一种满足客车功能安全的电机控制器优化设计方法技术

本发明专利技术公开了一种满足客车功能安全的电机控制器优化设计方法，在原有传统设计开发流程的基础上，增加了相关项定义、危害分析和风险评估、确定安全目标，确定功能安全需求、确定技术安全需求以及技术安全概念等满足电机控制器功能安全的设计方法，避免了由于设计过程中产生的系统性失效，同时也降低了随机性失效，提高了客车五合一电机控制器的安全性和可靠性。

An optimal design method of motor controller for bus functional safety

【技术实现步骤摘要】
一种满足客车功能安全的电机控制器优化设计方法
本专利技术属于客车五合一电机控制器功能安全设计领域，具体涉及一种满足客车功能安全的电机控制器优化设计方法。
技术介绍
随着电子技术在汽车领域的广泛应用，电机控制器作为汽车电子器件的核心元素之一，成为了客车车辆中的关键部件，因此电机控制器的设计流程至关重要。传统的电机控制器主要是通过简单的V模型或瀑布模型的开发流程进行设计开发的，并没有考虑由于设计疏忽，而产生的故障或失效能够给客车车辆带来不可预估的危害和风险，因此传统的电机控制器的设计并没有保证客车车辆的安全性。传统的电机控制器的设计流程包含系统定义（或客户需求说明书）、系统需求及方案设计等。由系统定义（或客户需求说明书）导出的系统需求及方案设计中，只包含了电机控制器需要实现的基本功能要求，例如要求电机控制器按照设定的方向、速度、角度、响应时间等控制电机工作等。但是没有包含电机控制器在控制电机工作过程中，如何避免和降低由于某些功能失效，而引起车辆发生的危害事件的可能性，以保证车辆处于安全状态。如果按照传统的设计流程开展电机控制器的设计开发，电机控制器可能会发生功能性失效，而导致电机可能无法按照司机设定的要求完成驾驶任务，甚至可能给行车带来不可预估的隐患。
技术实现思路
针对上述传统电机控制器设计中存在的缺点，本专利技术的目的是提供一种满足客车功能安全的电机控制器优化设计方法。本专利技术的目的是通过以下技术方案实现的。一种满足客车功能安全的电机控制器优化设计方法，包括如下步骤：r>1）定义电机控制器及其相关项；2）根据步骤1）中的电机控制器及其相关项，进行电机控制器的危害分析和风险评估，识别电机控制器中因故障而引起的危害，并对危害进行归类，确定危害的风险等级；3）根据步骤2）中的危害分析和风险评估，得出防止危害事件发生或减轻危害程度相对应ASIL等级的安全目标；4）根据步骤3）中的安全目标，得出电机控制器的功能安全需求，将功能安全需求分配给电机控制器及其相关项的初步架构或外部措施，得到电机控制器的功能安全概念；5）根据步骤4）中的功能安全需求，得出电机控制器的的技术安全需求，结合系统设计，将技术安全需求分配给软件要素或硬件要素，得到技术安全概念；6）根据步骤5）中的技术安全概念，进行电机控制器硬件和软件的设计。所述步骤1）中，电机控制器包括主驱控制器、附驱控制器、DCDC模块和高压配电模块，主驱控制器包括TC275芯片，高压配电模块包括多个接触器，电机控制器的相关项包括动力电机、整车控制器、控制液压助力转向电机、空气压缩机电机、蓄电池、主电机、电空调、电除霜和电加热；定义如下：主驱控制器负责接收整车控制器的命令，综合分析系统信息，发送控制液压助力转向电机、空气压缩机电机、DCDC使能命令；主驱控制器控制接触器，进行高压电气管理；主驱控制器根据整车控制器的命令及系统状态控制主电机和进行故障诊断及保护；主驱控制器把电机控制器内部状态信息反馈给整车控制器。