羅曉，楊上東，吳瑞

奇瑞新能源汽車技術(shù)有限公司

插電式混合動力汽車控制系統(tǒng)安全研究

羅曉，楊上東，吳瑞

奇瑞新能源汽車技術(shù)有限公司

插電式混合動力汽車的純電動模式和高效的發(fā)動機運行模式，能夠有效提高汽車節(jié)油率。但由于系統(tǒng)的復(fù)雜度和電子部件的大量應(yīng)用，對系統(tǒng)的安全性和可靠性有較高的要求，通過參考國際通用的ISO26262道路車輛功能安全標(biāo)準(zhǔn)對動力系統(tǒng)功能安全進行系統(tǒng)有效的分析,使整車及混合動力驅(qū)動系統(tǒng)在發(fā)生異常時進入安全狀態(tài)以保證人員安全和整車安全是混動系統(tǒng)對整車安全開發(fā)的重要一環(huán)。在系統(tǒng)分析基礎(chǔ)上設(shè)計混合動力控制器硬件及軟件安全監(jiān)控機制，通過整車控制器（HCU）內(nèi)部監(jiān)控芯片對主控制芯片監(jiān)控及主控制芯片內(nèi)部互相獨立功能模塊的對比監(jiān)控控制器狀態(tài)，使混合動力驅(qū)動系統(tǒng)在異常情況下進入安全狀態(tài)，以保證人員和整車安全。

插電式混合動力汽車；功能安全；安全機制；安全等級；ASIL

引言

混合動力汽車系統(tǒng)的復(fù)雜度和電子部件的大量應(yīng)用，對系統(tǒng)的安全性和可靠性有較高的要求，在混合動力系統(tǒng)開發(fā)過程中引入國際先進的ISO26262道路車輛功能安全標(biāo)準(zhǔn),該標(biāo)準(zhǔn)從功能安全的角度，詳細闡述了開發(fā)階段的要求，其核心價值在于通過系統(tǒng)的功能安全研發(fā)管理流程，以及針對電子控制系統(tǒng)硬件和軟件的系統(tǒng)化驗證和確認方法，保證電子系統(tǒng)的安全功能在面對各種嚴(yán)酷條件時有效，保證駕乘人員以及路人的安全。

通過功能安全分析,采取整車控制器（HCU）內(nèi)部監(jiān)控芯片對主控制芯片監(jiān)控及主控制芯片內(nèi)部互相獨立功能模塊的對比監(jiān)控控制器狀態(tài)，在車身穩(wěn)定控制系統(tǒng)（ESP）檢測到由于混合動力驅(qū)動系統(tǒng)導(dǎo)致整車車輪抱死的情況下，通過整車控制器（HCU）控制電機驅(qū)動系統(tǒng)（IPU）及發(fā)動機進入零扭矩輸出，然后控制變速箱控制系統(tǒng)（TCU）進入空擋，最終使混合動力驅(qū)動系統(tǒng)進入安全狀態(tài)，以保證人員和整車安全。

1.合動力系統(tǒng)功能安全分析設(shè)計流程

ISO26262從2005年11月制定，經(jīng)歷6年時間，于2011年11月頒布。適用于總重量不超過3.5噸的乘用車上一個或多個電氣/電子安全系統(tǒng)。

混合動力系統(tǒng)功能安全分析設(shè)計采用V字型開發(fā)模型,圖1描述了基于功能安全標(biāo)準(zhǔn)對混合動力系統(tǒng)進行功能安全設(shè)計的開發(fā)流程。

整個開發(fā)過程主要包含以下幾個部分：

功能安全概念，通過對系統(tǒng)的風(fēng)險及危害分析，引出功能安全要求，將安全目標(biāo)分配給項目初級架構(gòu)元素或外部降低風(fēng)險的措施，以確保所要求的功能安全。功能安全概念最終通過安全確認進行評估；

系統(tǒng)設(shè)計通過安全測試驗證進行評估；

生理生化特征試驗結(jié)果顯示(表5)，菌株CEH-ST79有過氧化氫酶、氧化酶、β-半乳糖苷酶、硝酸鹽還原、明膠液化、淀粉水解和酪蛋白測定均為陽性，精氨酸雙水解酶、精氨酸脫羧酶、H2S產(chǎn)生、水楊素、吲哚、溶血和脲酶測定為陰性。

