基于ISO 26262的7DCT輸入軸轉(zhuǎn)速監(jiān)控策略的分析

王章宏，趙秀栩

（1.武漢理工大學(xué) 機(jī)電工程學(xué)院，湖北 武漢 430070；2.東風(fēng)鼎新動力系統(tǒng)科技有限公司，湖北 武漢 430070）

1 背景介紹

隨著汽車領(lǐng)域電子電氣的復(fù)雜程度日益增加，伴隨著汽車的電子電器功能安全事故凸顯，給廣大用戶帶來了生命威脅，為此國際標(biāo)準(zhǔn)化組織（International Organization for Standardization,ISO）分別于2011年及2018年推出第一版和第二版的《道路車輛功能安全標(biāo)準(zhǔn)》——（ISO 26262），指導(dǎo)汽車全生命安全周期的工作開發(fā)。雙離合變速箱（Dual Clutch Transmission, DCT）作為燃油汽車的傳動系統(tǒng)核心部件之一，其控制單元（Telematics Control Unit, TCU）具有傳遞扭矩、調(diào)速換擋、倒車行駛、中斷動力等功能，此外，TCU與發(fā)動機(jī)控制單元（Engine Management System, EMS）、車身控制系統(tǒng)（Body Control Module, BCM）、車身穩(wěn)定系統(tǒng)（Electronic Stability Controller, ESC）等密切交互，共同協(xié)調(diào)控制整車的正常行駛，提供良好的駕駛體驗。因此，DCT的電控單元開發(fā)須嚴(yán)格按照ISO 26262的指導(dǎo)進(jìn)行開發(fā)。

基于此，本文根據(jù)ISO 26262標(biāo)準(zhǔn)，以7擋雙離合變速箱（7DCT）為例，主要針對7DCT的調(diào)速換擋功能中的輸入軸轉(zhuǎn)速監(jiān)控的功能安全進(jìn)行研究，結(jié)合目前主流的三層監(jiān)控方案，基于MATLAB對輸入軸轉(zhuǎn)速進(jìn)行三層監(jiān)控策略模型設(shè)計，最后進(jìn)行仿真和故障注入測試，驗證該設(shè)計是否符合功能安全目標(biāo)。

2 概念階段

2.1 相關(guān)項定義

7DCT的調(diào)速換擋功能使變速箱結(jié)合不同的擋位，從而得到不同扭矩及轉(zhuǎn)速輸出，使汽車適應(yīng)不同的道路狀況及提高發(fā)動機(jī)的燃油效率。其通過與控制器局域網(wǎng)絡(luò)（Controller Area Network,CAN）與其他系統(tǒng)控制模塊進(jìn)行通訊，解析駕駛員意圖，判斷當(dāng)前動態(tài)駕駛工況，完成擋位切換。調(diào)速換擋功能架構(gòu)如圖1所示。輸入軸的轉(zhuǎn)速邊界條件依據(jù)軸系系統(tǒng)的各零部件極限轉(zhuǎn)速確定，如表1所示，最終輸入軸的轉(zhuǎn)速邊界確定為離合器的耐久極限轉(zhuǎn)速，當(dāng)輸入軸轉(zhuǎn)速超出該極限轉(zhuǎn)速后，將導(dǎo)致離合器摩擦片變形損壞。

2.2 啟動安全生命周期

安全生命周期啟動關(guān)鍵在于確定系統(tǒng)是全新開發(fā)還是基于現(xiàn)有系統(tǒng)的調(diào)整。本文討論的調(diào)速換擋的輸入軸轉(zhuǎn)速監(jiān)控系統(tǒng)為全新開發(fā)的相關(guān)項，故需按照標(biāo)準(zhǔn)進(jìn)行所有子階段的工作。

2.3 危害分析和風(fēng)險評估

危害分析和風(fēng)險評估（Hazard Analysis and Risk Assessment, HARA）階段是為了識別系統(tǒng)故障可導(dǎo)致的危險并進(jìn)行風(fēng)險程度評估，得到安全目標(biāo)并對安全目標(biāo)進(jìn)行汽車安全完整性等級定級（Automobile Safety Integrity Levers, ASIL）。

2.3.1 危險識別

危險識別應(yīng)定義為車輛層級的狀態(tài)或行為。確定車輛級的危害方法有多種：危險與可操作性分析（Hazard and Operability Analysis, HAZOP）、頭腦風(fēng)暴、chechlist、失效模式和效果分析（Failure Mode and Effects Analysis, FMEA）等。本文對以上方法不做過多闡述并采用HAZOP方法進(jìn)行危險識別。

