功率控制單元(以下簡稱PCU)是電驅動系統的主要組成部分,對其效率、功率密度和可靠性起著主導作用。
在PCU系統工作過程中,如發生系統性失效或硬體隨機失效,有可能會導致電機發出非預期的驅動或制動扭矩,在某些駕駛場景下使車輛發生碰撞、追尾等事故,危及駕乘人員安全。
本文以某款混合動力汽車上搭載的PCU系統為例,從功能安全開發概念階段的分析出發,提出安全目標、功能安全要求和技術安全要求。並在V模型開發右側,以故障注入測試方法為例,給出驗證和確認方法的示例。
1 相關項定義
開展PCU系統功能安全概念階段開發,首先要對PCU系統進行相關項定義,包括:功能概念、邊界和介面、執行模式和狀態、相關項的約束、法規要求、已知的失效模式和危害等。
本文所分析的為某款緊湊型插電式混合動力汽車上所搭載的電驅動系統,其主要功能是為整車提供動力、透過車載充電器為電池充電等,而PCU主要負責電驅動系統的能量流向和分配。整體動力總成方案如圖1所示,其中虛線框為PCU相關項範圍,主要包括:高壓變換器/複用充電機(BOOST/OBC)、控制器(MCU)、逆變器、電動機(E-Motor)和發電機(G-Motor)等。
1)電動機:透過以一定開關管動作的逆變器控制實現功率轉換過程,其可工作於電動模式或發電模式。在發電模式,電機為高壓電池充電;在電動模式,電機為系統提供驅動力。
2)發電機:同樣透過以一定開關管動作的逆變器控制實現動能向電能轉換的過程,其由發動機驅動發電機為高壓電池充電或者為電動機提供電能。
3)控制器:控制逆變器實現直流高壓與交流電壓的互相轉換,控制三相交流電壓的幅值與頻率,進而控制電動機和發電機的輸出扭矩。本文選取了TI公司的TMS570LS1115晶片實現系統故障監控、故障處理等控制功能,以及TMS320F28379D晶片,實現電動機、發電機、BOOST/OBC的控制功能。
4)逆變器:根據MCU發出的PWM控制指令將Boost升壓的直流電轉換為高壓交流電,以此控制發電機和電動機工作。5)高壓變換器/複用充電機:高壓Boost變換器受MCU控
制以實現電池高壓與電機輸入直流高壓的升降壓。複用充電機受MCU控制將交流電轉換為直流電,將電網的電能轉化為車載高壓電池的電能。在本專案中OBC被整合在Boost中。
PCU系統的主要功能列表見表1。
2 危害分析和風險評估
基於上文的相關項定義,對PCU系統開展危害分析和風險評估。首先對PCU系統發生功能異常表現時,車輛所處的執行場景及執行模式進行描述,包括正確使用車輛和合理可預見的不正確使用車輛的情況。
表2提供了本文中所分析車輛的典型執行場景示例。然後在整車層面定義由PCU系統的功能異常表現導致的危害,可透過FMEA、HAZOP、STPA等危害識別方法系統性地識別危害。以“輸出驅動扭矩”功能為例,表3提供了應用HAZOP分析方法識別相關項的功能異常表現的示例。
執行場景和危害的相關組合可確定危害事件,並對每一個危害事件定義為E(暴露機率)、C(可控性)、S(嚴重度)三個引數,以及對應的ASIL等級,HARA分析示例見表4。以表4中“非預期輸出驅動扭矩”導致的危害事件為例:由於在較高車速發生彎道碰撞,通常會產生特別嚴重或致命傷害,嚴重度為S3。大多數駕駛員平均每天都會遭遇此駕駛場景,其在平均駕駛時間中的佔比大於10%,暴露機率為E4。由於大於90%的駕駛員可透過制動或轉向控制車輛避免發生碰撞,可控性為C2。根據S、E、C三個引數的組合,該危害事件的汽車安全完整性等級為ASILC。
應確定每一個危害事件的ASIL等級,併為具有ASIL等級的危害事件確定一個安全目標。對於上述危害事件,其安全目標為:防止電機非預期的輸出驅動扭矩。安全目標是相關項最高層面的安全要求,安全目標的定義應包含其相關屬性,包括ASIL等級及確定ASIL等級所需的量化值,即:安全度量。對於本文中所分析的PCU系統,開展HARA分析後得到表5中的安全目標示例。
為上述每一個安全目標匯出至少一項功能安全要求,考慮包括故障避免、故障探測、故障控制、安全狀態、故障容錯、功能降級、駕駛員警告、故障容錯時間間隔、故障處理時間間隔等策略。並將其分配給相關項的初步架構要素或外部措施。本文針對表5中的安全目標SG1、SG2,給出如下的功能安全要求示例。
1)FSR_01:電驅動控制系統應透過CAN匯流排建立通訊介面,QM→SG1、SG2。
2)FSR_02:電驅動控制系統應透過CAN匯流排接收電動機和發電機的扭矩需求值,ASILC→SG1、SG2。
3)FSR_03:電驅動控制系統應透過CAN匯流排向VCU持續傳送電動機和發電機的實際扭矩值,ASILC→SG1、SG2。
