李争鹏
基于ISO 26262的驱动电机系统功能安全概念设计及测试
李争鹏
(上海汽车集团股份有限公司 商用车技术中心,上海 200438)
驱动电机系统作为整车转矩的最终输出端,对整车行驶安全有着重要影响。基于ISO 26262标准进行驱动电机系统功能安全开发可以显著降低系统失效率,提高系统稳定性,提升驱动电机系统转矩输出正确性和可靠性。文章针对驱动电机系统进行功能安全概念阶段开发和测试,通过危害分析和风险评估得出整车安全目标,通过安全分析和安全机制的建立,得到功能安全需求,并通过台架故障注入形式进行确认测试。测试结果表明,使用功能安全开发的驱动电机系统可以有效规避驱动电机输出转矩过大问题,提高整车行驶的安全性。
驱动电机系统;功能安全;安全测试;ISO 26262
随着汽车电动化、智能化、网联化的不断发展,汽车电子电气的复杂度和集成度不断攀升,由此带来的安全风险增加,功能失效后对整车产生的影响也相应提高。随着ISO 26262标准的颁布及更新[1],功能安全逐渐引发行业关注,并且国内标准委员会结合国情出台了2017版GB/T 34590指导国内企业执行功能安全开发工作。对于整车而言,驱动电机系统作为扭矩指令的执行端,如何规避或减轻因为功能失效造成的危害成为驱动电机系统当前工作的重点。
驱动电机系统主要包含驱动电机和电机控制单元(Motor Control Unit, MCU)两个部分,MCU是驱动电机系统的核心部件,能够根据接收到的扭矩请求指令通过内部逻辑处理,将扭矩请求指令转化为驱动电流输出到驱动电机端,最终驱动电机产生对应的扭矩到轮端(扭矩包括扭矩物理值及扭矩方向)。驱动电机系统中任意关键组件失效都将导致实际驱动力偏离目标驱动力,给整车运行带来潜在危害。近年来,国内各大主机厂和研究院对驱动电机系统的功能安全概念阶段的开发和确认已经有效展开,例如吴浩等[2]论证了符合功能安全概念阶段设计和安全确认方法,并以具体的安全目标为例,通过仿真试验和实车测试具体阐述了如何确定功能安全需求中的扭矩阈值及故障诊断时间间隔,闫磊[3]及赵鑫等[4]表述了在功能安全开发过程中主机厂的作用,并对开发过程涉及的不同功能安全等级需满足的验证评审要求进行说明,明确了主机厂定义功能安全需求的阈值和故障诊断时间应综合仿真分析和实车测试进行定义,保证安全目标有效的同时不影响车辆可用性。张明朗等[5]对驱动电机系统从部件级、系统级、整车级三个维度进行功能安全故障注入测试实施研究,为驱动电机系统的功能安全确认测试提供了指导。
相关项定义要求从整车层面定义相关项与其他相关项的边界和接口,以及系统内部关键模块、运行环境、法规要求以及已知或可预知的失效危害等。相关项基于上述要求对所承担的功能信息进行描述[6]。
危害分析和风险评估是概念阶段开发的关键步骤,该过程识别相关项中因故障而引起的危害,并对危害进行归类,制定防止危害事件发生或减轻危害程度的安全目标,安全目标是整车层面的最高要求。
功能安全概念主要是将危害分析和风险评估过程得到的安全目标合理分配至相关项要素或外部措施。为实现这一目的,通常需要借助整车功能架构来明确安全目标相关联的相关项要素或外部措施在具体功能实现过程中所承担的作用,并识别相关项要素失效对安全目标的影响,针对失效点,建立安全机制进行监控,接着将安全机制实现过程转化为功能安全需求。
故障注入测试是安全确认测试中常见的测试手段,功能安全需求是安全目标和安全机制整车系统架构中的具体体现,功能安全需求在汽车正常行驶工况中不易触发,因此,功能安全需求确认测试需要通常使用故障注入的方式进行。
驱动电机系统主要由驱动MCU、绝缘栅双极型晶体管(Insulated Gate Bipolar Transistor, IGBT)驱动模块、驱动电机、电机位置传感器、电机电流传感器组成。驱动电机系统在整车架构中承担的主要功能:接收整车控制器(Vehicle Control Unit, VCU)发送的控制命令,为整车提供驱动转矩及配合整车高压下电后进行主动放电。驱动电机系统的相关项如图1所示。
图1 驱动电机系统的边界
注:CAN:控制器局域网(Controller Area Network)。
采取危害和可操作性(Hazard and Operability, HAZOP)分析法对功能进行失效分析,得出驱动电机功能失效模式,如表1所示。
表1 功能失效分析
除此之外,还需对车辆所处的典型运行场景进行描述,描述过程中应包含驾驶员使用车辆时的误操作情况,典型运行场景还应根据驱动电机参数和目标市场构建场景库,并将场景进行列表组合从而得到驱动电机系统的使用场景。
本文以“驱动电机系统实际输出驱动转矩大于期望值”的故障模式为例,将故障模式和车辆运行场景进行组合得出危害事件[7],根据ISO 26262和SAE J2980标准,得出危害事件严重度(S),暴露度(E)及可控度(C)值,如表2所示。
表2 危害分析和风险评估
图2 安全分析
由危害分析和风险评估结果可知,该故障模式对应的安全目标均为“防止车辆非预期输出过多转矩”,S/E/C参数组合最严重工况为场景1和场景2,对应的功能安全等级为ASIL C,安全状态为中断驱动电机转矩输出即根据电机转速参数进入主动短路(Active Short Circuit, ASC)模式或空转模式向VCU上报驱动电机系统故障,FTTI时间为500 ms。
根据安全目标结合相关项定义,进行安全分析可得出失效因素,接着建立对应的安全机制对相关失效路径进行监控,安全分析过程及安全机制如图2、图3所示。
图3 安全机制
结合以上信息输入可得出具体功能安全需求,如表3所示。
表3 功能安全需求
在正常运行中,规避或减轻整车危害的安全机制不会被调用,因此,针对功能安全需求的确认测试需要进行故障注入测试的方式。针对功能安全开发的故障注入测试,按照整车开发顺序,主要有软件单元测试,软硬件集成测试,系统集成测试,整车集成测试,不同阶段对应有相应测试要求。系统集成测试结果是进行整车集成测试的重要输入,通过系统集成测试可以很好地验证安全机制的触发时间和故障处理时间是否满足要求。一般而言,系统集成测试报告是整车集成测试的重要参考,用以指导整车测试。系统集成测试,通常使用台架搭建模型,进行故障注入测试。