所述步骤3）中，安全目标如下：SG01-TMC：车辆在正常行驶过程中，避免丢失驱动力；SG02-TMC：车辆在正常行驶过程中，避免非预期输出驱动力；SG03-TMC：车辆在正常行驶过程中，避免输出错误的驱动力；SG04-TMC：车辆在加速过程中，避免驱动力输出卡滞。所述步骤4）中，由安全目标SG03-TMC得出的功能安全需求如下：FSR01-TMC：主驱控制器正确计算和处理从整车控制器接收到的主电机控制报文信息；FSR02-TMC：当主驱控制器检测到主电机控制反馈的报文信息错误时，主驱控制器保持当前状态不变；FSR03-TMC：主驱控制器根据接收的整车控制器报文，正确驱动主电机和控制主电机扭矩；FSR04-TMC：主驱控制器正确检测主电机工作状态，当主驱控制器发现主电机缺相或主电机驱动丢失时，关闭扭矩输出，使IGBT驱动处于无位置状态，并上报故障给整车控制器；FSR05-TMC：主驱控制器正确检测主驱接触器工作状态，当诊断到主驱接触器触点间阻值超过安全范围时，上报故障给整车控制器；或当诊断到主驱接触器错误地断开，则关闭扭矩输出，使IGBT处于无位置状态，并上报故障给整车控制器；FSR06-TMC：主驱控制器正确驱动转速传感器，当检测到驱动信号故障时，系统切换至无位置传感器模式，并上报故障给主驱控制器；FSR07-TMC：主驱控制器正确检测主电机温度和散热器水温，当检测到主电机温度异常时，主电机降级运行，并上报故障给整车控制器；当检测到散热器水温故障时，主电机保持整车工作，并上报故障给整车控制器；FSR08-TMC：主驱控制器采用双电源供电，且可实现硬件自主切换；FSR09-TMC：主驱控制器正确计算和处理当前蓄电池电源，并检测蓄电池供电电压是否异常。所述步骤4）中还包括安全分析，通过安全分析确认电机控制器的功能安全需求合理正确，所述安全分析包括FMEA分析和FTA分析。所述步骤5）中，由功能安全需求FSR06-TMC得出的技术安全需求如下：TSR01-TMC：控制芯片TC275检测EXC_Output_Samp，用于判断旋变励磁失效；TSR02-TMC：控制芯片TC275检测EXC_DIAG_AIN，用于判断旋变失效；TSR03-TMC：控制芯片TC275检测TC275_SIN_Safety、TC275_COS_Safety，用于判断旋变失效；TSR03-TMC：控制芯片TC275检测TC275_SIN、TC275_COS，以判断旋变的状态。所述功能安全需求FSR09-TMC中，当检测到电压低于15V，则主驱控制器切换到备用供电电源，且上报故障给整车控制器；或当检测到电压高于36V，则上报故障给整车控制器。本专利技术的有益效果为：本专利技术提供的满足客车功能安全的电机控制器优化设计方法，避免了电机控制器的系统失效，降低了电机控制器的随机失效，保障了电机控制器的安全性和可靠性。通过危害分析和风险评估的方式，找到了由于电机控制器的功能失效而可能导致的危害事件，并制定了防止危害事件发生或减轻危害程度相对应ASIL等级的安全目标；根据电机控制器的安全目标，推导出电机控制器各个要素的功能安全需求，并通过安全分析，保证了制定的功能安全需求的合理性、正确性以及完整性；根据电机控制器的各个要素的功能安全需求，推导出各个要素的技术安全需求以及技术安全概念，得出各个要素具体实施的安全机制，保证了客车车辆的安全性。附图说明图1是电机控制器的系统框图。图2是电机控制器的优化设计流程图。具体实施方式如图1～2所示，一种满足客车功能安全的电机控制器优化设计方法，特别适用于客车五合一电机控制器系统中，包括如下步骤。步骤1），从整车角度出发，定义电机控制器，以电机控制器为核心定义其相关项。具体的，步骤1）中，电机控制本文档来自技高网...

