張振旺++劉淑英

摘 要：基于汽車功能安全標準的要求，對電動汽車整車控制器進行了概念設計。在此基礎上，完成了對整車控制器的危害分析和風險評估，確定安全等級和安全目標。搭建了整車控制器的仿真模型，對整車駕駛性能進行測試，測試結果表明此設計能夠滿足功能安全標準規(guī)范，實現(xiàn)了對整車控制器的功能安全設計，對整車控制器的安全開發(fā)具有指導意義。

關鍵詞：功能安全 整車控制器 危害分析和風險評估 仿真

中圖分類號：U469.72 文獻標識碼：A 文章編號：1672-3791（2017）03（b）-0081-06

Conceptual Design and Simulation of Vehicle Controller Based on Functional Safety

Zhang Zhenwang Liu Shuying

（Hebei University of Technology， Tianjin， 300000， China）

Abstract： Based on Vehicle functional safety standards，the conceptual design is carried out for electric vehicle controller. On this basis， the project definition， hazard analysis and risk assessment of vehicle controller were completed，then the functional safety level and target were determined. Finally， an simulation mode was established to conduct the simulation test at the conceptual design of vehicle controller. The test results showed that the design can satisfy the vehicle functional safety standards. The functional safety conceptual design of vehicle controller was realized， which has a guiding significance for the safe development of vehicle controller.

Key Words： Functional safety； Vehicle control； Hazard analysis and risk assessment； Simulation

電子技術集成化的快速發(fā)展及其在汽車上的大量應用極大地推動了汽車產業(yè)的發(fā)展，汽車對電子技術的依賴程度越來越高的同時，汽車電子電氣產品所帶來的安全問題越發(fā)重要，例如：因各種汽車電控系統(tǒng)軟硬件故障而不斷出現(xiàn)的汽車召回事件。而整車控制器作為電動車的控制單元，是整車控制系統(tǒng)的核心，負責傳遞整個電動汽車的動力，保證行駛過程中汽車的動力性以及對整個汽車的能量進行控制管理。因此，為了保證復雜系統(tǒng)下的安全，ISO26262道路車輛功能安全標準應運而生。

ISO26262從2005年11月起正式開始制定，經歷了大約6年左右的時間，于2011年11月正式頒布，成為國際標準。道路車輛功能安全標準分為10個部分：術語、功能安全管理、概念階段、產品開發(fā)-系統(tǒng)層、產品開發(fā)-硬件層、產品開發(fā)-軟件層、生產和操作、支持過程、汽車安全完整性等級導向和安全導向分析、指南[1]。具體架構如圖1所示。

1 整車控制器的概念設計

整車控制器是整車控制系統(tǒng)的核心，負責傳遞整個電動汽車的動力，保證行駛過程中汽車的動力性以及對整個汽車的能量進行控制管理。

1.1 項目定義

整車控制系統(tǒng)以整車控制器VCU作為Powertrain控制核心和網關，還包括電池管理系統(tǒng)BMS，電機控制系統(tǒng)MCU等。整車控制器的主要功能監(jiān)測電池的電流、電壓、溫度和荷電狀態(tài)SOC，根據加速踏板和制動踏板傳感器采集加速踏板/制動踏板狀態(tài)進行扭矩解析和再生制動等功能[2]。系統(tǒng)架構圖如圖2所示。

根據ISO26262項目定義中的相關內容，整車控制器的工作環(huán)境主要分為車輛行駛、轉彎、避讓、超車，以及在不同的天氣情況下比如晴天、雨雪、濕滑路面等。實現(xiàn)功能是整車控制器檢測和控制各個電子器件的運行，故障報警以及處理保護駕駛員的行車安全[3]。

1.2 危害分析與風險評估

整車控制器的危害分析與風險評估的作用主要是辨別其可能的危害，確定可能存在的風險，確定安全等級ASIL和安全目標。

1.2.1 完全等級ASIL概述

ISO26262中提出了確定功能安全等級（ASIL）的方法，安全等級范圍是A、B、C、D，其中ASIL A安全等級最低，ASIL D安全等級最高。在整車和系統(tǒng)電子設計時，需要確定所設計項目的范圍[4]?；陧椖慷x，確定項目的安全目標，避免不合理的風險。ASIL使用3個參數(shù)進行評估，分別是：危險對駕駛員或其他交通參與人員造成傷害的嚴重程度S，危險所在工況的發(fā)生概率E，危險涉及的駕駛員和其他交通參與人員及時采取控制行動避免特定傷害的能力C[5]。其分類如表1～4所示。

