彭晓宇

（中国第一汽车股份有限公司技术中心 汽车电子部，吉林 长春 130011）

电机控制器控制单元作为电动汽车动力总成的核心部件，直接控制扭矩和车速，涉及大功率IGBT驱动、高电压和大电流，处于强电磁干扰环境中，如果发生失效，将危及到整车、驾驶员和行人的安全。

关于汽车电子功能安全，目前国际上通用的标准为ISO 26262和VDA E-Gas Monitoring Concept，ISO 26262为国际标准化组织颁布的汽车电子/电气系统功能安全标准，VDA E-Gas Monitoring Concept是由奥迪、戴姆勒克莱斯勒、保时捷、大众等欧洲主流整车厂，以及博世、大陆等汽车电子主流供应商共同制定的《汽油机和柴油机的电子节气门监控标准》，其通用的监控概念同样适用于动力电机控制器。ISO 26262和VDA E-Gas Monitoring Concept为本文提供了理论基础，本文的分析按照图1所示的ISO 26262开发过程进行。本文的需求开发在实践层面上符合图2所示的VDA EGAS三级安全监控机制。

1 电机控制系统结构功能示意图

电机控制系统的系统框图如图3所示，扭矩指令和速度指令信息由HCU通过CAN总线下发给电机控制器，电机控制器采集相电流、母线电压和电机转子位置计算出实际扭矩和实际转速，通过转速闭环控制和扭矩闭环控制完成扭矩控制、转速控制和电压控制。

图1 ISO 26262功能安全开发流程图

图2 VDA EGAS三级安全监控机制示意图

图3 电机控制系统结构功能示意图

2 电机控制系统危害分析与风险评估

由上述分析可知，电机控制系统的主要功能可以归纳为以下3点：①扭矩控制；②转速控制；③电压控制。针对这3项主要功能对其进行失效模式分析和风险分析，也对风险的严重等级、发生频度和可控性进行了分析，得出每一项风险对应的ASIL等级和安全目标，见表1和表2。

表1 危害分析与风险评估

表2 安全目标与安全状态

3 电机控制系统功能安全需求与技术安全需求

根据ISO 26262第三部分的要求，从上面列出的功能安全目标和安全状态导出功能安全需求，如表3所示，列出了达成安全目标和安全状态的功能层面的必备条件。

根据ISO 26262第四部分的要求，需要将功能安全需求转化为技术安全需求，结合电机系统的结构和功能，遵循功能安全诊断、冗余、监控和关断这4个主要方法，得出技术安全需求主要内容见表4。

4 电机控制系统硬件安全需求分析

由技术安全需求向下分解，在硬件层面上形成硬件安全需求，主要内容见表5。

表3 功能安全需求

5 电机控制系统硬件安全需求处理单点故障的能力分析

ISO 26262要求尽量降低随机硬件故障导致的单点失效，下面对上述硬件安全需求处理单点故障的能力进行分析，由表6可见，对于常见的随机硬件故障，按照上述安全需求设计的硬件能够保证系统正常运行或进入安全状态，不会产生不可接受的风险。

6 结束语

随着新能源汽车的普及和功能安全标准的落地，作为新能源汽车主要动力源的动力电机的功能安全重要性日益凸显。本文所述的安全需求具有平台化和通用化的特征，基于上述的硬件安全需求，在某款新能源汽车的永磁同步电机项目上进行了硬件设计实现，经过台架试验的验证，该安全需求正确合理，有效地保证了整个电机控制系统的功能安全。

表5 硬件安全需求

表6 硬件安全需求处理单点故障的能力分析