电动汽车PCU系统功能安全开发及测试实例

功率控制单元(以下简称PCU)是电驱动系统的主要组成部分,对其效率、功率密度和可靠性起着主导作用。

在PCU系统工作过程中,如发生系统性失效或硬件随机失效,有可能会导致电机发出非预期的驱动或制动扭矩,在某些驾驶场景下使车辆发生碰撞、追尾等事故,危及驾乘人员安全。

本文以某款混合动力汽车上搭载的PCU系统为例,从功能安全开发概念阶段的分析出发,提出安全目标、功能安全要求和技术安全要求。并在V模型开发右侧,以故障注入测试方法为例,给出验证和确认方法的示例。

1 相关项定义

开展PCU系统功能安全概念阶段开发,首先要对PCU系统进行相关项定义,包括:功能概念、边界和接口、运行模式和状态、相关项的约束、法规要求、已知的失效模式和危害等。

本文所分析的为某款紧凑型插电式混合动力汽车上所搭载的电驱动系统,其主要功能是为整车提供动力、通过车载充电器为电池充电等,而PCU主要负责电驱动系统的能量流向和分配。整体动力总成方案如图1所示,其中虚线框为PCU相关项范围,主要包括:高压变换器/复用充电机(BOOST/OBC)、控制器(MCU)、逆变器、电动机(E-Motor)和发电机(G-Motor)等。

 

1)电动机:通过以一定开关管动作的逆变器控制实现功率转换过程,其可工作于电动模式或发电模式。在发电模式,电机为高压电池充电;在电动模式,电机为系统提供驱动力。

2)发电机:同样通过以一定开关管动作的逆变器控制实现动能向电能转换的过程,其由发动机驱动发电机为高压电池充电或者为电动机提供电能。

3)控制器:控制逆变器实现直流高压与交流电压的互相转换,控制三相交流电压的幅值与频率,进而控制电动机和发电机的输出扭矩。本文选取了TI公司的TMS570LS1115芯片实现系统故障监控、故障处理等控制功能,以及TMS320F28379D芯片,实现电动机、发电机、BOOST/OBC的控制功能。

4)逆变器:根据MCU发出的PWM控制指令将Boost升压的直流电转换为高压交流电,以此控制发电机和电动机工作。5)高压变换器/复用充电机:高压Boost变换器受MCU控

制以实现电池高压与电机输入直流高压的升降压。复用充电机受MCU控制将交流电转换为直流电,将电网的电能转化为车载高压电池的电能。在本项目中OBC被集成在Boost中。

PCU系统的主要功能列表见表1。

 

2 危害分析和风险评估

基于上文的相关项定义,对PCU系统开展危害分析和风险评估。首先对PCU系统发生功能异常表现时,车辆所处的运行场景及运行模式进行描述,包括正确使用车辆和合理可预见的不正确使用车辆的情况。

表2提供了本文中所分析车辆的典型运行场景示例。然后在整车层面定义由PCU系统的功能异常表现导致的危害,可通过FMEA、HAZOP、STPA等危害识别方法系统性地识别危害。以“输出驱动扭矩”功能为例,表3提供了应用HAZOP分析方法识别相关项的功能异常表现的示例。

 

 

 

运行场景和危害的相关组合可确定危害事件,并对每一个危害事件定义为E(暴露概率)、C(可控性)、S(严重度)三个参数,以及对应的ASIL等级,HARA分析示例见表4。以表4中“非预期输出驱动扭矩”导致的危害事件为例:由于在较高车速发生弯道碰撞,通常会产生特别严重或致命伤害,严重度为S3。大多数驾驶员平均每天都会遭遇此驾驶场景,其在平均驾驶时间中的占比大于10%,暴露概率为E4。由于大于90%的驾驶员可通过制动或转向控制车辆避免发生碰撞,可控性为C2。根据S、E、C三个参数的组合,该危害事件的汽车安全完整性等级为ASILC。

 

应确定每一个危害事件的ASIL等级,并为具有ASIL等级的危害事件确定一个安全目标。对于上述危害事件,其安全目标为:防止电机非预期的输出驱动扭矩。安全目标是相关项最高层面的安全要求,安全目标的定义应包含其相关属性,包括ASIL等级及确定ASIL等级所需的量化值,即:安全度量。对于本文中所分析的PCU系统,开展HARA分析后得到表5中的安全目标示例。

 

为上述每一个安全目标导出至少一项功能安全要求,考虑包括故障避免、故障探测、故障控制、安全状态、故障容错、功能降级、驾驶员警告、故障容错时间间隔、故障处理时间间隔等策略。并将其分配给相关项的初步架构要素或外部措施。本文针对表5中的安全目标SG1、SG2,给出如下的功能安全要求示例。

1)FSR_01:电驱动控制系统应通过CAN总线建立通信接口,QM→SG1、SG2。

2)FSR_02:电驱动控制系统应通过CAN总线接收电动机和发电机的扭矩需求值,ASILC→SG1、SG2。

3)FSR_03:电驱动控制系统应通过CAN总线向VCU持续发送电动机和发电机的实际扭矩值,ASILC→SG1、SG2。

4)FSR_04:电驱动系统进行电驱动和发电的整车功能时,应避免输出扭矩非预期地超出电动机/发电机需求扭矩,当超出的扭矩值在一定时间阈值内超出扭矩阈值,则电驱动系统应进入安全状态,ASILC→SG1。

