纯电动汽车转矩控制安全概念与转矩监控模型
ISO26262为避免这些风险提供了可行性的要求建议和流程规范,它是IEC61508(GB/T20438)对道路车辆功能安全要求的具体应用,适用于所有与安全相关的由电子、电气、软件组成的系统在整个生命周期内的所有活动。ISO26262中指出,系统安全可以从大量的安全措施中获得,包括各种技术的应用(如机械、液压、气动、电气、电子,以及可编程电子元件)。本文主要根据ISO26262的相关要求并结合实践经验,对纯电动汽车整车控制策略中如何根据安全概念设计来定义安全机制以避免风险、保证系统安全等方面进行研究。
以纯电动汽车的转矩控制策略为基础,引入转矩监控防止因失效而产生不可控制的转矩,避免整车处于不期望的加速或不期望的减速等危险状态。转矩监控模型设计的基本思路是转矩控制指令的异常不能超过安全范围,在某纯电动汽车的整车控制策略开发中,以功能运行模型为基础设计了失效安全模型作为实现转矩监控安全机制的架构模型。在策略运行过程中,将实际计算出的转矩需求与根据危险度量计算的转矩限值进行比较,确保不会因自身失效而产生不安全的转矩指令。
1 功能安全概念设计的目标
随着复杂度的提高,以及软硬件和机电一体化应用的增加,车辆电控系统发生系统性失效和随机硬件失效的风险不断增加,需要通过一系列需求定义和设计过程来避免这些风险。首先进行危害分析和风险评估,危害分析和风险评估的流程要考虑暴露的可能性、可控性和严重性,以确定项目的安全目标和合适的汽车安全完整性等级(AutomotiveSafetyIntegrationLevel,ASIL)。
危害分析和风险评估完成后,再进行安全概念设计,主要目的是从安全目标中导出功能安全需求,并将它们分配到产品的初级体系结构中或者外部降低风险的方法中以保证所要求的功能安全性。基于安全目标进行安全概念设计,目的在于考虑具体的系统基本架构。针对每一个安全目标,提出功能安全要求并定位到相应的系统、子系统或功能模块,包括如何探测和缓解失效,如何利用安全机制分解降低子系统或模块的风险等级,如何通过警告驾驶员或系统功能降级过渡到安全状态,对每个项目元素中的功能安全要求进行细化和具体化。
基于安全概念中设计的机制和措施,再根据项目定义、危害分析和风险评估、安全目标的设定,以及考虑来自外部的一些预想架构、功能、操作模式和系统状态等,可以将功能安全要求进行适当的分配。利用ASIL分解法指定项目内子系统的ASIL等级,如图1所示,将安全目标合理地分配到子系统当中。
2 功能安全概念设计方法
2.1 安全目标分析
为了达到安全目标,利用安全概念设计了基本的安全机制和安全措施,考虑项目内部和外部的一些预想架构、功能、操作模式及系统状态因素,可以将功能安全要求进行适当的分配。利用ASIL分解法将安全目标合理地分配到子系统当中。
以某纯电动汽车的安全概念设计为例,针对不期望的加速和不期望的减速两项整车危害,根据功能定义和危害分析识别整车控制系统中与安全相关的功能和存在的危险,确定整车控制系统的安全目标,见表1(危害事件的ASIL等级由低到高分为ASILA、ASILB、ASILC和ASILD,应将为危害事件所确定的ASIL等级分配给对应的安全目标;QM是指除了4个ASIL等级之外,根据质量管理标准进行控制的等级)。
2.2 风险等级分解和安全机制设计
明确安全目标后,通过风险等级分解和安全机制设计将整车控制系统的安全目标分解到内部子系统中。由表1可知,该整车控制系统总体风险等级为ASILC,根据ISO26262的要求,应避免所有由单点故障引起的安全目标的破坏,并且应通过监控功能、监控软件运行和监控硬件的安全机制来避免安全目标的破坏。由表2可知,通过风险等级分解和安全机制设计将安全目标分配到系统结构中或者外部降低风险的方法中,以保证要求的功能安全性。
