电动汽车电机驱动控制器功能安全架构研究
2020-11-25 23:30:00
来源 | 汽车功能安全
本文摘要
基于汽车功能安全的相关标准,介绍了危害分析与风险评估的基本方法,并由此确定了电动汽车电机驱动控制器的安全目标和汽车安全完整性等级;通过对 EGAS 架构的分析,提出了其功能监控层的实现方法,详细阐述了针对不同微处理器结构实现系统功能安全架构的设计方法,并通过 Matlab 仿真分析和台架测试进行了验证。研究结果表明,双芯片微处理器的系统安全架构对安全目标的实现以及标准化产品开发具有显著优势。
限于篇幅,本文仅以“非预期的转矩增加”的功能失效行为为例进行分析,则在整车层面产生的潜在危害是“非预期的车辆加速”。对于该危害,从不同的场景分析 S,E,C 等级。以“汽车在市区缓行且前方有行人”的场景为例进行分析,该场景在日常驾驶中非常常见,几乎发生在每次驾驶中,其运行场景暴露概率(E)等级可定义为 E4[6];非预期加速后与前方行人发生碰撞,属于“行人 / 自行车事故”,极有可能造成人员死亡,其严重度(S)等级可定义为 S3[6];而一般驾驶员可以通过猛踩制动踏板使车辆减速或停下,因此其可控性(C)等级可定义为 C2。由此,在该运行场景下,ASIL 等级可确定为 C。如上所述,还应对该危害的其他场景进行分析,以便确定控制系统的最终 ASIL 等级,表 3 给出了基于“非预期的转矩增加”几个典型场景的HARA 分析结果。
从上述分析可知,“非预期的转矩增加”在不同的场景下所对应的 ASIL 等级并不相同,应选择最高的ASIL 等级进行开发(本例确定为 ASIL C)。需要说明的是,HARA 分析是功能安全开发中非常重要而且复杂的工作,本文主要对分析方法进行研究,所做的 HARA分析是基于“非预期的转矩增加”几个典型场景,而最终的 ASIL 等级确定需要综合考虑所有场景。
根据 1.1 节分析,电机驱动控制器的安全目标是“避免非预期的转矩增加”,将其分解到2.1 节 EGAS 架构中的 Level 2 层,对应的安全目标为“实现转矩的正确监控”。因此,要实现电机驱动控制器的功能安全,需要对输出转矩进行实时监控。根据文献 [10] 可知,永磁同步电机转矩方程为:
根据离线辨识结果,d轴电感变化范围较小,故取定值0.23 mH。将上述参数代入式(1)和式(2),并通过Matlab对实际输出转矩与观测转矩进行电机系统仿真,仿真结果如图4~图6所示。
本文总结
本文首先介绍了危害分析与风险评估的方法,基于该方法确定了电动汽车电机驱动控制系统的一个安全目标及其 ASIL 等级;通过对 EGAS 架构的介绍,提出了转矩监控层的实现方法,Matlab 仿真分析和台架测试结果验证了该方法的可行性;文章最后分析了不同微处理器结构实现系统安全架构的方法。分析表明,单核锁步架构的硬件复杂度较低,但对于软件安全架构的实现具有一定的难度,多核锁步或双芯片架构能有效解决这一问题,然而双芯片架构在硬件结构方面较前两种架构略显复杂,但却在 EGAS 架构的实施和标准化产品设计方面具有明显优势。产品功能安全的具体实施仍需进一步的研究。
其中参考文献及引用文章见下面几篇或搜索本公众号具体发布文章内容:
The Research of Electric Vehicle’s MCU System Based on ISO26262
基于ISO26262的车辆电子电气系统故障注入测试方法