基于功能安全的整車控制器的概念設(shè)計(jì)與仿真

張振旺++劉淑英

摘 要：基于汽車功能安全標(biāo)準(zhǔn)的要求，對(duì)電動(dòng)汽車整車控制器進(jìn)行了概念設(shè)計(jì)。在此基礎(chǔ)上，完成了對(duì)整車控制器的危害分析和風(fēng)險(xiǎn)評(píng)估，確定安全等級(jí)和安全目標(biāo)。搭建了整車控制器的仿真模型，對(duì)整車駕駛性能進(jìn)行測(cè)試，測(cè)試結(jié)果表明此設(shè)計(jì)能夠滿足功能安全標(biāo)準(zhǔn)規(guī)范，實(shí)現(xiàn)了對(duì)整車控制器的功能安全設(shè)計(jì)，對(duì)整車控制器的安全開發(fā)具有指導(dǎo)意義。

關(guān)鍵詞：功能安全 整車控制器 危害分析和風(fēng)險(xiǎn)評(píng)估 仿真

中圖分類號(hào)：U469.72 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2017）03（b）-0081-06

Conceptual Design and Simulation of Vehicle Controller Based on Functional Safety

Zhang Zhenwang Liu Shuying

（Hebei University of Technology， Tianjin， 300000， China）

Abstract： Based on Vehicle functional safety standards，the conceptual design is carried out for electric vehicle controller. On this basis， the project definition， hazard analysis and risk assessment of vehicle controller were completed，then the functional safety level and target were determined. Finally， an simulation mode was established to conduct the simulation test at the conceptual design of vehicle controller. The test results showed that the design can satisfy the vehicle functional safety standards. The functional safety conceptual design of vehicle controller was realized， which has a guiding significance for the safe development of vehicle controller.

Key Words： Functional safety； Vehicle control； Hazard analysis and risk assessment； Simulation

電子技術(shù)集成化的快速發(fā)展及其在汽車上的大量應(yīng)用極大地推動(dòng)了汽車產(chǎn)業(yè)的發(fā)展，汽車對(duì)電子技術(shù)的依賴程度越來越高的同時(shí)，汽車電子電氣產(chǎn)品所帶來的安全問題越發(fā)重要，例如：因各種汽車電控系統(tǒng)軟硬件故障而不斷出現(xiàn)的汽車召回事件。而整車控制器作為電動(dòng)車的控制單元，是整車控制系統(tǒng)的核心，負(fù)責(zé)傳遞整個(gè)電動(dòng)汽車的動(dòng)力，保證行駛過程中汽車的動(dòng)力性以及對(duì)整個(gè)汽車的能量進(jìn)行控制管理。因此，為了保證復(fù)雜系統(tǒng)下的安全，ISO26262道路車輛功能安全標(biāo)準(zhǔn)應(yīng)運(yùn)而生。

ISO26262從2005年11月起正式開始制定，經(jīng)歷了大約6年左右的時(shí)間，于2011年11月正式頒布，成為國際標(biāo)準(zhǔn)。道路車輛功能安全標(biāo)準(zhǔn)分為10個(gè)部分：術(shù)語、功能安全管理、概念階段、產(chǎn)品開發(fā)-系統(tǒng)層、產(chǎn)品開發(fā)-硬件層、產(chǎn)品開發(fā)-軟件層、生產(chǎn)和操作、支持過程、汽車安全完整性等級(jí)導(dǎo)向和安全導(dǎo)向分析、指南[1]。具體架構(gòu)如圖1所示。

1 整車控制器的概念設(shè)計(jì)

整車控制器是整車控制系統(tǒng)的核心，負(fù)責(zé)傳遞整個(gè)電動(dòng)汽車的動(dòng)力，保證行駛過程中汽車的動(dòng)力性以及對(duì)整個(gè)汽車的能量進(jìn)行控制管理。

1.1 項(xiàng)目定義

整車控制系統(tǒng)以整車控制器VCU作為Powertrain控制核心和網(wǎng)關(guān)，還包括電池管理系統(tǒng)BMS，電機(jī)控制系統(tǒng)MCU等。整車控制器的主要功能監(jiān)測(cè)電池的電流、電壓、溫度和荷電狀態(tài)SOC，根據(jù)加速踏板和制動(dòng)踏板傳感器采集加速踏板/制動(dòng)踏板狀態(tài)進(jìn)行扭矩解析和再生制動(dòng)等功能[2]。系統(tǒng)架構(gòu)圖如圖2所示。

