基于ISO 26262標(biāo)準(zhǔn)的車用驅(qū)動(dòng)電機(jī)系統(tǒng)設(shè)計(jì)研究

莊興明，張琴

(北京鋒銳新源電驅(qū)動(dòng)科技有限公司,北京 102206)

基于ISO 26262標(biāo)準(zhǔn)的車用驅(qū)動(dòng)電機(jī)系統(tǒng)設(shè)計(jì)研究

莊興明，張琴

(北京鋒銳新源電驅(qū)動(dòng)科技有限公司,北京 102206)

針對道路車輛功能安全標(biāo)準(zhǔn) ISO 26262對汽車零部件設(shè)計(jì)開發(fā)的要求，根據(jù)驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)用在電動(dòng)汽車上的運(yùn)行特點(diǎn)，對可能的危險(xiǎn)事件進(jìn)行評估和分析，確定了車用驅(qū)動(dòng)電機(jī)系統(tǒng)的功能安全目標(biāo)和功能安全需求。在概念設(shè)計(jì)階段，從系統(tǒng)設(shè)計(jì)層面開展功能安全設(shè)計(jì)，提出了一系列的硬件設(shè)計(jì)、軟件設(shè)計(jì)等相關(guān)措施，來提高車用驅(qū)動(dòng)電機(jī)系統(tǒng)的安全性和可靠性。

驅(qū)動(dòng)電機(jī)系統(tǒng)；功能安全；ISO 26262標(biāo)準(zhǔn)

0 引言

隨著電氣電子設(shè)備在汽車領(lǐng)域尤其是控制系統(tǒng)中的大量使用[1]，一些新的安全問題不斷出現(xiàn)，如豐田汽車的制動(dòng)故障問題、捷豹汽車的巡航系統(tǒng)軟件缺陷問題等[2-3]。這類危險(xiǎn)事故的頻發(fā)，使得各大汽車公司都越來越關(guān)注功能安全，也促使國際標(biāo)準(zhǔn)化組織(ISO)研究并制定了專門針對汽車電子電氣系統(tǒng)的功能安全國際標(biāo)準(zhǔn) ISO 26262[4]。該標(biāo)準(zhǔn)涉及汽車電子電氣系統(tǒng)的整個(gè)汽車安全生命周期(從概念設(shè)計(jì)、產(chǎn)品開發(fā)到生產(chǎn)運(yùn)行階段)及其管理過程，對汽車企業(yè)及其零部件企業(yè)提出了很高的要求。目前，國內(nèi)已有較多的整車廠商在針對ISO 26262標(biāo)準(zhǔn)開展功能安全設(shè)計(jì)研究[5-8]，但是針對車用驅(qū)動(dòng)電機(jī)系統(tǒng)的功能安全設(shè)計(jì)研究還很少[9]。文獻(xiàn)[9]對永磁同步電機(jī)的故障進(jìn)行了詳細(xì)分類，并總結(jié)了各種故障帶來的影響，但缺少對整個(gè)電機(jī)系統(tǒng)尤其是控制系統(tǒng)的研究。作者針對功能安全標(biāo)準(zhǔn)ISO 26262的要求，以車用驅(qū)動(dòng)電機(jī)及其控制系統(tǒng)為研究對象，開展其功能安全概念階段設(shè)計(jì)研究。

