接口，以及系統(tǒng)內(nèi)部關鍵模塊、運行環(huán)境、法規(guī)要求以及已知或可預知的失效危害等。相關項基于上述要求對所承擔的功能信息進行描述[6]。

危害分析和風險評估是概念階段開發(fā)的關鍵步驟，該過程識別相關項中因故障而引起的危害，并對危害進行歸類，制定防止危害事件發(fā)生或減輕危害程度的安全目標，安全目標是整車層面的最高要求。

功能安全概念主要是將危害分析和風險評估過程得到的安全目標合理分配至相關項要素或外部措施。為實現(xiàn)這一目的，通常需要借助整車功能架構來明確安全目標相關聯(lián)的相關項要素或外部措施在具體功能實現(xiàn)過程中所承擔的作用，并識別相關項要素失效對安全目標的影響，針對失效點，建立安全機制進行監(jiān)控，接著將安全機制實現(xiàn)過程轉(zhuǎn)化為功能安全需求。

故障注入測試是安全確認測試中常見的測試手段，功能安全需求是安全目標和安全機制整車系統(tǒng)架構中的具體體現(xiàn)，功能安全需求在汽車正常行駛工況中不易觸發(fā)，因此，功能安全需求確認測試需要通常使用故障注入的方式進行。

1.1 相關項定義

驅(qū)動電機系統(tǒng)主要由驅(qū)動MCU、絕緣柵雙極型晶體管（Insulated Gate Bipolar Transistor, IGBT）驅(qū)動模塊、驅(qū)動電機、電機位置傳感器、電機電流傳感器組成。驅(qū)動電機系統(tǒng)在整車架構中承擔的主要功能：接收整車控制器（Vehicle Control Unit, VCU）發(fā)送的控制命令，為整車提供驅(qū)動轉(zhuǎn)矩及配合整車高壓下電后進行主動放電。驅(qū)動電機系統(tǒng)的相關項如圖1所示。

圖1 驅(qū)動電機系統(tǒng)的邊界

注：CAN：控制器局域網(wǎng)（Controller Area Network）。

1.2 危害分析和風險評估

采取危害和可操作性（Hazard and Operability, HAZOP）分析法對功能進行失效分析，得出驅(qū)動電機功能失效模式，如表1所示。

表1 功能失效分析

除此之外，還需對車輛所處的典型運行場景進行描述，描述過程中應包含駕駛員使用車輛時的誤操作情況，典型運行場景還應根據(jù)驅(qū)動電機參數(shù)和目標市場構建場景庫，并將場景進行列表組合從而得到驅(qū)動電機系統(tǒng)的使用場景。

本文以“驅(qū)動電機系統(tǒng)實際輸出驅(qū)動轉(zhuǎn)矩大于期望值”的故障模式為例，將故障模式和車輛運行場景進行組合得出危害事件[7]，根據(jù)ISO 26262和SAE J2980標準，得出危害事件嚴重度（S），暴露度（E）及可控度（C）值，如表2所示。

表2 危害分析和風險評估

圖2 安全分析

由危害分析和風險評估結(jié)果可知，該故障模式對應的安全目標均為“防止車輛非預期輸出過多轉(zhuǎn)矩”，S/E/C參數(shù)組合最嚴重工況為場景1和場景2，對應的功能安全等級為ASIL C，安全狀態(tài)為中斷驅(qū)動電機轉(zhuǎn)矩輸出即根據(jù)電機轉(zhuǎn)速參數(shù)進入主動短路（Active Short Circuit, ASC）模式或空轉(zhuǎn)模式向VCU上報驅(qū)動電機系統(tǒng)故障，F(xiàn)TTI時間為500 ms。

1.3 功能安全需求

根據(jù)安全目標結(jié)合相關項定義，進行安全分析可得出失效因素，接著建立對應的安全機制對相關失效路徑進行監(jiān)控，安全分析過程及安全機制如圖2、圖3所示。

圖3 安全機制

結(jié)合以上信息輸入可得出具體功能安全需求，如表3所示。

表3 功能安全需求

2 測試驗證

在正常運行中，規(guī)避或減輕整車危害的安全機制不會被調(diào)用，因此，針對功能安全需求的確認測試需要進行故障注入測試的方式。針對功能安全開發(fā)的故障注入測試，按照整車開發(fā)順序，主要有軟件單元測試，軟硬件集成測試，系統(tǒng)集成測試，整車集成測試，不同階段對應有相應測試要求。系統(tǒng)集成測試結(jié)果是進行整車集成測試的重要輸入，通過系統(tǒng)集成測試可以很好地驗證安全機制的觸發(fā)時間和故障處理時間是否滿足要求。一般而言，系統(tǒng)集成測試報告是整車集成測試的重要參考，用以指導整車測試。系統(tǒng)集成測試，通常使用臺架搭建模型，進行故障注入測試。