2.3 安全状态定义
安全概念设计要进行安全状态的定义,驾驶员的操作模式和紧急操作时间间隔,故障可容忍的时间间隔,采用功能冗余降低系统(包括软件、硬件、传感器、执行机构、通信)的风险等级。可以通过故障树分析(FaultTreeAnalysis,FTA),失效分析(FailureModeandEffectAnalysis,FMEA)等方法来支持功能安全要求的完善。安全概念设计中应遵循以下几点:
(1)对故障的检测和故障的降级。
(2)有危险发生的可能性时转换至安全状态。
(3)容错机制,即一个错误不会直接破坏安全目标,并保证系统在安全状态。
(4)故障检测和驾驶员提醒可使人暴露在危险中的可能性控制在一个可接受的时间间隔(响应问答和终止响应)。
(5)仲裁逻辑电路可以通过不同的子系统同时在多路问答中选择最合适的控制要求。
安全机制是ISO26262中提出的关键概念,它是保证系统能够进入或保持在安全状态的措施。为了避免危害相关人员,一个系统必须设计安全机制,并通过验证和确认来证实安全机制的有效性,以下是安全机制的几种实现方式:
(1)与系统本身故障的检测、指示和控制有关的措施(系统或单元的自我监控)。
(2)与系统结合的外部设备内部涉及故障的检测、指示和控制的措施。
(3)能使系统达到或保持一个安全状态的措施。
(4)详细表述及实现警报和降级概念的措施。
(5)阻止错误隐匿的措施。
3 纯电动汽车转矩控制安全机制
目前,纯电动汽车的动力总成采用的是基于转矩的控制策略,即控制系统通过对驾驶员需求及车辆状态的分析,得到当前驱动车辆所需要的转矩,然后发出转矩指令控制动力源驱动车辆。基于转矩的控制方法可以实现对整车动力性、经济性、舒适性的综合优化,但是在这种控制方法下,一旦控制系统的指令出错,可能在驱动轮处产生异常驱动力,引起超出驾驶员期望的加速或减速,甚至超出驾驶员的控制能力,造成引起人身伤害的危险。因此,控制系统需要设计安全机制来应对这种超出范围的加速或减速,使车辆在发生危险前重新进入安全状态。在纯电动汽车整车控制策略中引入转矩监控防止上述失效产生不可控制的转矩,从而避免整车处于危险状态。
在设计转矩监控模型的过程中,根据ISO26262的要求和实际经验的总结,应确保以保护人员的安全为最高优先级,同时实现转矩监控的模块始终处于工作状态,保证发生的任何单点失效,以及包含潜在失效的单点失效系统的响应是可控制的,且相关的传感器、执行器、功能模块都受到监控模块的监控。
在实现某纯电动汽车整车控制系统安全机制的过程中,利用一个独立的硬件芯片来监控主芯片,在主芯片出现故障时可以发出控制命令,利用一个独立的软件模块来监视和限制应用软件主功能模块的运行时序和转矩输出,这三个方面形成一个安全机制,使系统在探测到危害发生的可能性时进入或维持安全状态。整车控制软件中的输入、冗余输入、主功能模块可以按照质量管理体系要求进行设计和验证,但输入诊断模块、简化的功能模块和输出限制模块则按照危害分析和风险评估中定义的最高ASIL级别要求进行设计和验证。
4 纯电动汽车转矩控制监控模型
对于要求达到ASILC或ASILD级别的系统,转矩监控这一安全机制的系统架构可能有多种型式。例如:锁步模型和功能运行模型。
4.1 锁步模型
两套独立的软件在两套独立的硬件中运行并且不断比较输出是否一致,如果输出不一致将进入安全状态,如图2所示。它的优点是能够保证发现随机失效,即使短暂的错误,系统也能在不间断处理和不损失数据的情况下恢复正常运行。它的缺点是无法发现设计造成的系统性失效,并且成本比较昂贵。
4.2 功能运行模型
