葛鵬 陳勇 羅大國 劉文忠 王瑞平，2

（1.寧波吉利羅佑發(fā)動機零部件有限公司；2.浙江吉利羅佑發(fā)動機有限公司）

基于道路車輛功能安全標準ISO26262的7DCT電控系統設計

葛鵬1陳勇1羅大國1劉文忠1王瑞平1，2

（1.寧波吉利羅佑發(fā)動機零部件有限公司；2.浙江吉利羅佑發(fā)動機有限公司）

為實現DCT電控系統的功能安全，按照道路車輛功能安全標準ISO 26262制定其開發(fā)流程。根據整車對DCT的安全目標及功能安全需求，結合3層監(jiān)控概念對該系統架構進行分層設計，并對安全子系統進行詳細設計，在此基礎上開發(fā)電控系統硬件和軟件安全設計規(guī)范，最后對所設計系統及規(guī)范進行檢驗。結果表明，所設計系統符合ISO 26262要求，能實現整車的安全目標。

1 前言

隨著電控系統在汽車控制領域的應用日益增加，電子電氣故障帶來的危險事故不僅為汽車企業(yè)造成巨大經濟損失，也給用戶帶來生命威脅，這使得各國政府、汽車企業(yè)和用戶越來越關注汽車的功能安全[1,2]。功能安全是指電控系統發(fā)生故障后整車仍能保持安全狀態(tài)的性能，而不是電控系統原有的功能性能。道路車輛功能安全標準ISO 26262自2011年發(fā)布以來，受到世界各大汽車企業(yè)的廣泛關注，現已成為歐洲汽車開發(fā)的通用標準，而中國各汽車企業(yè)尚處于對該標準的了解和嘗試應用階段。

7速雙離合自動變速器（7DCT）電控系統是7DCT的重要組成部分，其除需要完成變速器控制的相關工作外，還需要與發(fā)動機管理系統（EMS）、電子車身穩(wěn)定系統（ESP）等控制單元通過CAN總線進行通信，以實施多系統的協調控制，因此其控制功能與整車的安全性能十分密切。為保證整車的功能安全，7DCT電控系統的開發(fā)需要按照ISO 26262所要求的開發(fā)流程進行[3]。

2 基于ISO 26262的7DCT電控系統開發(fā)流程

道路車輛功能安全標準ISO 26262適用于質量不超過3 500 kg的乘用車電子電氣系統，其通過對開發(fā)流程和工作文檔的規(guī)范來減少或消除電控系統故障可能引起的危險。按照ISO 26262的要求，7DCT電控系統的開發(fā)流程如圖1所示。

由圖1可知，7DCT整個產品的開發(fā)流程可分為概念階段、電控系統開發(fā)階段和生產運行階段3個階段。

概念階段由整車開發(fā)人員執(zhí)行，完成后生成的文檔主要有項目定義、危險分析與風險評估報告、功能安全概念，其將作為系統級產品開發(fā)的重要輸入。整車向7DCT輸入的功能安全概念為力矩管理、選換擋、發(fā)動機管理、起動停車4種功能對變速器的安全需求，共包括14個安全目標和71個功能安全需求，其需求的最高安全完整性等級為ASILC。

7DCT電控系統開發(fā)階段主要是根據整車的功能安全需求開發(fā)出相應的技術安全需求、硬件/軟件安全需求，然后根據這些安全需求設計7DCT的電控系統，其開發(fā)流程基本與汽車開發(fā)通用的“V”模式相吻合。

生產運行階段是指7DCT的生產、運行、保養(yǎng)、廢棄等。

3 電控系統設計

3.1 電控系統架構

7DCT電控系統主要由輸入/輸出軸轉速傳感器、駐車位置傳感器、油溫傳感器、TCU、其它控制單元CAN信號、選換擋執(zhí)行機構、離合器執(zhí)行機構、線束等組成，7DCT電控系統簡圖如圖2所示。

