功率控制單元（以下簡稱PCU）是電驅(qū)動(dòng)系統(tǒng)的主要組成部分，對其效率、功率密度和可靠性起著主導(dǎo)作用。

在PCU系統(tǒng)工作過程中，如發(fā)生系統(tǒng)性失效或硬件隨機(jī)失效，有可能會導(dǎo)致電機(jī)發(fā)出非預(yù)期的驅(qū)動(dòng)或制動(dòng)扭矩，在某些駕駛場景下使車輛發(fā)生碰撞、追尾等事故，危及駕乘人員安全。

本文以某款混合動(dòng)力汽車上搭載的PCU系統(tǒng)為例，從功能安全開發(fā)概念階段的分析出發(fā)，提出安全目標(biāo)、功能安全要求和技術(shù)安全要求。并在V模型開發(fā)右側(cè)，以故障注入測試方法為例，給出驗(yàn)證和確認(rèn)方法的示例。

1  相關(guān)項(xiàng)定義

開展PCU系統(tǒng)功能安全概念階段開發(fā)，首先要對PCU系統(tǒng)進(jìn)行相關(guān)項(xiàng)定義，包括：功能概念、邊界和接口、運(yùn)行模式和狀態(tài)、相關(guān)項(xiàng)的約束、法規(guī)要求、已知的失效模式和危害等。

本文所分析的為某款緊湊型插電式混合動(dòng)力汽車上所搭載的電驅(qū)動(dòng)系統(tǒng)，其主要功能是為整車提供動(dòng)力、通過車載充電器為電池充電等，而PCU主要負(fù)責(zé)電驅(qū)動(dòng)系統(tǒng)的能量流向和分配。整體動(dòng)力總成方案如圖1所示，其中虛線框?yàn)镻CU相關(guān)項(xiàng)范圍，主要包括：高壓變換器/復(fù)用充電機(jī)（BOOST/OBC）、控制器（MCU）、逆變器、電動(dòng)機(jī)（E-Motor）和發(fā)電機(jī)（G-Motor）等。



1）電動(dòng)機(jī)：通過以一定開關(guān)管動(dòng)作的逆變器控制實(shí)現(xiàn)功率轉(zhuǎn)換過程，其可工作于電動(dòng)模式或發(fā)電模式。在發(fā)電模式，電機(jī)為高壓電池充電；在電動(dòng)模式，電機(jī)為系統(tǒng)提供驅(qū)動(dòng)力。

2）發(fā)電機(jī)：同樣通過以一定開關(guān)管動(dòng)作的逆變器控制實(shí)現(xiàn)動(dòng)能向電能轉(zhuǎn)換的過程，其由發(fā)動(dòng)機(jī)驅(qū)動(dòng)發(fā)電機(jī)為高壓電池充電或者為電動(dòng)機(jī)提供電能。

3）控制器：控制逆變器實(shí)現(xiàn)直流高壓與交流電壓的互相轉(zhuǎn)換，控制三相交流電壓的幅值與頻率，進(jìn)而控制電動(dòng)機(jī)和發(fā)電機(jī)的輸出扭矩。本文選取了TI公司的TMS570LS1115芯片實(shí)現(xiàn)系統(tǒng)故障監(jiān)控、故障處理等控制功能，以及TMS320F28379D芯片，實(shí)現(xiàn)電動(dòng)機(jī)、發(fā)電機(jī)、BOOST/OBC的控制功能。

4）逆變器：根據(jù)MCU發(fā)出的PWM控制指令將Boost升壓的直流電轉(zhuǎn)換為高壓交流電，以此控制發(fā)電機(jī)和電動(dòng)機(jī)工作。5）高壓變換器/復(fù)用充電機(jī)：高壓Boost變換器受MCU控

制以實(shí)現(xiàn)電池高壓與電機(jī)輸入直流高壓的升降壓。復(fù)用充電機(jī)受MCU控制將交流電轉(zhuǎn)換為直流電，將電網(wǎng)的電能轉(zhuǎn)化為車載高壓電池的電能。在本項(xiàng)目中OBC被集成在Boost中。

PCU系統(tǒng)的主要功能列表見表1。


2  危害分析和風(fēng)險(xiǎn)評估

基于上文的相關(guān)項(xiàng)定義，對PCU系統(tǒng)開展危害分析和風(fēng)險(xiǎn)評估。首先對PCU系統(tǒng)發(fā)生功能異常表現(xiàn)時(shí)，車輛所處的運(yùn)行場景及運(yùn)行模式進(jìn)行描述，包括正確使用車輛和合理可預(yù)見的不正確使用車輛的情況。

表2提供了本文中所分析車輛的典型運(yùn)行場景示例。然后在整車層面定義由PCU系統(tǒng)的功能異常表現(xiàn)導(dǎo)致的危害，可通過FMEA、HAZOP、STPA等危害識別方法系統(tǒng)性地識別危害。以“輸出驅(qū)動(dòng)扭矩”功能為例，表3提供了應(yīng)用HAZOP分析方法識別相關(guān)項(xiàng)的功能異常表現(xiàn)的示例。