根據(jù)ISO26262項(xiàng)目定義中的相關(guān)內(nèi)容，整車控制器的工作環(huán)境主要分為車輛行駛、轉(zhuǎn)彎、避讓、超車，以及在不同的天氣情況下比如晴天、雨雪、濕滑路面等。實(shí)現(xiàn)功能是整車控制器檢測(cè)和控制各個(gè)電子器件的運(yùn)行，故障報(bào)警以及處理保護(hù)駕駛員的行車安全[3]。

1.2 危害分析與風(fēng)險(xiǎn)評(píng)估

整車控制器的危害分析與風(fēng)險(xiǎn)評(píng)估的作用主要是辨別其可能的危害，確定可能存在的風(fēng)險(xiǎn)，確定安全等級(jí)ASIL和安全目標(biāo)。

1.2.1 完全等級(jí)ASIL概述

ISO26262中提出了確定功能安全等級(jí)（ASIL）的方法，安全等級(jí)范圍是A、B、C、D，其中ASIL A安全等級(jí)最低，ASIL D安全等級(jí)最高。在整車和系統(tǒng)電子設(shè)計(jì)時(shí)，需要確定所設(shè)計(jì)項(xiàng)目的范圍[4]?；陧?xiàng)目定義，確定項(xiàng)目的安全目標(biāo)，避免不合理的風(fēng)險(xiǎn)。ASIL使用3個(gè)參數(shù)進(jìn)行評(píng)估，分別是：危險(xiǎn)對(duì)駕駛員或其他交通參與人員造成傷害的嚴(yán)重程度S，危險(xiǎn)所在工況的發(fā)生概率E，危險(xiǎn)涉及的駕駛員和其他交通參與人員及時(shí)采取控制行動(dòng)避免特定傷害的能力C[5]。其分類如表1～4所示。

1.2.2 危害分析與風(fēng)險(xiǎn)評(píng)估

在整車控制系統(tǒng)中主要故障分為過度加速和無意圖的發(fā)生制動(dòng)力（電機(jī)冷卻系統(tǒng)失效），無意圖的方向發(fā)生驅(qū)動(dòng)力。

（1）過度加速。

嚴(yán)重性：過度加速導(dǎo)致電機(jī)扭矩過大，電機(jī)溫度升高導(dǎo)致電機(jī)失效，如果行駛在正常情況下很可能發(fā)生碰撞，對(duì)駕駛員造成人身傷害定義嚴(yán)重度為S3。發(fā)生概率因?yàn)檫^度加速在平常的駕駛情況下發(fā)生不是很頻繁，因此定義為E2?？煽匦远喽燃铀賹?dǎo)致失效，駕駛員在獲知后由于慌張很難有效控制，可控性為C3。

（2）無意圖的發(fā)生制動(dòng)力。

嚴(yán)重性：無意圖的制動(dòng)在正常駕駛情況下很可能造成后面車輛閃躲不及時(shí)造成碰撞危及駕駛員的生命定義嚴(yán)重性為S3。發(fā)生概率在正常駕駛狀況下電機(jī)具有溫度檢測(cè)，當(dāng)冷卻系統(tǒng)失效時(shí)，會(huì)及時(shí)提醒駕駛員故障發(fā)生概率定位E2?？煽匦援?dāng)故障發(fā)生駕駛員獲知后及時(shí)處理避免發(fā)生危險(xiǎn)可控性定位C2。

（3）無意圖的方向發(fā)生驅(qū)動(dòng)力。

嚴(yán)重性：正常行駛情況下發(fā)生無意圖的方向驅(qū)動(dòng)力很可能造成車輛偏離正常行駛軌道與周圍車輛發(fā)生碰撞或者沖向綠化帶，這會(huì)造成駕駛員一定的生命危險(xiǎn)定義為S3。發(fā)生概率正常行駛情況下發(fā)生概率較小定為E1。可控性無意圖的驅(qū)動(dòng)力發(fā)生時(shí)駕駛員一般很難及時(shí)做出反應(yīng)定義為C3。

經(jīng)過危害分析與風(fēng)險(xiǎn)評(píng)估后得到安全目標(biāo)如表5所示。

通過功能安全目標(biāo)得出功能安全要求，然后分給項(xiàng)目的初始結(jié)構(gòu)以及外部量。主要包括故障的檢測(cè)指示，失效的緩和處理，整車控制器最高安全等級(jí)為ASILB，在設(shè)計(jì)整車控制器的時(shí)候按照安全等級(jí)進(jìn)行設(shè)計(jì)，使損失降到最低[6]。具體的安全措施為以下幾點(diǎn)。