1 功能安全標(biāo)準(zhǔn)ISO 26262

ISO 26262涵蓋功能安全相關(guān)開發(fā)的各個(gè)過程(包括規(guī)劃、設(shè)計(jì)、驗(yàn)證和確認(rèn)等)，并根據(jù)汽車行業(yè)的特點(diǎn)定義了汽車安全完整性等級(ASIL)，分為A、B、C、D 4個(gè)等級，安全等級依次升高。系統(tǒng)的安全完整性等級越高，標(biāo)準(zhǔn)對系統(tǒng)開發(fā)時(shí)的設(shè)計(jì)要求就越高，核查和確認(rèn)方法也越嚴(yán)格。在進(jìn)行系統(tǒng)開發(fā)時(shí)，應(yīng)當(dāng)先確定系統(tǒng)的ASIL等級，否則系統(tǒng)設(shè)計(jì)可能會(huì)陷入過度設(shè)計(jì)或過弱設(shè)計(jì)。ASIL等級由3個(gè)因素來確定：傷害嚴(yán)重程度S、發(fā)生概率E和可控性C。傷害嚴(yán)重程度是指危險(xiǎn)對駕駛員或其他交通參與人員造成傷害的嚴(yán)重程度，分為無傷害、輕度傷害、重度傷害但無生命危險(xiǎn)、重度傷害并可能危及生命，分別對應(yīng)0～3等4個(gè)等級。發(fā)生概率是指導(dǎo)致危險(xiǎn)事件發(fā)生所需車輛行駛工況發(fā)生的概率，需考慮行駛速度、路況、天氣等因素，分為不可能發(fā)生、極低概率發(fā)生、低概率發(fā)生、中等概率發(fā)生、高概率發(fā)生，分別對應(yīng)0～4等5個(gè)等級。可控性是指危險(xiǎn)涉及的駕駛員和其他交通參與人員及時(shí)采取控制行動(dòng)避免特定傷害的能力，分為完全能夠控制、容易控制、通?？梢钥刂坪碗y以控制，分別對應(yīng)0～3 等4個(gè)等級。ASIL分級規(guī)則如表1所示。表1中QM表示與安全無關(guān)，S0、E0 或 C0 事件對駕駛員、行人和車輛沒有危害，因而不評定ASIL等級。

表1 ASIL分級表

2 車用驅(qū)動(dòng)電機(jī)系統(tǒng)的功能安全需求

2.1 車用驅(qū)動(dòng)電機(jī)系統(tǒng)

車用驅(qū)動(dòng)電機(jī)系統(tǒng)是電動(dòng)汽車的核心部件之一，可以將動(dòng)力電池的電能轉(zhuǎn)換為機(jī)械能從而為汽車提供驅(qū)動(dòng)力，也可以在制動(dòng)時(shí)將機(jī)械能回收并轉(zhuǎn)化為電能而存儲(chǔ)于動(dòng)力電池。如圖1所示，其中的雙點(diǎn)劃線框內(nèi)即為典型的采用交流電機(jī)的車用驅(qū)動(dòng)電機(jī)系統(tǒng)。一般除了位置傳感器集成在電機(jī)中，其他傳感器和數(shù)字控制系統(tǒng)都集成在逆變器中組成電機(jī)控制器，因此一般的車用驅(qū)動(dòng)電機(jī)系統(tǒng)都由電機(jī)和電機(jī)控制器兩個(gè)部件組成。

圖1 典型的車用驅(qū)動(dòng)電機(jī)系統(tǒng)原理圖

驅(qū)動(dòng)電機(jī)根據(jù)其工作原理不同有多個(gè)種類，其中永磁同步電機(jī)因具有高功率密度、高效率等優(yōu)點(diǎn)，已成為車用驅(qū)動(dòng)電機(jī)的主流，文中也主要針對永磁同步電機(jī)系統(tǒng)進(jìn)行研究。永磁同步電機(jī)由很多個(gè)零件組成，其中永磁體、軸承、旋轉(zhuǎn)變壓器、定子繞組為關(guān)鍵零件，這些關(guān)鍵零件的故障可能會(huì)引起電機(jī)轉(zhuǎn)矩輸出異常，進(jìn)而影響整車安全行駛。電機(jī)控制器也由很多個(gè)零件組成，其中功率模塊、支撐電容、傳感器、驅(qū)動(dòng)電路、控制電路等為關(guān)鍵零件，也是車用驅(qū)動(dòng)電機(jī)系統(tǒng)功能安全設(shè)計(jì)中的研究重點(diǎn)。

