庄兴明，张琴

(北京锋锐新源电驱动科技有限公司,北京 102206)

基于ISO 26262标准的车用驱动电机系统设计研究

庄兴明，张琴

(北京锋锐新源电驱动科技有限公司,北京 102206)

针对道路车辆功能安全标准 ISO 26262对汽车零部件设计开发的要求，根据驱动电机系统应用在电动汽车上的运行特点，对可能的危险事件进行评估和分析，确定了车用驱动电机系统的功能安全目标和功能安全需求。在概念设计阶段，从系统设计层面开展功能安全设计，提出了一系列的硬件设计、软件设计等相关措施，来提高车用驱动电机系统的安全性和可靠性。

驱动电机系统；功能安全；ISO 26262标准

0 引言

随着电气电子设备在汽车领域尤其是控制系统中的大量使用[1]，一些新的安全问题不断出现，如丰田汽车的制动故障问题、捷豹汽车的巡航系统软件缺陷问题等[2-3]。这类危险事故的频发，使得各大汽车公司都越来越关注功能安全，也促使国际标准化组织(ISO)研究并制定了专门针对汽车电子电气系统的功能安全国际标准 ISO 26262[4]。该标准涉及汽车电子电气系统的整个汽车安全生命周期(从概念设计、产品开发到生产运行阶段)及其管理过程，对汽车企业及其零部件企业提出了很高的要求。目前，国内已有较多的整车厂商在针对ISO 26262标准开展功能安全设计研究[5-8]，但是针对车用驱动电机系统的功能安全设计研究还很少[9]。文献[9]对永磁同步电机的故障进行了详细分类，并总结了各种故障带来的影响，但缺少对整个电机系统尤其是控制系统的研究。作者针对功能安全标准ISO 26262的要求，以车用驱动电机及其控制系统为研究对象，开展其功能安全概念阶段设计研究。

1 功能安全标准ISO 26262

ISO 26262涵盖功能安全相关开发的各个过程(包括规划、设计、验证和确认等)，并根据汽车行业的特点定义了汽车安全完整性等级(ASIL)，分为A、B、C、D 4个等级，安全等级依次升高。系统的安全完整性等级越高，标准对系统开发时的设计要求就越高，核查和确认方法也越严格。在进行系统开发时，应当先确定系统的ASIL等级，否则系统设计可能会陷入过度设计或过弱设计。ASIL等级由3个因素来确定：伤害严重程度S、发生概率E和可控性C。伤害严重程度是指危险对驾驶员或其他交通参与人员造成伤害的严重程度，分为无伤害、轻度伤害、重度伤害但无生命危险、重度伤害并可能危及生命，分别对应0～3等4个等级。发生概率是指导致危险事件发生所需车辆行驶工况发生的概率，需考虑行驶速度、路况、天气等因素，分为不可能发生、极低概率发生、低概率发生、中等概率发生、高概率发生，分别对应0～4等5个等级。可控性是指危险涉及的驾驶员和其他交通参与人员及时采取控制行动避免特定伤害的能力，分为完全能够控制、容易控制、通常可以控制和难以控制，分别对应0～3 等4个等级。ASIL分级规则如表1所示。表1中QM表示与安全无关，S0、E0 或 C0 事件对驾驶员、行人和车辆没有危害，因而不评定ASIL等级。

表1 ASIL分级表

2 车用驱动电机系统的功能安全需求

2.1 车用驱动电机系统

车用驱动电机系统是电动汽车的核心部件之一，可以将动力电池的电能转换为机械能从而为汽车提供驱动力，也可以在制动时将机械能回收并转化为电能而存储于动力电池。如图1所示，其中的双点划线框内即为典型的采用交流电机的车用驱动电机系统。一般除了位置传感器集成在电机中，其他传感器和数字控制系统都集成在逆变器中组成电机控制器，因此一般的车用驱动电机系统都由电机和电机控制器两个部件组成。

图1 典型的车用驱动电机系统原理图

驱动电机根据其工作原理不同有多个种类，其中永磁同步电机因具有高功率密度、高效率等优点，已成为车用驱动电机的主流，文中也主要针对永磁同步电机系统进行研究。永磁同步电机由很多个零件组成，其中永磁体、轴承、旋转变压器、定子绕组为关键零件，这些关键零件的故障可能会引起电机转矩输出异常，进而影响整车安全行驶。电机控制器也由很多个零件组成，其中功率模块、支撑电容、传感器、驱动电路、控制电路等为关键零件，也是车用驱动电机系统功能安全设计中的研究重点。

