一种满足客车功能安全的电机控制器优化设计方法与流程

本发明属于客车五合一电机控制器功能安全设计领域，具体涉及一种满足客车功能安全的电机控制器优化设计方法。

背景技术：

随着电子技术在汽车领域的广泛应用，电机控制器作为汽车电子器件的核心元素之一，成为了客车车辆中的关键部件，因此电机控制器的设计流程至关重要。传统的电机控制器主要是通过简单的v模型或瀑布模型的开发流程进行设计开发的，并没有考虑由于设计疏忽，而产生的故障或失效能够给客车车辆带来不可预估的危害和风险，因此传统的电机控制器的设计并没有保证客车车辆的安全性。

传统的电机控制器的设计流程包含系统定义（或客户需求说明书）、系统需求及方案设计等。由系统定义（或客户需求说明书）导出的系统需求及方案设计中，只包含了电机控制器需要实现的基本功能要求，例如要求电机控制器按照设定的方向、速度、角度、响应时间等控制电机工作等。但是没有包含电机控制器在控制电机工作过程中，如何避免和降低由于某些功能失效，而引起车辆发生的危害事件的可能性，以保证车辆处于安全状态。如果按照传统的设计流程开展电机控制器的设计开发，电机控制器可能会发生功能性失效，而导致电机可能无法按照司机设定的要求完成驾驶任务，甚至可能给行车带来不可预估的隐患。

技术实现要素：

针对上述传统电机控制器设计中存在的缺点，本发明的目的是提供一种满足客车功能安全的电机控制器优化设计方法。

本发明的目的是通过以下技术方案实现的。

一种满足客车功能安全的电机控制器优化设计方法，包括如下步骤：

1）定义电机控制器及其相关项；

2）根据步骤1）中的电机控制器及其相关项，进行电机控制器的危害分析和风险评估，识别电机控制器中因故障而引起的危害，并对危害进行归类，确定危害的风险等级；

3）根据步骤2）中的危害分析和风险评估，得出防止危害事件发生或减轻危害程度相对应asil等级的安全目标；

4）根据步骤3）中的安全目标，得出电机控制器的功能安全需求，将功能安全需求分配给电机控制器及其相关项的初步架构或外部措施，得到电机控制器的功能安全概念；

5）根据步骤4）中的功能安全需求，得出电机控制器的的技术安全需求，结合系统设计，将技术安全需求分配给软件要素或硬件要素，得到技术安全概念；

6）根据步骤5）中的技术安全概念，进行电机控制器硬件和软件的设计。

所述步骤1）中，电机控制器包括主驱控制器、附驱控制器、dcdc模块和高压配电模块，主驱控制器包括tc275芯片，高压配电模块包括多个接触器，电机控制器的相关项包括动力电机、整车控制器、控制液压助力转向电机、空气压缩机电机、蓄电池、主电机、电空调、电除霜和电加热；定义如下：主驱控制器负责接收整车控制器的命令，综合分析系统信息，发送控制液压助力转向电机、空气压缩机电机、dcdc使能命令；主驱控制器控制接触器，进行高压电气管理；主驱控制器根据整车控制器的命令及系统状态控制主电机和进行故障诊断及保护；主驱控制器把电机控制器内部状态信息反馈给整车控制器。

所述步骤3）中，安全目标如下：

sg01-tmc：车辆在正常行驶过程中，避免丢失驱动力；

sg02-tmc：车辆在正常行驶过程中，避免非预期输出驱动力；

sg03-tmc：车辆在正常行驶过程中，避免输出错误的驱动力；

sg04-tmc：车辆在加速过程中，避免驱动力输出卡滞。

所述步骤4）中，由安全目标sg03-tmc得出的功能安全需求如下：

fsr01-tmc：主驱控制器正确计算和处理从整车控制器接收到的主电机控制报文信息；

fsr02-tmc：当主驱控制器检测到主电机控制反馈的报文信息错误时，主驱控制器保持当前状态不变；

fsr03-tmc：主驱控制器根据接收的整车控制器报文，正确驱动主电机和控制主电机扭矩；

fsr04-tmc：主驱控制器正确检测主电机工作状态，当主驱控制器发现主电机缺相或主电机驱动丢失时，关闭扭矩输出，使igbt驱动处于无位置状态，并上报故障给整车控制器；

