秦 靜，張 震，謝 輝

用于發(fā)動(dòng)機(jī)控制功能安全評(píng)估的破壞者模型建模方法

秦 靜，張 震，謝 輝

(天津大學(xué)內(nèi)燃機(jī)燃燒學(xué)國(guó)家重點(diǎn)實(shí)驗(yàn)室，天津 300072)

為了評(píng)價(jià)發(fā)動(dòng)機(jī)控制的功能安全，建立了基于曲軸角度的缸內(nèi)模型作為基礎(chǔ)模型，依據(jù)ISO 26262協(xié)議的要求，提出了用于發(fā)動(dòng)機(jī)控制功能安全評(píng)估的破壞者模型思想，并以柴油機(jī)燃油系統(tǒng)為例，詳細(xì)說(shuō)明了破壞者模型的概念和構(gòu)建思路．通過(guò)在LABCAR的HIL平臺(tái)上實(shí)時(shí)運(yùn)行，證實(shí)破壞者模型可以為發(fā)動(dòng)機(jī)控制器開(kāi)發(fā)提供多種產(chǎn)生風(fēng)險(xiǎn)的案例，是提高發(fā)動(dòng)機(jī)控制功能安全的有效工具．

功能安全；ISO 26262；LABCAR；破壞者模型

功能安全是與EUC(受控設(shè)備)或EUC控制系統(tǒng)有關(guān)的整體安全的組成部分，取決于電氣/電子/可編程電子(E/E/PE)安全系統(tǒng)、其他技術(shù)安全系統(tǒng)和外界風(fēng)險(xiǎn)降低設(shè)施功能的正確行使．設(shè)備或控制系統(tǒng)的安全功能在正常條件和故障條件下都應(yīng)得到保證[1]．車(chē)輛電子電氣系統(tǒng)同樣需要功能安全的實(shí)施．為避免車(chē)輛相關(guān)EUC和EUC控制系統(tǒng)失效帶來(lái)的風(fēng)險(xiǎn)，國(guó)際標(biāo)準(zhǔn)化組織歷時(shí)6年，從IEC 61508中派生出專(zhuān)門(mén)針對(duì)車(chē)輛電子電氣系統(tǒng)功能安全的國(guó)際級(jí)標(biāo)準(zhǔn)ISO 26262[2]．ISO 26262是一套關(guān)于風(fēng)險(xiǎn)管理和安全技術(shù)實(shí)現(xiàn)的標(biāo)準(zhǔn)．

硬件在環(huán)仿真(HIL)在發(fā)動(dòng)機(jī)控制器開(kāi)發(fā)中的作用越來(lái)越明顯，在ISO 26262中也規(guī)定其為實(shí)施驗(yàn)證軟件安全需求的測(cè)試環(huán)境之一，并推薦了具體的案例生成方法和測(cè)試方法．ISO 26262推薦的HIL測(cè)試場(chǎng)景有ECU單個(gè)功能測(cè)試、軟件集成測(cè)試和ECU網(wǎng)絡(luò)測(cè)試．同時(shí)，基于HIL的測(cè)試還包括需求測(cè)試、故障注入測(cè)試、外部接口測(cè)試、通訊測(cè)試、資源利用率測(cè)試以及壓力測(cè)試等[3]．

本文依據(jù)ISO 26262對(duì)HIL的要求，提出了一種用于發(fā)動(dòng)機(jī)控制功能安全評(píng)估的HIL模型概念，即破壞者模型；將該模型在HIL系統(tǒng)中運(yùn)行，進(jìn)行柴油機(jī)控制器安全相關(guān)功能的測(cè)試，提高柴油機(jī)控制器的功能安全綜合等級(jí)．限于篇幅，本文以燃油系統(tǒng)為例，解釋了該破壞者模型的實(shí)現(xiàn)方法.