1.2.2 危害分析與風險評估

在整車控制系統(tǒng)中主要故障分為過度加速和無意圖的發(fā)生制動力（電機冷卻系統(tǒng)失效），無意圖的方向發(fā)生驅動力。

（1）過度加速。

嚴重性：過度加速導致電機扭矩過大，電機溫度升高導致電機失效，如果行駛在正常情況下很可能發(fā)生碰撞，對駕駛員造成人身傷害定義嚴重度為S3。發(fā)生概率因為過度加速在平常的駕駛情況下發(fā)生不是很頻繁，因此定義為E2?？煽匦远喽燃铀賹е率В{駛員在獲知后由于慌張很難有效控制，可控性為C3。

（2）無意圖的發(fā)生制動力。

嚴重性：無意圖的制動在正常駕駛情況下很可能造成后面車輛閃躲不及時造成碰撞危及駕駛員的生命定義嚴重性為S3。發(fā)生概率在正常駕駛狀況下電機具有溫度檢測，當冷卻系統(tǒng)失效時，會及時提醒駕駛員故障發(fā)生概率定位E2?？煽匦援敼收习l(fā)生駕駛員獲知后及時處理避免發(fā)生危險可控性定位C2。

（3）無意圖的方向發(fā)生驅動力。

嚴重性：正常行駛情況下發(fā)生無意圖的方向驅動力很可能造成車輛偏離正常行駛軌道與周圍車輛發(fā)生碰撞或者沖向綠化帶，這會造成駕駛員一定的生命危險定義為S3。發(fā)生概率正常行駛情況下發(fā)生概率較小定為E1?？煽匦詿o意圖的驅動力發(fā)生時駕駛員一般很難及時做出反應定義為C3。

經過危害分析與風險評估后得到安全目標如表5所示。

通過功能安全目標得出功能安全要求，然后分給項目的初始結構以及外部量。主要包括故障的檢測指示，失效的緩和處理，整車控制器最高安全等級為ASILB，在設計整車控制器的時候按照安全等級進行設計，使損失降到最低[6]。具體的安全措施為以下幾點。

（1）VCU進行自檢。若自檢失敗，儲存故障碼。

（2）若無故障閉合VCU，VCU對電池管理系統(tǒng)、電機控制系統(tǒng)、高壓系統(tǒng)進行監(jiān)控。

（3）增加系統(tǒng)的冗余設計，減小失效率，實現(xiàn)安全目標。

2 仿真測試

根據汽車電子V模型開發(fā)流程，需要對整車控制器的概念設計進行建模仿真測試。該文借助MATLAB/Simulink提供強大的圖形化建模服務，對電動汽車的整車控制器進行模型搭建。通過采集開關、檔位開關等數(shù)字信號，以及加速踏板、制動踏板等模擬信號[7]。綜合判斷相應的模式，根據當前狀態(tài)進行故障處理發(fā)送扭矩命令以驅動或制動車輛。

2.1 整車控制器的建模

對電動汽車整車控制器的仿真首先我們應該建立仿真模型，主要包括IO口數(shù)據采集系統(tǒng)、模式轉換（啟動模式、制動模式、驅動模式）、整車控制系統(tǒng)、故障處理系統(tǒng)如圖3所示。

IO口主要負責采集開關、檔位等數(shù)字信號，以及加速踏板、制動踏板等模擬信號，根據采集的信號判斷電動汽車處于何種模式，整車控制器主要負責監(jiān)測電機扭矩、溫度，電池荷電狀態(tài)、溫度等變化，如果發(fā)生故障則顯示故障并由故障處理系統(tǒng)處理返回正常數(shù)值。

啟動模式：駕駛員未踩下加速踏板和制動踏板，電機根據整車控制器提出的需求扭矩命令輸出力矩是電動汽車保持靜止狀態(tài)或維持在某一低車速狀態(tài)。

驅動模式：在電動汽車正常行駛中，如果駕駛員踩下了加速踏板，車輛就會進入正常行駛驅動模式。駕駛員對車輛驅動力矩的需求體現(xiàn)在加速踏板的操作上。

制動模式：只要是制動踏板開度不為0就會進入制動能量回收模式，制動能量回收只是一個補充，用于回收部分制動能量。

2.2 整車控制器測試驗證

通過故障注入的方法對整車控制器的性能進行驗證，通過IO口注入故障，并對多度加速、無意圖的發(fā)生制動力、無意圖的方向發(fā)生驅動力等故障進行了測試，測試的數(shù)據如表6所示。其中可控率=故障處理次數(shù)/故障注入次數(shù)。

