吳浩，魏廣杰，劉永，嚴(yán)運(yùn)兵

摘? 要：為了論證基于IS02626的功能安全概念設(shè)計(jì)和安全確認(rèn)方法可以實(shí)現(xiàn)安全目標(biāo)，對(duì)某電動(dòng)汽車(chē)電驅(qū)動(dòng)力系統(tǒng)縱向驅(qū)動(dòng)功能非預(yù)期的失效進(jìn)行了危害分析和風(fēng)險(xiǎn)評(píng)估，以“防止非預(yù)期的車(chē)輛自主移動(dòng)”安全目標(biāo)為例，針對(duì)紅綠燈路口停車(chē)場(chǎng)景，建立非預(yù)期車(chē)輛自主移動(dòng)數(shù)學(xué)模型，參考仿真結(jié)果對(duì)監(jiān)控扭矩閾值和故障容忍時(shí)間間隔（FTTI）進(jìn)行設(shè)計(jì)，并在實(shí)車(chē)上進(jìn)行安全確認(rèn)測(cè)試。測(cè)試結(jié)果表明，基于仿真結(jié)果設(shè)計(jì)的安全需求實(shí)現(xiàn)了和安全目標(biāo)的一致性，且具備避免危害的能力。

關(guān)鍵詞：功能安全;故障容忍時(shí)間間隔;安全目標(biāo);安全確認(rèn);故障注入

中圖分類(lèi)號(hào)：U469.72? ? ?文獻(xiàn)標(biāo)識(shí)碼：A? ? ?文章編號(hào)：1005-2550（2021）05-0017-08

Electric Power-train System Function Safety Concept

Design and Safety Validation

WU Hao1， WEI Guang-jie1， LIU Yong1， YAN Yun-bing2

（ 1. Jiangling Motors Co， Ltd.， Nan Chang 330052， China;

2.Wuhan University of Science and Technology， Wuhan 430065， China）

Abstract： In order to demonstrate that the functional safety concept design and safety validation method based on IS02626 can achieve safety goal， hazard analysis and risk assessment of an electric vehicle power-train system longitudinal driving functions unexpected failure is carried out. Taking the safety goal of “preventing the unintended vehicle autonomous movement” as an example， for the scene of stopping at traffic lights， a mathematical model of the unintended autonomous movement is established， the monitoring torque threshold and fault tolerant time interval are designed according to the simulation results. And safety validation test in vehicle is carried out. The test results show that the designed safety requirement based on the simulation results achieved the consistency with the safety goal and the ability of avoid hazard.

隨著電動(dòng)化、智能化、網(wǎng)聯(lián)化、共享化等新技術(shù)的不斷發(fā)展，依賴于電子電氣系統(tǒng)實(shí)現(xiàn)的汽車(chē)功能越來(lái)越豐富和復(fù)雜，由電子電器系統(tǒng)功能失效導(dǎo)致的安全風(fēng)險(xiǎn)越來(lái)越高;ISO26262對(duì)車(chē)輛的電子電氣系統(tǒng)全生命周期進(jìn)行功能安全管理及產(chǎn)品開(kāi)發(fā)提供了一套標(biāo)準(zhǔn)的流程和方法[1]，考慮到功能安全的重要性，2017年我國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)參考ISO26262制定了中國(guó)的功能安全標(biāo)準(zhǔn)GB/T 34590，越來(lái)越多的主機(jī)廠也開(kāi)始在產(chǎn)品開(kāi)發(fā)過(guò)程中導(dǎo)入功能安全的要求。ISO26262標(biāo)準(zhǔn)中與汽車(chē)產(chǎn)品開(kāi)發(fā)強(qiáng)相關(guān)的內(nèi)容為第3至第6部分，分別規(guī)定了在概念、系統(tǒng)、硬件和軟件階段的功能安全開(kāi)發(fā)要求[1]。一般而言，主機(jī)廠應(yīng)主導(dǎo)概念階段的開(kāi)發(fā)，這個(gè)階段的工作主要包括對(duì)象定義、危害分析和風(fēng)險(xiǎn)評(píng)估以及功能安全需求導(dǎo)出，供應(yīng)商基于主機(jī)廠導(dǎo)出的功能安全需求進(jìn)一步進(jìn)行零部件系統(tǒng)和軟硬件開(kāi)發(fā)。

