摘要：随着汽车行业的发展与进步，安全相关方面的重要性日益凸显，因此对功能安全和可靠性的要求也愈发严格。近年来，大多数车辆均搭载了电气和电子组件及系统，其中包含大量电子控制单元（ECU）、电子传感器以及带编码的总线系统。由于这些电气、电子及可编程电子设备的应用存在复杂性，对汽车系统故障的潜在风险进行分析十分必要。为此，国际标准化组织制定了ISO 26262标准，该标准适用于汽车电气/电子（E/E）系统，可确保所有ECU、E/E系统在技术和管理层面均能实现完整的安全配置。本文依据ISO 26262标准第3部分，开展了电动牵引逆变器的功能安全研究：通过MEDINI工具生成功能安全报告，并利用MATLAB/SIMULINK软件对牵引逆变器的短路故障进行功能安全分析。

01. 简介

ISO 26262标准源于IEC 61508标准，旨在保障电气和电子系统的功能安全。随着汽车行业的不断发展，车辆控制系统已逐步从机械控制向电气控制转变。电动动力传动系统、制动系统、电子稳定系统、自适应巡航控制系统、紧急制动辅助系统、线控制动系统、线控转向系统、安全气囊、灯光控制及胎压监测系统等均属于关键系统，这些系统中大量应用了电气电子组件和ECU。

因此，功能安全的核心目标是确保车辆所搭载电气电子设备能准确执行特定功能。ISO 26262标准适用于总质量不超过3.5吨的乘用车。本文将详细阐述牵引逆变器依据ISO 26262标准第3部分（概念阶段）开展功能安全工作的具体流程。

ISO 26262标准的内容可通过“V模型”进行阐释，如图1所示：

图1：ISO 26262标准V模型

ISO 26262标准第3部分（概念阶段）的核心内容包括：项目定义（Item Definition）、危害分析与风险评估（Hazard Analysis and Risk Assessment）、汽车安全完整性等级（ASIL）确定、安全目标（Safety Goals）制定及功能安全概念（Functional Safety Concept）构建。

依据ISO 26262标准中的术语定义，本文研究的“项目（Item）”为牵引逆变器，其功能是将牵引蓄电池的直流电（DC）转换为交流电（AC），为驱动电机供电。

牵引逆变器是纯电气设备，可将牵引蓄电池中存储的直流电转换为交流电，为交流驱动电机供电。牵引逆变器的设计目的是控制电动汽车的扭矩，进而实现对车速的控制。牵引逆变器模块由电力电子变流器电路、控制单元和反馈电路构成。借助控制电路和反馈电路，牵引逆变器能够完成直流电到交流电的转换，并根据车辆监控控制器（VSC）的指令，使驱动电机输出所需扭矩。

绝缘栅双极型晶体管（IGBT）是目前广泛应用于变流器电路的功率开关器件。牵引逆变器主要有两种设计方案：

1. “箱式”独立封装设计：将基于框架的硅凝胶填充功率模块安装在传动系统的机械舱内；

2. 集成式逆变器设计：采用小型化、全密封式组件。

牵引逆变器模块主要由DC-AC变流器电路、栅极驱动电路、反馈单元和电机控制单元（MCU）组成。在牵引逆变器的各类组件中，电力电子变流器的易损性最高，其次是栅极驱动电路。栅极驱动电路失效、绝缘失效均会导致牵引逆变器失效或误运行，而过流故障是逆变器最常见的故障类型。