1 破壞者模型的提出

1.1 破壞者模型提出的背景

在柴油機(jī)控制器開(kāi)發(fā)的概念階段，ISO 26262要求定義出柴油機(jī)控制器中可能出現(xiàn)的風(fēng)險(xiǎn)，并對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)估．比如，柴油機(jī)控制器失效導(dǎo)致的風(fēng)險(xiǎn)包括車(chē)輛意外的加速及由此產(chǎn)生的意外加速損失等，根據(jù)表1和表2，嚴(yán)重性(S)、可控性(C)和暴露性(E)分別評(píng)級(jí)后，意外的加速被評(píng)級(jí)為ASIL C級(jí)[4]．

表2 安全綜合等級(jí)評(píng)定Tab.2 Automotive safety integrity level(ASIL)of unintended-acceleration

在車(chē)輛意外加速這一風(fēng)險(xiǎn)進(jìn)行安全評(píng)級(jí)后，需制定出安全目標(biāo)，并依次在系統(tǒng)層、硬件層、軟件層及生產(chǎn)和操作4個(gè)階段，定義風(fēng)險(xiǎn)減少的措施．這些風(fēng)險(xiǎn)減少措施包括系統(tǒng)層的技術(shù)安全要求，技術(shù)安全要求在硬件層、軟件層和外部機(jī)構(gòu)上的分配以及安全要求的驗(yàn)證等．

技術(shù)安全要求在硬件上的分配主要是規(guī)定與安全相關(guān)的硬件的隨機(jī)失效率，單點(diǎn)故障失效率和潛在故障失效率必須滿(mǎn)足一定的量化指標(biāo)．比如，ASIL C級(jí)別的硬件隨機(jī)失效率需在1×10-7,h-1以?xún)?nèi)，加速踏板信號(hào)采集的相關(guān)硬件安全等級(jí)最高．因此，踏板開(kāi)度信號(hào)的采集電路采用冗余設(shè)計(jì)，以減少隨機(jī)失效的概率．

技術(shù)安全要求在軟件上的分配主要是嚴(yán)格的軟件設(shè)計(jì)規(guī)范以及足夠的安全相關(guān)功能．軟件層的安全相關(guān)功能也就是指各控制模塊對(duì)其控制對(duì)象進(jìn)行監(jiān)控，防止造成意外加速，以及造成意外加速后，控制算法必須做出適當(dāng)?shù)奶幚?，以保證系統(tǒng)的功能安全．如燃油系統(tǒng)控制模塊中的軌壓監(jiān)控、對(duì)噴油器流量的監(jiān)控，發(fā)現(xiàn)異常則對(duì)控制功能進(jìn)行降級(jí)等．

針對(duì)系統(tǒng)控制模塊開(kāi)發(fā)中軟件層的安全功能，需要建立能夠模擬出由系統(tǒng)各種失效造成的意外加速風(fēng)險(xiǎn)的模型，本文將其定義為破壞者模型．因此，破壞者模型的概念為依據(jù)功能安全標(biāo)準(zhǔn)建立的能夠仿真出由特定失效引起的特定風(fēng)險(xiǎn)的模型，用于測(cè)試控制器對(duì)風(fēng)險(xiǎn)的監(jiān)控和應(yīng)對(duì)能力，可提高控制器的功能安全的實(shí)時(shí)模型．破壞者模型應(yīng)符合ISO 26262在軟件層測(cè)試中推薦的基于需求的測(cè)試、接口測(cè)試和魯棒性測(cè)試等HIL測(cè)試方法．雖然線束故障也是造成風(fēng)險(xiǎn)的因素之一，但是線束故障的模擬工具已經(jīng)開(kāi)發(fā)得非常完善，在此不列入破壞者模型的范圍．

1.2 破壞者模型的特點(diǎn)

針對(duì)柴油機(jī)控制器軟件中越來(lái)越多的安全功能的需求，被控系統(tǒng)的失效作為監(jiān)控應(yīng)對(duì)功能或是魯棒性考慮，將成為開(kāi)發(fā)的重要的設(shè)計(jì)案例[5]．目前的HIL測(cè)試主要是以正常的功能需求測(cè)試為主，不能為ECU功能安全的測(cè)試評(píng)估提供失效案例．

破壞者模型為了可以更精確地模擬出系統(tǒng)的各種失效，采用了基于曲軸角度的缸內(nèi)模型為基礎(chǔ)模型，為ECU提供軌壓波動(dòng)、缸內(nèi)工質(zhì)的溫度、缸內(nèi)壓力等信號(hào)輸入，并為ECU提供監(jiān)控和診斷的對(duì)象．