軟硬件安全需求通過軟硬件安全需求測試說明進行驗證評估；

詳細設(shè)計與實現(xiàn)是對具體技術(shù)需求的設(shè)計實現(xiàn)。

圖1.功能安全開發(fā)流程

2.合動力系統(tǒng)潛在風(fēng)險分析及安全目標(biāo)

根據(jù)混合動力系統(tǒng)功能結(jié)構(gòu)框圖（圖2），混動動總系統(tǒng)潛在風(fēng)險定義如下：

異常加速及減速

制動扭矩異常丟失

驅(qū)動方向與駕駛意圖相反

發(fā)動機意外啟動

圖2.混合動力系統(tǒng)功能框圖

相關(guān)潛在風(fēng)險從以下幾個維度進行相應(yīng)的評估：

暴露的可能性：E0（幾乎不可能）-E4（每次駕駛都可能出現(xiàn)）

可控性：C0（基本都可以控制）-C3（不可控）

嚴(yán)重度：S0（不會造成傷害）-S3（可能造成致命傷害）

根據(jù)以上三個維度可以定義出防止風(fēng)險的安全功能完整性等級，從ASIL A（最低）到ASIL D（最高）。

對安全功能完整性等級有要求的相關(guān)安全目標(biāo)進行匯總整理得出表1與混合動力控制系統(tǒng)相關(guān)的安全要求及相應(yīng)安全目標(biāo)對應(yīng)的安全狀態(tài)。

表1.

3.合動力控制系統(tǒng)功能安全設(shè)計

對表1中的安全目標(biāo)實現(xiàn)的功能鏈進行功能展開并分析，分解具體功能安全需求及相應(yīng)的安全機制，通過圖3混合動力控制系統(tǒng)安全結(jié)構(gòu)實現(xiàn)系統(tǒng)安全目標(biāo)并在出現(xiàn)相應(yīng)安全風(fēng)險的情況下使系統(tǒng)進入安全狀態(tài)。

圖3整體方案：外部控制器通過CAN通訊與混合動力控制器（HCU）之間進行數(shù)據(jù)交互；混合動力控制器通過CAN通訊與電機控制系統(tǒng)進行通訊；混合動力控制器通過CAN通訊與發(fā)動機控制器（EMS）進行通訊；變速箱控制系統(tǒng)（TCU）根據(jù)混合動力控制器的請求狀態(tài)對變速箱的檔位進行控制?；旌蟿恿刂破鲀?nèi)部主控制芯片存在L1、L2兩個數(shù)據(jù)存儲區(qū)和L1、L2兩個功能模塊，L2功能模塊實現(xiàn)對L1功能模塊的監(jiān)控診斷，當(dāng)L1、L2功能模塊計算數(shù)據(jù)對比異常時L2功能模塊通過CAN實現(xiàn)對動力系統(tǒng)的安全控制；混合動力控制器內(nèi)部主控制芯片CPU與監(jiān)控芯片之間通過SPI串口通訊進行數(shù)據(jù)交互，監(jiān)控芯片通過對主控制芯片進行提問以驗證主控制芯片是否工作正常。

圖3.混合動力控制系統(tǒng)安全結(jié)構(gòu)框圖

圖4.程圖為混合動力控制器硬件安全機制流程圖，混合動力控制器內(nèi)部監(jiān)控芯片每隔一定時間向主控制芯片CPU發(fā)送問題，主控制芯片CPU對問題進行應(yīng)答，監(jiān)控芯片根據(jù)主控制芯片CPU應(yīng)答的及時性和準(zhǔn)確性判斷主控制芯片是否工作正常，在應(yīng)答正確的情況下，監(jiān)控芯片繼續(xù)向主控制芯片CPU提出下個問題，不同的問題數(shù)量至少10個以上，循環(huán)問答；當(dāng)主控制芯片CPU應(yīng)答不及時或出錯，監(jiān)控芯片通過硬件控制信號禁止混合動力控制器CAN通訊，電機驅(qū)動系統(tǒng)和發(fā)動機系統(tǒng)接收不到混合動力控制器CAN信息后進入零扭矩輸出，使系統(tǒng)進入安全狀態(tài)。

