基于ISO 26262的驅(qū)動(dòng)電機(jī)系統(tǒng)功能安全概念設(shè)計(jì)及測試

李爭鵬

基于ISO 26262的驅(qū)動(dòng)電機(jī)系統(tǒng)功能安全概念設(shè)計(jì)及測試

李爭鵬

（上海汽車集團(tuán)股份有限公司 商用車技術(shù)中心，上海 200438）

驅(qū)動(dòng)電機(jī)系統(tǒng)作為整車轉(zhuǎn)矩的最終輸出端，對整車行駛安全有著重要影響。基于ISO 26262標(biāo)準(zhǔn)進(jìn)行驅(qū)動(dòng)電機(jī)系統(tǒng)功能安全開發(fā)可以顯著降低系統(tǒng)失效率，提高系統(tǒng)穩(wěn)定性，提升驅(qū)動(dòng)電機(jī)系統(tǒng)轉(zhuǎn)矩輸出正確性和可靠性。文章針對驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)行功能安全概念階段開發(fā)和測試，通過危害分析和風(fēng)險(xiǎn)評估得出整車安全目標(biāo)，通過安全分析和安全機(jī)制的建立，得到功能安全需求，并通過臺(tái)架故障注入形式進(jìn)行確認(rèn)測試。測試結(jié)果表明，使用功能安全開發(fā)的驅(qū)動(dòng)電機(jī)系統(tǒng)可以有效規(guī)避驅(qū)動(dòng)電機(jī)輸出轉(zhuǎn)矩過大問題，提高整車行駛的安全性。

驅(qū)動(dòng)電機(jī)系統(tǒng)；功能安全；安全測試；ISO 26262

隨著汽車電動(dòng)化、智能化、網(wǎng)聯(lián)化的不斷發(fā)展，汽車電子電氣的復(fù)雜度和集成度不斷攀升，由此帶來的安全風(fēng)險(xiǎn)增加，功能失效后對整車產(chǎn)生的影響也相應(yīng)提高。隨著ISO 26262標(biāo)準(zhǔn)的頒布及更新[1]，功能安全逐漸引發(fā)行業(yè)關(guān)注，并且國內(nèi)標(biāo)準(zhǔn)委員會(huì)結(jié)合國情出臺(tái)了2017版GB/T 34590指導(dǎo)國內(nèi)企業(yè)執(zhí)行功能安全開發(fā)工作。對于整車而言，驅(qū)動(dòng)電機(jī)系統(tǒng)作為扭矩指令的執(zhí)行端，如何規(guī)避或減輕因?yàn)楣δ苁г斐傻奈：Τ蔀轵?qū)動(dòng)電機(jī)系統(tǒng)當(dāng)前工作的重點(diǎn)。

驅(qū)動(dòng)電機(jī)系統(tǒng)主要包含驅(qū)動(dòng)電機(jī)和電機(jī)控制單元（Motor Control Unit, MCU）兩個(gè)部分，MCU是驅(qū)動(dòng)電機(jī)系統(tǒng)的核心部件，能夠根據(jù)接收到的扭矩請求指令通過內(nèi)部邏輯處理，將扭矩請求指令轉(zhuǎn)化為驅(qū)動(dòng)電流輸出到驅(qū)動(dòng)電機(jī)端，最終驅(qū)動(dòng)電機(jī)產(chǎn)生對應(yīng)的扭矩到輪端（扭矩包括扭矩物理值及扭矩方向）。驅(qū)動(dòng)電機(jī)系統(tǒng)中任意關(guān)鍵組件失效都將導(dǎo)致實(shí)際驅(qū)動(dòng)力偏離目標(biāo)驅(qū)動(dòng)力，給整車運(yùn)行帶來潛在危害。近年來，國內(nèi)各大主機(jī)廠和研究院對驅(qū)動(dòng)電機(jī)系統(tǒng)的功能安全概念階段的開發(fā)和確認(rèn)已經(jīng)有效展開，例如吳浩等[2]論證了符合功能安全概念階段設(shè)計(jì)和安全確認(rèn)方法，并以具體的安全目標(biāo)為例，通過仿真試驗(yàn)和實(shí)車測試具體闡述了如何確定功能安全需求中的扭矩閾值及故障診斷時(shí)間間隔，閆磊[3]及趙鑫等[4]表述了在功能安全開發(fā)過程中主機(jī)廠的作用，并對開發(fā)過程涉及的不同功能安全等級需滿足的驗(yàn)證評審要求進(jìn)行說明，明確了主機(jī)廠定義功能安全需求的閾值和故障診斷時(shí)間應(yīng)綜合仿真分析和實(shí)車測試進(jìn)行定義，保證安全目標(biāo)有效的同時(shí)不影響車輛可用性。張明朗等[5]對驅(qū)動(dòng)電機(jī)系統(tǒng)從部件級、系統(tǒng)級、整車級三個(gè)維度進(jìn)行功能安全故障注入測試實(shí)施研究，為驅(qū)動(dòng)電機(jī)系統(tǒng)的功能安全確認(rèn)測試提供了指導(dǎo)。