根據(jù)技術(shù)安全要求在軟件上的分配，傳感器、執(zhí)行器的失效必須作為軟件設(shè)計(jì)和測(cè)試的案例．如果是特定的機(jī)械故障可以引起執(zhí)行器、傳感器等電子信號(hào)的變化，也是要在設(shè)計(jì)和測(cè)試中作為控制系統(tǒng)的魯棒性進(jìn)行考慮的．破壞者模型由兩部分構(gòu)成：基于曲軸角度的發(fā)動(dòng)機(jī)工作過(guò)程模型(即基礎(chǔ)模型)和失效模型．失效模型主要用于模擬引起系統(tǒng)風(fēng)險(xiǎn)和危害的失效行為，具體包括如下功能：

(1) 具備仿真?zhèn)鞲衅魇г斐娠L(fēng)險(xiǎn)的能力；(2) 具備仿真執(zhí)行器失效造成風(fēng)險(xiǎn)的能力；(3) 具備仿真電子電氣信號(hào)變化的機(jī)械失效造成風(fēng)險(xiǎn)的能力；

(4) 具備實(shí)時(shí)輸出瞬時(shí)轉(zhuǎn)速信號(hào)的能力．

上述風(fēng)險(xiǎn)是指在概念階段經(jīng)過(guò)風(fēng)險(xiǎn)分析和評(píng)估所確定的風(fēng)險(xiǎn)．

1.3 破壞者模型的構(gòu)建方法

依據(jù)破壞者模型的概念和特點(diǎn)，提出破壞者模型構(gòu)建的基本方法如下．

(1) 分析發(fā)動(dòng)機(jī)控制分析可能發(fā)生的風(fēng)險(xiǎn)．

(2) 針對(duì)某一風(fēng)險(xiǎn)，分析可能造成這一風(fēng)險(xiǎn)的傳感器失效、執(zhí)行器失效以及可引起電子電氣信號(hào)變化的機(jī)械失效行為特征．

(3) 建立可以反映發(fā)動(dòng)機(jī)每個(gè)系統(tǒng)工作機(jī)理的物理模型，作為破壞者模型的基礎(chǔ)模型．

(4) 針對(duì)可能造成風(fēng)險(xiǎn)的失效，注入故障因子，實(shí)現(xiàn)對(duì)系統(tǒng)的“破壞”．

燃油系統(tǒng)是柴油機(jī)運(yùn)行的核心系統(tǒng)，本文以此為例說(shuō)明破壞者模型的建立思路．即以減少柴油機(jī)共軌燃油系統(tǒng)控制模塊造成的意外加速這一風(fēng)險(xiǎn)為目的，建立了柴油機(jī)共軌燃油系統(tǒng)的破壞者模型，為控制模塊的軟件層提供了多種失效案例，便于監(jiān)控或應(yīng)對(duì)算法的開(kāi)發(fā)，提高軟件層的功能安全．

2 破壞者模型的基礎(chǔ)模型

基于破壞者模型所需具備的特性，本文通過(guò)修改ETAS公司的柴油機(jī)車(chē)輛模型DEVM，建立了基于曲軸角度的缸內(nèi)模型作為破壞者模型的基礎(chǔ)模型.改進(jìn)的主要模型為曲軸動(dòng)力學(xué)模型、進(jìn)排氣門(mén)模型、共軌燃油系統(tǒng)模型、燃燒放熱模型、缸壁散熱模型和摩擦扭矩模型．各模型要依據(jù)不同的發(fā)動(dòng)機(jī)配置結(jié)構(gòu)參數(shù)，并與發(fā)動(dòng)機(jī)實(shí)驗(yàn)數(shù)據(jù)對(duì)照．

2.1 曲軸動(dòng)力學(xué)模型

曲軸角度是整個(gè)柴油機(jī)模型工作的時(shí)鐘．建立曲軸動(dòng)力學(xué)模型主要考慮了曲軸的轉(zhuǎn)動(dòng)矩Teff_eng和活塞、曲軸連桿往復(fù)運(yùn)動(dòng)克服的重力矩TDri[6]．對(duì)于不同的發(fā)動(dòng)機(jī)，曲軸動(dòng)力學(xué)模塊庫(kù)只需要標(biāo)定曲軸的轉(zhuǎn)動(dòng)慣量Icrank和活塞連桿的振蕩質(zhì)量mosc便可完成該模塊的配置．