2.2 车用驱动电机系统的功能安全目标和功能安全需求

车用驱动电机系统的主要功能是根据驾驶员的指令，为整车提供驱动力。对车用驱动电机系统来说，影响整车安全驾驶的危险事件是“车用驱动电机系统的实际输出转矩大幅偏离转矩指令(即驾驶员的需求动力)”。对该危险事件进行评估和分析，可以确定其 ASIL等级。为了考虑驱动电机系统故障影响最严重的情况，以应用于纯电动汽车中的车用驱动电机系统为例进行分析(文中研究对象的应用背景也定为纯电动汽车)。

如果车用驱动电机系统的实际输出转矩大幅偏离转矩指令，可能造成车辆失控，比如车辆在正常跟车行驶时突然违背驾驶员意愿而急加速造成追尾事故，这种危险事件对驾驶员和行人会造成伤害；或者车辆在人流量大的区域缓慢行驶时突然急加速而造成撞人事故。实际输出的转矩与转矩指令的偏差越大，可能造成的伤害也越大，伤害严重程度(S值)可达到最高值3。车辆需要输出动力的状态非常常见，因此危险事件发生所需车辆行驶工况发生的概率(E值)取最高值4。发生这种危险时较难操控，但一般驾驶员只要不过于慌乱，可以通过猛踩制动等方式使车辆停下，因此可控性设为C2。根据表1，该危险事件的ASIL等级可达到S3+E4+C2=ASIL C。

根据上述针对该危险事件的评估与分析，可以确定研究的车用驱动电机系统的功能安全目标是：防止车用驱动电机系统发生“实际输出转矩大幅偏离转矩指令”故障，汽车安全完整性等级达到ASIL C级。针对功能安全目标，对车用驱动电机系统提出功能安全需求如下：

(1)车用驱动电机系统应当采取措施尽量避免发生“实际输出转矩大幅偏离转矩指令”；

(2)车用驱动电机系统应当能够及时检测到“实际输出转矩大幅偏离转矩指令”故障的发生；

(3)“实际输出转矩大幅偏离转矩指令”故障发生后，车用驱动电机系统应当尽快切换到安全状态。

3 车用驱动电机系统的功能安全设计

在概念阶段，针对车用驱动电机系统的功能安全需求，在系统设计层面可以分别从3个方面来开展功能安全设计。

3.1 故障的避免措施

图2中所示的各个模块都有可能出现故障，从而导致发生“实际输出转矩大幅偏离转矩指令”的故障。这些模块可能出现的严重故障大都是单点故障，为了减小系统故障的产生概率，各个模块可以采取冗余措施将单点故障转化为多点故障，具体如下：

图2 从接收转矩指令到输出转矩的过程的原理框图

(2)电压采样。如果电压采样发生故障也可能使得调节出的电流突变而导致输出转矩急剧变化，尤其是在高速弱磁运行时。为了提高电压采样的可靠性，可以同时对3个驱动桥臂上的母线电压进行采样，采用分压电路的硬件成本增加很少，但可以显著提高电压采样的可靠性。

(3)电流采样。一般情况下，为了节省成本，电机控制器只对两相电流进行采样，当某一相的采样电流值因传感器或处理电路故障而发生错误时，肯定会导致电机输出的转矩大幅偏离转矩指令。因此，更为可靠的方式是同时对三相电流进行采样，不仅可以对电流不平衡问题进行监测，而且当一相电流采样发生故障时，另两相电流采样仍然能够维持电机系统运行。

(4)旋转变压器。当旋转变压器故障时解码得到的转子位置角将会紊乱，进而导致矢量控制后输出的转矩紊乱从而大幅偏离指令值。可以采取两种冗余措施：一种是加入低成本低精度的霍尔传感器，当旋转变压器产生故障时可以基于低精度的霍尔传感器实现正弦波控制，从而维持驱动电机系统的正常工作，虽然其控制精度会有所降低；另一种是采用无位置传感器方法，基于电流和电压值估计转矩位置角，当旋转变压器出现故障时，可以使得车辆能在无位置传感器模式下跛行一小段时间，从而能够靠边停车。

(5)解码芯片。电机控制器中一般采用解码芯片根据旋转变压器输出的正余弦电压信号来解析得到位置角。为了防止解码芯片故障带来的影响，可以采用软件解码作为冗余措施。随着主控芯片的升级，其AD采样频率和运算能力能够支持软件解码运算，尽管其输出位置角精度稍差于解码芯片的位置角精度，仍然可以在解码芯片故障后切换使用软件解码得到的位置角，维持电机系统继续运行。