fsr05-tmc：主驱控制器正确检测主驱接触器工作状态，当诊断到主驱接触器触点间阻值超过安全范围时，上报故障给整车控制器；或当诊断到主驱接触器错误地断开，则关闭扭矩输出，使igbt处于无位置状态，并上报故障给整车控制器；

fsr06-tmc：主驱控制器正确驱动转速传感器，当检测到驱动信号故障时，系统切换至无位置传感器模式，并上报故障给主驱控制器；

fsr07-tmc：主驱控制器正确检测主电机温度和散热器水温，当检测到主电机温度异常时，主电机降级运行，并上报故障给整车控制器；当检测到散热器水温故障时，主电机保持整车工作，并上报故障给整车控制器；

fsr08-tmc：主驱控制器采用双电源供电，且可实现硬件自主切换；

fsr09-tmc：主驱控制器正确计算和处理当前蓄电池电源，并检测蓄电池供电电压是否异常。

所述步骤4）中还包括安全分析，通过安全分析确认电机控制器的功能安全需求合理正确，所述安全分析包括fmea分析和fta分析。

所述步骤5）中，由功能安全需求fsr06-tmc得出的技术安全需求如下：

tsr01-tmc：控制芯片tc275检测exc_output_samp，用于判断旋变励磁失效；

tsr02-tmc：控制芯片tc275检测exc_diag_ain，用于判断旋变失效；

tsr03-tmc：控制芯片tc275检测tc275_sin_safety、tc275_cos_safety，用于判断旋变失效；

tsr03-tmc：控制芯片tc275检测tc275_sin、tc275_cos，以判断旋变的状态。

所述功能安全需求fsr09-tmc中，当检测到电压低于15v，则主驱控制器切换到备用供电电源，且上报故障给整车控制器；或当检测到电压高于36v，则上报故障给整车控制器。

本发明的有益效果为：本发明提供的满足客车功能安全的电机控制器优化设计方法，避免了电机控制器的系统失效，降低了电机控制器的随机失效，保障了电机控制器的安全性和可靠性。通过危害分析和风险评估的方式，找到了由于电机控制器的功能失效而可能导致的危害事件，并制定了防止危害事件发生或减轻危害程度相对应asil等级的安全目标；根据电机控制器的安全目标，推导出电机控制器各个要素的功能安全需求，并通过安全分析，保证了制定的功能安全需求的合理性、正确性以及完整性；根据电机控制器的各个要素的功能安全需求，推导出各个要素的技术安全需求以及技术安全概念，得出各个要素具体实施的安全机制，保证了客车车辆的安全性。

附图说明

图1是电机控制器的系统框图。

图2是电机控制器的优化设计流程图。

具体实施方式

如图1～2所示，一种满足客车功能安全的电机控制器优化设计方法，特别适用于客车五合一电机控制器系统中，包括如下步骤。

步骤1），从整车角度出发，定义电机控制器，以电机控制器为核心定义其相关项。

具体的，步骤1）中，电机控制器定义如下：根据电机控制器的理念、项目梗概、相关专利、相关论文、预实验结果、来自前代电机控制器的文档、及其他独立的电机控制器的相关信息，描述电机控制器和它的功能，以及在整车层面和驾驶员、环境、其他相关项的交互及依赖关系。电机控制器（mcs）由主驱控制器（tmc）、附驱控制器（amc）、dcdc、高压配电模块（pdu）等构成，上述部件组成了客车的电机控制器，主驱控制器包括tc275芯片以及电源模块、通信模块、故障保护模块以及其他保护电路，高压配电模块包括多个接触器，接触器用于接通和关断各用电器件与动力电池之间的电源通路。