利用曲軸連桿與活塞的簡(jiǎn)化幾何關(guān)系，求解此微分方程得出發(fā)動(dòng)機(jī)轉(zhuǎn)速n、活塞位置Piss、活塞速度及活塞加速度．圖1為活塞位置隨曲軸轉(zhuǎn)角的變化．

圖1 活塞位置隨曲軸轉(zhuǎn)角的變化Fig.1 Piston position changes with the crank angle

2.2 進(jìn)排氣門(mén)模型

首先要建立進(jìn)氣門(mén)升程和流量面積的模型．將凸輪軸型線簡(jiǎn)化為sin2?，并對(duì)進(jìn)排氣門(mén)的形狀也做了一定的簡(jiǎn)化．

進(jìn)排氣門(mén)的流量系數(shù)方程為

式中：A為進(jìn)氣門(mén)面積；m為進(jìn)氣量；p為壓力；T為溫度；假設(shè)流動(dòng)為絕熱過(guò)程，k取1.4；dC為修正系數(shù)，暫時(shí)取1，如果要對(duì)該模塊進(jìn)行修正，則標(biāo)定該修正系數(shù)[7]．簡(jiǎn)化后的進(jìn)氣門(mén)流通面積的公式為

式中：invaln為每一缸內(nèi)的進(jìn)氣門(mén)個(gè)數(shù)；l為進(jìn)排氣門(mén)升程；d為進(jìn)排氣門(mén)直徑．進(jìn)氣門(mén)和排氣門(mén)模型只需標(biāo)定最大升程、直徑、開(kāi)啟角度和持續(xù)角度便可配置不同的發(fā)動(dòng)機(jī)．

2.3 共軌燃油系統(tǒng)模型

高壓油泵每循環(huán)供油量計(jì)算公式為

式中：i為傳動(dòng)比；N為柱塞個(gè)數(shù)；η為供油系數(shù)．

高壓共軌軌壓計(jì)算公式為

泄壓閥流量公式為

噴油器模型為

式中：Nnozzle為噴孔數(shù)量；Anozzle為噴孔截面積．由于噴油器的種類(lèi)有限，噴孔數(shù)量和噴孔直徑很容易獲取．

2.4 缸內(nèi)模型

缸內(nèi)模型是基于充排法、質(zhì)量守恒及能量守恒建立的，包括缸內(nèi)質(zhì)量模型、缸內(nèi)工質(zhì)溫度模型、壓力模型和放熱模型[8]．缸內(nèi)質(zhì)量模型則是由質(zhì)量守恒得出．缸內(nèi)工質(zhì)溫度的計(jì)算式為

本文對(duì)缸內(nèi)的燃燒采用均勻混合氣零維燃燒的假設(shè)，采用阿列紐斯反應(yīng)率方程計(jì)算柴油燃燒速率[9]，則有

式中：Ea為柴油反應(yīng)活化能，取Ea/R=4,650；cO2為缸內(nèi)氧氣濃度；cfuel為缸內(nèi)柴油濃度；QLHV為柴油低熱值，取2×107；KArrh為不同工況下標(biāo)定的柴油燃燒對(duì)應(yīng)的阿列紐斯系數(shù)．圖2為轉(zhuǎn)速1,000,r/min、預(yù)噴噴油量11,mg、主噴噴油量139,mg時(shí)，缸內(nèi)燃油質(zhì)量變化曲線，可反映出缸內(nèi)噴油速率和燃油燃燒速率的變化．

圖2 缸內(nèi)燃油質(zhì)量變化曲線Fig.2 Fuel quality changes in cylinder

缸內(nèi)壓力則使用理想氣體狀態(tài)方程得出．圖3為缸內(nèi)壓力變化．

圖3 穩(wěn)定工況下缸內(nèi)壓力變化Fig.3 Cylinder pressure under the stability condition

2.5 缸壁散熱模型

本文采用Woschni's公式計(jì)算壁面散熱[10]，即

w 壓縮過(guò)程和做功過(guò)程中分別取不同的值；wallA為散熱壁面面積．

2.6 摩擦扭矩計(jì)算模型

由于瞬時(shí)摩擦扭矩計(jì)算量較大，基于實(shí)時(shí)模型的考慮，本文采用平均摩擦扭矩計(jì)算的經(jīng)驗(yàn)公式，即

式中：Vdis為柴油機(jī)總排量；k1=1.4×105；Rb為活塞環(huán)和曲軸軸承設(shè)計(jì)所承受的低速增壓比；μ=1.8；k2=8.6×10-3；k3=2.15×10-7；B0=0.075．

