四驅(qū)電動汽車側(cè)向穩(wěn)定性控制功能安全研究

張鑫 劉元治 周春雨 馬騰

（中國第一汽車股份有限公司研發(fā)總院，長春 130013）

縮略語

SOCS tate of Charge

ESC Electronic stability control

HARA Hazard Analysis and Risk Assessment

ASIL Automotive Safety Integrity Level

HAZOP Hazard and operability analysis

FMEA Failure Mode and Effects Analysis

FTA Fault Tree Analysis

TSR Technical Safety Requirement

HSR Hardware Safety Requirement

SSR Software Safety Requirement

EPS Electric Power Steering

0 引言

隨著國家對新能源汽車的大力支持以及汽車企業(yè)持續(xù)性的技術(shù)和產(chǎn)品研發(fā)投入，中國新能源汽車市場飛速發(fā)展。新能源汽車電驅(qū)動系統(tǒng)作為顛覆傳統(tǒng)燃油汽車的動力源，是影響行駛功能安全的關(guān)鍵，對用戶和整車企業(yè)至關(guān)重要。ISO 26262: 2018 道路車輛—功能安全(Road vehicles—Functional safety）作為汽車行業(yè)功能安全開發(fā)普遍依據(jù)的國際標準，也加強了對新能源汽車功能安全方面的關(guān)注[1]。

近年來，國內(nèi)外學者對汽車功能安全開展了大量研究工作，李波等[2]對功能安全技術(shù)在中國的應(yīng)用現(xiàn)狀及發(fā)展趨勢進行了闡述，并明確了功能安全標準體系發(fā)展是基于目標市場，定義出合理的、可接受的量化準則作為車輛電控系統(tǒng)正向開發(fā)和測試評價的基準輸入，進而通過試驗研究得出量化準則，以確保系統(tǒng)在故障、功能不足的情況下，從設(shè)計開發(fā)源頭避免或降低車輛對駕乘人員及周邊人員造成傷害，保障車輛運行安全。裴曉飛[3]等提出了一種集成主動制動和主動轉(zhuǎn)向的緊急避撞策略，證明了在高附著路面的主動避障不會導(dǎo)致整車失穩(wěn)。彭憶強等[4]介紹了功能安全標準的3 個發(fā)展階段，分析ISO 26262 給新能源汽車產(chǎn)業(yè)技術(shù)帶來的挑戰(zhàn)及其推進作用，詳細論述了功能安全在新能源汽車動力電池、電驅(qū)、電控（簡稱“三電”）關(guān)鍵技術(shù)的應(yīng)用情況，總結(jié)了在新能源汽車“三電”領(lǐng)域中，應(yīng)用功能安全技術(shù)的基本方法。伍理勛等[5]闡述了危害分析與風險評估基本方法，并由此確定了電動汽車電機驅(qū)動控制器的安全目標和汽車安全完整性等級（Automotive Safety Integrity Level,ASIL）。通過對電子加速踏板安全監(jiān)控架構(gòu)分析，提出了其功能監(jiān)控層的實現(xiàn)方法。周成顯等[6]闡述了基于功能安全分析的電機轉(zhuǎn)矩設(shè)計管理流程，首先對電機轉(zhuǎn)矩管理的功能安全相關(guān)項進行分析，然后對其潛在危害進行分析并開展風險評估，依據(jù)該評估結(jié)果確定電機轉(zhuǎn)矩管理功能安全等級。吳靜波等[7]提出一種基于電子加速踏板安全監(jiān)控架構(gòu)的多層監(jiān)控策略，確定了轉(zhuǎn)矩控制功能安全等級為ASIL C。吳浩等[8]對某電動汽車電驅(qū)動力系統(tǒng)縱向驅(qū)動功能非預(yù)期的失效進行了危害分析和風險評估，確定電控系統(tǒng)功能安全等級為ASIL B。胡焱松等[9]分析了國內(nèi)電動汽車事故類型，證明了電動汽車事故容易引發(fā)起火爆炸的嚴重后果。張康康等[10]分析了我國現(xiàn)有電動汽車安全相關(guān)政策，提出要加強國內(nèi)電動汽車運行安全保障的措施和意見。方凱正等[11]建議企業(yè)在新能源汽車安全方面要更加重視技術(shù)研發(fā)和產(chǎn)品安全管理。

