用于發(fā)動機控制功能安全評估的破壞者模型建模方法

秦 靜，張 震，謝 輝

用于發(fā)動機控制功能安全評估的破壞者模型建模方法

秦 靜，張 震，謝 輝

(天津大學(xué)內(nèi)燃機燃燒學(xué)國家重點實驗室，天津 300072)

為了評價發(fā)動機控制的功能安全，建立了基于曲軸角度的缸內(nèi)模型作為基礎(chǔ)模型，依據(jù)ISO 26262協(xié)議的要求，提出了用于發(fā)動機控制功能安全評估的破壞者模型思想，并以柴油機燃油系統(tǒng)為例，詳細說明了破壞者模型的概念和構(gòu)建思路．通過在LABCAR的HIL平臺上實時運行，證實破壞者模型可以為發(fā)動機控制器開發(fā)提供多種產(chǎn)生風(fēng)險的案例，是提高發(fā)動機控制功能安全的有效工具．

功能安全；ISO 26262；LABCAR；破壞者模型

功能安全是與EUC(受控設(shè)備)或EUC控制系統(tǒng)有關(guān)的整體安全的組成部分，取決于電氣/電子/可編程電子(E/E/PE)安全系統(tǒng)、其他技術(shù)安全系統(tǒng)和外界風(fēng)險降低設(shè)施功能的正確行使．設(shè)備或控制系統(tǒng)的安全功能在正常條件和故障條件下都應(yīng)得到保證[1]．車輛電子電氣系統(tǒng)同樣需要功能安全的實施．為避免車輛相關(guān)EUC和EUC控制系統(tǒng)失效帶來的風(fēng)險，國際標(biāo)準(zhǔn)化組織歷時6年，從IEC 61508中派生出專門針對車輛電子電氣系統(tǒng)功能安全的國際級標(biāo)準(zhǔn)ISO 26262[2]．ISO 26262是一套關(guān)于風(fēng)險管理和安全技術(shù)實現(xiàn)的標(biāo)準(zhǔn)．

硬件在環(huán)仿真(HIL)在發(fā)動機控制器開發(fā)中的作用越來越明顯，在ISO 26262中也規(guī)定其為實施驗證軟件安全需求的測試環(huán)境之一，并推薦了具體的案例生成方法和測試方法．ISO 26262推薦的HIL測試場景有ECU單個功能測試、軟件集成測試和ECU網(wǎng)絡(luò)測試．同時，基于HIL的測試還包括需求測試、故障注入測試、外部接口測試、通訊測試、資源利用率測試以及壓力測試等[3]．

本文依據(jù)ISO 26262對HIL的要求，提出了一種用于發(fā)動機控制功能安全評估的HIL模型概念，即破壞者模型；將該模型在HIL系統(tǒng)中運行，進行柴油機控制器安全相關(guān)功能的測試，提高柴油機控制器的功能安全綜合等級．限于篇幅，本文以燃油系統(tǒng)為例，解釋了該破壞者模型的實現(xiàn)方法.

1 破壞者模型的提出

1.1 破壞者模型提出的背景

在柴油機控制器開發(fā)的概念階段，ISO 26262要求定義出柴油機控制器中可能出現(xiàn)的風(fēng)險，并對風(fēng)險進行評估．比如，柴油機控制器失效導(dǎo)致的風(fēng)險包括車輛意外的加速及由此產(chǎn)生的意外加速損失等，根據(jù)表1和表2，嚴(yán)重性(S)、可控性(C)和暴露性(E)分別評級后，意外的加速被評級為ASIL C級[4]．

表2 安全綜合等級評定Tab.2 Automotive safety integrity level(ASIL)of unintended-acceleration

在車輛意外加速這一風(fēng)險進行安全評級后，需制定出安全目標(biāo)，并依次在系統(tǒng)層、硬件層、軟件層及生產(chǎn)和操作4個階段，定義風(fēng)險減少的措施．這些風(fēng)險減少措施包括系統(tǒng)層的技術(shù)安全要求，技術(shù)安全要求在硬件層、軟件層和外部機構(gòu)上的分配以及安全要求的驗證等．