【技术保护点】
1.一种满足客车功能安全的电机控制器优化设计方法，其特征在于，包括如下步骤：/n1）定义电机控制器及其相关项；/n2）根据步骤1）中的电机控制器及其相关项，进行电机控制器的危害分析和风险评估，识别电机控制器中因故障而引起的危害，并对危害进行归类，确定危害的风险等级；/n3）根据步骤2）中的危害分析和风险评估，得出防止危害事件发生或减轻危害程度相对应ASIL等级的安全目标；/n4）根据步骤3）中的安全目标，得出电机控制器的功能安全需求，将功能安全需求分配给电机控制器及其相关项的初步架构或外部措施，得到电机控制器的功能安全概念；/n5）根据步骤4）中的功能安全需求，得出电机控制器的的技术安全需求，结合系统设计，将技术安全需求分配给软件要素或硬件要素，得到技术安全概念；/n6）根据步骤5）中的技术安全概念，进行电机控制器硬件和软件的设计。/n

【技术特征摘要】
1.一种满足客车功能安全的电机控制器优化设计方法，其特征在于，包括如下步骤：
1）定义电机控制器及其相关项；
2）根据步骤1）中的电机控制器及其相关项，进行电机控制器的危害分析和风险评估，识别电机控制器中因故障而引起的危害，并对危害进行归类，确定危害的风险等级；
3）根据步骤2）中的危害分析和风险评估，得出防止危害事件发生或减轻危害程度相对应ASIL等级的安全目标；
4）根据步骤3）中的安全目标，得出电机控制器的功能安全需求，将功能安全需求分配给电机控制器及其相关项的初步架构或外部措施，得到电机控制器的功能安全概念；
5）根据步骤4）中的功能安全需求，得出电机控制器的的技术安全需求，结合系统设计，将技术安全需求分配给软件要素或硬件要素，得到技术安全概念；
6）根据步骤5）中的技术安全概念，进行电机控制器硬件和软件的设计。


2.根据权利要求1所述的满足客车功能安全的电机控制器优化设计方法，其特征在于，所述步骤1）中，电机控制器包括主驱控制器、附驱控制器、DCDC模块和高压配电模块，主驱控制器包括TC275芯片，高压配电模块包括多个接触器，电机控制器的相关项包括动力电机、整车控制器、控制液压助力转向电机、空气压缩机电机、蓄电池、主电机、电空调、电除霜和电加热；定义如下：主驱控制器负责接收整车控制器的命令，综合分析系统信息，发送控制液压助力转向电机、空气压缩机电机、DCDC使能命令；主驱控制器控制接触器，进行高压电气管理；主驱控制器根据整车控制器的命令及系统状态控制主电机和进行故障诊断及保护；主驱控制器把电机控制器内部状态信息反馈给整车控制器。


3.根据权利要求2所述的满足客车功能安全的电机控制器优化设计方法，其特征在于，所述步骤3）中，安全目标如下：
SG01-TMC：车辆在正常行驶过程中，避免丢失驱动力；
SG02-TMC：车辆在正常行驶过程中，避免非预期输出驱动力；
SG03-TMC：车辆在正常行驶过程中，避免输出错误的驱动力；
SG04-TMC：车辆在加速过程中，避免驱动力输出卡滞。


4.根据权利要求3所述的满足客车功能安全的电机控制器优化设计方法，其特征在于，所述步骤4）中，由安全目标SG03-TMC得出的功能安全需求如下：
FSR01-TMC：主驱控制器正确计算和处理从整车控制器接收到的主电机控制报文信息；
FSR02-TMC：当主驱控制器检测到主电机控制反馈的报文信息错误时...

【专利技术属性】
技术研发人员：李曼，张培磊，徐西亚，姜媛，
申请(专利权)人：郑州精益达汽车零部件有限公司，
类型：发明
国别省市：河南;41