運(yùn)行場景和危害的相關(guān)組合可確定危害事件，并對每一個(gè)危害事件定義為E（暴露概率）、C（可控性）、S（嚴(yán)重度）三個(gè)參數(shù)，以及對應(yīng)的ASIL等級，HARA分析示例見表4。以表4中“非預(yù)期輸出驅(qū)動(dòng)扭矩”導(dǎo)致的危害事件為例：由于在較高車速發(fā)生彎道碰撞，通常會產(chǎn)生特別嚴(yán)重或致命傷害，嚴(yán)重度為S3。大多數(shù)駕駛員平均每天都會遭遇此駕駛場景，其在平均駕駛時(shí)間中的占比大于10%，暴露概率為E4。由于大于90%的駕駛員可通過制動(dòng)或轉(zhuǎn)向控制車輛避免發(fā)生碰撞，可控性為C2。根據(jù)S、E、C三個(gè)參數(shù)的組合，該危害事件的汽車安全完整性等級為ASILC。



應(yīng)確定每一個(gè)危害事件的ASIL等級，并為具有ASIL等級的危害事件確定一個(gè)安全目標(biāo)。對于上述危害事件，其安全目標(biāo)為：防止電機(jī)非預(yù)期的輸出驅(qū)動(dòng)扭矩。安全目標(biāo)是相關(guān)項(xiàng)最高層面的安全要求，安全目標(biāo)的定義應(yīng)包含其相關(guān)屬性，包括ASIL等級及確定ASIL等級所需的量化值，即：安全度量。對于本文中所分析的PCU系統(tǒng)，開展HARA分析后得到表5中的安全目標(biāo)示例。



為上述每一個(gè)安全目標(biāo)導(dǎo)出至少一項(xiàng)功能安全要求，考慮包括故障避免、故障探測、故障控制、安全狀態(tài)、故障容錯(cuò)、功能降級、駕駛員警告、故障容錯(cuò)時(shí)間間隔、故障處理時(shí)間間隔等策略。并將其分配給相關(guān)項(xiàng)的初步架構(gòu)要素或外部措施。本文針對表5中的安全目標(biāo)SG1、SG2，給出如下的功能安全要求示例。

1）FSR_01：電驅(qū)動(dòng)控制系統(tǒng)應(yīng)通過CAN總線建立通信接口，QM→SG1、SG2。

2）FSR_02：電驅(qū)動(dòng)控制系統(tǒng)應(yīng)通過CAN總線接收電動(dòng)機(jī)和發(fā)電機(jī)的扭矩需求值，ASILC→SG1、SG2。

3）FSR_03：電驅(qū)動(dòng)控制系統(tǒng)應(yīng)通過CAN總線向VCU持續(xù)發(fā)送電動(dòng)機(jī)和發(fā)電機(jī)的實(shí)際扭矩值，ASILC→SG1、SG2。

4）FSR_04：電驅(qū)動(dòng)系統(tǒng)進(jìn)行電驅(qū)動(dòng)和發(fā)電的整車功能時(shí)，應(yīng)避免輸出扭矩非預(yù)期地超出電動(dòng)機(jī)/發(fā)電機(jī)需求扭矩，當(dāng)超出的扭矩值在一定時(shí)間閾值內(nèi)超出扭矩閾值，則電驅(qū)動(dòng)系統(tǒng)應(yīng)進(jìn)入安全狀態(tài)，ASILC→SG1。

5）FSR_05：電驅(qū)動(dòng)系統(tǒng)應(yīng)對逆變器的PWM扭矩控制信號進(jìn)行診斷，根據(jù)故障相位的數(shù)量關(guān)斷開關(guān)，進(jìn)行以下操作：單相位、兩相位或更多相位關(guān)斷功率管，ASILC→SG1、SG2。

完成功能安全概念、相關(guān)項(xiàng)的系統(tǒng)架構(gòu)設(shè)計(jì)后，需要在系統(tǒng)層面定義技術(shù)安全要求，并將技術(shù)安全要求分配給系統(tǒng)的各要素或其他技術(shù)。以上述的功能安全要求FSR_02對應(yīng)的技術(shù)安全要求如下示例。

①TSR_02_01：電驅(qū)動(dòng)系統(tǒng)必須持續(xù)讀取CAN信息中的扭矩指令。

②TSR_02_02：電驅(qū)動(dòng)系統(tǒng)必須解析信息中的扭矩指令。

③TSR_02_03：TMS570芯片必須對CAN接收報(bào)文進(jìn)行E2E校驗(yàn)（例如：CRC校驗(yàn)等）。

④TSR_02_04：E2E校驗(yàn)連續(xù)故障次數(shù)超過10次，TMS570芯片通過CAN通信上報(bào)VCU并控制電機(jī)進(jìn)入安全狀態(tài)。

⑤TSR_02_05：TMS570芯片應(yīng)檢測VCU請求扭矩范圍的有效性。

⑥TSR_02_06：VCU請求扭矩超過合理范圍，TMS570芯片通過CAN通信上報(bào)VCU并控制電機(jī)進(jìn)入安全狀態(tài)。

⑦TSR_02_07：CAN通信E2E校驗(yàn)故障如果恢復(fù)，電驅(qū)動(dòng)系統(tǒng)應(yīng)能恢復(fù)工作。

⑧TSR_02_08：任何一個(gè)郵箱的CAN通信丟失達(dá)到故障允許閾值時(shí)間，電驅(qū)動(dòng)系統(tǒng)進(jìn)入安全狀態(tài)。