技術(shù)安全要求在硬件上的分配主要是規(guī)定與安全相關(guān)的硬件的隨機失效率，單點故障失效率和潛在故障失效率必須滿足一定的量化指標(biāo)．比如，ASIL C級別的硬件隨機失效率需在1×10-7,h-1以內(nèi)，加速踏板信號采集的相關(guān)硬件安全等級最高．因此，踏板開度信號的采集電路采用冗余設(shè)計，以減少隨機失效的概率．

技術(shù)安全要求在軟件上的分配主要是嚴(yán)格的軟件設(shè)計規(guī)范以及足夠的安全相關(guān)功能．軟件層的安全相關(guān)功能也就是指各控制模塊對其控制對象進行監(jiān)控，防止造成意外加速，以及造成意外加速后，控制算法必須做出適當(dāng)?shù)奶幚?，以保證系統(tǒng)的功能安全．如燃油系統(tǒng)控制模塊中的軌壓監(jiān)控、對噴油器流量的監(jiān)控，發(fā)現(xiàn)異常則對控制功能進行降級等．

針對系統(tǒng)控制模塊開發(fā)中軟件層的安全功能，需要建立能夠模擬出由系統(tǒng)各種失效造成的意外加速風(fēng)險的模型，本文將其定義為破壞者模型．因此，破壞者模型的概念為依據(jù)功能安全標(biāo)準(zhǔn)建立的能夠仿真出由特定失效引起的特定風(fēng)險的模型，用于測試控制器對風(fēng)險的監(jiān)控和應(yīng)對能力，可提高控制器的功能安全的實時模型．破壞者模型應(yīng)符合ISO 26262在軟件層測試中推薦的基于需求的測試、接口測試和魯棒性測試等HIL測試方法．雖然線束故障也是造成風(fēng)險的因素之一，但是線束故障的模擬工具已經(jīng)開發(fā)得非常完善，在此不列入破壞者模型的范圍．

1.2 破壞者模型的特點

針對柴油機控制器軟件中越來越多的安全功能的需求，被控系統(tǒng)的失效作為監(jiān)控應(yīng)對功能或是魯棒性考慮，將成為開發(fā)的重要的設(shè)計案例[5]．目前的HIL測試主要是以正常的功能需求測試為主，不能為ECU功能安全的測試評估提供失效案例．

破壞者模型為了可以更精確地模擬出系統(tǒng)的各種失效，采用了基于曲軸角度的缸內(nèi)模型為基礎(chǔ)模型，為ECU提供軌壓波動、缸內(nèi)工質(zhì)的溫度、缸內(nèi)壓力等信號輸入，并為ECU提供監(jiān)控和診斷的對象．

根據(jù)技術(shù)安全要求在軟件上的分配，傳感器、執(zhí)行器的失效必須作為軟件設(shè)計和測試的案例．如果是特定的機械故障可以引起執(zhí)行器、傳感器等電子信號的變化，也是要在設(shè)計和測試中作為控制系統(tǒng)的魯棒性進行考慮的．破壞者模型由兩部分構(gòu)成：基于曲軸角度的發(fā)動機工作過程模型(即基礎(chǔ)模型)和失效模型．失效模型主要用于模擬引起系統(tǒng)風(fēng)險和危害的失效行為，具體包括如下功能：

(1) 具備仿真?zhèn)鞲衅魇г斐娠L(fēng)險的能力；(2) 具備仿真執(zhí)行器失效造成風(fēng)險的能力；(3) 具備仿真電子電氣信號變化的機械失效造成風(fēng)險的能力；

