0 引言
伴随着新能源汽车产业的发展,车用电子电气系统的功能也日趋复杂,如何确保电子电气系统的功能安全已成为行业关注的重点和研究的热点。国际标准化组织(ISO)于2011年正式发布了ISO26262《道路车辆功能安全》标准,其提供了一套涵盖系统(包括硬件和软件)及其生产制造的完整功能安全设计流程与认证制度,以确保汽车行驶的安全性,并已成为汽车行业目前普遍接受的一套完整的评估并降低风险的方法,获得了全球主要汽车制造商以及零部件供应商的广泛认可和采用。尽管该标准针对功能安全性给出了完整的设计流程,对功能安全理念的引入发挥了至关重要的作用,但由于其并不涉及特定产品的具体设计,同时国内外的相关文献也鲜有介绍,因此如何正确地实现产品级的功能安全,对设计人员而言仍然具有一定的难度。
作为纯电动汽车核心动力部件,电机驱动控制器其功能安全的正确实施显得尤为重要。本文将从纯电动汽车电机驱动控制器的安全目标出发,详细阐述针对不同微处理器结构如何实现系统架构设计层面的功能安全。
1 电动汽车电机驱动控制器安全完整性等级分析
1.1 安全目标及安全完整性等级ASIL
产品安全性开发的最终目的是为了符合安全目标。安全目标是系统最高层面的安全要求,是危害分析和风险评估(HARA)的结果。基于HARA分析可以得出针对安全目标的汽车安全完整性等级(ASIL)。根据文献可知,ASIL等级的确定需要针对危害事件综合考虑严重度(S)、暴露概率(E)和可控性(C)的因素,如表1所示,其中D代表最高等级,A代表最低等级,QM表示质量管理。
对于S,E,C指标,文献中均有明确定义,本文不再赘述。需要说明的是,一个安全目标可能与多种危害相关,而多个安全目标也可能与某种单一的危害有关。对于一个电子电气系统,可能存在多个安全目标;而对于一个安全目标,在不同暴露场景下对应的ASIL等级可能不同,通常选择最高的ASIL等级进行开发。
文献介绍了ISO26262标准的HARA分析方法。基于该方法,可对纯电动汽车电机驱动控制器进行如下分析:控制系统的功能是“提供所需要的转矩”,对其进行危害与可操作性分析(HOZAP)的关键词可定义为“转矩”,HOZAP分析的目的是用于识别控制系统功能的失效。表2示出对于电机驱动控制器的HOZAP分析。
限于篇幅,本文仅以“非预期的转矩增加”的功能失效行为为例进行分析,则在整车层面产生的潜在危害是“非预期的车辆加速”。对于该危害,从不同的场景分析S,E,C等级。
以“汽车在市区缓行且前方有行人”的场景为例进行分析,该场景在日常驾驶中非常常见,几乎发生在每次驾驶中,其运行场景暴露概率(E)等级可定义为E4;非预期加速后与前方行人发生碰撞,属于“行人/自行车事故”,极有可能造成人员死亡,其严重度(S)等级可定义为S3;
而一般驾驶员可以通过猛踩制动踏板使车辆减速或停下,因此其可控性(C)等级可定义为C2。由此,在该运行场景下,ASIL等级可确定为C。如上所述,还应对该危害的其他场景进行分析,以便确定控制系统的最终ASIL等级,表3给出了基于“非预期的转矩增加”几个典型场景的HARA分析结果。
从上述分析可知,“非预期的转矩增加”在不同的场景下所对应的ASIL等级并不相同,应选择最高的ASIL等级进行开发(本例确定为ASILC)。需要说明的是,HARA分析是功能安全开发中非常重要而且复杂的工作,本文主要对分析方法进行研究,所做的HARA分析是基于“非预期的转矩增加”几个典型场景,而最终的ASIL等级确定需要综合考虑所有场景。
1.2 微处理器需求分析
将电动汽车电机驱动控制器的安全目标分解到电机驱动控制器的微处理器中,可知微处理器部分的ASIL等级应不小于ASILC。可以通过ASIL分解的方式使用普通的多芯片冗余方案来降低对微处理器本身ASIL等级的需求,但采用这种方法其设计成本和难度均远高于采用安全微处理器的,因此通常建议选择带锁步核的安全微处理器芯片,其ASIL等级通常为D。
目前符合ASILD等级的微处理器主要有单核锁步型(如TI公司的TMS570系列芯片)和多核锁步型(如NXP公司的MPC5746R系列芯片,Infineon公司的TC27x系列芯片等)两种。针对于不同数量的内核,功能安全架构的实现方式和难度也各异,本文将进一步对此进行分析。
2 符合功能安全的电动汽车电机驱动控制器EGAS系统架构设计
进行功能安全产品的开发时,需要对ASIL等级进行分解,可将其分解为基本功能与安全功能两部分。对基本功能的开发执行QM等级标准,而对安全功能的开发执行ASIL等级标准。对电机驱动控制器而言,即将安全目标分解为ASILC=QM(C)+ASIL(C)。为了实现这种分解,本文使用EGAS架构进行设计。
2.1 EGAS架构在功能安全中的应用
电机驱动控制器EGAS架构主要设计理念是将控制系统进行分层设计,即分为功能层(Level1)、功能监控层(Level2)和处理器监控层(Level3),如图1所示。
功能层(Level1)主要实现控制系统的基本功能,对电机驱动控制器而言,即执行转矩的输出;此外,其还包含了组件监控、输入/输出变量诊断以及当检测到故障后执行系统的故障响应功能。功能监控层(Level2)主要实现对Level1的监控,例如,通过监控计算转矩的实际输出值判断Level1软件是否正确等,而一旦诊断出故障,将触发系统的故障响应,并由Level1或Level2执行。处理器监控层(Level3)主要是通过问答的形式监控Level2处理器是否出现故障,需要由一个独立的ASIC或微处理器实现;当出现故障后,触发系统的故障响应,并独立于Level1去执行。因此,可以将Level1定义为基本功能(QM),而Level2和Level3定义为安全功能(ASIL)。