圖4.混合動力控制系統(tǒng)硬件安全機制流程圖

圖5.圖6為混合動力控制器車輪需求扭矩安全監(jiān)控示意圖及整車控制器軟件安全機制流程圖。

混合動力控制器內(nèi)部主控制芯片分為L1、L2兩個數(shù)據(jù)存儲區(qū)和L1、L2兩個功能模塊；程序運行時，L1、L2兩個數(shù)據(jù)存儲區(qū)分別獲取相同外部參數(shù)：車速信號及油門踏板深度；L1、L2功能模塊通過查表分別獲取車輪需求扭矩；L2功能模塊對L1及L2輪邊需求扭矩進行對比，實現(xiàn)對L1功能模塊的診斷；當(dāng)L1、L2功能模塊計算數(shù)據(jù)對比一致時程序正常運行；當(dāng)L1、L2功能模塊計算數(shù)據(jù)對比不一致時，系統(tǒng)進入故障狀態(tài)保護，L2功能層通過硬件控制信號禁止CAN通訊，發(fā)動機及電機CAN通訊超時后禁止扭矩輸出，使系統(tǒng)進入安全狀態(tài)。

圖5.車輪需求扭矩安全監(jiān)控示意框圖

圖6.車輪需求扭矩安全監(jiān)控流程圖

圖7.車輪抱死狀態(tài)安全控制方法流程圖。混合動力系統(tǒng)正常行駛狀態(tài)下車身穩(wěn)定控制系統(tǒng)（ESP）檢測到確認的車輪抱死狀態(tài)，車身穩(wěn)定控制系統(tǒng)（ESP）將車輪抱死信息發(fā)送給混合動力控制器，混合動力控制器控制電機控制系統(tǒng)和發(fā)動機系統(tǒng)輸出扭矩為零，使其進入零扭矩狀態(tài)，混合動力控制器在確認電機控制系統(tǒng)及發(fā)動機系統(tǒng)輸出扭矩為零后請求變速箱控制系統(tǒng)進入空擋，變速箱控制系統(tǒng)控制變速箱進入空擋，最終實現(xiàn)整車由車輪抱死狀態(tài)進入安全狀態(tài)的控制。

圖7.車輪需求扭矩安全監(jiān)控流程圖

4.論

本文研究通過在混合動力控制系統(tǒng)中引入ISO26262功能安全標(biāo)準(zhǔn)開發(fā)流程對系統(tǒng)進行分析，通過系統(tǒng)分析得到控制系統(tǒng)安全需求及需采取的安全機制并通過控制系統(tǒng)硬件及軟件進行實現(xiàn)。

通過對功能安全機制的實現(xiàn),混合動力控制系統(tǒng)對動力總成可能存在的安全風(fēng)險進行了有效的控制,保證了混合動力驅(qū)動系統(tǒng)的扭矩安全,對整車安全起到了重要作用。

[1]國發(fā)〔2012〕22號.節(jié)能與新能源汽車產(chǎn)業(yè)發(fā)展規(guī)劃（2012—2020年）.

[2]陳清泉，孫逢春，祝嘉光.現(xiàn)代電動汽車.北京：北京理工大學(xué)出版社，2002.

[3]崔勝民.新能源汽車技術(shù).出版社：北京大學(xué)出版社，2009.

[4]ISO 26262-1-2011道路車輛功能安全.

[5]Integrity,MISRA report2,1999.

[6]C.C.Chan，K.T.Chau.An Overview of Power Electronics in Electric Vehicles[J].IEEE IEEE Transaction on Industry Applications，1997，44(1)：3-13.

[7]白鳳良，楊建國，杜傳進.混合動力電動汽車電動機的仿真建模與分析.武漢理工大學(xué)學(xué)報.2003第5期

[8](英)湯姆·登頓(Tom Denton)張云文《汽車故障診斷先進技術(shù)》.出版社：機械工業(yè)出版社

羅曉（1983-），男，漢族，湖北鐘祥人，研究生，工程師，電動汽車及混合動力汽車電驅(qū)動系統(tǒng)控制技術(shù)、故障診斷技術(shù)、功能安全純電動車動力系統(tǒng)開發(fā)及功能安全。