(4) 具備實時輸出瞬時轉(zhuǎn)速信號的能力．

上述風(fēng)險是指在概念階段經(jīng)過風(fēng)險分析和評估所確定的風(fēng)險．

1.3 破壞者模型的構(gòu)建方法

依據(jù)破壞者模型的概念和特點，提出破壞者模型構(gòu)建的基本方法如下．

(1) 分析發(fā)動機控制分析可能發(fā)生的風(fēng)險．

(2) 針對某一風(fēng)險，分析可能造成這一風(fēng)險的傳感器失效、執(zhí)行器失效以及可引起電子電氣信號變化的機械失效行為特征．

(3) 建立可以反映發(fā)動機每個系統(tǒng)工作機理的物理模型，作為破壞者模型的基礎(chǔ)模型．

(4) 針對可能造成風(fēng)險的失效，注入故障因子，實現(xiàn)對系統(tǒng)的“破壞”．

燃油系統(tǒng)是柴油機運行的核心系統(tǒng)，本文以此為例說明破壞者模型的建立思路．即以減少柴油機共軌燃油系統(tǒng)控制模塊造成的意外加速這一風(fēng)險為目的，建立了柴油機共軌燃油系統(tǒng)的破壞者模型，為控制模塊的軟件層提供了多種失效案例，便于監(jiān)控或應(yīng)對算法的開發(fā)，提高軟件層的功能安全．

2 破壞者模型的基礎(chǔ)模型

基于破壞者模型所需具備的特性，本文通過修改ETAS公司的柴油機車輛模型DEVM，建立了基于曲軸角度的缸內(nèi)模型作為破壞者模型的基礎(chǔ)模型.改進的主要模型為曲軸動力學(xué)模型、進排氣門模型、共軌燃油系統(tǒng)模型、燃燒放熱模型、缸壁散熱模型和摩擦扭矩模型．各模型要依據(jù)不同的發(fā)動機配置結(jié)構(gòu)參數(shù)，并與發(fā)動機實驗數(shù)據(jù)對照．

2.1 曲軸動力學(xué)模型

曲軸角度是整個柴油機模型工作的時鐘．建立曲軸動力學(xué)模型主要考慮了曲軸的轉(zhuǎn)動矩Teff_eng和活塞、曲軸連桿往復(fù)運動克服的重力矩TDri[6]．對于不同的發(fā)動機，曲軸動力學(xué)模塊庫只需要標(biāo)定曲軸的轉(zhuǎn)動慣量Icrank和活塞連桿的振蕩質(zhì)量mosc便可完成該模塊的配置．

利用曲軸連桿與活塞的簡化幾何關(guān)系，求解此微分方程得出發(fā)動機轉(zhuǎn)速n、活塞位置Piss、活塞速度及活塞加速度．圖1為活塞位置隨曲軸轉(zhuǎn)角的變化．

圖1 活塞位置隨曲軸轉(zhuǎn)角的變化Fig.1 Piston position changes with the crank angle

2.2 進排氣門模型

首先要建立進氣門升程和流量面積的模型．將凸輪軸型線簡化為sin2?，并對進排氣門的形狀也做了一定的簡化．

進排氣門的流量系數(shù)方程為

式中：A為進氣門面積；m為進氣量；p為壓力；T為溫度；假設(shè)流動為絕熱過程，k取1.4；dC為修正系數(shù)，暫時取1，如果要對該模塊進行修正，則標(biāo)定該修正系數(shù)[7]．簡化后的進氣門流通面積的公式為

式中：invaln為每一缸內(nèi)的進氣門個數(shù)；l為進排氣門升程；d為進排氣門直徑．進氣門和排氣門模型只需標(biāo)定最大升程、直徑、開啟角度和持續(xù)角度便可配置不同的發(fā)動機．

2.3 共軌燃油系統(tǒng)模型

高壓油泵每循環(huán)供油量計算公式為

式中：i為傳動比；N為柱塞個數(shù)；η為供油系數(shù)．

高壓共軌軌壓計算公式為

泄壓閥流量公式為

噴油器模型為

式中：Nnozzle為噴孔數(shù)量；Anozzle為噴孔截面積．由于噴油器的種類有限，噴孔數(shù)量和噴孔直徑很容易獲取．

2.4 缸內(nèi)模型

缸內(nèi)模型是基于充排法、質(zhì)量守恒及能量守恒建立的，包括缸內(nèi)質(zhì)量模型、缸內(nèi)工質(zhì)溫度模型、壓力模型和放熱模型[8]．缸內(nèi)質(zhì)量模型則是由質(zhì)量守恒得出．缸內(nèi)工質(zhì)溫度的計算式為