在7DCT運行過程中，TCU除接收變速器中傳感器的輸入信號外，還需通過CAN總線從其它控制單元獲取輸入信號。該信號主要包括從電子換擋器獲得的駕駛員擋位請求信號、從EMS獲取的發(fā)動機轉速信號、發(fā)動機扭矩和加速踏板位置信號，以及從ABS/ESP控制系統獲取的ABS/ESP狀態(tài)信號和車速信號等。TCU對輸入信號分析、判斷并做出決策，然后向選換擋執(zhí)行機構和離合器執(zhí)行機構發(fā)送控制信號，由執(zhí)行機構完成選換擋及離合器的接合分離，實現汽車的起步、換擋等過程，同時把選換擋狀態(tài)和離合器接合分離狀態(tài)反饋給TCU。

3.2 系統級3層監(jiān)控設計

7DCT電控系統可分為安全相關組件和非安全相關組件，其中非安全相關組件在整個電控系統中占極大比重。ISO 26262對安全相關組件的開發(fā)流程和開發(fā)方法做出了很多嚴格要求，而對非安全相關組件的開發(fā)沒有要求。如果將非安全相關組件和安全相關組件都按照ISO 26262流程和方法進行開發(fā)，則會使開發(fā)成本大幅上升且開發(fā)過程極為復雜。為此，采用3層監(jiān)控概念對7DCT電控系統進行開發(fā)，7DCT3層監(jiān)控概念如圖3所示。

由圖3可以看出，變速器控制器的硬件共包括功能控制器與監(jiān)控控制器兩個核。而軟件共分為3層，其中第1層為非安全相關的功能軟件，用來進行變速器的基本功能控制；第2層和第3層為安全相關的監(jiān)控軟件，其中第2層為功能監(jiān)控層，用來監(jiān)控第1層的功能軟件是否運行正確，若發(fā)現變速器的功能運行發(fā)生錯誤，則進入失效響應模式，通過發(fā)出不允許的命令對第1層的功能進行限制，使整車進入安全狀態(tài)；第3層為控制器監(jiān)控層，利用監(jiān)控控制器監(jiān)測功能控制器是否發(fā)生硬件故障。

7DCT電控系統的第2層和第3層按照ISO 26262的開發(fā)流程和要求進行開發(fā)，而第1層按照一般的開發(fā)流程進行開發(fā)，這樣既能符合ISO 26262標準的要求，實現功能安全，又能最大程度的減少開發(fā)工作量和降低開發(fā)成本。

3.3 安全子系統設計

3.3.1 技術安全概念開發(fā)

根據從整車得到的7DCT電控系統功能安全概念，列出所有與安全相關的功能模塊，結合各模塊之間的信號傳輸關系，制定出7DCT 3層監(jiān)控概念中的第2層安全子系統邏輯框架，如圖4所示。

在圖4基礎上，根據7DCT運行的環(huán)境和邊界條件限制，結合故障樹分析、失效模式與影響分析(FMEA），制定各個模塊實現7DCT功能安全需求的技術方案，并把功能安全需求細化為對各個模塊的需求及模塊之間相互作用的安全機制，最后把這些技術安全需求分配到圖4中對應的模塊與信號中而形成技術安全概念。

3.3.2 硬件安全規(guī)范設計

ISO 26262對硬件的安全需求指標主要為硬件隨機失效率、單點失效率、潛在失效率等。由于7DCT電控系統安全目標的最高ASIL等級為ASIL C，根據ISO 26262的要求，對ASIL A的安全目標相關硬件指標不做要求，對ASILB和ASILC的安全目標相關硬件指標要求為:硬件隨機失效率≤100FIT，其中1FIT=10-9h-1；單點隨機失效率≥97%；潛在隨機失效率≥80%。

由于7DCT電控系統由TCU、傳感器、執(zhí)行機構等多個系統組成，上述指標是安全目標對各系統的總指標，當安全目標由多個系統共同作用實現時，這些系統失效率之和不能高于上述指標。

在硬件開發(fā)過程中，由于TCU、選換擋執(zhí)行機構等組件比較復雜，為達到ISO 26262的需求，該組件需按照ISO 26262的流程進行開發(fā)，并生成相應的工作文檔。而國內外很少有公司按照ISO 26262流程對傳感器等簡單組件進行開發(fā)，因此可按照ISO 26262的要求對其進行資格認證，只要組件的性能、失效模式及對應失效率符合7DCT的技術安全需求，即可在安全子系統中應用。