3 共軌燃油系統(tǒng)破壞者模型范例

為了降低意外加速這一ASIL C級(jí)別的風(fēng)險(xiǎn)，技術(shù)安全要求中應(yīng)包含硬件設(shè)計(jì)要求和軟件中對(duì)燃油系統(tǒng)控制和監(jiān)控的要求．因此，在共軌燃油系統(tǒng)的控制和監(jiān)控算法開(kāi)發(fā)中，需要建立共軌系統(tǒng)的破壞模型來(lái)測(cè)試軟件層的功能安全要求．

共軌燃油系統(tǒng)破壞者模型，是指可以仿真共軌燃油系統(tǒng)中傳感器、執(zhí)行器以及機(jī)械結(jié)構(gòu)失效造成的風(fēng)險(xiǎn)，驗(yàn)證ECU中對(duì)燃油系統(tǒng)失效的監(jiān)控和響應(yīng)策略的實(shí)時(shí)模型．

本文在缸內(nèi)模型的基礎(chǔ)上，舉例說(shuō)明了破壞者模型思想在共軌燃油系統(tǒng)中的應(yīng)用．依據(jù)所提出的破壞者模型的功能定義，燃油系統(tǒng)的破壞者模型應(yīng)當(dāng)具備以下條件：

(1) 仿真可能造成意外加速的共軌燃油系統(tǒng)中傳感器失效的能力；

(2) 仿真可能造成意外加速的共軌燃油系統(tǒng)中執(zhí)行器失效的能力；

(3) 仿真可能造成意外加速并能造成電子電氣信號(hào)變化的共軌燃油系統(tǒng)中機(jī)械故障的能力；

(4) 實(shí)時(shí)輸出瞬時(shí)轉(zhuǎn)速信號(hào)的能力．

3.1 軌壓傳感器漂移

如果軌壓傳感器漂移，實(shí)測(cè)值比實(shí)際值小很多，那么控制軟件在沒(méi)有安全算法時(shí)會(huì)繼續(xù)提升軌壓，導(dǎo)致實(shí)際噴油量會(huì)比正常噴油量大很多，從而會(huì)產(chǎn)生意外的扭矩并帶來(lái)意外加速．因此，需模擬軌壓傳感器漂移這一傳感器失效現(xiàn)象來(lái)測(cè)試燃油系統(tǒng)控制軟件對(duì)此的監(jiān)控和應(yīng)對(duì)．

本文參考航天發(fā)動(dòng)機(jī)在故障診斷時(shí)建立故障方程的方法，在軌壓傳感器模型中加入故障因子用以模擬軌壓傳感器的漂移，并統(tǒng)一管理故障因子．故障因子是發(fā)動(dòng)機(jī)部件故障狀態(tài)的表征，它代表了由于故障所引起的部件特性線的平移．基礎(chǔ)的缸內(nèi)模型中不包含任何故障的信息．建立故障方程時(shí)，對(duì)每一個(gè)獨(dú)立的部件特性相應(yīng)地引入一個(gè)故障因子[11]．

軌壓傳感器模型實(shí)際為一個(gè)壓力轉(zhuǎn)換為電壓的線性方程．采用特性平移法對(duì)其加入故障因子，即輸出的軌壓電壓值比正常情況小R，即如圖4所示，軌壓保持不變時(shí)，軌壓傳感器漂移后電壓輸出值降低．

圖4 軌壓與軌壓傳感器電壓信號(hào)曲線Fig.4 Voltage curves of rail pressure senser and rail pressure

3.2 噴油器電磁閥關(guān)閉不嚴(yán)或關(guān)閉遲緩

本文對(duì)各缸噴油脈寬加入故障因子，可仿真各缸噴油脈寬的不一致性，同時(shí)可仿真噴油器電磁閥關(guān)閉不嚴(yán)造成某缸噴油量過(guò)大帶來(lái)的意外加速．由圖5可見(jiàn)，一缸噴油器噴油脈寬異常變大，造成噴油量變大、單缸缸壓升高．