1 驅(qū)動(dòng)電機(jī)系統(tǒng)功能安全概念階段設(shè)計(jì)

相關(guān)項(xiàng)定義要求從整車層面定義相關(guān)項(xiàng)與其他相關(guān)項(xiàng)的邊界和接口，以及系統(tǒng)內(nèi)部關(guān)鍵模塊、運(yùn)行環(huán)境、法規(guī)要求以及已知或可預(yù)知的失效危害等。相關(guān)項(xiàng)基于上述要求對所承擔(dān)的功能信息進(jìn)行描述[6]。

危害分析和風(fēng)險(xiǎn)評估是概念階段開發(fā)的關(guān)鍵步驟，該過程識(shí)別相關(guān)項(xiàng)中因故障而引起的危害，并對危害進(jìn)行歸類，制定防止危害事件發(fā)生或減輕危害程度的安全目標(biāo)，安全目標(biāo)是整車層面的最高要求。

功能安全概念主要是將危害分析和風(fēng)險(xiǎn)評估過程得到的安全目標(biāo)合理分配至相關(guān)項(xiàng)要素或外部措施。為實(shí)現(xiàn)這一目的，通常需要借助整車功能架構(gòu)來明確安全目標(biāo)相關(guān)聯(lián)的相關(guān)項(xiàng)要素或外部措施在具體功能實(shí)現(xiàn)過程中所承擔(dān)的作用，并識(shí)別相關(guān)項(xiàng)要素失效對安全目標(biāo)的影響，針對失效點(diǎn)，建立安全機(jī)制進(jìn)行監(jiān)控，接著將安全機(jī)制實(shí)現(xiàn)過程轉(zhuǎn)化為功能安全需求。

故障注入測試是安全確認(rèn)測試中常見的測試手段，功能安全需求是安全目標(biāo)和安全機(jī)制整車系統(tǒng)架構(gòu)中的具體體現(xiàn)，功能安全需求在汽車正常行駛工況中不易觸發(fā)，因此，功能安全需求確認(rèn)測試需要通常使用故障注入的方式進(jìn)行。

1.1 相關(guān)項(xiàng)定義

驅(qū)動(dòng)電機(jī)系統(tǒng)主要由驅(qū)動(dòng)MCU、絕緣柵雙極型晶體管（Insulated Gate Bipolar Transistor, IGBT）驅(qū)動(dòng)模塊、驅(qū)動(dòng)電機(jī)、電機(jī)位置傳感器、電機(jī)電流傳感器組成。驅(qū)動(dòng)電機(jī)系統(tǒng)在整車架構(gòu)中承擔(dān)的主要功能：接收整車控制器（Vehicle Control Unit, VCU）發(fā)送的控制命令，為整車提供驅(qū)動(dòng)轉(zhuǎn)矩及配合整車高壓下電后進(jìn)行主動(dòng)放電。驅(qū)動(dòng)電機(jī)系統(tǒng)的相關(guān)項(xiàng)如圖1所示。

圖1 驅(qū)動(dòng)電機(jī)系統(tǒng)的邊界

注：CAN：控制器局域網(wǎng)（Controller Area Network）。

1.2 危害分析和風(fēng)險(xiǎn)評估

采取危害和可操作性（Hazard and Operability, HAZOP）分析法對功能進(jìn)行失效分析，得出驅(qū)動(dòng)電機(jī)功能失效模式，如表1所示。

表1 功能失效分析

除此之外，還需對車輛所處的典型運(yùn)行場景進(jìn)行描述，描述過程中應(yīng)包含駕駛員使用車輛時(shí)的誤操作情況，典型運(yùn)行場景還應(yīng)根據(jù)驅(qū)動(dòng)電機(jī)參數(shù)和目標(biāo)市場構(gòu)建場景庫，并將場景進(jìn)行列表組合從而得到驅(qū)動(dòng)電機(jī)系統(tǒng)的使用場景。