与电机控制器有交互及依赖关系的其他相关项包括：动力电池、整车控制器（hcu）、控制液压助力转向电机、空气压缩机电机、蓄电池、主电机、电空调、电除霜、电加热等；对相关项定义如下：主驱控制器负责接收整车控制器的命令，综合分析系统信息，发送控制液压助力转向电机、空气压缩机电机、dcdc使能命令；主驱控制器控制接触器，进行高压电气管理；主驱控制器根据整车控制器的命令及系统状态控制主电机和进行故障诊断及保护；主驱控制器把电机控制器内部状态信息反馈给整车控制器。

图1中，动力电池与高压配电模块（pdu）连接，高压配电模块将高压电分配给电加热、电除霜、电空调、主电机、空气压缩机电机、控制液压助力转向机和dcdc，主驱控制器（tmc）和整车控制器（hcu）、附驱控制器（amc）、主电机和高压配电模块连接，附驱控制器和整车控制器、空气压缩机电机、控制液压助力转向机连接，dcdc与蓄电池连接，蓄电池为电机控制器中的低压电器供电。

步骤2），根据步骤1）中的电机控制器及其相关项，进行电机控制器的危害分析和风险评估，识别电机控制器中因故障而引起的危害，并对危害进行归类，确定危害的风险等级。

步骤3），根据步骤2）中的危害分析和风险评估，得出防止危害事件发生或减轻危害程度相对应asil等级的安全目标，以避免不合理的风险。

具体的，步骤3）中，通过危害分析和风险评估，得出的安全目标如下：

sg01-tmc：车辆在正常行驶过程中，避免丢失驱动力；

sg02-tmc：车辆在正常行驶过程中，避免非预期输出驱动力；

sg03-tmc：车辆在正常行驶过程中，避免输出错误（包括反向、过大、过小）的驱动力；

sg04-tmc：车辆在加速过程中，避免驱动力输出卡滞。

其中，sg为安全目标的英文首字母缩写。

步骤4），根据步骤3）中的安全目标，得出电机控制器的功能安全需求，将功能安全需求分配给电机控制器及其相关项的初步架构或外部措施，得到电机控制器的功能安全概念。

具体的，功能安全需求主要是指根据已制定的安全目标，确定电机控制器的功能及功能的降级行为，和系统的相关故障适当的约束、及时探测及控制，将电机控制器本身、司机、外部措施结合考虑确定系统层面所能实现的策略或措施，以满足故障容错需求或减轻相关故障的影响，在实施时，将确定的功能安全需求分配给电机控制器、系统初步架构或外部措施，可得出电机控制器各个要素的功能安全概念。

根据安全目标sg03-tmc：车辆在正常行驶过程中，避免输出错误（包括反向、过大、过小）的驱动力，确定的主驱控制器的功能安全需求为：

fsr01-tmc：主驱控制器必须能够正确计算和处理从整车控制器接收到的主电机控制报文信息；

fsr02-tmc：当主驱控制器检测到主电机控制反馈的报文信息错误时，主驱控制器保持当前状态不变；其中，错误的报文包括但不限于主电机控制报文丢失、主电机控制报文超时；

fsr03-tmc：主驱控制器根据接收的整车控制器报文，正确驱动主电机和控制主电机扭矩；

fsr04-tmc：主驱控制器必须能够正确检测主电机工作状态，当主驱控制器发现主电机缺相或主电机驱动丢失时，关闭扭矩输出，使igbt驱动处于无位置状态，并上报故障给整车控制器；

fsr05-tmc：主驱控制器必须能够正确检测主驱接触器工作状态，主驱接触器用于接通动力电池和主电机，当诊断到主驱接触器触点间阻值超过安全范围时，上报故障给整车控制器；或当诊断到主驱接触器错误地断开，则关闭扭矩输出，使igbt处于无位置状态，并上报故障给整车控制器；

fsr06-tmc：主驱控制器必须能够正确驱动转速传感器，当检测到驱动信号故障时，系统切换至无位置传感器模式，并上报故障给主驱控制器；

fsr07-tmc：主驱控制器正确检测主电机温度和散热器水温，当检测到主电机温度异常时，主电机降级运行，并上报故障给整车控制器；当检测到散热器水温故障时，主电机保持整车工作，并上报故障给整车控制器；

fsr08-tmc：主驱控制器必须采用双电源供电，且可实现硬件自主切换；

fsr09-tmc：主驱控制器正确计算和处理当前蓄电池电源，并检测蓄电池供电电压是否异常；当检测到电压低于15v，则主驱控制器切换到备用供电电源，且上报故障给整车控制器；或当检测到电压高于36v，则上报故障给整车控制器。