本文對缸內(nèi)的燃燒采用均勻混合氣零維燃燒的假設(shè)，采用阿列紐斯反應(yīng)率方程計算柴油燃燒速率[9]，則有

式中：Ea為柴油反應(yīng)活化能，取Ea/R=4,650；cO2為缸內(nèi)氧氣濃度；cfuel為缸內(nèi)柴油濃度；QLHV為柴油低熱值，取2×107；KArrh為不同工況下標(biāo)定的柴油燃燒對應(yīng)的阿列紐斯系數(shù)．圖2為轉(zhuǎn)速1,000,r/min、預(yù)噴噴油量11,mg、主噴噴油量139,mg時，缸內(nèi)燃油質(zhì)量變化曲線，可反映出缸內(nèi)噴油速率和燃油燃燒速率的變化．

圖2 缸內(nèi)燃油質(zhì)量變化曲線Fig.2 Fuel quality changes in cylinder

缸內(nèi)壓力則使用理想氣體狀態(tài)方程得出．圖3為缸內(nèi)壓力變化．

圖3 穩(wěn)定工況下缸內(nèi)壓力變化Fig.3 Cylinder pressure under the stability condition

2.5 缸壁散熱模型

本文采用Woschni's公式計算壁面散熱[10]，即

w 壓縮過程和做功過程中分別取不同的值；wallA為散熱壁面面積．

2.6 摩擦扭矩計算模型

由于瞬時摩擦扭矩計算量較大，基于實時模型的考慮，本文采用平均摩擦扭矩計算的經(jīng)驗公式，即

式中：Vdis為柴油機總排量；k1=1.4×105；Rb為活塞環(huán)和曲軸軸承設(shè)計所承受的低速增壓比；μ=1.8；k2=8.6×10-3；k3=2.15×10-7；B0=0.075．

3 共軌燃油系統(tǒng)破壞者模型范例

為了降低意外加速這一ASIL C級別的風(fēng)險，技術(shù)安全要求中應(yīng)包含硬件設(shè)計要求和軟件中對燃油系統(tǒng)控制和監(jiān)控的要求．因此，在共軌燃油系統(tǒng)的控制和監(jiān)控算法開發(fā)中，需要建立共軌系統(tǒng)的破壞模型來測試軟件層的功能安全要求．

共軌燃油系統(tǒng)破壞者模型，是指可以仿真共軌燃油系統(tǒng)中傳感器、執(zhí)行器以及機械結(jié)構(gòu)失效造成的風(fēng)險，驗證ECU中對燃油系統(tǒng)失效的監(jiān)控和響應(yīng)策略的實時模型．

本文在缸內(nèi)模型的基礎(chǔ)上，舉例說明了破壞者模型思想在共軌燃油系統(tǒng)中的應(yīng)用．依據(jù)所提出的破壞者模型的功能定義，燃油系統(tǒng)的破壞者模型應(yīng)當(dāng)具備以下條件：

(1) 仿真可能造成意外加速的共軌燃油系統(tǒng)中傳感器失效的能力；

(2) 仿真可能造成意外加速的共軌燃油系統(tǒng)中執(zhí)行器失效的能力；

(3) 仿真可能造成意外加速并能造成電子電氣信號變化的共軌燃油系統(tǒng)中機械故障的能力；

(4) 實時輸出瞬時轉(zhuǎn)速信號的能力．

3.1 軌壓傳感器漂移

如果軌壓傳感器漂移，實測值比實際值小很多，那么控制軟件在沒有安全算法時會繼續(xù)提升軌壓，導(dǎo)致實際噴油量會比正常噴油量大很多，從而會產(chǎn)生意外的扭矩并帶來意外加速．因此，需模擬軌壓傳感器漂移這一傳感器失效現(xiàn)象來測試燃油系統(tǒng)控制軟件對此的監(jiān)控和應(yīng)對．