本文以“驅(qū)動(dòng)電機(jī)系統(tǒng)實(shí)際輸出驅(qū)動(dòng)轉(zhuǎn)矩大于期望值”的故障模式為例，將故障模式和車輛運(yùn)行場景進(jìn)行組合得出危害事件[7]，根據(jù)ISO 26262和SAE J2980標(biāo)準(zhǔn)，得出危害事件嚴(yán)重度（S），暴露度（E）及可控度（C）值，如表2所示。

表2 危害分析和風(fēng)險(xiǎn)評估

圖2 安全分析

由危害分析和風(fēng)險(xiǎn)評估結(jié)果可知，該故障模式對應(yīng)的安全目標(biāo)均為“防止車輛非預(yù)期輸出過多轉(zhuǎn)矩”，S/E/C參數(shù)組合最嚴(yán)重工況為場景1和場景2，對應(yīng)的功能安全等級為ASIL C，安全狀態(tài)為中斷驅(qū)動(dòng)電機(jī)轉(zhuǎn)矩輸出即根據(jù)電機(jī)轉(zhuǎn)速參數(shù)進(jìn)入主動(dòng)短路（Active Short Circuit, ASC）模式或空轉(zhuǎn)模式向VCU上報(bào)驅(qū)動(dòng)電機(jī)系統(tǒng)故障，F(xiàn)TTI時(shí)間為500 ms。

1.3 功能安全需求

根據(jù)安全目標(biāo)結(jié)合相關(guān)項(xiàng)定義，進(jìn)行安全分析可得出失效因素，接著建立對應(yīng)的安全機(jī)制對相關(guān)失效路徑進(jìn)行監(jiān)控，安全分析過程及安全機(jī)制如圖2、圖3所示。

圖3 安全機(jī)制

結(jié)合以上信息輸入可得出具體功能安全需求，如表3所示。

表3 功能安全需求

2 測試驗(yàn)證

在正常運(yùn)行中，規(guī)避或減輕整車危害的安全機(jī)制不會(huì)被調(diào)用，因此，針對功能安全需求的確認(rèn)測試需要進(jìn)行故障注入測試的方式。針對功能安全開發(fā)的故障注入測試，按照整車開發(fā)順序，主要有軟件單元測試，軟硬件集成測試，系統(tǒng)集成測試，整車集成測試，不同階段對應(yīng)有相應(yīng)測試要求。系統(tǒng)集成測試結(jié)果是進(jìn)行整車集成測試的重要輸入，通過系統(tǒng)集成測試可以很好地驗(yàn)證安全機(jī)制的觸發(fā)時(shí)間和故障處理時(shí)間是否滿足要求。一般而言，系統(tǒng)集成測試報(bào)告是整車集成測試的重要參考，用以指導(dǎo)整車測試。系統(tǒng)集成測試，通常使用臺(tái)架搭建模型，進(jìn)行故障注入測試。

具體操作步驟如下：

（1）將驅(qū)動(dòng)電機(jī)系統(tǒng)安裝到試驗(yàn)臺(tái)架；

（2）提供對驅(qū)動(dòng)電機(jī)系統(tǒng)供電；

（3）調(diào)試控制通訊，保證MCU和VCU通訊正常；

（4）調(diào)試系統(tǒng)運(yùn)行環(huán)境達(dá)到測試要求，VCU轉(zhuǎn)矩請求（即整車實(shí)際請求轉(zhuǎn)矩）；驅(qū)動(dòng)電機(jī)扭矩，驅(qū)動(dòng)電機(jī)轉(zhuǎn)速；

（5）通過LNCA工具更改驅(qū)動(dòng)電機(jī)系統(tǒng)上位機(jī)輸出的轉(zhuǎn)矩請求值（即XCP故障注入請求轉(zhuǎn)矩）；