其中，fsr为功能安全需求的英文首字母缩写。

另外，通过安全分析，确保制定的电机控制器各个要素的功能安全需求合理、准确、完整。安全分析包括fmea分析和fta分析，fmea分析为在电机控制器的硬件开发流程中增加失效模式、影响及其诊断分析，fit分析为在电机控制器的软件开发流程中增加软件安全分析、相关失效分析。其所述的安全分析包含系统的fmea分析和fta分析，fmea分析是自下而上的归纳分析法，而fta分析是自上而下的演绎分析法，二者相辅相成，共同保证了电机控制器的功能安全需求的合理性、完整性以及准确性。

步骤5），根据步骤4）中的功能安全需求，得出电机控制器的的技术安全需求，结合系统设计，将技术安全需求分配给软件要素或硬件要素，得到技术安全概念。

具体的，由功能安全需求fsr06-tmc得出的技术安全需求如下：

tsr01-tmc：控制芯片tc275检测exc_output_samp，用于判断旋变励磁失效；

tsr02-tmc：控制芯片tc275检测exc_diag_ain，用于判断旋变失效；

tsr03-tmc：控制芯片tc275检测tc275_sin_safety、tc275_cos_safety，用于判断旋变失效（监控层）；

tsr03-tmc：控制芯片tc275检测tc275_sin、tc275_cos，以判断旋变的状态。

其中，tsr为技术安全需求的英文首字母缩写。

步骤6），根据步骤5）中的技术安全概念，即可进行电机控制器硬件和软件的设计，为硬件开发流程和软件开发流程提供支持，以便执行后续阶段的活动。上述的技术安全概念包含了系统的技术安全需求，相应的系统架构设计，以及安全需求在系统设计中的分配；技术安全概念阐述了功能安全需求在技术层面的实现。

本发明的满足客车功能安全的电机控制器优化设计方法在原有传统设计开发流程的基础上，增加了相关项定义、危害分析和风险评估、确定安全目标，确定功能安全需求、确定技术安全需求以及技术安全概念等满足电机控制器功能安全的设计方法，避免了由于设计过程中产生的系统性失效，同时也降低了随机性失效，提高了电机控制器的安全性和可靠性。

在传统的电机控制器设计中，增加危害分析和风险评估，得出由于功能丢失、功能非预期输出、功能错误输出、功能突然卡滞等问题而可能产生的危害并评估其风险，制定防止危害事件发生或减轻危害程度相对应asil等级的安全目标。

在传统的电机控制器的系统需求设计中，增加确定系统的功能安全需求。根据已制定的安全目标，确定电机控制器的功能及功能的降级行为，和系统的相关故障适当的约束、及时探测及控制，将电机控制器本身、司机、外部措施结合考虑确定系统层面所能实现的策略或措施，以满足故障容错需求或减轻相关故障的影响。将确定的功能安全需求分配给系统初步架构或外部措施，可得出电机控制器各个要素的技术安全需求，进而得出电机控制器各个要素的技术安全概念，进而为电机控制器的硬件设计和软件设计提供支持。

在电机控制器的确定功能安全需求中，增加了安全分析，保证了制定的功能安全需求的合理性、完整性及准确性。

在传统的电机控制器的系统架构设计中，增加了确定技术安全需求，根据电机控制器各个要素的功能安全需求，得出各个要素的技术安全需求，结合其系统架构设计，确定其具体实施的安全机制，以确保后期的软、硬件设计开发。

以上所述，仅是本发明的优选实施方式，并不是对本发明技术方案的限定，应当指出，本领域的技术人员，在本发明技术方案的前提下，还可以作出进一步的改进和改变，这些改进和改变都应该涵盖在本发明的保护范围内。