周成顯，葉新偉，鄭樂堂

（山東汽車制造有限公司汽車工程研究院，山東 煙臺 265200）

1 前言

當(dāng)前，越來越多的智能化電器、控制器應(yīng)用到汽車上，使其電子架構(gòu)日趨復(fù)雜，其中任何一個器件出現(xiàn)故障, 都可能會導(dǎo)致整車出現(xiàn)安全問題。調(diào)查數(shù)據(jù)顯示，汽車控制系統(tǒng)中由于有缺陷的軟件和硬件所引發(fā)的故障已占到由汽車電子裝置引起的故障的60%以上。相比傳統(tǒng)車輛，混合動力汽車還有電機、電池、電動附件等系統(tǒng)的應(yīng)用，發(fā)生安全事件的可能性更大且危害更高。

功能安全（Functional Safety）要求無論零部件或者安全相關(guān)控制系統(tǒng)發(fā)生的失效，都需要使受控設(shè)備可靠地進入和維持安全狀態(tài)，避免對人員或者環(huán)境產(chǎn)生危害。扭矩管理是電動汽車整車控制的基礎(chǔ)，任何扭矩異常都有可能導(dǎo)致危害的產(chǎn)生，并且扭矩的異常變化對駕駛舒適性也有一定影響。

目前多數(shù)新能源汽車整車控制器未采用ASIL風(fēng)險分析確定風(fēng)險等級并采用相應(yīng)的應(yīng)對措施，本文針對整車控制器關(guān)鍵的扭矩管理策略進行風(fēng)險分析并進行相關(guān)的功能安全開發(fā)，以提高整車控制器的功能安全等級。

2 基于功能安全分析的扭矩管理策略

2.1 設(shè)計流程

本技術(shù)通過對當(dāng)前扭矩管理策略分析，針對原有技術(shù)的缺點，確定了基于功能安全的整車扭矩管理策略。其實施過程如圖1所示。

首先確定扭矩管理功能安全相關(guān)的功能定義，然后通過對相關(guān)項進行危害分析和風(fēng)險評估，在此基礎(chǔ)上評定扭矩管理的ASIL等級，再根據(jù)模塊的ASIL等級進行扭矩管理策略的開發(fā)。

圖1 基于功能安全分析的扭矩管理設(shè)計流程

2.2 功能安全相關(guān)項分析

基于整車功能需求對扭矩管理系統(tǒng)的功能安全所涉及對象進行描述，確定系統(tǒng)需要的功能、邊界條件、接口等要求。如表1示例：

表1 功能安全相關(guān)項分析示例

2.3 功能安全需求確定

功能安全需求確定需要首先進行危害分析及風(fēng)險評估，然后根據(jù)分析結(jié)果確定功能安全等級。

對扭矩管理的危害分析及風(fēng)險評估主要對潛在危害以及其產(chǎn)生該危害的故障行為逐條分析，確定該危害的嚴重性等級（S）、暴露率（E）、可控性（C），然后再確定扭矩管理系統(tǒng)的安全目標(biāo)、安全狀態(tài)以及ASIL風(fēng)險等級?；緝?nèi)容如表二所示。其中ASIL等級可根據(jù)ISO26262功能安全原則進行確定，其確定原則是S、C、E三參數(shù)之和小于7為QM（質(zhì)量管理），等于7為A級，等于8為B級，等于9為C級，等于10為D級（ASIL等級依次增加）。通過對上述危害進行分析確定扭矩管理模塊地風(fēng)險等級為C，需要采用一定的功能安全措施。

表2 扭矩管理策略的功能安全風(fēng)險分析示例

2.4 功能安全設(shè)計

為實現(xiàn)扭矩管理模塊的ASIL-C等級的功能安全要求以及相應(yīng)風(fēng)險的安全目標(biāo)，扭矩管理策略采用主輔MCU的三層監(jiān)控架構(gòu)[1]。上層的功能控制模塊運行在主MCU中，即圖2的level1和level2，其中l(wèi)evel1為HCU基本控制功能實現(xiàn)層，level2為扭矩監(jiān)控層，level3為軟件流及硬件監(jiān)控模塊，主要運行在輔MCU。主輔MCU通過SPI通訊，緊急情況下采用主輔雙MCU共同控制。

圖2 扭矩管理架構(gòu)

基于上述扭矩管理架構(gòu)，第一層實現(xiàn)扭矩管理的基本控制，第二層實現(xiàn)扭矩的實時監(jiān)控及修正，第三層則實現(xiàn)對程序流和核心硬件的監(jiān)控，其具體內(nèi)容如圖3所示。

Level1為基本的扭矩控制策略層，整車控制器采集加速踏板、制動踏板、發(fā)動機、電機信號，經(jīng)過信號處理后解析為駕駛員需求扭矩，駕駛員需求扭矩再分配為電機請求扭矩和發(fā)動機請求扭矩，前述扭矩再與電機、發(fā)動機外特性和經(jīng)濟運行特性曲線限制進行比較確認后，再與level2和level3的允許扭矩仲裁，最終得到一個合理扭矩請求，該合理扭矩需求通過CAN發(fā)送模塊發(fā)送到總線上，從而實現(xiàn)第一層功能控制。

Level2為扭矩監(jiān)控層，整車控制器會對踏板進行冗余信號分析，同時對相應(yīng)的電機、發(fā)動機、電池、AMT反饋信號（或故障信號）進行實時判斷，得出當(dāng)前狀態(tài)下的電機、發(fā)動機的允許扭矩；再同發(fā)動機、電機實際采集到的扭矩進行比較，判斷目前的扭矩變化狀態(tài)的合理性，并將允許扭矩發(fā)送至Level1中的扭矩限制模塊[2]，該模塊通過仲裁將最終合理的扭矩請求發(fā)到總線上，從而實現(xiàn)第二層的扭矩監(jiān)控管理。

圖3 基于分層架構(gòu)的扭矩管理策略

Level3為軟件流、硬件模塊監(jiān)控層，通過獨立的MCU運行空間，來判斷主程序運行的MCU主要模塊的工作狀態(tài)以及程序流狀態(tài)，監(jiān)控功能控制模塊Level1、Level2運行是否正常，并直接限制和控制電機、發(fā)動機。

3 結(jié)論

本文按照基于功能安全分析的扭矩管理設(shè)計流程首先對扭矩管理的功能安全相關(guān)項進行分析，然后對扭矩管理的潛在危害進行分析，同時評估其風(fēng)險，最后根據(jù)評估結(jié)果確定扭矩管理的功能安全等級為ASIL-C。為實現(xiàn)該等級的功能安全要求以及相應(yīng)風(fēng)險的安全目標(biāo)，扭矩管理采用主輔MCU的三層監(jiān)控架構(gòu)。上層的控制功能運行在主MCU運行控制功能，同時對扭矩進行監(jiān)控，輔MCU主要運行軟件流及硬件監(jiān)控。該設(shè)計流程及設(shè)計方法也適用于純電動汽車。