2.2 車用驅(qū)動(dòng)電機(jī)系統(tǒng)的功能安全目標(biāo)和功能安全需求

車用驅(qū)動(dòng)電機(jī)系統(tǒng)的主要功能是根據(jù)駕駛員的指令，為整車提供驅(qū)動(dòng)力。對車用驅(qū)動(dòng)電機(jī)系統(tǒng)來說，影響整車安全駕駛的危險(xiǎn)事件是“車用驅(qū)動(dòng)電機(jī)系統(tǒng)的實(shí)際輸出轉(zhuǎn)矩大幅偏離轉(zhuǎn)矩指令(即駕駛員的需求動(dòng)力)”。對該危險(xiǎn)事件進(jìn)行評估和分析，可以確定其 ASIL等級。為了考慮驅(qū)動(dòng)電機(jī)系統(tǒng)故障影響最嚴(yán)重的情況，以應(yīng)用于純電動(dòng)汽車中的車用驅(qū)動(dòng)電機(jī)系統(tǒng)為例進(jìn)行分析(文中研究對象的應(yīng)用背景也定為純電動(dòng)汽車)。

如果車用驅(qū)動(dòng)電機(jī)系統(tǒng)的實(shí)際輸出轉(zhuǎn)矩大幅偏離轉(zhuǎn)矩指令，可能造成車輛失控，比如車輛在正常跟車行駛時(shí)突然違背駕駛員意愿而急加速造成追尾事故，這種危險(xiǎn)事件對駕駛員和行人會(huì)造成傷害；或者車輛在人流量大的區(qū)域緩慢行駛時(shí)突然急加速而造成撞人事故。實(shí)際輸出的轉(zhuǎn)矩與轉(zhuǎn)矩指令的偏差越大，可能造成的傷害也越大，傷害嚴(yán)重程度(S值)可達(dá)到最高值3。車輛需要輸出動(dòng)力的狀態(tài)非常常見，因此危險(xiǎn)事件發(fā)生所需車輛行駛工況發(fā)生的概率(E值)取最高值4。發(fā)生這種危險(xiǎn)時(shí)較難操控，但一般駕駛員只要不過于慌亂，可以通過猛踩制動(dòng)等方式使車輛停下，因此可控性設(shè)為C2。根據(jù)表1，該危險(xiǎn)事件的ASIL等級可達(dá)到S3+E4+C2=ASIL C。

根據(jù)上述針對該危險(xiǎn)事件的評估與分析，可以確定研究的車用驅(qū)動(dòng)電機(jī)系統(tǒng)的功能安全目標(biāo)是：防止車用驅(qū)動(dòng)電機(jī)系統(tǒng)發(fā)生“實(shí)際輸出轉(zhuǎn)矩大幅偏離轉(zhuǎn)矩指令”故障，汽車安全完整性等級達(dá)到ASIL C級。針對功能安全目標(biāo)，對車用驅(qū)動(dòng)電機(jī)系統(tǒng)提出功能安全需求如下：

(1)車用驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)當(dāng)采取措施盡量避免發(fā)生“實(shí)際輸出轉(zhuǎn)矩大幅偏離轉(zhuǎn)矩指令”；

(2)車用驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)當(dāng)能夠及時(shí)檢測到“實(shí)際輸出轉(zhuǎn)矩大幅偏離轉(zhuǎn)矩指令”故障的發(fā)生；

(3)“實(shí)際輸出轉(zhuǎn)矩大幅偏離轉(zhuǎn)矩指令”故障發(fā)生后，車用驅(qū)動(dòng)電機(jī)系統(tǒng)應(yīng)當(dāng)盡快切換到安全狀態(tài)。

3 車用驅(qū)動(dòng)電機(jī)系統(tǒng)的功能安全設(shè)計(jì)

在概念階段，針對車用驅(qū)動(dòng)電機(jī)系統(tǒng)的功能安全需求，在系統(tǒng)設(shè)計(jì)層面可以分別從3個(gè)方面來開展功能安全設(shè)計(jì)。