由于概念階段是功能安全開(kāi)發(fā)的基礎(chǔ)，不少學(xué)者針對(duì)功能安全概念設(shè)計(jì)進(jìn)行了研究。例如曾艾等[2]對(duì)動(dòng)力總成系統(tǒng)的扭矩安全進(jìn)行概念階段開(kāi)發(fā)，以“避免非期望的縱向加速”的安全目標(biāo)為例，設(shè)計(jì)了扭矩安全的功能需求;王林等[3]介紹了混合動(dòng)力汽車(chē)電驅(qū)動(dòng)系統(tǒng)的功能安全概念設(shè)計(jì);趙征瀾[4]介紹了純電動(dòng)汽車(chē)的扭矩控制安全概念設(shè)計(jì)，展示了“防止非預(yù)期的加速/減速”功能安全目標(biāo)和安全需求，并在HIL-動(dòng)力總成臺(tái)架上對(duì)安全機(jī)制進(jìn)行了驗(yàn)證，但是對(duì)于安全目標(biāo)的驗(yàn)收指標(biāo)和安全需求的扭矩監(jiān)控閾值和FTTI時(shí)間的導(dǎo)出過(guò)程未做詳細(xì)介紹;國(guó)外Hyungju Kwon等[5]對(duì)電動(dòng)助力轉(zhuǎn)向系統(tǒng)進(jìn)行了HARA分析，并通過(guò)特定場(chǎng)景的實(shí)車(chē)危害測(cè)試來(lái)確定FTTI時(shí)間。但是由于在概念階段零部件和整車(chē)一般沒(méi)有完成開(kāi)發(fā)，所以在概念階段僅通過(guò)實(shí)車(chē)測(cè)試來(lái)確定FTTI時(shí)間也存在一定局限性;何杰等[6]使用仿真測(cè)試的方法，搭建ESP系統(tǒng)Simulink-Carsim聯(lián)合仿真模型，確定扭矩傳感器故障的FTTI時(shí)間，但未在實(shí)車(chē)上測(cè)試驗(yàn)證真實(shí)駕駛員環(huán)境下的可控性。

本文針對(duì)上述研究的不足，完整實(shí)踐了對(duì)象定義、危害分析和風(fēng)險(xiǎn)評(píng)估、功能安全需求導(dǎo)出和安全確認(rèn)測(cè)試的全過(guò)程。在對(duì)電動(dòng)汽車(chē)電驅(qū)動(dòng)力系統(tǒng)進(jìn)行對(duì)象定義和HARA分析的基礎(chǔ)上，以“防止非預(yù)期的車(chē)輛自主移動(dòng)”安全目標(biāo)為例，針對(duì)紅綠燈路口停車(chē)場(chǎng)景建立仿真模型并進(jìn)行了仿真，確定監(jiān)控扭矩閾值和FTTI時(shí)間，并在實(shí)車(chē)上進(jìn)行了實(shí)車(chē)測(cè)試，最后通過(guò)實(shí)車(chē)測(cè)試和仿真結(jié)果的對(duì)比，確認(rèn)了基于仿真設(shè)計(jì)的安全需求和安全目標(biāo)的一致性。

1? ? 電驅(qū)動(dòng)力系統(tǒng)功能安全概念設(shè)計(jì)

1.1? ?對(duì)象定義

電驅(qū)動(dòng)力系統(tǒng)功能示意圖如圖1所示，其作用是控制電機(jī)輸出縱向扭矩驅(qū)動(dòng)車(chē)輛行駛。驅(qū)動(dòng)功能由整車(chē)控制器計(jì)算需求扭矩，電機(jī)控制器響應(yīng)整車(chē)控制器的需求扭矩請(qǐng)求，并控制電機(jī)執(zhí)行輸出扭矩，經(jīng)減速器傳遞至車(chē)輪。需求扭矩的計(jì)算包含駕駛員需求扭矩、系統(tǒng)能力限制扭矩、車(chē)身穩(wěn)定系統(tǒng)請(qǐng)求扭矩、和故障模式限制扭矩。其中，駕駛員需求扭矩主要根據(jù)加速踏板開(kāi)度、制動(dòng)踏板開(kāi)度、檔位、實(shí)時(shí)車(chē)速來(lái)計(jì)算;系統(tǒng)能力限制扭矩主要根據(jù)動(dòng)力電池管理系統(tǒng)和電機(jī)控制器提供的系統(tǒng)能力限值來(lái)計(jì)算;檔位控制器根據(jù)駕駛員對(duì)換擋機(jī)構(gòu)的操作，識(shí)別駕駛員的前進(jìn)/倒車(chē)/空擋切換意圖;車(chē)身穩(wěn)定系統(tǒng)根據(jù)車(chē)輛運(yùn)動(dòng)時(shí)的縱向和橫向的穩(wěn)定性狀態(tài)等對(duì)電驅(qū)動(dòng)系統(tǒng)提出增減扭矩的請(qǐng)求;故障限制扭矩是根據(jù)電驅(qū)動(dòng)系統(tǒng)相關(guān)的傳感器、控制器、執(zhí)行器不同故障，對(duì)扭矩進(jìn)行限制或清零的處理。

