新能源汽車動力電機控制器硬件功能安全的需求開發

彭曉宇

（中國第一汽車股份有限公司技術中心 汽車電子部，吉林 長春 130011）

電機控制器控制單元作為電動汽車動力總成的核心部件，直接控制扭矩和車速，涉及大功率IGBT驅動、高電壓和大電流，處于強電磁干擾環境中，如果發生失效，將危及到整車、駕駛員和行人的安全。

關于汽車電子功能安全，目前國際上通用的標準為ISO 26262和VDA E-Gas Monitoring Concept，ISO 26262為國際標準化組織頒布的汽車電子/電氣系統功能安全標準，VDA E-Gas Monitoring Concept是由奧迪、戴姆勒克萊斯勒、保時捷、大眾等歐洲主流整車廠，以及博世、大陸等汽車電子主流供應商共同制定的《汽油機和柴油機的電子節氣門監控標準》，其通用的監控概念同樣適用于動力電機控制器。ISO 26262和VDA E-Gas Monitoring Concept為本文提供了理論基礎，本文的分析按照圖1所示的ISO 26262開發過程進行。本文的需求開發在實踐層面上符合圖2所示的VDA EGAS三級安全監控機制。

1 電機控制系統結構功能示意圖

電機控制系統的系統框圖如圖3所示，扭矩指令和速度指令信息由HCU通過CAN總線下發給電機控制器，電機控制器采集相電流、母線電壓和電機轉子位置計算出實際扭矩和實際轉速，通過轉速閉環控制和扭矩閉環控制完成扭矩控制、轉速控制和電壓控制。

圖1 ISO 26262功能安全開發流程圖

圖2 VDA EGAS三級安全監控機制示意圖

圖3 電機控制系統結構功能示意圖

2 電機控制系統危害分析與風險評估

由上述分析可知，電機控制系統的主要功能可以歸納為以下3點：①扭矩控制；②轉速控制；③電壓控制。針對這3項主要功能對其進行失效模式分析和風險分析，也對風險的嚴重等級、發生頻度和可控性進行了分析，得出每一項風險對應的ASIL等級和安全目標，見表1和表2。

表1 危害分析與風險評估

表2 安全目標與安全狀態

3 電機控制系統功能安全需求與技術安全需求

根據ISO 26262第三部分的要求，從上面列出的功能安全目標和安全狀態導出功能安全需求，如表3所示，列出了達成安全目標和安全狀態的功能層面的必備條件。

根據ISO 26262第四部分的要求，需要將功能安全需求轉化為技術安全需求，結合電機系統的結構和功能，遵循功能安全診斷、冗余、監控和關斷這4個主要方法，得出技術安全需求主要內容見表4。

4 電機控制系統硬件安全需求分析

由技術安全需求向下分解，在硬件層面上形成硬件安全需求，主要內容見表5。

表3 功能安全需求

5 電機控制系統硬件安全需求處理單點故障的能力分析

ISO 26262要求盡量降低隨機硬件故障導致的單點失效，下面對上述硬件安全需求處理單點故障的能力進行分析，由表6可見，對于常見的隨機硬件故障，按照上述安全需求設計的硬件能夠保證系統正常運行或進入安全狀態，不會產生不可接受的風險。

6 結束語

隨著新能源汽車的普及和功能安全標準的落地，作為新能源汽車主要動力源的動力電機的功能安全重要性日益凸顯。本文所述的安全需求具有平臺化和通用化的特征，基于上述的硬件安全需求，在某款新能源汽車的永磁同步電機項目上進行了硬件設計實現，經過臺架試驗的驗證，該安全需求正確合理，有效地保證了整個電機控制系統的功能安全。

表5 硬件安全需求

表6 硬件安全需求處理單點故障的能力分析