3.1 故障的避免措施

圖2中所示的各個(gè)模塊都有可能出現(xiàn)故障，從而導(dǎo)致發(fā)生“實(shí)際輸出轉(zhuǎn)矩大幅偏離轉(zhuǎn)矩指令”的故障。這些模塊可能出現(xiàn)的嚴(yán)重故障大都是單點(diǎn)故障，為了減小系統(tǒng)故障的產(chǎn)生概率，各個(gè)模塊可以采取冗余措施將單點(diǎn)故障轉(zhuǎn)化為多點(diǎn)故障，具體如下：

圖2 從接收轉(zhuǎn)矩指令到輸出轉(zhuǎn)矩的過程的原理框圖

(2)電壓采樣。如果電壓采樣發(fā)生故障也可能使得調(diào)節(jié)出的電流突變而導(dǎo)致輸出轉(zhuǎn)矩急劇變化，尤其是在高速弱磁運(yùn)行時(shí)。為了提高電壓采樣的可靠性，可以同時(shí)對3個(gè)驅(qū)動(dòng)橋臂上的母線電壓進(jìn)行采樣，采用分壓電路的硬件成本增加很少，但可以顯著提高電壓采樣的可靠性。

(3)電流采樣。一般情況下，為了節(jié)省成本，電機(jī)控制器只對兩相電流進(jìn)行采樣，當(dāng)某一相的采樣電流值因傳感器或處理電路故障而發(fā)生錯(cuò)誤時(shí)，肯定會(huì)導(dǎo)致電機(jī)輸出的轉(zhuǎn)矩大幅偏離轉(zhuǎn)矩指令。因此，更為可靠的方式是同時(shí)對三相電流進(jìn)行采樣，不僅可以對電流不平衡問題進(jìn)行監(jiān)測，而且當(dāng)一相電流采樣發(fā)生故障時(shí)，另兩相電流采樣仍然能夠維持電機(jī)系統(tǒng)運(yùn)行。

(4)旋轉(zhuǎn)變壓器。當(dāng)旋轉(zhuǎn)變壓器故障時(shí)解碼得到的轉(zhuǎn)子位置角將會(huì)紊亂，進(jìn)而導(dǎo)致矢量控制后輸出的轉(zhuǎn)矩紊亂從而大幅偏離指令值?？梢圆扇煞N冗余措施：一種是加入低成本低精度的霍爾傳感器，當(dāng)旋轉(zhuǎn)變壓器產(chǎn)生故障時(shí)可以基于低精度的霍爾傳感器實(shí)現(xiàn)正弦波控制，從而維持驅(qū)動(dòng)電機(jī)系統(tǒng)的正常工作，雖然其控制精度會(huì)有所降低；另一種是采用無位置傳感器方法，基于電流和電壓值估計(jì)轉(zhuǎn)矩位置角，當(dāng)旋轉(zhuǎn)變壓器出現(xiàn)故障時(shí)，可以使得車輛能在無位置傳感器模式下跛行一小段時(shí)間，從而能夠靠邊停車。

(5)解碼芯片。電機(jī)控制器中一般采用解碼芯片根據(jù)旋轉(zhuǎn)變壓器輸出的正余弦電壓信號來解析得到位置角。為了防止解碼芯片故障帶來的影響，可以采用軟件解碼作為冗余措施。隨著主控芯片的升級，其AD采樣頻率和運(yùn)算能力能夠支持軟件解碼運(yùn)算，盡管其輸出位置角精度稍差于解碼芯片的位置角精度，仍然可以在解碼芯片故障后切換使用軟件解碼得到的位置角，維持電機(jī)系統(tǒng)繼續(xù)運(yùn)行。