（1）VCU進(jìn)行自檢。若自檢失敗，儲(chǔ)存故障碼。

（2）若無故障閉合VCU，VCU對(duì)電池管理系統(tǒng)、電機(jī)控制系統(tǒng)、高壓系統(tǒng)進(jìn)行監(jiān)控。

（3）增加系統(tǒng)的冗余設(shè)計(jì)，減小失效率，實(shí)現(xiàn)安全目標(biāo)。

2 仿真測(cè)試

根據(jù)汽車電子V模型開發(fā)流程，需要對(duì)整車控制器的概念設(shè)計(jì)進(jìn)行建模仿真測(cè)試。該文借助MATLAB/Simulink提供強(qiáng)大的圖形化建模服務(wù)，對(duì)電動(dòng)汽車的整車控制器進(jìn)行模型搭建。通過采集開關(guān)、檔位開關(guān)等數(shù)字信號(hào)，以及加速踏板、制動(dòng)踏板等模擬信號(hào)[7]。綜合判斷相應(yīng)的模式，根據(jù)當(dāng)前狀態(tài)進(jìn)行故障處理發(fā)送扭矩命令以驅(qū)動(dòng)或制動(dòng)車輛。

2.1 整車控制器的建模

對(duì)電動(dòng)汽車整車控制器的仿真首先我們應(yīng)該建立仿真模型，主要包括IO口數(shù)據(jù)采集系統(tǒng)、模式轉(zhuǎn)換（啟動(dòng)模式、制動(dòng)模式、驅(qū)動(dòng)模式）、整車控制系統(tǒng)、故障處理系統(tǒng)如圖3所示。

IO口主要負(fù)責(zé)采集開關(guān)、檔位等數(shù)字信號(hào)，以及加速踏板、制動(dòng)踏板等模擬信號(hào)，根據(jù)采集的信號(hào)判斷電動(dòng)汽車處于何種模式，整車控制器主要負(fù)責(zé)監(jiān)測(cè)電機(jī)扭矩、溫度，電池荷電狀態(tài)、溫度等變化，如果發(fā)生故障則顯示故障并由故障處理系統(tǒng)處理返回正常數(shù)值。

啟動(dòng)模式：駕駛員未踩下加速踏板和制動(dòng)踏板，電機(jī)根據(jù)整車控制器提出的需求扭矩命令輸出力矩是電動(dòng)汽車保持靜止?fàn)顟B(tài)或維持在某一低車速狀態(tài)。

驅(qū)動(dòng)模式：在電動(dòng)汽車正常行駛中，如果駕駛員踩下了加速踏板，車輛就會(huì)進(jìn)入正常行駛驅(qū)動(dòng)模式。駕駛員對(duì)車輛驅(qū)動(dòng)力矩的需求體現(xiàn)在加速踏板的操作上。

制動(dòng)模式：只要是制動(dòng)踏板開度不為0就會(huì)進(jìn)入制動(dòng)能量回收模式，制動(dòng)能量回收只是一個(gè)補(bǔ)充，用于回收部分制動(dòng)能量。

2.2 整車控制器測(cè)試驗(yàn)證

通過故障注入的方法對(duì)整車控制器的性能進(jìn)行驗(yàn)證，通過IO口注入故障，并對(duì)多度加速、無意圖的發(fā)生制動(dòng)力、無意圖的方向發(fā)生驅(qū)動(dòng)力等故障進(jìn)行了測(cè)試，測(cè)試的數(shù)據(jù)如表6所示。其中可控率=故障處理次數(shù)/故障注入次數(shù)。

由表6的測(cè)試數(shù)據(jù)可知，整車控制器能夠檢測(cè)出注入的故障，并且通過相關(guān)操作處理故障，從而使失效造成的損失降到最低，滿足ISO26262道路安全標(biāo)準(zhǔn)，實(shí)現(xiàn)了概念階段整車控制器的功能安全設(shè)計(jì)。

2.3 駕駛性能測(cè)試

為了驗(yàn)證整車控制器VCU能否準(zhǔn)確且有效地接收加速踏板和制動(dòng)踏板的真實(shí)信號(hào)，能夠控制電機(jī)輸出正確的需求扭矩。該文通過模擬車輛在加速、起步和制動(dòng)時(shí)的狀態(tài)，判斷整車控制VCU的性能，從而確定整車控制器VCU是否到達(dá)設(shè)計(jì)的目標(biāo)。