5)FSR_05:电驱动系统应对逆变器的PWM扭矩控制信号进行诊断,根据故障相位的数量关断开关,进行以下操作:单相位、两相位或更多相位关断功率管,ASILC→SG1、SG2。

完成功能安全概念、相关项的系统架构设计后,需要在系统层面定义技术安全要求,并将技术安全要求分配给系统的各要素或其他技术。以上述的功能安全要求FSR_02对应的技术安全要求如下示例。

①TSR_02_01:电驱动系统必须持续读取CAN信息中的扭矩指令。

②TSR_02_02:电驱动系统必须解析信息中的扭矩指令。

③TSR_02_03:TMS570芯片必须对CAN接收报文进行E2E校验(例如:CRC校验等)。

④TSR_02_04:E2E校验连续故障次数超过10次,TMS570芯片通过CAN通信上报VCU并控制电机进入安全状态。

⑤TSR_02_05:TMS570芯片应检测VCU请求扭矩范围的有效性。

⑥TSR_02_06:VCU请求扭矩超过合理范围,TMS570芯片通过CAN通信上报VCU并控制电机进入安全状态。

⑦TSR_02_07:CAN通信E2E校验故障如果恢复,电驱动系统应能恢复工作。

⑧TSR_02_08:任何一个邮箱的CAN通信丢失达到故障允许阈值时间,电驱动系统进入安全状态。

⑨TSR_02_09:任何一个邮箱的CAN通信丢失小于故障允许阈值时间,电驱动系统应能恢复工作。

为了提供证据证明系统架构设计符合功能安全和技术安全要求,需要开展集成测试活动,以检查功能安全及技术安全要求的正确实施、安全机制正确的功能表现、准确性和时序、接口的一致性和正确实施及足够的鲁棒性。其中针对技术安全要求和集成测试用例的导出方法可得出具体的测试用例,该类测试用例的测试一般通过基于需求的测试、故障注入、压力测试等。

3 故障注入测试方法

在PCU开发的不同阶段,包括软件单元、软硬件集成、系统集成、整车集成阶段,均应开展功能安全验证,以确保功能安全要求实现的正确性与安全目标的一致性和符合性。其中故障注入测试是进行验证和确认的一种有效和常用的测试方法,该方法通过使用特殊的方法向运行中的测试对象注入故障,可通过特殊的测试接口在软件中完成,或通过特殊准备的硬件完成。

本文搭建了硬件在环(HIL)测试平台,如图2所示,可用于PCU系统的信号级和电控功率级故障注入测试验证。信号级HIL是通过dSPACE模拟逆变器、电机、机械执行部分,而功率级PHIL测试是通过电机模拟器与MCU相连。HIL实现模拟的过程仅需上位机编程,无需额外硬件参与,因此在修改电机参数或修改被模拟部分的参数时方便快捷,可大大提高功能验证和故障注入在测试开发测试阶段的效率。

 

本文搭建的测试平台,可针对PCU系统不同故障类型开展如下故障注入测试项目,见表6。通过设计测试用例,实现工况自动化测试能力。

 

根据底层故障模式和种类,结合HIL台架完成故障注入测试,评价安全机制和安全措施是否有效执行,以及执行结果是否实现了功能安全要求。

以CAN总线故障为例,电机控制器一般放置在动力CAN网络中,驾驶员的控制命令输出给整车控制器,整车控制器经过策略执行后,输出扭矩控制指令给电机控制器,如果整车控制器和电机控制器之间的CAN传输发生故障(例如:VCUCAN总线受干扰导致CAN总线节点丢失、或CAN总线的R/C阻抗变化大都有可能导致信号接收的不完整),电机控制器收不到扭矩指令,可能会造成整车危害。图3是CAN总线故障注入测试界面,模拟故障如短路、断路、R/C阻抗等。

 

注入故障后,考察系统内部的安全机制和安全措施是否正常发挥作用,使系统在故障响应时间间隔内进入了安全状态,如:主动短路模式(ASC)、滑行模式(Freewheeling)等。如图4所示,在高速零扭矩控制状态下,通信故障(前一个脉冲信号)发生后,激发安全机制,电控进入ASC模式,通信恢复(后一个脉冲信号),电控回到零扭矩控制模式。根据测试结果可以看到,本文搭建的测试平台可有效实现信号级和功率级的功能安全故障注入测试。

 

4 结束语

本文以某混动车型搭载的PCU系统为例,给出了PCU系统在概念阶段功能安全开发的示例,并搭建了功率级HIL硬件测试平台,给出了通过进行故障注入测试进行功能安全验证和确认的方法。从功能安全开发V模型的左侧和右侧两个方面给出了示例,为企业实际开展电控系统功能安全正向开发提供了借鉴和参考。

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注