由表6的測試數(shù)據可知，整車控制器能夠檢測出注入的故障，并且通過相關操作處理故障，從而使失效造成的損失降到最低，滿足ISO26262道路安全標準，實現(xiàn)了概念階段整車控制器的功能安全設計。

2.3 駕駛性能測試

為了驗證整車控制器VCU能否準確且有效地接收加速踏板和制動踏板的真實信號，能夠控制電機輸出正確的需求扭矩。該文通過模擬車輛在加速、起步和制動時的狀態(tài)，判斷整車控制VCU的性能，從而確定整車控制器VCU是否到達設計的目標。

起步測試：測試開始時點火開關處于Start狀態(tài)，在時間為9 s時踩下制動踏板，使制動踏板的開度達到100%，將整車的檔位達到前進擋D檔，松開制動踏板后，若此時未踩下加速踏板，則車輛進入蠕行狀態(tài)（即車輛未踩下油門以某一低速行駛），從圖4中可以看出，在14 s松開制動踏板的同時，電機的輸出扭矩在逐步增大，整車的速度也隨之增高，當車速達到4 km/h時，電機最大的輸出扭矩為35 Nm，隨著車速超過4 km/h時，電機的輸出扭矩在逐漸減小，最后車輛以一定的速度勻速行駛，電機的穩(wěn)定輸出扭矩約為6 Nm，與設計要求符合。

加速測試：加速測試主要是驗證整車的動力性能，能夠很好地控制電機的輸出扭矩，在32 s時制動踏板，使制動踏板的開度達到100%，此時電機的輸出扭矩迅速增加，并且達到最大輸出扭矩后又下降進入恒功率區(qū)，在50 s時，使加速踏板松開，車輛進入滑行狀態(tài)，電機在此時輸出很小的負扭矩，整車的速度在逐漸減小。根據整車加速測試的結果分析得出整車控制器VCU滿足加速設計的要求。

制動測試：在88 s，踩下制動踏板使制動踏板開度達到100%，電機輸出較大的負扭矩，整車進入制動能量的回收，隨著整車速度的減小，電機的輸出扭矩也在減小，當整車的速度下降為0時，電機的輸出扭矩也變0。當整車的速度下降為0時，使制動踏板松開，車輛進入蠕行模式。根據整車制動測試的結果分析得出整車控制器VCU滿足加速設計的要求。測試仿真曲線如圖4所示。

3 結語

ISO26262為從事于汽車相關的研發(fā)機構和生產企業(yè)提供了新的思路和方法，尤其是在汽車電子產品快速發(fā)展的趨勢下，表現(xiàn)尤其重要。在此背景下，文中基于ISO26262，對整車控制器進行了項目定義、風險分析與評估，并確定系統(tǒng)的ASIL等級B，提出功能安全要求和安全目標。同時運用Simulink軟件對整車控制器進行仿真，通過故障注入的方法對整車控制器進行測試，測試數(shù)據表明滿足ISO道路安全標準。

參考文獻

[1] ISO 26262，Road Vehicles Functional Safety—pat1：vocabulary，International Organizations for Standards[S].2011.

[2] ISO 26262-3：2011（E）Road Vehicles-Functional Safety[S].Geneva IEC，2011.

[3] 姜海斌.純電動車整車控制策略及控制器的研究[D].上海：上海交通大學，2010.

[4] 還宏生.汽車設計中的安全要求及ISO26262標準[J].檢測與維修，2012（10）：41-43.

[5] 李娜，孫文勇，寧信道.HAZOP、LOPA和SIL方法的應用分析[J].中國安全生產科學技術，2012，8（5）：101-106.

[6] 劉佳熙，郭輝，李君.汽車電子電氣系統(tǒng)的功能安全標準 ISO 26262[J].上海汽車，2011（10）：57-61.

[7] 楊超.電動車動力學建模與仿真研究[D].武漢：武漢理工大學，2007.