3.3.3 軟件安全規(guī)范設計

7DCT電控系統安全子系統的軟件設計主要是對3層監(jiān)控系統中功能監(jiān)控層的設計。由于所設計的電控系統包含ASIL A、ASIL B和ASIL C 3種安全等級的安全目標，而ISO 26262對不同安全等級的軟件開發(fā)和檢驗流程有不同的要求，如果將其分別用不同的流程進行開發(fā)和檢驗，則會增加電控系統開發(fā)的工作量和開發(fā)成本，為此功能監(jiān)控層軟件開發(fā)全部按照ASIL C的開發(fā)流程進行。

7DCT電控系統安全子系統的軟件設計內容包括對當前擋位、車速方向、駕駛員行駛意圖等進行校驗評估，并在此基礎上對最高/最低允許擋位、是否允許離合器接合、是否允許解除駐車鎖止、是否允許整車加速、是否允許換入倒擋等進行計算，通過計算向離合器執(zhí)行機構和選換擋執(zhí)行機構發(fā)出相應的允許或不允許信號以對變速器的運行進行控制，使車輛即使在7DCT電控系統發(fā)生故障的情況下仍能處于安全狀態(tài)。

3.4 檢驗與評估

3.4.1 電控系統的檢驗

在電控系統安全子系統設計完成后，根據ISO 26262的要求，對所設計系統進行檢驗確認。由于所設計系統安全需求的最高等級為ASIL C，所以采用獨立性為i2的檢驗確認，即由與7DCT開發(fā)團隊相獨立的外部工程技術人員對所設計系統的安全計劃、故障樹和FMEA進行檢驗，結果表明所設計系統符合技術安全概念和功能安全概念的需求。

3.4.2 電控系統的評估

根據ISO 26262標準的要求，在系統開發(fā)完成后要對所開發(fā)的系統進行評估以確定其是否符合ISO 26262的要求。而在7DCT電控系統的開發(fā)過程中，為保證所開發(fā)安全子系統能夠實現功能安全，共設置4個評估節(jié)點，以在系統開發(fā)的不同階段糾正可能出現的偏差與錯誤。在7DCT電控系統設計完成后，經過對安全子系統的開發(fā)流程、安全活動、工作文檔和檢驗措施進行獨立性為i2的評估，結果顯示所設計系統符合ISO 26262的要求，能使系統實現功能安全。

4 結束語

以工程實踐為基礎，介紹了按照ISO 26262要求的7DCT電控系統開發(fā)流程。根據電控系統開發(fā)的實際需要，把3層監(jiān)控概念應用于7DCT電控系統的開發(fā)，并設計了電控系統的安全子系統。

1李紅朋，胡建軍，陳曦，等.加速工況下濕式雙離合自動變速器預換擋控制策略.重慶理工大學學報，2012,12（26）: 5～10.

2劉璽.濕式雙離合器自動變速器換擋過程關鍵技術研究: [學位論文].長春:吉林大學，2011.

3劉佳熙，郭輝，李君.汽車電子電氣系統的功能安全標準ISO 26262.上海汽車,2011,10:57～61.

（責任編輯晨曦）

修改稿收到日期為2014年8月15日。

Design of DCT Electrical Control System Based on Road Vehicle Functional Safety Standard ISO 26262

Ge Peng1,Chen Yong1,Luo Daguo1,Liu Wenzhong1,Wang Ruiping1,2
（1.Ningbo Geely Royal Engine Components Co.,Ltd;2.Zhejiang Geely Royal Engine Co.,Ltd）

To realize the function safety of DCT electronic control system,we establish the development process according the road vehicle function safety standard ISO 26262.According to the safety objective and functional safety requirement of the vehicle on DCT,wemake hierarchical design to the control system architecture based on the 3-level monitoring concept,then design the safety subsystem in details,and develop hardware and software safety design specification;in the last step,we verify the designed system and specification according to standard ISO 26262,the results show that the designed system conform to the requirements of ISO 26262 and achieve the vehicle's safety objectives.

DCT,Electrical control system,Functional safety,ISO 26262

DCT電控系統功能安全ISO 26262

U463.212

A

1000-3703（2014）09-0021-03