圖5 單缸噴油脈寬異常增大Fig.5 Abnormal increase of injection pulse-width in one cylinder

由此可見(jiàn)，基于曲軸角度的柴油機(jī)缸內(nèi)模型可以更加靈活、更加逼真地模擬各種失效．采用同樣的方法對(duì)其他可能造成意外加速風(fēng)險(xiǎn)的傳感器和執(zhí)行器失效進(jìn)行仿真．同時(shí)通過(guò)對(duì)各機(jī)械結(jié)構(gòu)的故障因子的添加可以實(shí)現(xiàn)機(jī)械故障的仿真．

3.3 瞬時(shí)轉(zhuǎn)速輸出

缸內(nèi)模型離線仿真都可以計(jì)算出瞬時(shí)轉(zhuǎn)速．實(shí)時(shí)輸出瞬時(shí)轉(zhuǎn)速才是需要解決的問(wèn)題．以前的HIL測(cè)試中是將曲軸一周的波形存儲(chǔ)在HIL平臺(tái)的波形表中，一個(gè)周期內(nèi)的曲軸信號(hào)的齒間距離和幅值是不變的，無(wú)法反映出真實(shí)發(fā)動(dòng)機(jī)中各種失效帶來(lái)的瞬時(shí)轉(zhuǎn)速的變化．本文在LABCAR系統(tǒng)1335板卡波形表中存儲(chǔ)一個(gè)碼盤(pán)的波形(使用正弦信號(hào)代替曲軸齒)，幅值和齒間距離是與瞬時(shí)轉(zhuǎn)速相關(guān)的．圖6為通過(guò)示波器采集到的LABCAR實(shí)時(shí)輸出的曲軸信號(hào)，反映出突加速時(shí)的瞬時(shí)轉(zhuǎn)速，同時(shí)曲軸信號(hào)的電壓幅值和2個(gè)齒間的時(shí)間都更接近真實(shí)的瞬時(shí)轉(zhuǎn)速信號(hào)．

圖6 突加速過(guò)程中的瞬時(shí)轉(zhuǎn)速Fig.6 Transient speed during acceleration

4 破壞者模型基礎(chǔ)模型的HIL運(yùn)行

4.1 LABCAR硬件通道與模型的連接

本文所采用的HIL仿真平臺(tái)包括LABCAR、監(jiān)控PC、LABCAR-IP和EE．其中，LABCAR包括RTPC及多種板塊，可用于實(shí)時(shí)的運(yùn)算和信號(hào)的采集與產(chǎn)生；LABCAR-IP具有配置LABCAR板卡硬件、管理仿真模型與硬件的信號(hào)連接、管理仿真任務(wù)及通訊信號(hào)等功能；EE則具有對(duì)RTPC中運(yùn)行的模型進(jìn)行監(jiān)控標(biāo)定的功能．

LABCAR在Simulink中嵌入了Input_Port和Output_Port兩個(gè)模塊．通過(guò)在LABCAR-IP中配置LABCAR的各板卡通道與Input_Port和Output_Port的連接，可實(shí)現(xiàn)模型與真實(shí)信號(hào)的轉(zhuǎn)化．

將模型中計(jì)算的轉(zhuǎn)速、缸壓、軌壓及各種溫度數(shù)值用Output_Port輸出，在LABACR-IP的Connection Manager里連接該Output_Port與專(zhuān)門(mén)的板卡通道，將模型信號(hào)轉(zhuǎn)化為真實(shí)值輸出．

4.2 破壞者模型的實(shí)時(shí)性和瞬時(shí)性

依據(jù)具體柴油機(jī)的物理參數(shù)配置基礎(chǔ)缸內(nèi)模型，并對(duì)每個(gè)庫(kù)進(jìn)行實(shí)驗(yàn)數(shù)據(jù)對(duì)比．將模型下載到LABCAR中，使用本實(shí)驗(yàn)室自主研發(fā)的柴油機(jī)控制器進(jìn)行閉環(huán)仿真．