(6)软件计算。软件计算包括采样计算、转矩-电流查表、矢量控制、SVPWM等计算环节，如果主控芯片出现故障，比如由外部因素(如辐射或电磁干扰)导致的内核或内存的大转变等，导致软件运算错误，则也可能导致系统输出的转矩异常。为了避免这种情形，可以采用双核的汽车级芯片，如飞思卡尔的MPC564xL系列、德州仪器(TI)的TMS570等，以双核锁步模式运行主控芯片的关键模块，包括核、总线、中断控制器、看门狗、SRAM 控制器、Flash 控制器等，通过对关键部件的冗余，使两个核在相同周期执行相同的指令，然后在每个时钟周期对比二者的数据、地址和控制信号，以检测运行偏差，将检测到的错误报告给错误收集和应对模块，从而进行安全状态控制[11]。

(7)驱动电路、功率模块和电机绕组。驱动电路、功率模块或电机绕组损坏时也会导致严重的转矩输出异常，为了提高系统的可靠性，可以采用多相电机系统方案，当某一相上的驱动电路、功率模块或电机绕组损坏时，系统仍然能维持工作，虽然控制性能有所降低。然而，采用多相电机系统会较大程度地提高系统的成本。

采用上述的信息冗余、硬件冗余和软件冗余措施，可以提高系统的可靠性和安全性。需要注意的是，在采取冗余措施的同时还要同时考虑硬件的失效率。根据ISO 26262的要求，对ASIL C的安全目标相关硬件指标要求为：单点故障指标大于97%；潜伏故障指标大于80%；硬件随机失效率小于10-7/h。虽然通过采用硬件冗余措施可以减少单点故障，提高单点故障指标，但如果硬件的失效率较高，则仍然无法达到ASIL C的要求。

3.2 故障检测

即使采取了上节中所述的各种冗余措施，也无法完全避免故障的发生。如果能够对故障及时进行检测并进行合理的处理，也能够进一步保证系统的安全。对于“实际输出转矩大幅偏离转矩指令”故障来说，可以通过转矩监控进行检测：即实时估算实际转矩并与转矩指令对比，当误差超过合理范围则可以判定“实际输出转矩大幅偏离转矩指令”故障。而合理的转矩误差范围则需要考虑转矩估计误差和转矩响应时间。

除了转矩监控之外，第3.1节中提到的各个模块也需要相应的故障检测措施：对于有冗余措施的模块，需要对模块故障进行检测才能在故障发生后及时切换至冗余通道；对于未采用冗余措施的驱动电路，则可以对实际输出的驱动电压进行检测并与软件计算出的驱动电平进行比较，从而更早地检测出异常。在新的一些主控芯片中已经具有这种PWM信号的反馈检测功能，可以直接进行利用。

3.3 故障处理

当系统检测到“实际输出转矩大幅偏离转矩指令”的故障不可避免地发生时，需要及时将系统切换至安全状态。故障的容忍时间间隔一般在20 ms以内[12]，在该时间间隔以内将系统由故障状态切换至安全状态可以将风险降至最低。

至于所谓的安全状态，并不是指完全安全的状态，因为汽车行驶在道路上不能确保完全安全。如果车辆在行驶时检测到系统零部件发生故障后能够及时地切换到跛行模式，则也能尽可能降低事故发生的概率。对于车用驱动电机系统来说，也需要有“跛行模式”，比如在确认输出转矩已大幅偏离时能够迅速过渡至平稳输出较小动力，保证驾驶员能够在车辆有较小动力的情况下通过操作刹车和方向盘等来尽可能避免事故发生。

综合第3.1节至第3.3节的阐述可知，在采用信息冗余、硬件冗余和软件冗余等冗余措施减少单点故障的基础上，通过增加完善的故障检测功能和及时的故障处理措施可以显著减少系统性失效，从而进一步提高系统的安全性和可靠性。文中阐述的功能安全设计主要在概念阶段的系统设计层面，至于具体的硬件、软件等设计，需要综合考虑成本以及硬件失效率等，并按照严格的开发流程，来达到相应ASIL C安全等级的要求。

4 结束语

(1)车用驱动电机系统的功能安全目标是防止车用驱动电机系统发生“实际输出转矩大幅偏离转矩指令”故障，安全等级达到ASIL C级。

(2)通过采取故障避免措施、故障检测和及时处理可以提高车用驱动电机系统的可靠性和安全性。

(3)文中的研究工作主要是在概念阶段的系统设计层面，而系统能否达到功能安全要求，则需要在其整个安全生命周期按照ISO 26262标准要求进行开发和运行。

【1】EBERT C,BURTON S,AMSLER K,et al.Introducing Automotive E/E Safety Engineering:Challenges and Solutions[R].White Paper of Vector Consulting Services,2011.