以上研究主要涉及功能安全技術(shù)發(fā)展依據(jù)的標準、關(guān)鍵分析方法、主要設(shè)計流程和常用的安全架構(gòu)理論內(nèi)容，但針對四驅(qū)電動汽車側(cè)向控制功能失效導(dǎo)致的過度轉(zhuǎn)向和不足轉(zhuǎn)向失穩(wěn)相關(guān)的功能安全分析仍不足。為了提高四驅(qū)電動汽車行駛穩(wěn)定性，本文進行了基于ISO 26262 的功能安全概念階段危害分析和風險評估（Hazard Analysis and Risk Assessment，HARA）及安全目標設(shè)計，并結(jié)合仿真和實車試驗的方式驗證了相關(guān)結(jié)論，研究成果可應(yīng)用于四驅(qū)電動汽車電控系統(tǒng)的功能安全技術(shù)開發(fā)。

1 功能安全標準ISO 26262

ISO 26262 是專門為道路車輛功能安全開發(fā)制定的標準，適用于汽車產(chǎn)品全生命周期的所有事件。ISO 26262 中電控系統(tǒng)的功能安全開發(fā)關(guān)鍵步驟如圖1 所示，分為概念階段、系統(tǒng)階段和軟硬件開發(fā)階段。首先，通過HARA 分析獲得頂層的整車級安全需求。然后，各階段分別將安全需求逐層分解，并落實到電控控制器的軟硬件開發(fā)當中。最后，所有層級的安全需求都要通過相應(yīng)測試驗證進行閉環(huán)，以保證整個電控產(chǎn)品的功能安全開發(fā)。

圖1 電動汽車功能安全開發(fā)過程

1.1 概念階段

概念階段是從電動汽車整車層級分析功能及非功能需求，并根據(jù)初始整車電控系統(tǒng)架構(gòu)進行相關(guān)項的范圍定義及功能描述。首先采用危害及可操作性（Hazard and Operability，HAZOP）分析法，根據(jù)整車功能進行失效分析，分析各功能失效模式及造成的整車危害。然后進行HARA 分析，即在各工況和駕駛場景下對整車危害引起的風險進行評估，主要包括以下3個評估方面：（1）工況和駕駛場景的暴露度（E）；（2）危害發(fā)生時的嚴重度（S）；（3）危害發(fā)生時駕駛員避免風險的可控度（C）。

通過對這3 個方面進行打分，綜合得出汽車安全完整性等級（ASIL），并設(shè)計出整車功能安全目標及相關(guān)屬性。最后根據(jù)整車初始架構(gòu)以安全目標失效為頂事件（Top event）進行故障樹分析（Fault Tree Analysis,FTA），設(shè)計安全機制，更新初始整車架構(gòu)，并對架構(gòu)中各元素提出功能安全需求，制定相應(yīng)測試、驗證規(guī)范。

1.2 系統(tǒng)階段

系統(tǒng)階段需根據(jù)概念階段的功能安全需求，設(shè)計各子系統(tǒng)初始系統(tǒng)架構(gòu)，并以功能安全需求違背為頂事件，進行系統(tǒng)階段故障樹分析，并設(shè)計系統(tǒng)階段的安全機制，更新和分配至系統(tǒng)架構(gòu)元素中，同步進行系統(tǒng)潛在失效模式分析（Failure Mode and Effects Analysis，F(xiàn)MEA）以驗證安全機制是否完整。該階段需要對系統(tǒng)軟件和硬件模塊提出相應(yīng)的技術(shù)安全需求、確定相關(guān)屬性，并針對相應(yīng)需求制定測試驗證規(guī)范。

1.3 軟硬件開發(fā)階段

軟硬件開發(fā)階段需根據(jù)系統(tǒng)階段的技術(shù)安全需求分別設(shè)計相應(yīng)的軟件和硬件的架構(gòu)，并進行故障樹安全分析，設(shè)計安全機制并進行潛在失效模式分析驗證。其中，電動汽車轉(zhuǎn)矩監(jiān)控算法主要在軟件階段實現(xiàn)。

整個功能安全設(shè)計和分析過程是一個從整車級向系統(tǒng)軟硬件級進行需求承接和逐步細化的流程，并且對每個過程ISO 26262 針對不同的ASIL 等級給出了明確的完成要求，如表1 所示。ASIL 等級的確定基于嚴重度（S）、暴露度（E）、可控度（C）影響因子，表1給出了ASIL 等級確定方法，其中QM 表示質(zhì)量管理（Quality Management），即按照質(zhì)量管理體系開發(fā)系統(tǒng)或功能就可以滿足安全要求，不用考慮任何安全相關(guān)的設(shè)計。確定了危害的ASIL 等級后，為每個危害確定至少一個安全目標，作為功能和技術(shù)安全需求的基礎(chǔ)。