(6)軟件計(jì)算。軟件計(jì)算包括采樣計(jì)算、轉(zhuǎn)矩-電流查表、矢量控制、SVPWM等計(jì)算環(huán)節(jié)，如果主控芯片出現(xiàn)故障，比如由外部因素(如輻射或電磁干擾)導(dǎo)致的內(nèi)核或內(nèi)存的大轉(zhuǎn)變等，導(dǎo)致軟件運(yùn)算錯(cuò)誤，則也可能導(dǎo)致系統(tǒng)輸出的轉(zhuǎn)矩異常。為了避免這種情形，可以采用雙核的汽車級芯片，如飛思卡爾的MPC564xL系列、德州儀器(TI)的TMS570等，以雙核鎖步模式運(yùn)行主控芯片的關(guān)鍵模塊，包括核、總線、中斷控制器、看門狗、SRAM 控制器、Flash 控制器等，通過對關(guān)鍵部件的冗余，使兩個(gè)核在相同周期執(zhí)行相同的指令，然后在每個(gè)時(shí)鐘周期對比二者的數(shù)據(jù)、地址和控制信號，以檢測運(yùn)行偏差，將檢測到的錯(cuò)誤報(bào)告給錯(cuò)誤收集和應(yīng)對模塊，從而進(jìn)行安全狀態(tài)控制[11]。

(7)驅(qū)動(dòng)電路、功率模塊和電機(jī)繞組。驅(qū)動(dòng)電路、功率模塊或電機(jī)繞組損壞時(shí)也會(huì)導(dǎo)致嚴(yán)重的轉(zhuǎn)矩輸出異常，為了提高系統(tǒng)的可靠性，可以采用多相電機(jī)系統(tǒng)方案，當(dāng)某一相上的驅(qū)動(dòng)電路、功率模塊或電機(jī)繞組損壞時(shí)，系統(tǒng)仍然能維持工作，雖然控制性能有所降低。然而，采用多相電機(jī)系統(tǒng)會(huì)較大程度地提高系統(tǒng)的成本。

采用上述的信息冗余、硬件冗余和軟件冗余措施，可以提高系統(tǒng)的可靠性和安全性。需要注意的是，在采取冗余措施的同時(shí)還要同時(shí)考慮硬件的失效率。根據(jù)ISO 26262的要求，對ASIL C的安全目標(biāo)相關(guān)硬件指標(biāo)要求為：單點(diǎn)故障指標(biāo)大于97%；潛伏故障指標(biāo)大于80%；硬件隨機(jī)失效率小于10-7/h。雖然通過采用硬件冗余措施可以減少單點(diǎn)故障，提高單點(diǎn)故障指標(biāo)，但如果硬件的失效率較高，則仍然無法達(dá)到ASIL C的要求。

3.2 故障檢測

即使采取了上節(jié)中所述的各種冗余措施，也無法完全避免故障的發(fā)生。如果能夠?qū)收霞皶r(shí)進(jìn)行檢測并進(jìn)行合理的處理，也能夠進(jìn)一步保證系統(tǒng)的安全。對于“實(shí)際輸出轉(zhuǎn)矩大幅偏離轉(zhuǎn)矩指令”故障來說，可以通過轉(zhuǎn)矩監(jiān)控進(jìn)行檢測：即實(shí)時(shí)估算實(shí)際轉(zhuǎn)矩并與轉(zhuǎn)矩指令對比，當(dāng)誤差超過合理范圍則可以判定“實(shí)際輸出轉(zhuǎn)矩大幅偏離轉(zhuǎn)矩指令”故障。而合理的轉(zhuǎn)矩誤差范圍則需要考慮轉(zhuǎn)矩估計(jì)誤差和轉(zhuǎn)矩響應(yīng)時(shí)間。

除了轉(zhuǎn)矩監(jiān)控之外，第3.1節(jié)中提到的各個(gè)模塊也需要相應(yīng)的故障檢測措施：對于有冗余措施的模塊，需要對模塊故障進(jìn)行檢測才能在故障發(fā)生后及時(shí)切換至冗余通道；對于未采用冗余措施的驅(qū)動(dòng)電路，則可以對實(shí)際輸出的驅(qū)動(dòng)電壓進(jìn)行檢測并與軟件計(jì)算出的驅(qū)動(dòng)電平進(jìn)行比較，從而更早地檢測出異常。在新的一些主控芯片中已經(jīng)具有這種PWM信號的反饋檢測功能，可以直接進(jìn)行利用。