（6）記錄驅(qū)動(dòng)電機(jī)運(yùn)行參數(shù)和故障報(bào)警信息。

臺(tái)架故障注入測試結(jié)果如圖4、圖5所示。

圖4 轉(zhuǎn)矩故障注入圖

圖5 驅(qū)動(dòng)電機(jī)系統(tǒng)故障報(bào)警

借助INCA工具，通過上位機(jī)XCP改變驅(qū)動(dòng)電機(jī)目標(biāo)轉(zhuǎn)矩值從而進(jìn)行故障注入測試。

由圖4、圖5可知，整車需求轉(zhuǎn)矩（v_Trq Can Req Out）為13 Nm，通過上位機(jī)XCP改變驅(qū)動(dòng)電機(jī)系統(tǒng)目標(biāo)轉(zhuǎn)矩值，使得XCP轉(zhuǎn)矩請求（v_Trq Est）與整車轉(zhuǎn)矩需求間差值大于30 Nm，驅(qū)動(dòng)電機(jī)系統(tǒng)檢測到轉(zhuǎn)矩輸出大于安全閾值時(shí)能夠在故障容錯(cuò)時(shí)間間隔內(nèi)進(jìn)入安全狀態(tài)，上報(bào)系統(tǒng)故障。

3 結(jié)語

本文通過對驅(qū)動(dòng)電機(jī)系統(tǒng)進(jìn)行功能安全開發(fā)和測試，其中通過相關(guān)項(xiàng)定義，危害分析和風(fēng)險(xiǎn)評估得出驅(qū)動(dòng)電機(jī)系統(tǒng)在系統(tǒng)失效及隨機(jī)硬件失效導(dǎo)致的整車危害；通過安全分析，安全機(jī)制，功能安全需求得出導(dǎo)致失效的具體來源和規(guī)避失效的具體措施；通過臺(tái)架測試，驗(yàn)證了執(zhí)行功能安全開發(fā)的驅(qū)動(dòng)電機(jī)系統(tǒng)能夠及時(shí)監(jiān)控輸出轉(zhuǎn)矩異常并采取預(yù)期設(shè)定策略規(guī)避危害發(fā)生。結(jié)果證明，基于功能安全開發(fā)的安全需求可提高驅(qū)動(dòng)電機(jī)系統(tǒng)穩(wěn)定性和規(guī)避危害的能力進(jìn)而提高整車行駛的可控性和安全性。

[1] ISO.Road Vehicles-Function Safety:ISO 26262[S]. Geneva:International Organization for Standardization, 2018.

[2] 吳浩,魏廣杰,劉永,等.電驅(qū)動(dòng)力系統(tǒng)功能安全概念設(shè)計(jì)和安全確認(rèn)[J].汽車科技,2021(5):17-24.

[3] 閆磊,王剛,宋金夢,等.動(dòng)力域控制器功能安全概念階段開發(fā)[J].中國汽車, 2022(5):19-25.

[4] 趙鑫,李明勛.汽車電子功能安全實(shí)戰(zhàn)應(yīng)用[M].上海: 同濟(jì)大學(xué)出版社,2021.

[5] 張明朗,周子龍,王江波,等.故障注入在MCU功能安全測試中的實(shí)施研究[J].汽車電器,2022(8):68-74.

[6] 中國國家標(biāo)準(zhǔn)化管理委員會(huì).道路車輛功能安全: GB/T 34590.3—2017[S].北京:中國標(biāo)準(zhǔn)出版社,2017.

[7] 付越,王斌,李波,等.電動(dòng)汽車PCU系統(tǒng)功能安全開發(fā)及測試方法研究[J].汽車電器,2021(3):5-9.

Design and Test of Functional Safety Concept for Drive Motor System Based on ISO 26262

LI Zhengpeng

( Commercial Vehicle Technical Center, SAIC Motor Company Limited, Shanghai 200438, China )

As the final output of vehicle torque, drive motor system has an important impact on vehicle driving safety. The functional safety development of the drive motor system based on the ISO 26262 standard can significantly reduce the system failure rate, improve the system stability, and improve the accuracy and reliability of the torque output of the drive motor system. This paper developed and tested the concept stage of functional safety for the drive motor system, obtained the safety objectives of the whole vehicle through hazard analysis and risk assessment, obtained the functional safety requirements through safety analysis and the establishment of safety mechanisms, and carried out verification tests through bench fault injection. The test results indicate that the drive motor system developed with functional safety can effectively avoid the excessive output torque of the drive motor and improve the safety of the whole vehicle.

Drive motor system; Functional safety; Safety test; ISO 26262

461.91

A

1671-7988(2022)23-160-05

461.91

A

1671-7988(2022)23-160-05

10.16638/j.cnki.1671-7988.2022.023.029

李爭鵬（1992—），男，碩士，工程師，研究方向?yàn)檎嚬δ馨踩_發(fā)及測試，E-mail:leezp123@126.com。