表1 功能安全完整性等級[1]

2 穩(wěn)定性控制功能危害分析和風險評估（HARA）

2.1 穩(wěn)定性控制系統(tǒng)及功能失效分析

對于集中式四驅(qū)電動汽車穩(wěn)定性控制系統(tǒng)（圖2），電子穩(wěn)定性控制系統(tǒng)（Electronic Stability Control,ESC）以當前車速、轉(zhuǎn)向盤轉(zhuǎn)角、加速度為輸入信息，進行整車穩(wěn)定性控制邏輯計算。當ESC 功能觸發(fā)時，首先與整車控制器通訊，向前后軸動力電機轉(zhuǎn)發(fā)轉(zhuǎn)矩清除請求，即ESC 功能觸發(fā)期間，前后軸動力電機響應(yīng)整車控制器發(fā)送的轉(zhuǎn)矩請求是轉(zhuǎn)發(fā)ESC計算的轉(zhuǎn)矩請求。同時，ESC 控制4 個車輪施加必要的機械制動扭矩，以維持整車的穩(wěn)定性控制目標，保證整車的橫擺角速度或質(zhì)心側(cè)偏角在穩(wěn)定范圍內(nèi)。

圖2 集中式四驅(qū)純電動汽車穩(wěn)定性控制系統(tǒng)

整車穩(wěn)定性失效模式主要有不足轉(zhuǎn)向和過度轉(zhuǎn)向2 種。當整車發(fā)生不足轉(zhuǎn)向時，前軸失去轉(zhuǎn)向能力，無法進行彎道轉(zhuǎn)向，可發(fā)生偏離當前車道行駛的危害；當整車發(fā)生過度轉(zhuǎn)向時，后軸產(chǎn)生側(cè)滑，可發(fā)生整車失穩(wěn)旋轉(zhuǎn)危害。對于本研究所用的集中式四驅(qū)電動汽車，發(fā)生不足轉(zhuǎn)向和過度轉(zhuǎn)向時的原因有2種：

（1）由于ESC 本身失效導(dǎo)致，如控制的四個車輪的機械制動扭矩過大。

（2）由于前、后軸動力電機驅(qū)動或能量回收扭矩過大導(dǎo)致。

其中，由ESC 控制的機械制動扭矩足以使整車車輪在任何路面抱死，而前后軸動力電機的驅(qū)動或能量回收扭矩則一般在高附著路面不會導(dǎo)致該軸車輪滑轉(zhuǎn)或抱死。陳廣秋等[12]從車輛多體動力學、穩(wěn)定性控制策略及穩(wěn)定性控制算法方面闡述了目前國內(nèi)外電動汽車穩(wěn)定性控制現(xiàn)狀，認為在電機控制轉(zhuǎn)矩分配算法應(yīng)以安全或者節(jié)能為目標進行控制轉(zhuǎn)矩分配。王瑋等[13]分析了常見的能量回收控制策略優(yōu)缺點，證明對四驅(qū)車輛應(yīng)采用前后軸制動力比例分配策略。許杰等[14]研究了矢量四驅(qū)控制策略，證明軸間和輪間轉(zhuǎn)矩分配可影響整車穩(wěn)定性。嚴運兵等[15]提出了基于神經(jīng)網(wǎng)絡(luò)PID 控制策略的直接橫擺力矩算法，證明了ESC穩(wěn)定性控制算法會顯著影響整車的穩(wěn)定性能。

2.2 穩(wěn)定性控制功能HARA分析

針對整車不足轉(zhuǎn)向和過度轉(zhuǎn)向的危害進行HARA 分析，依據(jù)ISO 26262 進行嚴重度、暴露度及可控度的典型場景分析（如表2、表3、表4 和表5 所示），確定集中式四驅(qū)電動汽車穩(wěn)定性功能安全目標。