⑨TSR_02_09：任何一個(gè)郵箱的CAN通信丟失小于故障允許閾值時(shí)間，電驅(qū)動(dòng)系統(tǒng)應(yīng)能恢復(fù)工作。

為了提供證據(jù)證明系統(tǒng)架構(gòu)設(shè)計(jì)符合功能安全和技術(shù)安全要求，需要開展集成測試活動(dòng)，以檢查功能安全及技術(shù)安全要求的正確實(shí)施、安全機(jī)制正確的功能表現(xiàn)、準(zhǔn)確性和時(shí)序、接口的一致性和正確實(shí)施及足夠的魯棒性。其中針對技術(shù)安全要求和集成測試用例的導(dǎo)出方法可得出具體的測試用例，該類測試用例的測試一般通過基于需求的測試、故障注入、壓力測試等。

3  故障注入測試方法

在PCU開發(fā)的不同階段，包括軟件單元、軟硬件集成、系統(tǒng)集成、整車集成階段，均應(yīng)開展功能安全驗(yàn)證，以確保功能安全要求實(shí)現(xiàn)的正確性與安全目標(biāo)的一致性和符合性。其中故障注入測試是進(jìn)行驗(yàn)證和確認(rèn)的一種有效和常用的測試方法，該方法通過使用特殊的方法向運(yùn)行中的測試對象注入故障，可通過特殊的測試接口在軟件中完成，或通過特殊準(zhǔn)備的硬件完成。

本文搭建了硬件在環(huán)（HIL）測試平臺，如圖2所示，可用于PCU系統(tǒng)的信號級和電控功率級故障注入測試驗(yàn)證。信號級HIL是通過dSPACE模擬逆變器、電機(jī)、機(jī)械執(zhí)行部分，而功率級PHIL測試是通過電機(jī)模擬器與MCU相連。HIL實(shí)現(xiàn)模擬的過程僅需上位機(jī)編程，無需額外硬件參與，因此在修改電機(jī)參數(shù)或修改被模擬部分的參數(shù)時(shí)方便快捷，可大大提高功能驗(yàn)證和故障注入在測試開發(fā)測試階段的效率。



本文搭建的測試平臺，可針對PCU系統(tǒng)不同故障類型開展如下故障注入測試項(xiàng)目，見表6。通過設(shè)計(jì)測試用例，實(shí)現(xiàn)工況自動(dòng)化測試能力。



根據(jù)底層故障模式和種類，結(jié)合HIL臺架完成故障注入測試，評價(jià)安全機(jī)制和安全措施是否有效執(zhí)行，以及執(zhí)行結(jié)果是否實(shí)現(xiàn)了功能安全要求。

以CAN總線故障為例，電機(jī)控制器一般放置在動(dòng)力CAN網(wǎng)絡(luò)中，駕駛員的控制命令輸出給整車控制器，整車控制器經(jīng)過策略執(zhí)行后，輸出扭矩控制指令給電機(jī)控制器，如果整車控制器和電機(jī)控制器之間的CAN傳輸發(fā)生故障（例如：VCUCAN總線受干擾導(dǎo)致CAN總線節(jié)點(diǎn)丟失、或CAN總線的R/C阻抗變化大都有可能導(dǎo)致信號接收的不完整），電機(jī)控制器收不到扭矩指令，可能會造成整車危害。圖3是CAN總線故障注入測試界面，模擬故障如短路、斷路、R/C阻抗等。



注入故障后，考察系統(tǒng)內(nèi)部的安全機(jī)制和安全措施是否正常發(fā)揮作用，使系統(tǒng)在故障響應(yīng)時(shí)間間隔內(nèi)進(jìn)入了安全狀態(tài)，如：主動(dòng)短路模式（ASC）、滑行模式（Freewheeling）等。如圖4所示，在高速零扭矩控制狀態(tài)下，通信故障（前一個(gè)脈沖信號）發(fā)生后，激發(fā)安全機(jī)制，電控進(jìn)入ASC模式，通信恢復(fù)（后一個(gè)脈沖信號），電控回到零扭矩控制模式。根據(jù)測試結(jié)果可以看到，本文搭建的測試平臺可有效實(shí)現(xiàn)信號級和功率級的功能安全故障注入測試。



4  結(jié)束語

本文以某混動(dòng)車型搭載的PCU系統(tǒng)為例，給出了PCU系統(tǒng)在概念階段功能安全開發(fā)的示例，并搭建了功率級HIL硬件測試平臺，給出了通過進(jìn)行故障注入測試進(jìn)行功能安全驗(yàn)證和確認(rèn)的方法。從功能安全開發(fā)V模型的左側(cè)和右側(cè)兩個(gè)方面給出了示例，為企業(yè)實(shí)際開展電控系統(tǒng)功能安全正向開發(fā)提供了借鑒和參考。