周成顯,葉新偉,鄭樂堂
(山東汽車制造有限公司汽車工程研究院,山東 煙臺 265200)
當(dāng)前,越來越多的智能化電器、控制器應(yīng)用到汽車上,使其電子架構(gòu)日趨復(fù)雜,其中任何一個器件出現(xiàn)故障, 都可能會導(dǎo)致整車出現(xiàn)安全問題。調(diào)查數(shù)據(jù)顯示,汽車控制系統(tǒng)中由于有缺陷的軟件和硬件所引發(fā)的故障已占到由汽車電子裝置引起的故障的60%以上。相比傳統(tǒng)車輛,混合動力汽車還有電機、電池、電動附件等系統(tǒng)的應(yīng)用,發(fā)生安全事件的可能性更大且危害更高。
功能安全(Functional Safety)要求無論零部件或者安全相關(guān)控制系統(tǒng)發(fā)生的失效,都需要使受控設(shè)備可靠地進入和維持安全狀態(tài),避免對人員或者環(huán)境產(chǎn)生危害。扭矩管理是電動汽車整車控制的基礎(chǔ),任何扭矩異常都有可能導(dǎo)致危害的產(chǎn)生,并且扭矩的異常變化對駕駛舒適性也有一定影響。
目前多數(shù)新能源汽車整車控制器未采用ASIL風(fēng)險分析確定風(fēng)險等級并采用相應(yīng)的應(yīng)對措施,本文針對整車控制器關(guān)鍵的扭矩管理策略進行風(fēng)險分析并進行相關(guān)的功能安全開發(fā),以提高整車控制器的功能安全等級。
本技術(shù)通過對當(dāng)前扭矩管理策略分析,針對原有技術(shù)的缺點,確定了基于功能安全的整車扭矩管理策略。其實施過程如圖1所示。
首先確定扭矩管理功能安全相關(guān)的功能定義,然后通過對相關(guān)項進行危害分析和風(fēng)險評估,在此基礎(chǔ)上評定扭矩管理的ASIL等級,再根據(jù)模塊的ASIL等級進行扭矩管理策略的開發(fā)。
圖1 基于功能安全分析的扭矩管理設(shè)計流程
基于整車功能需求對扭矩管理系統(tǒng)的功能安全所涉及對象進行描述,確定系統(tǒng)需要的功能、邊界條件、接口等要求。如表1示例:
表1 功能安全相關(guān)項分析示例
功能安全需求確定需要首先進行危害分析及風(fēng)險評估,然后根據(jù)分析結(jié)果確定功能安全等級。
對扭矩管理的危害分析及風(fēng)險評估主要對潛在危害以及其產(chǎn)生該危害的故障行為逐條分析,確定該危害的嚴重性等級(S)、暴露率(E)、可控性(C),然后再確定扭矩管理系統(tǒng)的安全目標(biāo)、安全狀態(tài)以及ASIL風(fēng)險等級?;緝?nèi)容如表二所示。其中ASIL等級可根據(jù)ISO26262功能安全原則進行確定,其確定原則是S、C、E三參數(shù)之和小于7為QM(質(zhì)量管理),等于7為A級,等于8為B級,等于9為C級,等于10為D級(ASIL等級依次增加)。通過對上述危害進行分析確定扭矩管理模塊地風(fēng)險等級為C,需要采用一定的功能安全措施。
表2 扭矩管理策略的功能安全風(fēng)險分析示例
為實現(xiàn)扭矩管理模塊的ASIL-C等級的功能安全要求以及相應(yīng)風(fēng)險的安全目標(biāo),扭矩管理策略采用主輔MCU的三層監(jiān)控架構(gòu)[1]。上層的功能控制模塊運行在主MCU中,即圖2的level1和level2,其中l(wèi)evel1為HCU基本控制功能實現(xiàn)層,level2為扭矩監(jiān)控層,level3為軟件流及硬件監(jiān)控模塊,主要運行在輔MCU。主輔MCU通過SPI通訊,緊急情況下采用主輔雙MCU共同控制。
圖2 扭矩管理架構(gòu)
基于上述扭矩管理架構(gòu),第一層實現(xiàn)扭矩管理的基本控制,第二層實現(xiàn)扭矩的實時監(jiān)控及修正,第三層則實現(xiàn)對程序流和核心硬件的監(jiān)控,其具體內(nèi)容如圖3所示。
Level1為基本的扭矩控制策略層,整車控制器采集加速踏板、制動踏板、發(fā)動機、電機信號,經(jīng)過信號處理后解析為駕駛員需求扭矩,駕駛員需求扭矩再分配為電機請求扭矩和發(fā)動機請求扭矩,前述扭矩再與電機、發(fā)動機外特性和經(jīng)濟運行特性曲線限制進行比較確認后,再與level2和level3的允許扭矩仲裁,最終得到一個合理扭矩請求,該合理扭矩需求通過CAN發(fā)送模塊發(fā)送到總線上,從而實現(xiàn)第一層功能控制。
Level2為扭矩監(jiān)控層,整車控制器會對踏板進行冗余信號分析,同時對相應(yīng)的電機、發(fā)動機、電池、AMT反饋信號(或故障信號)進行實時判斷,得出當(dāng)前狀態(tài)下的電機、發(fā)動機的允許扭矩;再同發(fā)動機、電機實際采集到的扭矩進行比較,判斷目前的扭矩變化狀態(tài)的合理性,并將允許扭矩發(fā)送至Level1中的扭矩限制模塊[2],該模塊通過仲裁將最終合理的扭矩請求發(fā)到總線上,從而實現(xiàn)第二層的扭矩監(jiān)控管理。
圖3 基于分層架構(gòu)的扭矩管理策略
Level3為軟件流、硬件模塊監(jiān)控層,通過獨立的MCU運行空間,來判斷主程序運行的MCU主要模塊的工作狀態(tài)以及程序流狀態(tài),監(jiān)控功能控制模塊Level1、Level2運行是否正常,并直接限制和控制電機、發(fā)動機。
本文按照基于功能安全分析的扭矩管理設(shè)計流程首先對扭矩管理的功能安全相關(guān)項進行分析,然后對扭矩管理的潛在危害進行分析,同時評估其風(fēng)險,最后根據(jù)評估結(jié)果確定扭矩管理的功能安全等級為ASIL-C。為實現(xiàn)該等級的功能安全要求以及相應(yīng)風(fēng)險的安全目標(biāo),扭矩管理采用主輔MCU的三層監(jiān)控架構(gòu)。上層的控制功能運行在主MCU運行控制功能,同時對扭矩進行監(jiān)控,輔MCU主要運行軟件流及硬件監(jiān)控。該設(shè)計流程及設(shè)計方法也適用于純電動汽車。