2.2 电机驱动控制器安全理论分析
根据1.1节分析,电机驱动控制器的安全目标是“避免非预期的转矩增加”,将其分解到2.1节EGAS架构中的Level2层,对应的安全目标为“实现转矩的正确监控”。因此,要实现电机驱动控制器的功能安全,需要对输出转矩进行实时监控。根据文献可知,永磁同步电机转矩方程为
式中:p——电机极对数;id和iq——d,q轴电流;ψd,ψq——d,q轴磁链。
磁链的计算公式为
式中:ψf——永磁体磁链。
因此,可通过式(1)、式(2)对转矩进行实时观测,监控其输出量是否与目标量一致。试验电机极对数为4,其铭牌参数如表4所示。
通过离线参数辨识,得出试验电机的磁链(图2)及电感参数(图3)。
根据离线辨识结果,d轴电感变化范围较小,故取定值0.23mH。将上述参数代入式(1)和式(2),并通过Matlab对实际输出转矩与观测转矩进行电机系统仿真,仿真结果如图4~图6所示。
从上述仿真结果可知,电机驱动控制系统在低速、额定转速、峰值转速工况下,试验电机转矩的观测值与实际值均非常接近。对应的台架测试结果如图7~图9所示,可以看出,在实际工况中,转矩观测的结果与仿真结果类似。
综上所述,该理论可以实现对软件层面EGAS架构中Level2层的安全目标,即“实现对转矩的正确监控”。
2.3 单核锁步微处理器的安全架构实现
单核锁步微处理器的系统安全架构如图10所示。图中虚线框内的部分为实现该安全目标所需要考虑的架构部分。其中,蓝色阴影部分的为通过ASIL分解后需要按照ASILC(C)进行开发的模块,其他为按照QM(C)进行开发的模块。
该系统在硬件层面按照EGAS的架构进行设计,具体如下:电流、电压、旋变解码信号采用双路模式送入控制芯片,一路用于执行电机控制算法,产生PWM信号,完成转矩的输出(Level1),另一路用于对输出转矩进行监控和诊断(Level2);带看门狗(问答式时窗狗)的电源芯片完成对电源和芯片的程序流进行监控(Level3),当检测到故障后产生复位信号送入微处理器,并由电源芯片直接封锁PWM脉冲处理电路的输出。
由于单核锁步微处理器存在芯片内部资源的共享,因此软件的EGAS架构设计难度较大;确保软件在空间和程序流上的独立难度大,使得执行基本功能的函数可能会对执行安全功能的函数产生影响,导致系统性失效。为了降低单核锁步微处理器功能安全软件架构实现的难度,可以采用多核锁步微处理器或双芯片微处理的安全架构。
2.4 多核锁步微处理器的安全架构实现
以多核锁步处理器MPC5746R和TC27x为例进行分析,其中,MPC5746R为双核芯片(1个普通核,1个带锁步核的安全核),TC27x为三核芯片(1个普通核,2个带锁步核的安全核)。采用双核微处理器与三核微处理器的电机驱动控制器的系统安全架构实现方式分别如图11和图12所示。
图11所示架构在硬件层面已经实现了基本功能与安全功能模块的分离;而要实现软件层面的EGAS架构,根据2.1节分析可知,将转矩控制相关的代码可放置在CPU1,即在QM核中执行(Level1),而将转矩监控和诊断相关的代码放置在CPU0,即在安全核中执行(Level2),同时安全核与看门狗完成对芯片本身及程序流的监控(Level3)。
当CPU0监测到转矩异常后,根据故障分级原则,将降级的转矩指令传递给CPU1去执行;如果转矩进一步异常,当达到最高故障等级后由CPU0直接对PWM脉冲处理电路进行封锁;当看门狗监测到程序流或芯片异常后,在复位微处理器的同时直接对PWM脉冲处理电路进行封锁。
图12的架构与图11类似,不同的是增加了一个安全核,可以在软件层面实现对监控层的诊断,或对功能层组成双核冗余监控。
2.5 双芯片微处理器的安全架构实现
双芯片微处理器的安全架构如图13所示。该架构在原理上与多核架构类似,但它实现了芯片硬件资源与软件代码的完全独立,对于EGAS架构的实现更加简单可靠,且在硬件结构方面较前两种架构略显复杂。此外,该架构还可以实现安全产品与非安全产品的标准化设计:对于安全产品,其系统架构与图13所示一致;而对于非安全产品,只需要去掉图13中“电源+时窗狗”与“安全芯片”模块即可,无需重新对软硬件进行开发。
3 结语
本文首先介绍了危害分析与风险评估的方法,基于该方法确定了电动汽车电机驱动控制系统的一个安全目标及其ASIL等级;通过对EGAS架构的介绍,提出了转矩监控层的实现方法,Matlab仿真分析和台架测试结果验证了该方法的可行性;文章最后分析了不同微处理器结构实现系统安全架构的方法。
分析表明,单核锁步架构的硬件复杂度较低,但对于软件安全架构的实现具有一定的难度,多核锁步或双芯片架构能有效解决这一问题,然而双芯片架构在硬件结构方面较前两种架构略显复杂,但却在EGAS架构的实施和标准化产品设计方面具有明显优势。产品功能安全的具体实施仍需进一步的研究。
免责声明:本文系网络转载或改编,未找到原创作者,版权归原作者所有。如涉及版权,请联系删