電驅(qū)動(dòng)力系統(tǒng)的內(nèi)外部接口如圖2所示，內(nèi)部接口主要由整車(chē)控制器/電池管理系統(tǒng)/電機(jī)控制器/車(chē)載充電控制器（OBC）的通訊接口、油門(mén)踏板開(kāi)發(fā)/油門(mén)踏板位置的傳感器接口、驅(qū)動(dòng)電機(jī)組成的機(jī)械接口、高壓配電盒（PDU）/OBC/電機(jī)控制器的高壓電氣接口組成;外部接口主要由減速器/車(chē)輪的機(jī)械接口、12V蓄電池/直流-直流轉(zhuǎn)換器（DCDC）的低壓電氣接口、以及檔位控制器/車(chē)身穩(wěn)定控制器/DCDC控制器的通訊接口組成。

1.2? ?危害分析和風(fēng)險(xiǎn)評(píng)估

ISO26262規(guī)定，在對(duì)象定義完成后，下一步就是危害分析和風(fēng)險(xiǎn)評(píng)估（Hazard analysis and risk assessment，簡(jiǎn)稱HARA），對(duì)由于系統(tǒng)功能失效造成的危害事件進(jìn)行識(shí)別和等級(jí)分類(lèi)。危害識(shí)別即HARA的危害分析部分，危害等級(jí)分類(lèi)即HARA的風(fēng)險(xiǎn)評(píng)估部分，每個(gè)部分都需要獨(dú)立討論。

1.2.1 失效/故障分析

HARA分析首先需要列出對(duì)象功能的所有可能的失效模式。危害和可操作分析（HOZOP）是一種常用的系統(tǒng)失效分析方法。HAZOP通過(guò)使用失效形式關(guān)鍵詞，例如“過(guò)多”、“過(guò)少”、“喪失”、“錯(cuò)誤”等，系統(tǒng)性地確定需控制的失效模式范圍[7]。對(duì)于電驅(qū)動(dòng)力系統(tǒng)的縱向驅(qū)動(dòng)功能，其失效模式見(jiàn)表1：

1.2.2 場(chǎng)景分析和危害識(shí)別

同一功能失效在不同的運(yùn)行場(chǎng)景或駕駛條件下的危害后果可能不同，所以需要分析車(chē)輛運(yùn)行場(chǎng)景。車(chē)輛運(yùn)行場(chǎng)景是包含車(chē)輛狀態(tài)、環(huán)境條件和駕駛員行為三者的條件組合。運(yùn)行場(chǎng)景不必進(jìn)行全面的排列組合，只需列出對(duì)對(duì)象功能有明顯影響的場(chǎng)景組合。本文以“駕駛員不期望車(chē)輛輸出扭矩時(shí)，提供了扭矩”的故障模式為例，列舉了有代表性的車(chē)輛停車(chē)運(yùn)行場(chǎng)景，以及故障失效在每個(gè)運(yùn)行場(chǎng)景下導(dǎo)致的危害后果，如表2所示。

1.2.3 風(fēng)險(xiǎn)評(píng)估及安全目標(biāo)

在確定故障和運(yùn)行場(chǎng)景組成的危害事件后，下一步工作是確定每個(gè)危害事件的嚴(yán)重度（S：S0-S3），暴露率（E：E0-E4），和可控度（C：C0-C3），導(dǎo)出每個(gè)危害事件的汽車(chē)安全完整性等級(jí)（ASIL：QM，和A，和B，和C，和D），ISO26262.3對(duì)S/E/C評(píng)分和ASIL等級(jí)確定都進(jìn)行了指導(dǎo)說(shuō)明。以運(yùn)行場(chǎng)景5為例，車(chē)輛在擁堵的十字路口或紅綠燈路口停車(chē)時(shí)，車(chē)輛產(chǎn)生了非預(yù)期的驅(qū)動(dòng)扭矩，可能以低速撞到行人，所以對(duì)應(yīng)的嚴(yán)重度評(píng)分為S2;所發(fā)生場(chǎng)景在每次駕駛中幾乎都可能發(fā)生，所以暴露率評(píng)分為E4;發(fā)生危險(xiǎn)時(shí)，90%～99%的駕駛員一般可以控制，所以可控度評(píng)分為C2。按照ISO26262的ASIL確定表，確定S2-E4-C2對(duì)應(yīng)ASIL B等級(jí)。

風(fēng)險(xiǎn)評(píng)估所有評(píng)分結(jié)束后，針對(duì)最?lèi)毫舆\(yùn)行場(chǎng)景下的故障（稱為頂事件，Top Event）制定安全目標(biāo)。安全目標(biāo)是對(duì)象的頂層安全需求，安全目標(biāo)需要表達(dá)整車(chē)層面的功能目標(biāo)，而不是具體的技術(shù)方案。本文所列舉的5個(gè)危害事件的安全目標(biāo)均可定義為“防止非預(yù)期的車(chē)輛自主移動(dòng)”。另外，每個(gè)安全目標(biāo)需定義一個(gè)安全狀態(tài)，即沒(méi)有不合理風(fēng)險(xiǎn)的Item對(duì)象的運(yùn)行模式。以“防止非預(yù)期的車(chē)輛自主移動(dòng)”為例，安全狀態(tài)可設(shè)計(jì)為“中斷電驅(qū)動(dòng)力系統(tǒng)扭矩輸出”。