起步測(cè)試：測(cè)試開始時(shí)點(diǎn)火開關(guān)處于Start狀態(tài)，在時(shí)間為9 s時(shí)踩下制動(dòng)踏板，使制動(dòng)踏板的開度達(dá)到100%，將整車的檔位達(dá)到前進(jìn)擋D檔，松開制動(dòng)踏板后，若此時(shí)未踩下加速踏板，則車輛進(jìn)入蠕行狀態(tài)（即車輛未踩下油門以某一低速行駛），從圖4中可以看出，在14 s松開制動(dòng)踏板的同時(shí)，電機(jī)的輸出扭矩在逐步增大，整車的速度也隨之增高，當(dāng)車速達(dá)到4 km/h時(shí)，電機(jī)最大的輸出扭矩為35 Nm，隨著車速超過4 km/h時(shí)，電機(jī)的輸出扭矩在逐漸減小，最后車輛以一定的速度勻速行駛，電機(jī)的穩(wěn)定輸出扭矩約為6 Nm，與設(shè)計(jì)要求符合。

加速測(cè)試：加速測(cè)試主要是驗(yàn)證整車的動(dòng)力性能，能夠很好地控制電機(jī)的輸出扭矩，在32 s時(shí)制動(dòng)踏板，使制動(dòng)踏板的開度達(dá)到100%，此時(shí)電機(jī)的輸出扭矩迅速增加，并且達(dá)到最大輸出扭矩后又下降進(jìn)入恒功率區(qū)，在50 s時(shí)，使加速踏板松開，車輛進(jìn)入滑行狀態(tài)，電機(jī)在此時(shí)輸出很小的負(fù)扭矩，整車的速度在逐漸減小。根據(jù)整車加速測(cè)試的結(jié)果分析得出整車控制器VCU滿足加速設(shè)計(jì)的要求。

制動(dòng)測(cè)試：在88 s，踩下制動(dòng)踏板使制動(dòng)踏板開度達(dá)到100%，電機(jī)輸出較大的負(fù)扭矩，整車進(jìn)入制動(dòng)能量的回收，隨著整車速度的減小，電機(jī)的輸出扭矩也在減小，當(dāng)整車的速度下降為0時(shí)，電機(jī)的輸出扭矩也變0。當(dāng)整車的速度下降為0時(shí)，使制動(dòng)踏板松開，車輛進(jìn)入蠕行模式。根據(jù)整車制動(dòng)測(cè)試的結(jié)果分析得出整車控制器VCU滿足加速設(shè)計(jì)的要求。測(cè)試仿真曲線如圖4所示。

3 結(jié)語

ISO26262為從事于汽車相關(guān)的研發(fā)機(jī)構(gòu)和生產(chǎn)企業(yè)提供了新的思路和方法，尤其是在汽車電子產(chǎn)品快速發(fā)展的趨勢(shì)下，表現(xiàn)尤其重要。在此背景下，文中基于ISO26262，對(duì)整車控制器進(jìn)行了項(xiàng)目定義、風(fēng)險(xiǎn)分析與評(píng)估，并確定系統(tǒng)的ASIL等級(jí)B，提出功能安全要求和安全目標(biāo)。同時(shí)運(yùn)用Simulink軟件對(duì)整車控制器進(jìn)行仿真，通過故障注入的方法對(duì)整車控制器進(jìn)行測(cè)試，測(cè)試數(shù)據(jù)表明滿足ISO道路安全標(biāo)準(zhǔn)。

參考文獻(xiàn)

[1] ISO 26262，Road Vehicles Functional Safety—pat1：vocabulary，International Organizations for Standards[S].2011.

[2] ISO 26262-3：2011（E）Road Vehicles-Functional Safety[S].Geneva IEC，2011.

[3] 姜海斌.純電動(dòng)車整車控制策略及控制器的研究[D].上海：上海交通大學(xué)，2010.

[4] 還宏生.汽車設(shè)計(jì)中的安全要求及ISO26262標(biāo)準(zhǔn)[J].檢測(cè)與維修，2012（10）：41-43.

[5] 李娜，孫文勇，寧信道.HAZOP、LOPA和SIL方法的應(yīng)用分析[J].中國安全生產(chǎn)科學(xué)技術(shù)，2012，8（5）：101-106.

[6] 劉佳熙，郭輝，李君.汽車電子電氣系統(tǒng)的功能安全標(biāo)準(zhǔn) ISO 26262[J].上海汽車，2011（10）：57-61.

[7] 楊超.電動(dòng)車動(dòng)力學(xué)建模與仿真研究[D].武漢：武漢理工大學(xué)，2007.