4)FSR_04:電驅動系統進行電驅動和發電的整車功能時,應避免輸出扭矩非預期地超出電動機/發電機需求扭矩,當超出的扭矩值在一定時間閾值內超出扭矩閾值,則電驅動系統應進入安全狀態,ASILC→SG1。
5)FSR_05:電驅動系統應對逆變器的PWM扭矩控制訊號進行診斷,根據故障相位的數量關斷開關,進行以下操作:單相位、兩相位或更多相位關斷功率管,ASILC→SG1、SG2。
完成功能安全概念、相關項的系統架構設計後,需要在系統層面定義技術安全要求,並將技術安全要求分配給系統的各要素或其他技術。以上述的功能安全要求FSR_02對應的技術安全要求如下示例。
①TSR_02_01:電驅動系統必須持續讀取CAN資訊中的扭矩指令。
②TSR_02_02:電驅動系統必須解析資訊中的扭矩指令。
③TSR_02_03:TMS570晶片必須對CAN接收報文進行E2E校驗(例如:CRC校驗等)。
④TSR_02_04:E2E校驗連續故障次數超過10次,TMS570晶片透過CAN通訊上報VCU並控制電機進入安全狀態。
⑤TSR_02_05:TMS570晶片應檢測VCU請求扭矩範圍的有效性。
⑥TSR_02_06:VCU請求扭矩超過合理範圍,TMS570晶片透過CAN通訊上報VCU並控制電機進入安全狀態。
⑦TSR_02_07:CAN通訊E2E校驗故障如果恢復,電驅動系統應能恢復工作。
⑧TSR_02_08:任何一個郵箱的CAN通訊丟失達到故障允許閾值時間,電驅動系統進入安全狀態。
⑨TSR_02_09:任何一個郵箱的CAN通訊丟失小於故障允許閾值時間,電驅動系統應能恢復工作。
為了提供證據證明系統架構設計符合功能安全和技術安全要求,需要開展整合測試活動,以檢查功能安全及技術安全要求的正確實施、安全機制正確的功能表現、準確性和時序、介面的一致性和正確實施及足夠的魯棒性。其中針對技術安全要求和整合測試用例的匯出方法可得出具體的測試用例,該類測試用例的測試一般透過基於需求的測試、故障注入、壓力測試等。
3 故障注入測試方法
在PCU開發的不同階段,包括軟體單元、軟硬體整合、系統整合、整車整合階段,均應開展功能安全驗證,以確保功能安全要求實現的正確性與安全目標的一致性和符合性。其中故障注入測試是進行驗證和確認的一種有效和常用的測試方法,該方法透過使用特殊的方法向執行中的測試物件注入故障,可透過特殊的測試介面在軟體中完成,或透過特殊準備的硬體完成。
本文搭建了硬體在環(HIL)測試平臺,如圖2所示,可用於PCU系統的訊號級和電控功率級故障注入測試驗證。訊號級HIL是透過dSPACE模擬逆變器、電機、機械執行部分,而功率級PHIL測試是透過電機模擬器與MCU相連。HIL實現模擬的過程僅需上位機程式設計,無需額外硬體參與,因此在修改電機引數或修改被模擬部分的引數時方便快捷,可大大提高功能驗證和故障注入在測試開發測試階段的效率。
本文搭建的測試平臺,可針對PCU系統不同故障型別開展如下故障注入測試專案,見表6。透過設計測試用例,實現工況自動化測試能力。
根據底層故障模式和種類,結合HIL臺架完成故障注入測試,評價安全機制和安全措施是否有效執行,以及執行結果是否實現了功能安全要求。
以CAN匯流排故障為例,電機控制器一般放置在動力CAN網路中,駕駛員的控制命令輸出給整車控制器,整車控制器經過策略執行後,輸出扭矩控制指令給電機控制器,如果整車控制器和電機控制器之間的CAN傳輸發生故障(例如:VCUCAN匯流排受干擾導致CAN匯流排節點丟失、或CAN匯流排的R/C阻抗變化大都有可能導致訊號接收的不完整),電機控制器收不到扭矩指令,可能會造成整車危害。圖3是CAN匯流排故障注入測試介面,模擬故障如短路、斷路、R/C阻抗等。
注入故障後,考察系統內部的安全機制和安全措施是否正常發揮作用,使系統在故障響應時間間隔內進入了安全狀態,如:主動短路模式(ASC)、滑行模式(Freewheeling)等。如圖4所示,在高速零扭矩控制狀態下,通訊故障(前一個脈衝訊號)發生後,激發安全機制,電控進入ASC模式,通訊恢復(後一個脈衝訊號),電控回到零扭矩控制模式。根據測試結果可以看到,本文搭建的測試平臺可有效實現訊號級和功率級的功能安全故障注入測試。
4 結束語
本文以某混動車型搭載的PCU系統為例,給出了PCU系統在概念階段功能安全開發的示例,並搭建了功率級HIL硬體測試平臺,給出了透過進行故障注入測試進行功能安全驗證和確認的方法。從功能安全開發V模型的左側和右側兩個方面給出了示例,為企業實際開展電控系統功能安全正向開發提供了借鑑和參考。