表2 ESC本身失效導(dǎo)致不足轉(zhuǎn)向HARA

表3 ESC本身失效導(dǎo)致過度轉(zhuǎn)向HARA

表4 前電機系統(tǒng)失效導(dǎo)致不足轉(zhuǎn)向HARA

表5 后電機系統(tǒng)失效導(dǎo)致過度轉(zhuǎn)向HARA

2.3 穩(wěn)定性控制功能失效仿真驗證

CarSim 模型在計算機上運行的速度比實車控制器的實時運算快3～6 倍，可以仿真車輛對駕駛員、路面及空氣動力學輸入的響應(yīng)，主要用來預(yù)測和仿真汽車整車操縱穩(wěn)定性、制動性、平順性、動力性和經(jīng)濟性，同時被廣泛應(yīng)用于現(xiàn)代汽車控制系統(tǒng)開發(fā)。Car-Sim 可以方便靈活定義試驗環(huán)境和試驗過程，詳細地定義整車各系統(tǒng)特性參數(shù)和特性文件，可以用曲線和三維動畫形式觀察仿真結(jié)果，包括圖形化數(shù)據(jù)管理界面、車輛模型求解器、繪圖工具和三維動畫回放工具。功率譜分析模塊程序穩(wěn)定可靠。本文以某款集中式四驅(qū)電動汽車車型為目標，建立的CarSim 車輛模型如圖3所示，整車參數(shù)見表6。張雷等[16]提出了一種基于分層架構(gòu)的軌跡跟蹤與直接橫擺力矩協(xié)調(diào)控制策略，并采用了CarSim 和Simulink 聯(lián)合仿真，證明了該仿真平臺的可用性。

表6 整車參數(shù)

圖3 車輛模型

圖4 道路環(huán)境模型

道路模型設(shè)計按照JTG D20—2017《公路路線設(shè)計規(guī)范》[17]中表7.3.2，選擇轉(zhuǎn)彎半徑為60 m 的圓形路線，進行車速為40 km/h 的穩(wěn)態(tài)圓形路線仿真計算，分析不同路面附著系數(shù)下動力電機轉(zhuǎn)矩故障注入導(dǎo)致的整車失穩(wěn)情況。根據(jù)HARA 分析結(jié)果，集中式四驅(qū)電動汽車在高附著路面不會因為動力電機轉(zhuǎn)矩輸出非預(yù)期增大導(dǎo)致整車過度轉(zhuǎn)向失穩(wěn)。在低附著路面如雪路面，動力電機轉(zhuǎn)矩輸出非預(yù)期增大才會導(dǎo)致整車過度轉(zhuǎn)向失穩(wěn)。

2.4 基于Simulink的控制模型建立

在MATLAB/Simulink 中搭建整車控制模型，與CarSim建立聯(lián)合仿真模型如圖5所示?？刂颇K主要以車速、加速踏板開度為輸入信號，計算行駛驅(qū)動中的前后軸動力電機需求轉(zhuǎn)矩，研究以40 km/h的車速穩(wěn)態(tài)圓形行駛為初始狀態(tài)，分別進行前后軸動力電機驅(qū)動和能量回收制動轉(zhuǎn)矩故障注入，觀測整車橫擺角速度、側(cè)向加速度、四輪輪速信號、轉(zhuǎn)向盤轉(zhuǎn)角和轉(zhuǎn)彎半徑變化，驗證HARA分析中的整車失穩(wěn)及危害情況。

圖5 整車控制模型

3 仿真結(jié)果

3.1 高附著路面仿真結(jié)果

由圖6～圖9 的仿真結(jié)果可以看出，在附著系數(shù)為0.9 的高附著路面條件下，駕駛員以40 km/h 車速進行穩(wěn)態(tài)圓形行駛，當前、后軸驅(qū)動轉(zhuǎn)矩發(fā)生非預(yù)期增大故障，1 s后（駕駛員反應(yīng)時間）駕駛員施加制動，整車側(cè)向加速度、橫擺角速度和轉(zhuǎn)彎半徑都只有較小波動，整車行駛保持穩(wěn)定狀態(tài)，不會引發(fā)側(cè)向失穩(wěn)危害。當前、后軸能量回收轉(zhuǎn)矩發(fā)生非預(yù)期增大故障時，1 s（駕駛員反應(yīng)時間）后駕駛員通過增大加速踏板開度，增加前軸驅(qū)動轉(zhuǎn)矩，整車側(cè)向加速度、橫擺角速度和轉(zhuǎn)彎半徑也都只有較小波動，整車行駛保持穩(wěn)定狀態(tài)。