本文參考航天發(fā)動機在故障診斷時建立故障方程的方法，在軌壓傳感器模型中加入故障因子用以模擬軌壓傳感器的漂移，并統(tǒng)一管理故障因子．故障因子是發(fā)動機部件故障狀態(tài)的表征，它代表了由于故障所引起的部件特性線的平移．基礎(chǔ)的缸內(nèi)模型中不包含任何故障的信息．建立故障方程時，對每一個獨立的部件特性相應(yīng)地引入一個故障因子[11]．

軌壓傳感器模型實際為一個壓力轉(zhuǎn)換為電壓的線性方程．采用特性平移法對其加入故障因子，即輸出的軌壓電壓值比正常情況小R，即如圖4所示，軌壓保持不變時，軌壓傳感器漂移后電壓輸出值降低．

圖4 軌壓與軌壓傳感器電壓信號曲線Fig.4 Voltage curves of rail pressure senser and rail pressure

3.2 噴油器電磁閥關(guān)閉不嚴(yán)或關(guān)閉遲緩

本文對各缸噴油脈寬加入故障因子，可仿真各缸噴油脈寬的不一致性，同時可仿真噴油器電磁閥關(guān)閉不嚴(yán)造成某缸噴油量過大帶來的意外加速．由圖5可見，一缸噴油器噴油脈寬異常變大，造成噴油量變大、單缸缸壓升高．

圖5 單缸噴油脈寬異常增大Fig.5 Abnormal increase of injection pulse-width in one cylinder

由此可見，基于曲軸角度的柴油機缸內(nèi)模型可以更加靈活、更加逼真地模擬各種失效．采用同樣的方法對其他可能造成意外加速風(fēng)險的傳感器和執(zhí)行器失效進行仿真．同時通過對各機械結(jié)構(gòu)的故障因子的添加可以實現(xiàn)機械故障的仿真．

3.3 瞬時轉(zhuǎn)速輸出

缸內(nèi)模型離線仿真都可以計算出瞬時轉(zhuǎn)速．實時輸出瞬時轉(zhuǎn)速才是需要解決的問題．以前的HIL測試中是將曲軸一周的波形存儲在HIL平臺的波形表中，一個周期內(nèi)的曲軸信號的齒間距離和幅值是不變的，無法反映出真實發(fā)動機中各種失效帶來的瞬時轉(zhuǎn)速的變化．本文在LABCAR系統(tǒng)1335板卡波形表中存儲一個碼盤的波形(使用正弦信號代替曲軸齒)，幅值和齒間距離是與瞬時轉(zhuǎn)速相關(guān)的．圖6為通過示波器采集到的LABCAR實時輸出的曲軸信號，反映出突加速時的瞬時轉(zhuǎn)速，同時曲軸信號的電壓幅值和2個齒間的時間都更接近真實的瞬時轉(zhuǎn)速信號．

圖6 突加速過程中的瞬時轉(zhuǎn)速Fig.6 Transient speed during acceleration

4 破壞者模型基礎(chǔ)模型的HIL運行

4.1 LABCAR硬件通道與模型的連接

本文所采用的HIL仿真平臺包括LABCAR、監(jiān)控PC、LABCAR-IP和EE．其中，LABCAR包括RTPC及多種板塊，可用于實時的運算和信號的采集與產(chǎn)生；LABCAR-IP具有配置LABCAR板卡硬件、管理仿真模型與硬件的信號連接、管理仿真任務(wù)及通訊信號等功能；EE則具有對RTPC中運行的模型進行監(jiān)控標(biāo)定的功能．

LABCAR在Simulink中嵌入了Input_Port和Output_Port兩個模塊．通過在LABCAR-IP中配置LABCAR的各板卡通道與Input_Port和Output_Port的連接，可實現(xiàn)模型與真實信號的轉(zhuǎn)化．

