电动汽车PCU系统功能安全开发及测试实例-绵羊汽车生活记录

正在PCU体例处事进程中，如发作体例性失效或硬件随机失效，有能够会导致电机发出非预期的驱动或制动扭矩，正在某些驾驶场景下使车辆发作碰撞、追尾等事项，危及驾乘职员安适。

本文以某款同化动力汽车上搭载的PCU体例为例，从成效安适拓荒观点阶段的阐述启航，提出安适方向、成效安适条件和身手安适条件。并正在V模子拓荒右侧，以挫折注入测试要领为例，给出验证和确认要领的示例。

展开PCU体例成效安适观点阶段拓荒，最初要对PCU体例实行合系项界说，征求：成效观点、畛域和接口、运转形式和状况、合系项的桎梏、规则条件、已知的失效形式和摧残等。

本文所阐述的为某款紧凑型插电式同化动力汽车上所搭载的电驱动体例，其重要成效是为整车供给动力、通过车载充电器为电池充电等，而PCU重要卖力电驱动体例的能量流向和分拨。全部动力总成计划如图1所示，此中虚线框为PCU合系项限制，重要征求：高压变换器/复用充电机（BOOST/OBC）、限制器（MCU）、逆变器、电动机（E-Motor）和发电机（G-Motor）等。

1）电动机：通过以必定开合管举措的逆变器限制完成功率转换进程，其可处事于电动形式或发电形式。正在发电形式，电机为高压电池充电；正在电动形式，电机为体例供给驱动力。

2）发电机：同样通过以必定开合管举措的逆变器限制完成动能向电能转换的进程，其由策划机驱动发电机为高压电池充电或者为电动机供给电能。

3）限制器：限制逆变器完成直流高压与换取电压的相互转换，限制三订交流电压的幅值与频率，进而限制电动机和发电机的输出扭矩。本文抉择了TI公司的TMS570LS1115芯片完成体例挫折监控、挫折处罚等限制成效，以及TMS320F28379D芯片，完成电动机、发电机、BOOST/OBC的限制成效。

4）逆变器：遵循MCU发出的PWM限制指令将Boost升压的直流电转换为高压换取电，以此限制发电机和电动机处事。5）高压变换器/复用充电机：高压Boost变换器受MCU控

制以完成电池高压与电机输入直流高压的起落压。复用充电机受MCU限制将换取电转换为直流电，将电网的电能转化为车载高压电池的电能。正在本项目中OBC被集成正在Boost中。

基于上文的合系项界说，对PCU体例展开摧残阐述和危害评估。最初对PCU体例发作成效卓殊再现时，车辆所处的运转场景及运转形式实行刻画，征求精确利用车辆和合理可猜思的不精确利用车辆的情形。

表2供给了本文中所阐述车辆的类型运转场景示例。然后正在整车层面界说由PCU体例的成效卓殊再现导致的摧残，可通过FMEA、HAZOP、STPA等摧残识别要领体例性地识别摧残。以“输出驱动扭矩”成效为例，表3供给了利用HAZOP阐述要领识别合系项的成效卓殊再现的示例。

运转场景和摧残的合系组合可确定摧残事宜，并对每一个摧残事宜界说为E（宣泄概率）、C（可控性）、S（急急度）三个参数，以及对应的ASIL品级，HARA阐述示例睹表4。以表4中“非预期输出驱动扭矩”导致的摧残事宜为例：因为正在较高车速发作弯道碰撞，常常会爆发万分急急或致命侵害，急急度为S3。大无数驾驶员均匀每天都邑碰着此驾驶场景，其正在均匀驾驶年光中的占比大于10%，宣泄概率为E4。因为大于90%的驾驶员可通过制动或转向限制车辆避免发作碰撞，可控性为C2。遵循S、E、C三个参数的组合，该摧残事宜的汽车安适完备性品级为ASILC。

应确定每一个摧残事宜的ASIL品级，并为具有ASIL品级的摧残事宜确定一个安适方向。对待上述摧残事宜，其安适方向为：防备电机非预期的输出驱动扭矩。安适方向是合系项最高层面的安适条件，安适方向的界说应包括其合系属性，征求ASIL品级及确定ASIL品级所需的量化值，即：安适胸襟。对待本文中所阐述的PCU体例，展开HARA阐述后取得表5中的安适方向示例。

为上述每一个安适方向导出起码一项成效安适条件，思虑征求挫折避免、挫折探测、挫折限制、安适状况、挫折容错、成效降级、驾驶员警戒、挫折容错年光间隔、挫折处罚年光间隔等战术。并将其分拨给合系项的初阶架构因素或外部设施。本文针对表5中的安适方向SG1、SG2，给出如下的成效安适条件示例。