02. 第3部分：概念阶段

ISO 26262标准第3部分（概念阶段）重点关注项目定义、安全生命周期、危害分析与风险评估以及项目的功能安全概念。

2.1 项目定义

项目定义包括项目介绍、项目描述、接口、边界、功能及功能需求、整车级功能和故障等内容。下图（图2）对牵引逆变器的边界、接口及模块内各组件进行了说明。

图2：牵引逆变器的边界与接口

上图展示了牵引逆变器的工作边界、所涉及的接口以及模块内的不同组件。其中，边界内包含主电机控制单元（MCU），该单元接收驱动电机（EM）的反馈信号，并获取车辆监控控制器（VSC）发送的扭矩指令信号，随后根据所需输出生成脉冲宽度调制（PWM）信号。栅极驱动电路会对电流信号进行放大，以触发IGBT器件。高压直流（HVDC）与交流（AC）之间、高压直流（HVDC）与低压直流（LVDC）之间均设有绝缘装置。MCU会对栅极驱动电路的温度进行持续监测。

在定义边界时，需假设牵引逆变器边界外的所有其他接口均能正常工作，并提供准确的输入信号。故障和危害的产生仅源于牵引逆变器边界内组件的误运行。

项目定义总结如下：

1）. 系统功能：

· 实现直流电（DC）到交流电（AC）的转换；

· 根据车辆监控控制器（VSC）的需求提供所需扭矩；

· 制动能量回收阶段实现交流电（AC）到直流电（DC）的转换。

2）. 运行条件：

· 车辆处于行驶或静止状态；

· 车辆以中高速行驶；

· 行驶路面为泥泞路、冰雪路或铺装路。

3）. 运行模式：

· 驱动模式（直流电转换为交流电）；

· 能量回收制动模式（交流电转换为直流电）。

4）. 故障类型：

· 非预期加速；

· 非预期减速；

· 交直流转换异常。

2.2 危害分析与风险评估

危害分析与风险评估（HARA）是概念阶段的下一关键步骤，其开展需以项目定义为前提。基于项目定义中确定的系统功能和故障类型，进行危害分析与风险评估，并根据危害的严重程度（Severity）、暴露概率（Exposure）和可控性（Controllability）为特定故障分配相应的汽车安全完整性等级（ASIL）。同时，通过构建故障树（FTA）分析特定故障在系统层面的根本原因，进而制定安全目标和功能安全需求。

下图（图3）为危害分析与风险评估（HARA）的详细流程：

图3:危害分析与风险评估（HARA）详细流程

某一故障或危害的ASIL等级由其严重程度、暴露概率和可控性共同决定，下表（表1）列出了这三个参数的具体分类：

表1:ASIL等级确定参数

在概念阶段，ASIL等级通过对潜在危害的风险评估确定，即通过评估严重程度、暴露概率和可控性三个参数实现。表1列出了这些参数的具体分类。

表2:基于严重程度（S）、暴露概率（E）和可控性（C）的ASIL等级确定

依据ISO 26262标准，ASIL等级分为四类：ASIL A、ASIL B、ASIL C和ASIL D。其中，ASIL D等级代表最高安全完整性水平，ASIL A等级代表最低安全完整性水平。此外，还有一类 “QM（质量管理）”，此类无需满足特定的功能安全需求，按常规质量管理流程处理即可。

表2列出了根据严重程度（S）、暴露概率（E）和可控性（C）确定的ASIL等级。

2.3 ASIL等级确定与危害分析风险评估（HARA）

结合电动汽车的运行场景（如加速、减速、巡航），列出不同场景下的故障类型和危害。下表（表 3）汇总了不同运行场景下各类故障的危害分析风险评估（HARA）结果及ASIL等级确定情况：

表3:危害分析风险评估（HARA）与ASIL等级确定

非预期加速故障由扭矩输出过大导致，而非预期减速故障则由扭矩输出过小导致。

在所有故障中，车辆静止状态下的非预期移动故障的ASIL等级最高（ASIL D）。该故障的严重程度为S3级，原因是其可能导致交通参与者遭受致命伤害或难以存活的严重伤害；暴露概率为E4级，因为车辆静止状态下突发加速的场景发生频率较高，暴露风险大；可控性为C1级，因为驾驶员需要额外操作才能控制车辆，可控难度大。

此外，在确定ASIL等级时，还考虑了不同路面条件（如低附着系数的湿滑路面或冰雪路面、常规铺装路面、砂石路或泥泞路）的影响，并结合这些条件为各类故障和危害分配相应的ASIL等级。