結(jié)合7DCT的換擋邏輯（圖2），離合器1與內(nèi)輸入軸硬性連接并控制奇數(shù)擋齒輪的結(jié)合，離合器2與外輸入軸硬性連接并控制偶數(shù)擋齒輪結(jié)合。以正在結(jié)合的5擋為例，此時離合器1結(jié)合，內(nèi)輸入軸上的5擋齒輪結(jié)合，離合器2打開，外輸入軸根據(jù)預(yù)選檔邏輯判斷只能掛4、6、N擋其中之一。當(dāng)出現(xiàn)不期望的降擋，則車輛會出現(xiàn)不期望的過高加速，反之出現(xiàn)不期望的加速無力；當(dāng)控制偶數(shù)擋的外輸入軸意外掛上2擋，離合器2又處于打開的時候，將導(dǎo)致外輸入軸的轉(zhuǎn)速（即離合器2的轉(zhuǎn)速）過高。最終的HAZOP分析結(jié)果如表2所示。

2.3.2 安全目標(biāo)確定與ASIL定級

安全目標(biāo)確定來源于危害分析，對每一個整車危害均需確定安全目標(biāo)，相類似的整車危害可確定成一個安全目標(biāo)。本文僅就輸入軸轉(zhuǎn)速過高進(jìn)行研究，故安全目標(biāo)確定為避免輸入軸轉(zhuǎn)速過高。

ASIL等級從暴露度（E）、嚴(yán)重度（S）、可控度（C）三個影響因素來確定。輸入軸轉(zhuǎn)速過高，超出限值導(dǎo)致的離合器失效、車輛無法行駛的運(yùn)行場景為“高速公路行駛、前后方有車輛”，該場景發(fā)生頻率較高，暴露度定義為E3；該故障發(fā)生后，動力丟失車輛無法行駛，將導(dǎo)致與高速其他車輛碰撞的嚴(yán)重事故，故嚴(yán)重度（S）定義為S4；故障發(fā)生后，駕駛員只能通過剎車踏板減速停車后遠(yuǎn)離現(xiàn)場躲避來車，故可控度（C）定義為C2。

參考表3確定ASIL等級最終避免輸入軸轉(zhuǎn)速過高這個安全目標(biāo)的安全等級為ASIL C。

2.3.3 功能安全概念

為了滿足安全目標(biāo)，功能安全概念包括安全措施和安全機(jī)制，通過安全目標(biāo)導(dǎo)出功能安全需求（Function Safety Requirement, FSR）。針對避免輸入軸轉(zhuǎn)速過高這個安全目標(biāo)的功能安全需求如表4所示。

安全措施：當(dāng)避免輸入軸轉(zhuǎn)速過高的安全目標(biāo)觸發(fā)時，應(yīng)及時打開離合器中斷動力輸出。安全機(jī)制：故障容錯時間間隔（Fault Tolerant Time Interval, FTTI）的確定。FTTI的時間分解如圖3所示。故障檢測時間取決于軟件運(yùn)行速度，基于大量的實驗經(jīng)驗總結(jié)，當(dāng)輸入軸轉(zhuǎn)速達(dá)到極限值后，軟件在20 ms內(nèi)監(jiān)測到并發(fā)送故障標(biāo)志位。故障反應(yīng)時間包括駕駛員應(yīng)急反應(yīng)時間與硬件機(jī)構(gòu)執(zhí)行措施時間，由于當(dāng)轉(zhuǎn)速達(dá)到極限值會對離合器摩擦片產(chǎn)生損傷，故僅考慮硬件機(jī)構(gòu)執(zhí)行時間，離合器打開的時間為40 ms。故最終的FTTI時間設(shè)計為60 ms。

3 基于三層監(jiān)控架構(gòu)的輸入軸轉(zhuǎn)速監(jiān)控設(shè)計

目前功能安全軟件開發(fā)主流的框架均采用三層監(jiān)控框架。第一層（Level 1）實現(xiàn)功能的控制；第二層（Level 2）是對Level 1的關(guān)鍵信號進(jìn)行監(jiān)控，檢測故障并實現(xiàn)故障反應(yīng)措施；第三層（Level 3）是對硬件執(zhí)行機(jī)構(gòu)的故障進(jìn)行監(jiān)控?？蚣苋鐖D4所示。

3.1 Level 1應(yīng)用層輸入軸轉(zhuǎn)速監(jiān)控設(shè)計

功能應(yīng)用層對輸入軸的轉(zhuǎn)速監(jiān)控目的是預(yù)防輸入軸轉(zhuǎn)速與發(fā)動機(jī)轉(zhuǎn)速存在較大的轉(zhuǎn)速差。如圖5所示，采用離合器壓力PI（Proportion, Integration）控制，計算出項調(diào)節(jié)扭矩：

式中，Δ為發(fā)動機(jī)與輸入軸的轉(zhuǎn)速差；為項調(diào)節(jié)系數(shù)；為發(fā)動機(jī)轉(zhuǎn)動慣量。

計算出項調(diào)節(jié)扭矩：

式中，Δ為發(fā)動機(jī)與輸入軸的轉(zhuǎn)速差；為項調(diào)節(jié)系數(shù)；為發(fā)動機(jī)轉(zhuǎn)動慣量。

經(jīng)過離合器壓力斜率控制后得到離合器扭矩，通過發(fā)動機(jī)扭矩模型輸出發(fā)動機(jī)扭矩，反算出發(fā)動機(jī)轉(zhuǎn)速，計算方法為

