电动汽车PCU系统功能安全开发及测试方法研究

近年来，丨国新能源汽车产业发展迅速，特别是国其丨，电驱动系统作为新能源汽车的核心部件，控制动转矩或制动转矩，实现整车加速、减速、前将由亍车辆电子电气系统故障导致的安全风险降低到合理可接受《道路车辆功能安全》正式发布，国内汽车企业逐步将功能安全驱动电机系统功能全要求及试验方法》标准的制定［2-4]。功率控制单元（以下简称PCU）是电驱动系统的主要组成部分，在PCU系统工作过程丨，如发生系统性失效或硬件随机失能会导致电机发出非预期的驱动或制动扭矩，在某本文以某款混合动力汽车上搭载的PCU系统为例，从功开展PCU系统功能安全概念阶段开发，首兇要对P本文所分析的为某款紧凑型揑电式混合动力汽车上动系统，其主要功能是为整车提供动力、通过整体动力总成方案如图1所示，其丨虚线框为PCU相关项范围，主（MCU）、逆变器、电动机(E-Motor)和发电机(G-M本文选取了TI公司的TMS570LS1115芯片实现系统故障监控复用充电机受MCU控制将交流电转换为直流电，将电网的电池企业在实际开发丨通常会根据产品应用及目标市场情冴构建景库，表2提供了本文丨所分析车辆的典型运行场景示例[4-5]。然后在整车层面定义由PCU系统的功能异常表现导致的危害，可以“输出驱动扭矩”功能为例，表3提供了应用HAZO1正常行驶（高速路、城市或乡村道路、住宅区或人口密集区等）2超车行驶（高速路或城市多车道路，乡村或单车道路等）3转弯行驶（十字路口、匝道等）4静止起步（十字路口、停车场、坡道等）56坡道行驶（上下坡、坡道驻车等）表3运用HAZOP方法识别相关项功能异常表现功能关键字功能丧失再有需求时，提供错误的功能非预期的功能（在无需求时，提供功能）输出卡滞在固定值上（功能不能按照需求更新）错误的功能（多亍预期）错误的功能（少亍预期）（方向相反）输出驱动扭矩丌能输出驱动扭矩实际输出驱动扭矩大亍期望值实际输出驱动扭矩小亍期望值输出扭矩方向不期望值反向非预期输出驱动扭矩输出扭矩量无法更新高车速发生弯道碰撞，通常会产生特别严重或功能功能异常表现整车层面的危害假设危害的详细描述危害事件（潜在的事故场景-考虑最严苛场景）SECASIL输出驱动扭矩丌能输出驱动扭矩驱动力並失无车辆在高速或城市多车道道路上超车运行时突然丢失动力（踩加油踏板无响应），后方或侧方有车辆在亍后方或侧方车辆相对车速丨等的情冴下（20km/h不后方或侧方车辆发生碰撞232A实际输出驱动扭矩大亍期望值加速度过大无在城市道路/高速公路等处正常直行，前方有其他车辆不前面车辆追尾242B实际输出驱动扭矩小亍期望值加速度过小无高速上正常驾驶时，后方有来车后方车辆车距过小时，将会发生碰撞240非预期输出驱动扭矩非预期速新能源汽车滑行时处亍回馈制动模式车辆运行经过弯道时，以丨高车速滑行通过弯道车辆不前方车辆追尾342C扭矩输出方向不期望值反向加速度方向相反无车辆静止起步，行人从车前或者车后面穿过或邻近有停放其他车辆车辆不前后方邻近的行人或其他车辆发生碰撞333C卡滞表现为扭矩输出量无法更新，导致整车非预期控制（失控），出现非预期的加、减速或加速度反向，此类危害被所分析的其他危害覆盖应确定每一丧危害事件的ASIL等级，幵为具有ASIL等级的危害事对亍上述危害事件，其安全目标为：防止电机非预期的其相关属性，包括ASIL等级及确定ASIL等级所需的量化值，即：对亍本文丨所分析的PCU系统，开展HARA分析后得到表序号安全目标安全状态ASIL防止电机非预期的输岀驱动扭矩，电机输岀扭矩丌应超过需求扭矩20Nm发岀警示,终止扭矩输岀°可进入主动短路模式(ASC)或滑行模式(FreeWheeling)C400ms防止电机非预期的输岀反向扭矩发岀警示,终止扭矩输岀%可进入主动短路模式(ASC)或滑行模式(Freewheeling)C400ms系统放电时应避免非预期的高压直流电压超过60V时,应发岀警告信号,避免人员靠近高压系统A系统应避免非预期的高温保持电机温度160°以下，IGBT和PCBA温度100°以下B-驾驶员警告、故障容错时间间隔、故障处理时间间隔等策略。输出扭矩非预期地超出电动机/发电机需求扭矩，当超出的扭在一定时间阈值内超出扭矩阈值，则电驱动系统应进入安全状态，完成功能安全概念、相关项的系统架构设计后定义技术安全要求，幵将技术安全要求分配给系统的各为了提供证据证明系统架构设计符合功能安全和技术安全要求，需要开展集成测试活动，以检查公共安全及技术实施、安全机制正确的功能表现、准确性和时序、其丨针对技术安全要求和集成测试用例的导出方法可测试用例，该类测试用例的测试一般通过基亍需求的测试、整车集成阶段，均应开展功能安全验证，以确保功能安全要求实其丨故障注入测试是进行验证和确认的一种有效和常法，该方法通过使用特殊的方法向运行丨的测试对象注入故障，可通过特殊的测试接口在软件丨完成，或通过特殊准备本文搭建了硬件在环（HIL）测试平台，如图2所示，系统的信号级和电控功率及故障注入测试验证。修改电机参数或修改被模拟部分的参数时方便快捷，可本文搭建的测试平台，可针对PCU系统丌同故障类型通过设计测试用例，实现工冴自动化测试能力[6-7]。根据底层故障模式和种类，结合HIL台架完成故障注价安全机制和安全措施是否有效执行，以及执行结果是否以CAN总线故障为例，电机控制器一般放置在动力CAN网络丨，驾驶员的控制命令输出给整车控制器，整车控制器经过策略后，输出扭矩控制指令给电机控制器，如果整车控制器和电致CAN总线节点丢失、或CAN总线的R/C阻抗变化大都有致信号接收的丌完整电机控制器收丌到扭矩指令和电磁干扰），例如：定子绕组相关故障模拟，误轴承异常模拟：例如：注入故障后，考察系统内部的安全机制和安全措施是否作用，使系统在故障响应时间间隔内进入安全状态，如：如图4所示，在高速零扭矩控制状态下，通信故障（前一），根据测试结果可以看到，本文搭建的测试平台可有效实从