2.4 安全目标

针对上述所有故障和危害，制定相应的安全目标。对于ASIL等级为QM的故障，无需满足功能安全需求，因此不制定对应的安全目标。下表（表4）列出了针对扭矩过大、扭矩过小和交直流转换异常三类故障制定的安全目标：

表4:故障与危害对应的安全目标

根据制定的安全目标，进一步推导功能安全需求。同时，采用“自上而下”的故障树分析（FTA）方法，确定危害在功能层面的根本原因，进而推导功能安全需求。

2.5 故障树分析（FTA）

故障树分析（FTA）是一种“自上而下”的分析方法，通过逻辑推理确定危害和故障发生的原因，分析过程基于逻辑门实现。图4为“非预期加速”故障的故障树分析图：将“非预期加速”故障作为顶层事件，下一层列出可能导致该故障的原因，各原因之间通过 “OR门”连接。由图可知，牵引逆变器导致非预期加速的原因包括：电力电子电路故障、绝缘失效、栅极驱动电路故障或MCU故障。再下一层则列出导致上述高一级事件的具体原因：例如，电力电子电路故障由硬件故障或接口失效导致；接口失效又可能由通信故障、高压直流（HVDC）失效或 PWM 信号异常导致；而PWM信号异常则由栅极驱动电路故障导致。

图4:非预期加速故障的故障树分析（FTA）

同理，针对绝缘失效、MCU故障和栅极驱动电路失效，也需逐层分析其在功能层面的根本原因，并为每一步分析制定相应的安全需求。

对于非预期减速和交直流转换异常故障，采用与上述类似的“自下而上”故障树分析方法，进而推导对应的功能安全需求。

03. 仿真与结果

在MATLAB/SIMULINK环境中对逆变器模型进行仿真。表3中列出了各类故障，本研究选取其中一种在任意运行状态下都可能发生的故障——电击故障展开分析。仿真采用三相逆变器，通过正弦脉冲宽度调制（SPWM）技术驱动；直流电源电压设定为400V，与三相RLC负载相连。SPWM技术可生成PWM信号并输送至IGBT栅极。具体而言，将三个相位差为120°的工频正弦波与频率为1kHz的高频载波进行比较，从而得到所需的PWM信号。

图5（a）:三相逆变器仿真模型

图5（a）展示了采用SPWM技术的三相逆变器SIMULINK仿真模型，图5（b）和图5（c）则分别呈现了RLC负载端的相间电压、线电压及线电流波形。

图5（b）:RLC负载端的三相相间电压波形

图5（c）：RLC负载端的线电压与线电流波形

在正常运行状态下，若未发生故障且输出参数处于正常范围（如图5（b）和图5（c）所示），电机控制单元（MCU）将维持正常运行模式，此时车辆处于QM（质量管理）级别的安全运行状态。同样基于该模型，对IGBT 短路故障进行仿真，结果显示线电流大幅升高：电流从正常的40A增至90A，达到负载可承受电流的两倍。图6呈现了IGBT短路故障下线电流升高的波形。线电流升高会导致扭矩增大，进而引发非预期加速故障，同时还可能使驾驶员或乘客遭受严重电击。

图6 :IGBT短路故障下90A的线电流波形

一旦电机控制单元（MCU）检测到牵引逆变器的输出异常及危害事件，需根据危害的风险等级、严重程度和可控性，将功能安全概念引入车辆系统。

04. 结论

本研究依据ISO 26262标准第3部分（概念阶段），制定了牵引逆变器的功能安全需求。针对逆变器的部分故障与危害，完成了项目定义、危害分析与风险评估工作；通过故障树分析（FTA）制定了相应的安全目标，并最终提出了功能安全需求。在MATLAB/SIMULINK环境中搭建三相逆变器模型，对其中一种故障进行仿真，在概念阶段验证了相应的安全效果。