3.3 故障處理

當(dāng)系統(tǒng)檢測到“實(shí)際輸出轉(zhuǎn)矩大幅偏離轉(zhuǎn)矩指令”的故障不可避免地發(fā)生時(shí)，需要及時(shí)將系統(tǒng)切換至安全狀態(tài)。故障的容忍時(shí)間間隔一般在20 ms以內(nèi)[12]，在該時(shí)間間隔以內(nèi)將系統(tǒng)由故障狀態(tài)切換至安全狀態(tài)可以將風(fēng)險(xiǎn)降至最低。

至于所謂的安全狀態(tài)，并不是指完全安全的狀態(tài)，因?yàn)槠囆旭傇诘缆飞喜荒艽_保完全安全。如果車輛在行駛時(shí)檢測到系統(tǒng)零部件發(fā)生故障后能夠及時(shí)地切換到跛行模式，則也能盡可能降低事故發(fā)生的概率。對于車用驅(qū)動(dòng)電機(jī)系統(tǒng)來說，也需要有“跛行模式”，比如在確認(rèn)輸出轉(zhuǎn)矩已大幅偏離時(shí)能夠迅速過渡至平穩(wěn)輸出較小動(dòng)力，保證駕駛員能夠在車輛有較小動(dòng)力的情況下通過操作剎車和方向盤等來盡可能避免事故發(fā)生。

綜合第3.1節(jié)至第3.3節(jié)的闡述可知，在采用信息冗余、硬件冗余和軟件冗余等冗余措施減少單點(diǎn)故障的基礎(chǔ)上，通過增加完善的故障檢測功能和及時(shí)的故障處理措施可以顯著減少系統(tǒng)性失效，從而進(jìn)一步提高系統(tǒng)的安全性和可靠性。文中闡述的功能安全設(shè)計(jì)主要在概念階段的系統(tǒng)設(shè)計(jì)層面，至于具體的硬件、軟件等設(shè)計(jì)，需要綜合考慮成本以及硬件失效率等，并按照嚴(yán)格的開發(fā)流程，來達(dá)到相應(yīng)ASIL C安全等級的要求。

4 結(jié)束語

(1)車用驅(qū)動(dòng)電機(jī)系統(tǒng)的功能安全目標(biāo)是防止車用驅(qū)動(dòng)電機(jī)系統(tǒng)發(fā)生“實(shí)際輸出轉(zhuǎn)矩大幅偏離轉(zhuǎn)矩指令”故障，安全等級達(dá)到ASIL C級。

(2)通過采取故障避免措施、故障檢測和及時(shí)處理可以提高車用驅(qū)動(dòng)電機(jī)系統(tǒng)的可靠性和安全性。

(3)文中的研究工作主要是在概念階段的系統(tǒng)設(shè)計(jì)層面，而系統(tǒng)能否達(dá)到功能安全要求，則需要在其整個(gè)安全生命周期按照ISO 26262標(biāo)準(zhǔn)要求進(jìn)行開發(fā)和運(yùn)行。

【1】EBERT C,BURTON S,AMSLER K,et al.Introducing Automotive E/E Safety Engineering:Challenges and Solutions[R].White Paper of Vector Consulting Services,2011.