式中，為發(fā)動機(jī)轉(zhuǎn)速；為發(fā)動機(jī)扭矩；為發(fā)動機(jī)轉(zhuǎn)動慣量；為調(diào)節(jié)系數(shù)。

3.2 Level 2 功能監(jiān)控層輸入軸轉(zhuǎn)速監(jiān)控設(shè)計

Level 2層的設(shè)計需要包含輸入CAN相關(guān)信號和輸入軸轉(zhuǎn)速傳感器相關(guān)的信號監(jiān)控、轉(zhuǎn)速傳感器信號的冗余設(shè)計、故障檢測策略設(shè)計、故障措施設(shè)計等，如圖6所示。

3.2.1 輸入軸轉(zhuǎn)速冗余設(shè)計

根據(jù)ISO26262的規(guī)定，ASIL C等級以上必須對功能安全相關(guān)信號進(jìn)行冗余設(shè)計。輸入軸轉(zhuǎn)速冗余設(shè)計基于車速和擋位速比的信號輸入，計算公式為

式中，為輸入軸轉(zhuǎn)速冗余；為車速；為該擋位總速比；為車速轉(zhuǎn)換成轉(zhuǎn)速的比例。

取決于輪胎半徑，以225/55/R19為例，輪胎半徑為335 mm，計算公式為

式中，為輪胎半徑。式中，為擋位齒輪速比；為主減齒輪速比。

3.2.2 故障監(jiān)控策略及故障容錯時間延時設(shè)計

故障檢測以輸入軸轉(zhuǎn)速、車速、擋位總速比、輸入軸轉(zhuǎn)速故障標(biāo)志位為輸入，當(dāng)軟件監(jiān)控的轉(zhuǎn)速或者冗余計算的轉(zhuǎn)速達(dá)到極限值時，安全目標(biāo)標(biāo)志位置位，經(jīng)過FTTI時間延時計時器，計時器為0時，向底層離合器執(zhí)行器發(fā)送打開離合器指令，中斷動力輸出進(jìn)入安全狀態(tài)。故障監(jiān)控策略模型如圖7所示，容錯時間延時模型如圖8所示。

3.3 Level 3硬件執(zhí)行機(jī)構(gòu)監(jiān)控設(shè)計

Level 3層的監(jiān)控設(shè)計是對輸入軸傳感器硬件的監(jiān)控，主要涉及到轉(zhuǎn)速和故障的監(jiān)控。以某型號轉(zhuǎn)速傳感器型號為例，該傳感器輸出頻率、供應(yīng)電壓診斷信號。轉(zhuǎn)速計算公式為

式中，為監(jiān)控到的輸入軸轉(zhuǎn)速信號；為傳感器輸出頻率；為頻率轉(zhuǎn)換成轉(zhuǎn)速的系數(shù)。

當(dāng)輸出頻率大于傳感器額定頻率或者供應(yīng)電壓診斷信號置位時，輸入軸轉(zhuǎn)速故障置位。傳感器硬件監(jiān)控策略模型如圖9所示。

4 故障注入測試

常見的故障注入測試方法有CAN總線故障注入測試和傳感器故障注入測試，結(jié)合前文基于MATLAB/Simulink建立的輸入軸轉(zhuǎn)速監(jiān)控方案控制模型，輸入信號為轉(zhuǎn)速傳感器信號、CAN總線車速及速比信號。通過控制預(yù)選擋的結(jié)合擋位和車速逆向控制預(yù)選擋軸系的輸入軸轉(zhuǎn)速。以實際在擋行駛4擋、預(yù)選擋結(jié)合3擋齒輪（3擋速比7.54）為例：當(dāng)傳感器沒有故障時，輸入軸轉(zhuǎn)速直接取傳感器的轉(zhuǎn)速，傳感器轉(zhuǎn)速超出極限值時，應(yīng)檢測出故障；當(dāng)傳感器故障時，冗余策略計算的轉(zhuǎn)速作為輸入，冗余計算的轉(zhuǎn)速超出極限值時，應(yīng)檢測出故障；當(dāng)傳感器故障且CAN總線的車速及檔位信號也故障時，應(yīng)檢測出故障。測試項如表5所示。

由圖10和圖11可以看出故障注入后，該控制系統(tǒng)能及時檢測出故障，故障延時正確計時，當(dāng)計時器遞減為0時，故障措施打開離合器正確執(zhí)行。

5 結(jié)束語

以工程項目為基礎(chǔ)，對7DCT調(diào)速換擋控制進(jìn)行了概念設(shè)計。針對避免輸入軸轉(zhuǎn)速過高的安全目標(biāo)，采用三層監(jiān)控方法，分別從Level 1、Level 2、Level 3各層設(shè)計了輸入軸轉(zhuǎn)速監(jiān)控策略?；贛ATLAB/Simulink搭建策略模型，進(jìn)行故障注入測試，測試結(jié)果表明，該監(jiān)控策略能有效地識別輸入軸轉(zhuǎn)速過高的故障，并在故障發(fā)生時立即做出響應(yīng)，有效降低了人身傷害的風(fēng)險。