当主芯片软件在运行过程中收到来自独立芯片的校验要求时,中断正常软件运行并对主芯片进行校验,比较主芯片运算结果和独立芯片的预存结果是否一致,如不一致则进入安全状态,如图3所示。它的优点是通过独立芯片可以校验包含安全功能的主芯片中的软件运行状态,缺点是由于校验会中断正常的软件运行,软件的实时运行非常复杂。
4.3 转矩监控模型设计
通过分析、比较几种转矩监控模型的系统架构,在某纯电动汽车的整车控制策略开发中,以功能运行模型为基础,设计失效安全模型(图4)作为纯电动汽车整车控制策略中实现转矩监控安全机制的架构模型。
用转矩监控模型设计的基本思路是转矩控制指令的异常不能超过安全范围。但是由于存在工作模式切换和瞬态工况,设计一种涵盖所有工况的转矩算法比较复杂,而基于危险限值比较的转矩算法更为简单有效,能够较好地应对各种工况下的转矩变化。在该纯电动汽车整车控制策略中,应确保不会因自身失效而产生不安全的转矩指令。在策略运行过程中,将实际计算出的转矩需求与根据危险度量计算的转矩限值进行比较,当转矩需求超出限值时,可将需求转矩降低至无转矩输出。
4.4 主要算法
主要算法包括三个步骤:
(1)转矩监控模块探测到转矩错误,报错给功能管理模块。
(2)根据安全状态定义确定应进入的安全状态,控制系统进入安全状态。
(3)进入安全状态过程中,转矩监控模块将根据危险度量的安全限值限制转矩输出,如图6所示。
在计算转矩限值时,除了依据安全目标中定义的危险度量外,还需要读入车辆和各部件的状态,这些信号将进行独立的解读和校验,并对其中有关联的信号基于逻辑关系进行检查,保证输入信号的有效性。
在转矩监控的实现中,通过三层监控,即硬件层面上通过独立芯片监控主芯片,软件运行层面上监控功能部分的运行时序,应用层面上进行功能失效判断和转矩监控,通过这些措施可以满足ASILC及以上等级对系统软硬件的安全技术需求。
5 模型仿真及试验验证
5.1 策略仿真
本文设计的转矩监控模型采用Matlab/Simulink进行控制策略建模及自动代码生成,与底层代码集成后生成控制软件下载到目标控制器,并验证转矩监控策略。
为了验证转矩监控策略中转矩监控算法的有效性,首先进行了模型仿真,得到实际转矩、转矩限制值结果,如图8所示。
5.2 安全机制验证
控制策略开发完成并生产代码后,下载到目标控制器,在HIL台架和动力总成试验台架上进行转矩监控安全机制的验证。试验表明,当实际需求转矩超过根据危险度量计算的转矩限值时,触发安全机制,转矩需求迅速下降到无转矩输出,如图9所示。
6 结论
综上所述,转矩监控是整车功能安全设计的一部分,它的需求来源于自整车层级由上而下的风险分析和分解。完成策略设计后,还需在MIL、HIL和实物台架方面进行故障注入验证,针对各种工况和运行环境测试安全机制的有效性。安全机制的验证分为两部分,一部分是根据安全目标设计功能测试用例,在HIL等系统中利用故障注入等方法验证功能是否符合设计需求,并进行初步标定。另一部分是在车辆上进行验证,利用设定特定的输入等方法模拟故障,验证安全机制是否满足功能安全要求。最终还要通过FMEA等工具,确认失效分析中的所有项目已经关闭,达成安全目标的安全机制设计有效运行。电动汽车电机驱动控制器功能安全架构研究
-
汽车测试网V课堂
-
微信公众号
-
汽车测试网手机站
编辑推荐
最新资讯
-
【进博频道】闪耀进博,HIOKI新质生产力与
2024-11-06 07:48
-
TÜV NORD与上汽大通签订WVTA整车认证框架
2024-11-06 07:41
-
通过学习轮胎模型利用3分钟数据实现自主漂
2024-11-06 07:40
-
标准立项 ||《乘用车智能底盘矢量及舒适加
2024-11-06 07:39
-
标准立项 ||《乘用车智能底盘矢量及舒适加
2024-11-06 07:38