將模型中計算的轉(zhuǎn)速、缸壓、軌壓及各種溫度數(shù)值用Output_Port輸出，在LABACR-IP的Connection Manager里連接該Output_Port與專門的板卡通道，將模型信號轉(zhuǎn)化為真實值輸出．

4.2 破壞者模型的實時性和瞬時性

依據(jù)具體柴油機的物理參數(shù)配置基礎(chǔ)缸內(nèi)模型，并對每個庫進行實驗數(shù)據(jù)對比．將模型下載到LABCAR中，使用本實驗室自主研發(fā)的柴油機控制器進行閉環(huán)仿真．

將模型的每一步計算的任務(wù)周期在LABCAR-IP分配到0.05,ms中，從而保證了柴油機基礎(chǔ)缸內(nèi)模型在3,000,r/min以下都能在每個曲軸角度下運算1次，計算出每個曲軸角度下的瞬時轉(zhuǎn)速、缸壓和缸內(nèi)溫度等．圖7為通過示波器采集到的LABCAR實時輸出的缸壓信號的電壓值．

圖7 LABCAR的DAC通道輸出缸壓的電壓信號Fig.7 Analog voltage signals of cylinder pressure out by DAC channel in LABCAR

5 破壞者模型的功能安全評估

5.1 軌壓傳感器漂移

將LABCAR連接自主研發(fā)的柴油機ECU對模擬的失效進行實時仿真，測試未添加此失效監(jiān)控和應(yīng)對算法的ECU的反應(yīng)．如圖8所示，虛線為柴油機轉(zhuǎn)速，實線為軌壓，點劃線為軌壓傳感器輸出的電壓值．在啟用了軌壓傳感器故障因子后，實際輸入給ECU的軌壓電壓值降低，但是實際軌壓反而升高，ECU誤認為供油不足而增大了油泵計量單元開度，使得軌壓突然上升，最終柴油機轉(zhuǎn)速也從1,100,r/min意外增加到1,700,r/min．

圖8 軌壓傳感器漂移后轉(zhuǎn)速意外增加Fig.8 Unintended-acceleration after the drift of rail pressure sensor

針對此種失效，ECU沒有任何的監(jiān)控和應(yīng)對措施，可見尚不滿足功能安全的要求．因此可以在ECU燃油系統(tǒng)控制軟件中添加各個工況下軌壓的期望值作為軌壓安全基準(zhǔn)，如果采集到的軌壓值與此期望值偏差超過一定值則認為存在失效，對系統(tǒng)進行降級，同時減小扭矩或是緊急停車．

5.2 噴油器電磁閥關(guān)閉不嚴(yán)或關(guān)閉遲緩

LABCAR通過1336板卡采集各缸噴油脈寬，開啟對一缸噴油脈寬的故障因子實時仿真噴油器電磁閥關(guān)閉不嚴(yán)或關(guān)閉遲緩．如圖9所示，虛線為一缸的噴油脈寬，實線為柴油機轉(zhuǎn)速．故障因子開啟后，轉(zhuǎn)速由1,050,r/min升高到1,130,r/min，并且轉(zhuǎn)速波動變大．

圖9 噴油器關(guān)閉不嚴(yán)或關(guān)閉遲滯造成的轉(zhuǎn)速意外增加Fig.9 Unintended-acceleration caused by fuel valve closure lax or sluggish

針對此種失效，可以在ECU燃油系統(tǒng)控制軟件中添加對噴油器真實噴油量的監(jiān)控算法，并做失效處理．

6 結(jié) 論

發(fā)動機的控制系統(tǒng)日益復(fù)雜，控制的功能安全也越來越受關(guān)注．本文依據(jù)ISO 26262中的風(fēng)險分析和評估，對柴油機控制系統(tǒng)可能造成的意外加速這一風(fēng)險進行評級，并為減少這一風(fēng)險在軟件層開發(fā)過程中建立了用于HIL的破壞者模型，針對該風(fēng)險進行評估測試從而提高軟件層的功能安全．主要結(jié)論如下.