圖6 高附著路面前電機驅(qū)動轉(zhuǎn)矩非預(yù)期增大整車穩(wěn)定性

圖7 高附著路面前電機能量回收轉(zhuǎn)矩非預(yù)期增大整車穩(wěn)定性

圖8 高附著路面后電機驅(qū)動轉(zhuǎn)矩非預(yù)期增大整車穩(wěn)定性

圖9 高附著路面后電機能量回收轉(zhuǎn)矩非預(yù)期增大整車穩(wěn)定性

3.2 低附著路面仿真結(jié)果

由圖10～圖13 的仿真結(jié)果可以看出，在附著系數(shù)為0.25 的低附著路面條件（模擬雪路面）下，駕駛員以40 km/h車速穩(wěn)定行駛，當前軸驅(qū)動轉(zhuǎn)矩或能量回收轉(zhuǎn)矩發(fā)生非預(yù)期增大故障時，整車橫擺角速度和轉(zhuǎn)彎半徑都有較大波動，整車呈現(xiàn)嚴重不足轉(zhuǎn)向失穩(wěn)；當后軸發(fā)生非預(yù)期驅(qū)動轉(zhuǎn)矩或能量回收轉(zhuǎn)矩增大故障時，駕駛員增加前軸驅(qū)動轉(zhuǎn)矩，整車橫擺角速度和轉(zhuǎn)彎半徑都有較大波動，整車呈現(xiàn)因嚴重的過度轉(zhuǎn)向而出現(xiàn)失穩(wěn)狀態(tài)。

圖10 低附著路面前電機驅(qū)動轉(zhuǎn)矩非預(yù)期增大整車穩(wěn)定性

圖12 低附著路面后電機驅(qū)動轉(zhuǎn)矩非預(yù)期增大整車穩(wěn)定性

圖13 低附著路面后電機能量回收轉(zhuǎn)矩非預(yù)期增大整車穩(wěn)定性

仿真結(jié)果驗證了HARA 分析中對該電動四驅(qū)樣車動力電機發(fā)生驅(qū)動轉(zhuǎn)矩和能量回收轉(zhuǎn)矩非預(yù)期增大故障，對整車穩(wěn)定性的影響，即前軸動力電機的非預(yù)期轉(zhuǎn)矩增大只有在低附著路面才能產(chǎn)生不足轉(zhuǎn)向使整車失穩(wěn)，從而暴露度和嚴重度都應(yīng)相應(yīng)降級；而后軸動力電機轉(zhuǎn)矩非預(yù)期增大也只有在低附著路面才能產(chǎn)生過度轉(zhuǎn)向使整車失穩(wěn)，從而暴露度和嚴重度也相應(yīng)降級。

此外，針對ESC 失效導(dǎo)致的不足轉(zhuǎn)向及過度轉(zhuǎn)向，使整車失穩(wěn)達到的ASIL D 級功能安全危害風險，目前只能通過ESC 系統(tǒng)本身設(shè)計相應(yīng)安全機制，保證誤觸發(fā)的概率滿足ASIL D級功能安全的軟硬件、系統(tǒng)開發(fā)及驗證要求。

4 結(jié)束語

針對電動汽車進行功能安全開發(fā)時，側(cè)向穩(wěn)定性控制功能安全等級研究是影響整車安全的重要研究內(nèi)容之一。本文基于某集中式四驅(qū)電動汽車穩(wěn)定性控制功能進行了基于ISO 26262 功能安全概念階段HARA 分析及安全目標設(shè)計，并采用CarSim 和Simulink聯(lián)合仿真方式驗證了HARA 分析工況及相關(guān)安全目標的合理性。對該集中式四驅(qū)電動汽車，穩(wěn)定性控制功能安全等級應(yīng)按ASIL D開發(fā)，其中電子穩(wěn)定性控制系統(tǒng)（ESC）的非預(yù)期觸發(fā)應(yīng)按ASIL D 開發(fā)，動力電機系統(tǒng)的非預(yù)期驅(qū)動轉(zhuǎn)矩和能量回收轉(zhuǎn)矩應(yīng)按ASIL B開發(fā)。

研究成果可對電動汽車電控系統(tǒng)的功能安全開發(fā)提供技術(shù)支持，后續(xù)應(yīng)開展實車驗證以進一步驗證研究結(jié)論。同時，在預(yù)期功能安全方面，后續(xù)進行駕駛員在低附著路面下的駕駛誤操作導(dǎo)致車輛失穩(wěn)的安全機制設(shè)計研究。