【2】祁克光．嵌入式系統(tǒng)開發(fā)中ISO26262標(biāo)準(zhǔn)應(yīng)用研究[J]．汽車電器,2013(10):31-34． QI K G.Application Research on the Standard ISO 26262 in Development of Embedded System[J].Auto Electric Parts,2013(10):31-34．

【3】李娟，王宏大，?；?，等．一種基于功能安全的汽車PEPS系統(tǒng)[J]．農(nóng)業(yè)裝備與車輛工程，2014，52(4)：57-59． LI J,WANG H D,ZHU H,et al.The Automotive PEPS System Based on Functional Safety[J].Agricultural Equipment & Vehicle Engineering,2014，52(4)：57-59．

【4】ISO/DIS 26262．Road Vehicles-Functional Safety[S]．Geneva IEC,2009．

【5】文凱，夏珩，裴鋒，等.基于ISO 26262的電動(dòng)四驅(qū)混合動(dòng)力系統(tǒng)功能安全概念設(shè)計(jì)[J]．機(jī)電工程技術(shù)，2012，41(12)：74-76． WEN K,XIA H,PEI F,et al.Electric 4 Wheel Drive Hybrid System Functional Safety Conception Design for ISO 26262[J].Mechanical & Electrical Engineering Technology,2012，41(12)：74-76．

【6】朱葉．基于ISO26262的動(dòng)力電池系統(tǒng)高壓功能安全概念[J]．汽車零部件，2013(5)：97-100． ZHU Y.High Voltage Functional Safety Concept about Battery System Based on ISO26262 Perspective[J].Automobile Parts, 2013(5)：97-100．

【7】劉佳熙，于世濤，郭輝．符合ISO26262要求的汽車起停系統(tǒng)功能安全開發(fā)[J]．上海汽車，2014(4)：59-62．

【8】葛鵬，陳勇，羅大國，等．基于道路車輛功能安全標(biāo)準(zhǔn)ISO26262的7DCT電控系統(tǒng)設(shè)計(jì)[J]．汽車技術(shù)，2014(9)：21-23． GE P,CHEN Y,LUO D G,et al.Design of DCT Electrical Control System Based on Road Vehicle Functional Safety Standard ISO 26262[J].Automobile Technology,2014(9)：21-23．

【9】鄔肖鵬，劉飛，熊璐，等．ISO26262標(biāo)準(zhǔn)下永磁同步電機(jī)故障對整車安全性的影響分析[J]．汽車技術(shù)，2013(2)：13-18． WU X P,LIU F,XIONG L,et al.Analysis of Impact of PMSM Failure on the Safety of EV under ISO26262[J].Automobile Technology,2013(2)：13-18．

【10】楊福宇．CAN總線的功能安全問題[J]．單片機(jī)與嵌入式系統(tǒng)應(yīng)用，2013(2)：17-20． YANG F Y.Function Safety Issue in CAN Bus[J].Microcontrollers & Embedded Systems,2013(2)：17-20．

【11】MISHRA A，BAUMEISTER M．MCU實(shí)現(xiàn)汽車功能安全合規(guī)性[J]．電子產(chǎn)品世界，2013(3)：22-24． MISHRA A，BAUMEISTER M．Freescale Microcontrollers for Functional Safety Compliance[J].Electronic Engineering & Product World,2013(3)：22-24．

【12】KWON H,ITABASHI-CAMPBELL R,MCLAUGHLIN K.ISO26262 Application to Electric Steering Development with a Focus on Hazard Analysis[C]//Systems Conference(SysCon),IEEE International,2013.

Research on Design of the Motor Drive System in Electric Vehicle Based on ISO 26262

ZHUANG Xingming, ZHANG Qin

(Beijing First-rate New Energy Edrive Technology Co., Ltd.,Beijiang 102206,China)

Based on the requirements for the development of auto parts in road vehicle functional safety standard ISO 26262 and the operation characteristic of the motor drive system applied in electric vehicle, the possible risk events were assessed and analyzed, and then the aim and the requirements of the functional safety for the motor drive system were analyzed and determined. In order to improve safety and reliability of the motor drive system, system level design aiming at functional safety was carried out, and a series of strategies were provided.

Motor drive system; Functional safety; ISO26262 standard

2016-08-26

莊興明(1985—)，男，工學(xué)博士，主要從事驅(qū)動(dòng)電機(jī)控制相關(guān)研究。E-mail:zhuangxm163@163.com。

10.19466/j.cnki.1674-1986.2016.12.004

U461.3

A

1674-1986(2016)12-018-04