2）FSR_02：电驱动限制体例应通过CAN总线摄取电动机和发电机的扭矩需求值，ASILC→SG1、SG2。

3）FSR_03：电驱动限制体例应通过CAN总线向VCU接连发送电动机和发电机的实践扭矩值，ASILC→SG1、SG2。

4）FSR_04：电驱动体例实行电驱动和发电的整车成效时，应避免输出扭矩非预期地凌驾电动机/发电机需求扭矩，当凌驾的扭矩值正在必定年光阈值内凌驾扭矩阈值，则电驱动体例应进入安适状况，ASILC→SG1。

5）FSR_05：电驱动体例应对逆变器的PWM扭矩限制信号实行诊断，遵循挫折相位的数目合断开合，实行以下操作：单相位、两相位或更众相位合断功率管，ASILC→SG1、SG2。

落成成效安适观点、合系项的体例架构策画后，需求正在体例层面界说身手安适条件，并将身手安适条件分拨给体例的各因素或其他身手。以上述的成效安适条件FSR_02对应的身手安适条件如下示例。

④TSR_02_04：E2E校验贯串挫折次数横跨10次，TMS570芯片通过CAN通讯上报VCU并限制电机进入安适状况。

⑥TSR_02_06：VCU乞求扭矩横跨合理限制，TMS570芯片通过CAN通讯上报VCU并限制电机进入安适状况。

⑧TSR_02_08：任何一个邮箱的CAN通讯遗失到达挫折应承阈值年光，电驱动体例进入安适状况。

⑨TSR_02_09：任何一个邮箱的CAN通讯遗失小于挫折应承阈值年光，电驱动体例应能克复处事。

为了供给证据表明体例架构策画切合成效安适和身手安适条件，需求展开集成测试勾当，以反省成效安适及身手安适条件的精确履行、安适机制精确的成效再现、精确性和时序、接口的相仿性和精确履行及足够的鲁棒性。此中针对身手安适条件和集成测试用例的导出要领可得出完全的测试用例，该类测试用例的测试大凡通过基于需求的测试、挫折注入、压力测试等。

正在PCU拓荒的分别阶段，征求软件单位、软硬件集成、体例集成、整车集成阶段，均应展开成效安适验证，以确保成效安适条件完成的精确性与安适方向的相仿性和切合性。此中挫折注入测试是实行验证和确认的一种有用和常用的测试要领，该要领通过利用特地的要领向运转中的测试对象注入挫折，可通过特地的测试接口正在软件中落成，或通过特地预备的硬件落成。

本文搭筑了硬件正在环（HIL）测试平台，如图2所示，可用于PCU体例的信号级和电控功率级挫折注入测试验证。信号级HIL是通过dSPACE模仿逆变器、电机、呆板实施片面，而功率级PHIL测试是通过电机模仿器与MCU相连。HIL完成模仿的进程仅需上位机编程，无需出格硬件加入，于是正在篡改电机参数或篡改被模仿片面的参数时便利躁急，可大大普及成效验证和挫折注入正在测试拓荒测试阶段的功效。

本文搭筑的测试平台，可针对PCU体例分别挫折类型展开如下挫折注入测试项目，睹表6。通过策画测试用例，完成工况主动化测试本领。

遵循底层挫折形式和品种，连接HIL台架落成挫折注入测试，评判安适机制和安适设施是否有用实施，以及实施结果是否完成了成效安适条件。

以CAN总线挫折为例，电机限制器大凡睡觉正在动力CAN汇集中，驾驶员的限制敕令输出给整车限制器，整车限制器经由战术实施后，输出扭矩限制指令给电机限制器，假如整车限制器和电机限制器之间的CAN传输发作挫折（比如：VCUCAN总线受骚扰导致CAN总线节点遗失、或CAN总线的R/C阻抗变更多半有能够导致信号摄取的不完备），电机限制器收不到扭矩指令，能够会形成整车摧残。图3是CAN总线挫折注入测试界面，模仿挫折如短途、断途、R/C阻抗等。

注入挫折后，调查体例内部的安适机制和安适设施是否平常阐扬效率，使体例正在挫折响合时间间隔内进入了安适状况，如：主动短途形式（ASC）、滑行形式（Freewheeling）等。如图4所示，正在高速零扭矩限制状况下，通讯挫折（前一个脉冲信号）发作后，饱励安适机制，电控进入ASC形式，通讯克复（后一个脉冲信号），电控回到零扭矩限制形式。遵循测试结果可能看到，本文搭筑的测试平台可有用完成信号级和功率级的成效安适挫折注入测试。