【2】祁克光．嵌入式系统开发中ISO26262标准应用研究[J]．汽车电器,2013(10):31-34． QI K G.Application Research on the Standard ISO 26262 in Development of Embedded System[J].Auto Electric Parts,2013(10):31-34．

【3】李娟，王宏大，祝慧，等．一种基于功能安全的汽车PEPS系统[J]．农业装备与车辆工程，2014，52(4)：57-59． LI J,WANG H D,ZHU H,et al.The Automotive PEPS System Based on Functional Safety[J].Agricultural Equipment & Vehicle Engineering,2014，52(4)：57-59．

【4】ISO/DIS 26262．Road Vehicles-Functional Safety[S]．Geneva IEC,2009．

【5】文凯，夏珩，裴锋，等.基于ISO 26262的电动四驱混合动力系统功能安全概念设计[J]．机电工程技术，2012，41(12)：74-76． WEN K,XIA H,PEI F,et al.Electric 4 Wheel Drive Hybrid System Functional Safety Conception Design for ISO 26262[J].Mechanical & Electrical Engineering Technology,2012，41(12)：74-76．

【6】朱叶．基于ISO26262的动力电池系统高压功能安全概念[J]．汽车零部件，2013(5)：97-100． ZHU Y.High Voltage Functional Safety Concept about Battery System Based on ISO26262 Perspective[J].Automobile Parts, 2013(5)：97-100．

【7】刘佳熙，于世涛，郭辉．符合ISO26262要求的汽车起停系统功能安全开发[J]．上海汽车，2014(4)：59-62．

【8】葛鹏，陈勇，罗大国，等．基于道路车辆功能安全标准ISO26262的7DCT电控系统设计[J]．汽车技术，2014(9)：21-23． GE P,CHEN Y,LUO D G,et al.Design of DCT Electrical Control System Based on Road Vehicle Functional Safety Standard ISO 26262[J].Automobile Technology,2014(9)：21-23．

【9】邬肖鹏，刘飞，熊璐，等．ISO26262标准下永磁同步电机故障对整车安全性的影响分析[J]．汽车技术，2013(2)：13-18． WU X P,LIU F,XIONG L,et al.Analysis of Impact of PMSM Failure on the Safety of EV under ISO26262[J].Automobile Technology,2013(2)：13-18．

【10】杨福宇．CAN总线的功能安全问题[J]．单片机与嵌入式系统应用，2013(2)：17-20． YANG F Y.Function Safety Issue in CAN Bus[J].Microcontrollers & Embedded Systems,2013(2)：17-20．

【11】MISHRA A，BAUMEISTER M．MCU实现汽车功能安全合规性[J]．电子产品世界，2013(3)：22-24． MISHRA A，BAUMEISTER M．Freescale Microcontrollers for Functional Safety Compliance[J].Electronic Engineering & Product World,2013(3)：22-24．

【12】KWON H,ITABASHI-CAMPBELL R,MCLAUGHLIN K.ISO26262 Application to Electric Steering Development with a Focus on Hazard Analysis[C]//Systems Conference(SysCon),IEEE International,2013.

Research on Design of the Motor Drive System in Electric Vehicle Based on ISO 26262

ZHUANG Xingming, ZHANG Qin

(Beijing First-rate New Energy Edrive Technology Co., Ltd.,Beijiang 102206,China)

Based on the requirements for the development of auto parts in road vehicle functional safety standard ISO 26262 and the operation characteristic of the motor drive system applied in electric vehicle, the possible risk events were assessed and analyzed, and then the aim and the requirements of the functional safety for the motor drive system were analyzed and determined. In order to improve safety and reliability of the motor drive system, system level design aiming at functional safety was carried out, and a series of strategies were provided.

Motor drive system; Functional safety; ISO26262 standard

2016-08-26

庄兴明(1985—)，男，工学博士，主要从事驱动电机控制相关研究。E-mail:zhuangxm163@163.com。

10.19466/j.cnki.1674-1986.2016.12.004

U461.3

A

1674-1986(2016)12-018-04