具体操作步骤如下:
(1)将驱动电机系统安装到试验台架;
(2)提供对驱动电机系统供电;
(3)调试控制通讯,保证MCU和VCU通讯正常;
(4)调试系统运行环境达到测试要求,VCU转矩请求(即整车实际请求转矩);驱动电机扭矩,驱动电机转速;
(5)通过LNCA工具更改驱动电机系统上位机输出的转矩请求值(即XCP故障注入请求转矩);
(6)记录驱动电机运行参数和故障报警信息。
台架故障注入测试结果如图4、图5所示。
图4 转矩故障注入图
图5 驱动电机系统故障报警
借助INCA工具,通过上位机XCP改变驱动电机目标转矩值从而进行故障注入测试。
由图4、图5可知,整车需求转矩(v_Trq Can Req Out)为13 Nm,通过上位机XCP改变驱动电机系统目标转矩值,使得XCP转矩请求(v_Trq Est)与整车转矩需求间差值大于30 Nm,驱动电机系统检测到转矩输出大于安全阈值时能够在故障容错时间间隔内进入安全状态,上报系统故障。
本文通过对驱动电机系统进行功能安全开发和测试,其中通过相关项定义,危害分析和风险评估得出驱动电机系统在系统失效及随机硬件失效导致的整车危害;通过安全分析,安全机制,功能安全需求得出导致失效的具体来源和规避失效的具体措施;通过台架测试,验证了执行功能安全开发的驱动电机系统能够及时监控输出转矩异常并采取预期设定策略规避危害发生。结果证明,基于功能安全开发的安全需求可提高驱动电机系统稳定性和规避危害的能力进而提高整车行驶的可控性和安全性。
[1] ISO.Road Vehicles-Function Safety:ISO 26262[S]. Geneva:International Organization for Standardization, 2018.
[2] 吴浩,魏广杰,刘永,等.电驱动力系统功能安全概念设计和安全确认[J].汽车科技,2021(5):17-24.
[3] 闫磊,王刚,宋金梦,等.动力域控制器功能安全概念阶段开发[J].中国汽车, 2022(5):19-25.
[4] 赵鑫,李明勋.汽车电子功能安全实战应用[M].上海: 同济大学出版社,2021.
[5] 张明朗,周子龙,王江波,等.故障注入在MCU功能安全测试中的实施研究[J].汽车电器,2022(8):68-74.
[6] 中国国家标准化管理委员会.道路车辆功能安全: GB/T 34590.3—2017[S].北京:中国标准出版社,2017.
[7] 付越,王斌,李波,等.电动汽车PCU系统功能安全开发及测试方法研究[J].汽车电器,2021(3):5-9.
Design and Test of Functional Safety Concept for Drive Motor System Based on ISO 26262
LI Zhengpeng
( Commercial Vehicle Technical Center, SAIC Motor Company Limited, Shanghai 200438, China )
As the final output of vehicle torque, drive motor system has an important impact on vehicle driving safety. The functional safety development of the drive motor system based on the ISO 26262 standard can significantly reduce the system failure rate, improve the system stability, and improve the accuracy and reliability of the torque output of the drive motor system. This paper developed and tested the concept stage of functional safety for the drive motor system, obtained the safety objectives of the whole vehicle through hazard analysis and risk assessment, obtained the functional safety requirements through safety analysis and the establishment of safety mechanisms, and carried out verification tests through bench fault injection. The test results indicate that the drive motor system developed with functional safety can effectively avoid the excessive output torque of the drive motor and improve the safety of the whole vehicle.
Drive motor system; Functional safety; Safety test; ISO 26262
461.91
A
1671-7988(2022)23-160-05
461.91
A
1671-7988(2022)23-160-05
10.16638/j.cnki.1671-7988.2022.023.029
李争鹏(1992—),男,硕士,工程师,研究方向为整车功能安全开发及测试,E-mail:leezp123@126.com。