具體操作步驟如下：

（1）將驅(qū)動電機系統(tǒng)安裝到試驗臺架；

（2）提供對驅(qū)動電機系統(tǒng)供電；

（3）調(diào)試控制通訊，保證MCU和VCU通訊正常；

（4）調(diào)試系統(tǒng)運行環(huán)境達到測試要求，VCU轉(zhuǎn)矩請求（即整車實際請求轉(zhuǎn)矩）；驅(qū)動電機扭矩，驅(qū)動電機轉(zhuǎn)速；

（5）通過LNCA工具更改驅(qū)動電機系統(tǒng)上位機輸出的轉(zhuǎn)矩請求值（即XCP故障注入請求轉(zhuǎn)矩）；

（6）記錄驅(qū)動電機運行參數(shù)和故障報警信息。

臺架故障注入測試結(jié)果如圖4、圖5所示。

圖4 轉(zhuǎn)矩故障注入圖

圖5 驅(qū)動電機系統(tǒng)故障報警

借助INCA工具，通過上位機XCP改變驅(qū)動電機目標轉(zhuǎn)矩值從而進行故障注入測試。

由圖4、圖5可知，整車需求轉(zhuǎn)矩（v_Trq Can Req Out）為13 Nm，通過上位機XCP改變驅(qū)動電機系統(tǒng)目標轉(zhuǎn)矩值，使得XCP轉(zhuǎn)矩請求（v_Trq Est）與整車轉(zhuǎn)矩需求間差值大于30 Nm，驅(qū)動電機系統(tǒng)檢測到轉(zhuǎn)矩輸出大于安全閾值時能夠在故障容錯時間間隔內(nèi)進入安全狀態(tài)，上報系統(tǒng)故障。

3 結(jié)語

本文通過對驅(qū)動電機系統(tǒng)進行功能安全開發(fā)和測試，其中通過相關項定義，危害分析和風險評估得出驅(qū)動電機系統(tǒng)在系統(tǒng)失效及隨機硬件失效導致的整車危害；通過安全分析，安全機制，功能安全需求得出導致失效的具體來源和規(guī)避失效的具體措施；通過臺架測試，驗證了執(zhí)行功能安全開發(fā)的驅(qū)動電機系統(tǒng)能夠及時監(jiān)控輸出轉(zhuǎn)矩異常并采取預期設定策略規(guī)避危害發(fā)生。結(jié)果證明，基于功能安全開發(fā)的安全需求可提高驅(qū)動電機系統(tǒng)穩(wěn)定性和規(guī)避危害的能力進而提高整車行駛的可控性和安全性。

[1] ISO.Road Vehicles-Function Safety:ISO 26262[S]. Geneva:International Organization for Standardization, 2018.

[2] 吳浩,魏廣杰,劉永,等.電驅(qū)動力系統(tǒng)功能安全概念設計和安全確認[J].汽車科技,2021(5):17-24.

[3] 閆磊,王剛,宋金夢,等.動力域控制器功能安全概念階段開發(fā)[J].中國汽車, 2022(5):19-25.

[4] 趙鑫,李明勛.汽車電子功能安全實戰(zhàn)應用[M].上海: 同濟大學出版社,2021.

[5] 張明朗,周子龍,王江波,等.故障注入在MCU功能安全測試中的實施研究[J].汽車電器,2022(8):68-74.

[6] 中國國家標準化管理委員會.道路車輛功能安全: GB/T 34590.3—2017[S].北京:中國標準出版社,2017.

[7] 付越,王斌,李波,等.電動汽車PCU系統(tǒng)功能安全開發(fā)及測試方法研究[J].汽車電器,2021(3):5-9.

Design and Test of Functional Safety Concept for Drive Motor System Based on ISO 26262

LI Zhengpeng

( Commercial Vehicle Technical Center, SAIC Motor Company Limited, Shanghai 200438, China )

As the final output of vehicle torque, drive motor system has an important impact on vehicle driving safety. The functional safety development of the drive motor system based on the ISO 26262 standard can significantly reduce the system failure rate, improve the system stability, and improve the accuracy and reliability of the torque output of the drive motor system. This paper developed and tested the concept stage of functional safety for the drive motor system, obtained the safety objectives of the whole vehicle through hazard analysis and risk assessment, obtained the functional safety requirements through safety analysis and the establishment of safety mechanisms, and carried out verification tests through bench fault injection. The test results indicate that the drive motor system developed with functional safety can effectively avoid the excessive output torque of the drive motor and improve the safety of the whole vehicle.

Drive motor system; Functional safety; Safety test; ISO 26262

461.91

A

1671-7988(2022)23-160-05

461.91

A

1671-7988(2022)23-160-05

10.16638/j.cnki.1671-7988.2022.023.029

李爭鵬（1992—），男，碩士，工程師，研究方向為整車功能安全開發(fā)及測試，E-mail:leezp123@126.com。