將模型的每一步計(jì)算的任務(wù)周期在LABCAR-IP分配到0.05,ms中，從而保證了柴油機(jī)基礎(chǔ)缸內(nèi)模型在3,000,r/min以下都能在每個(gè)曲軸角度下運(yùn)算1次，計(jì)算出每個(gè)曲軸角度下的瞬時(shí)轉(zhuǎn)速、缸壓和缸內(nèi)溫度等．圖7為通過(guò)示波器采集到的LABCAR實(shí)時(shí)輸出的缸壓信號(hào)的電壓值．

圖7 LABCAR的DAC通道輸出缸壓的電壓信號(hào)Fig.7 Analog voltage signals of cylinder pressure out by DAC channel in LABCAR

5 破壞者模型的功能安全評(píng)估

5.1 軌壓傳感器漂移

將LABCAR連接自主研發(fā)的柴油機(jī)ECU對(duì)模擬的失效進(jìn)行實(shí)時(shí)仿真，測(cè)試未添加此失效監(jiān)控和應(yīng)對(duì)算法的ECU的反應(yīng)．如圖8所示，虛線為柴油機(jī)轉(zhuǎn)速，實(shí)線為軌壓，點(diǎn)劃線為軌壓傳感器輸出的電壓值．在啟用了軌壓傳感器故障因子后，實(shí)際輸入給ECU的軌壓電壓值降低，但是實(shí)際軌壓反而升高，ECU誤認(rèn)為供油不足而增大了油泵計(jì)量單元開(kāi)度，使得軌壓突然上升，最終柴油機(jī)轉(zhuǎn)速也從1,100,r/min意外增加到1,700,r/min．

圖8 軌壓傳感器漂移后轉(zhuǎn)速意外增加Fig.8 Unintended-acceleration after the drift of rail pressure sensor

針對(duì)此種失效，ECU沒(méi)有任何的監(jiān)控和應(yīng)對(duì)措施，可見(jiàn)尚不滿(mǎn)足功能安全的要求．因此可以在ECU燃油系統(tǒng)控制軟件中添加各個(gè)工況下軌壓的期望值作為軌壓安全基準(zhǔn)，如果采集到的軌壓值與此期望值偏差超過(guò)一定值則認(rèn)為存在失效，對(duì)系統(tǒng)進(jìn)行降級(jí)，同時(shí)減小扭矩或是緊急停車(chē)．

5.2 噴油器電磁閥關(guān)閉不嚴(yán)或關(guān)閉遲緩

LABCAR通過(guò)1336板卡采集各缸噴油脈寬，開(kāi)啟對(duì)一缸噴油脈寬的故障因子實(shí)時(shí)仿真噴油器電磁閥關(guān)閉不嚴(yán)或關(guān)閉遲緩．如圖9所示，虛線為一缸的噴油脈寬，實(shí)線為柴油機(jī)轉(zhuǎn)速．故障因子開(kāi)啟后，轉(zhuǎn)速由1,050,r/min升高到1,130,r/min，并且轉(zhuǎn)速波動(dòng)變大．

圖9 噴油器關(guān)閉不嚴(yán)或關(guān)閉遲滯造成的轉(zhuǎn)速意外增加Fig.9 Unintended-acceleration caused by fuel valve closure lax or sluggish

針對(duì)此種失效，可以在ECU燃油系統(tǒng)控制軟件中添加對(duì)噴油器真實(shí)噴油量的監(jiān)控算法，并做失效處理．

6 結(jié) 論

發(fā)動(dòng)機(jī)的控制系統(tǒng)日益復(fù)雜，控制的功能安全也越來(lái)越受關(guān)注．本文依據(jù)ISO 26262中的風(fēng)險(xiǎn)分析和評(píng)估，對(duì)柴油機(jī)控制系統(tǒng)可能造成的意外加速這一風(fēng)險(xiǎn)進(jìn)行評(píng)級(jí)，并為減少這一風(fēng)險(xiǎn)在軟件層開(kāi)發(fā)過(guò)程中建立了用于HIL的破壞者模型，針對(duì)該風(fēng)險(xiǎn)進(jìn)行評(píng)估測(cè)試從而提高軟件層的功能安全．主要結(jié)論如下.