(1) 提出了用于功能安全評估的破壞者模型基本思想和構(gòu)建方法．破壞者模型由2部分構(gòu)成，即基于曲軸角度的發(fā)動機工作過程基礎(chǔ)模型和模擬可引起系統(tǒng)風(fēng)險和危害因素的失效模型．

(2) 以柴油機共軌燃油系統(tǒng)控制模塊的開發(fā)為例，建立了典型失效行為模擬的失效模型．在燃油系統(tǒng)的基礎(chǔ)模型中加入故障因子，仿真燃油系統(tǒng)中可能造成意外加速這一風(fēng)險的失效．

(3) 通過基于LABCAR的HIL系統(tǒng)的實時運行，對破壞者模型進行了驗證．結(jié)果表明，該模型可為發(fā)動機控制器軟件層的開發(fā)提供風(fēng)險案例以評估ECU的功能安全．

［1］ International Electrotechnical Commission. IEC 61508 Functional Safety of Electrical/Electronic/Programmable Electronic Safety-Related Systems[S]. Gereva，Switzerland：IEC，1998.

［2］ International Organization for Standardization. ISO 26262 Road Vehicles—Functional Safety[S]. Gereva，Switzerland：ISO，2011.

［3］ Himmler A. Hardware-in-the-loop testing in the context of ISO 26262[C] // SAE Paper. Detroit，USA，2012：2012-01-0035.

［4］ Hamann R. ISO 26262 release just ahead remaining problems[C]// SAE Paper. Detroit，USA，2011：2011-01-1000.

［5］ Sachs H，Gojny M，Carl U. Robust detection of oscillatory and transient aircraft actuation system failures using analytical redundancy[C]//SAE Paper. Detroit，USA，2009：2009-01-3175.

［6］ 周龍保. 內(nèi)燃機學(xué)[M]. 北京：機械工業(yè)出版社，2005.

Zhou Longbao. Internal Combustion Engine[M]. Beijing：China Machine Press，2005(in Chinese).

［7］ Gambarotta. A，Lucchetti. G. A thermodynamic mean value model of the intake and exhaust system of a turbocharged engine for HiL/SiL applications[C]//SAE Paper. Detroit，USA，2009：2009-24-0121.

［8］ Heywood J B. Internal Combustion Engines Fundamentals [M]. New York：McGraw-Hill，1988.

［9］ Philip O. A model diesel with turbocharger，EGR and cylinder pressure calculation for HiL and SiL[C]//5th Symposium：Control Systems for Power Trains of Motor Vehicles. Berlin，Germany，2005.

［10］ Ramos J I. Internal Combustion Engine Modelling [M]. Washington：Hemisphere Publishing Corporation，1989.

［11］ 范作民，孫春林. 發(fā)動機故障方程的建立與故障因子的引入[J]. 中國民航學(xué)院學(xué)報，1994，12(1)：1-15.

Fan Zuomin，Sun Chunlin. Development of engine fault equation and introduction of fault factors[J]. Journal of Civil Aviation Institute of China，1994，12(1)：1-15(in Chinese).

(責(zé)任編輯：孫立華)

A Break-Down Model for Evaluation to Engine Control Function Safety

Qin Jing，Zhang Zhen，Xie Hui
(State Key Laboratory of Engines，Tianjin University，Tianjin 300072，China)

In order to evaluate the engine control function safety, a method of break-down model is proposed according to ISO 26262. The break-down model is built based on a simplified crank angle based diesel engine. The fuel system is used as an example to specify the concept and construction idea of break-down model. Through the real time operation of LABCAR HIL platform, it’s verifiedthat the model can provide many cases of risk for engine controller development, and is an effective tool to improve the engine control function safety.

function safety；ISO 26262；LABCAR；break-down model

TK427

A

0493-2137(2014)10-0856-07

10.11784/tdxbz201210053

2012-10-29；

2012-12-03.

國家高技術(shù)研究發(fā)展計劃(863計劃)資助項目(2012AA111709).

秦 靜（1979— ），女，博士，副研究員，qinjing@tju.edu.cn.

謝 輝，xiehui@tju.edu.cn.