(1) 提出了用于功能安全評(píng)估的破壞者模型基本思想和構(gòu)建方法．破壞者模型由2部分構(gòu)成，即基于曲軸角度的發(fā)動(dòng)機(jī)工作過(guò)程基礎(chǔ)模型和模擬可引起系統(tǒng)風(fēng)險(xiǎn)和危害因素的失效模型．

(2) 以柴油機(jī)共軌燃油系統(tǒng)控制模塊的開(kāi)發(fā)為例，建立了典型失效行為模擬的失效模型．在燃油系統(tǒng)的基礎(chǔ)模型中加入故障因子，仿真燃油系統(tǒng)中可能造成意外加速這一風(fēng)險(xiǎn)的失效．

(3) 通過(guò)基于LABCAR的HIL系統(tǒng)的實(shí)時(shí)運(yùn)行，對(duì)破壞者模型進(jìn)行了驗(yàn)證．結(jié)果表明，該模型可為發(fā)動(dòng)機(jī)控制器軟件層的開(kāi)發(fā)提供風(fēng)險(xiǎn)案例以評(píng)估ECU的功能安全．

［1］ International Electrotechnical Commission. IEC 61508 Functional Safety of Electrical/Electronic/Programmable Electronic Safety-Related Systems[S]. Gereva，Switzerland：IEC，1998.

［2］ International Organization for Standardization. ISO 26262 Road Vehicles—Functional Safety[S]. Gereva，Switzerland：ISO，2011.

［3］ Himmler A. Hardware-in-the-loop testing in the context of ISO 26262[C] // SAE Paper. Detroit，USA，2012：2012-01-0035.

［4］ Hamann R. ISO 26262 release just ahead remaining problems[C]// SAE Paper. Detroit，USA，2011：2011-01-1000.

［5］ Sachs H，Gojny M，Carl U. Robust detection of oscillatory and transient aircraft actuation system failures using analytical redundancy[C]//SAE Paper. Detroit，USA，2009：2009-01-3175.

［6］ 周龍保. 內(nèi)燃機(jī)學(xué)[M]. 北京：機(jī)械工業(yè)出版社，2005.

Zhou Longbao. Internal Combustion Engine[M]. Beijing：China Machine Press，2005(in Chinese).

［7］ Gambarotta. A，Lucchetti. G. A thermodynamic mean value model of the intake and exhaust system of a turbocharged engine for HiL/SiL applications[C]//SAE Paper. Detroit，USA，2009：2009-24-0121.

［8］ Heywood J B. Internal Combustion Engines Fundamentals [M]. New York：McGraw-Hill，1988.

［9］ Philip O. A model diesel with turbocharger，EGR and cylinder pressure calculation for HiL and SiL[C]//5th Symposium：Control Systems for Power Trains of Motor Vehicles. Berlin，Germany，2005.

［10］ Ramos J I. Internal Combustion Engine Modelling [M]. Washington：Hemisphere Publishing Corporation，1989.

［11］ 范作民，孫春林. 發(fā)動(dòng)機(jī)故障方程的建立與故障因子的引入[J]. 中國(guó)民航學(xué)院學(xué)報(bào)，1994，12(1)：1-15.

Fan Zuomin，Sun Chunlin. Development of engine fault equation and introduction of fault factors[J]. Journal of Civil Aviation Institute of China，1994，12(1)：1-15(in Chinese).

(責(zé)任編輯：孫立華)

A Break-Down Model for Evaluation to Engine Control Function Safety

Qin Jing，Zhang Zhen，Xie Hui
(State Key Laboratory of Engines，Tianjin University，Tianjin 300072，China)

In order to evaluate the engine control function safety, a method of break-down model is proposed according to ISO 26262. The break-down model is built based on a simplified crank angle based diesel engine. The fuel system is used as an example to specify the concept and construction idea of break-down model. Through the real time operation of LABCAR HIL platform, it’s verifiedthat the model can provide many cases of risk for engine controller development, and is an effective tool to improve the engine control function safety.

function safety；ISO 26262；LABCAR；break-down model

TK427

A

0493-2137(2014)10-0856-07

10.11784/tdxbz201210053

2012-10-29；

2012-12-03.

國(guó)家高技術(shù)研究發(fā)展計(jì)劃(863計(jì)劃)資助項(xiàng)目(2012AA111709).

秦 靜（1979— ），女，博士，副研究員，qinjing@tju.edu.cn.

謝 輝，xiehui@tju.edu.cn.