1.3? ?功能安全需求和概念

1.3.1 功能安全需求設(shè)計(jì)

為了實(shí)現(xiàn)對(duì)象的安全目標(biāo)，需設(shè)計(jì)安全需求來(lái)對(duì)危害進(jìn)行檢測(cè)和處理并使之緩和到可接受的范圍內(nèi)。以“防止非預(yù)期的車(chē)輛自主移動(dòng)”的安全目標(biāo)為例，整車(chē)控制器需要進(jìn)行請(qǐng)求扭矩安全監(jiān)控，電機(jī)控制器需要進(jìn)行電機(jī)實(shí)際扭矩安全監(jiān)控?？稍O(shè)計(jì)一條針對(duì)整車(chē)控制器的功能安全需求：“當(dāng)VCU功能模塊計(jì)算的電機(jī)請(qǐng)求扭矩超過(guò)扭矩監(jiān)控模塊的電機(jī)安全扭矩（即電機(jī)克服車(chē)輛靜態(tài)摩擦阻力所需的扭矩）一定值時(shí)，VCU應(yīng)立即進(jìn)入安全狀態(tài)”。在確定功能安全需求后，需進(jìn)一步明確功能安全機(jī)制，這就需要解答一個(gè)關(guān)鍵的問(wèn)題：如何設(shè)置的故障檢測(cè)處理時(shí)間和故障扭矩的檢測(cè)閾值，才能確保系統(tǒng)在故障容忍時(shí)間（FTTI）內(nèi)不發(fā)生危害事件？

ISO26262定義了故障處理時(shí)間間隔（FHTI），包含故障診斷和處理時(shí)間;FHTI應(yīng)在開(kāi)發(fā)階段被考慮，為避免危害事件所需的最大的故障檢測(cè)處理時(shí)間間隔[1];FTTI為在安全機(jī)制未激活時(shí)，從故障發(fā)生到發(fā)生危害事件所允許的最短時(shí)間，所以FTTI應(yīng)為駕駛員對(duì)故障的反應(yīng)時(shí)間和駕駛員控制車(chē)輛所需時(shí)間之和。本文使用了仿真計(jì)算和實(shí)車(chē)測(cè)試的方法，通過(guò)實(shí)車(chē)的故障注入測(cè)試可以確定最大的“故障處理時(shí)間間隔”和故障扭矩檢測(cè)閾值。

1.3.2 功能安全需求仿真計(jì)算

“非預(yù)期車(chē)輛自主移動(dòng)”數(shù)學(xué)模型如圖3所示。假設(shè)車(chē)輛在十字路口停車(chē)，車(chē)輛前方有行人陸續(xù)通過(guò)，行人沿車(chē)輛縱向的速度為0，車(chē)輛初始位置和行人距離為S。某時(shí)刻車(chē)輛突然產(chǎn)生Tmot_add的故障扭矩，故障發(fā)生terrState時(shí)間后，車(chē)輛進(jìn)入安全狀態(tài);在故障發(fā)生tdrvReact時(shí)間后，駕駛員意識(shí)到危險(xiǎn)并開(kāi)始制動(dòng)車(chē)輛;駕駛員需要在車(chē)輛碰撞到行人之前將車(chē)輛完全制動(dòng)，否則認(rèn)為危害事件發(fā)生，見(jiàn)圖3。

在“非預(yù)期車(chē)輛自主移動(dòng)”數(shù)學(xué)模型中，車(chē)輛移動(dòng)過(guò)程可分為三部分：1）注入故障扭矩的加速過(guò)程t0～t1;2）車(chē)輛進(jìn)入安全狀態(tài)后的滑行過(guò)程t1～t2;3）駕駛員緊急制動(dòng)車(chē)輛至車(chē)速為0的過(guò)程t2～t3。電機(jī)扭矩Tmot和制動(dòng)器制動(dòng)扭矩Tμ均為對(duì)時(shí)間的分段函數(shù)：

（1）

（2）

其中，制動(dòng)器制動(dòng)力矩分段函數(shù)中，制動(dòng)力響應(yīng)和上升階段的制動(dòng)力矩被簡(jiǎn)化為0Nm。

根據(jù)行駛方程，車(chē)輛的行駛位移為車(chē)速對(duì)時(shí)間的積分：

（3）

根據(jù)車(chē)輛動(dòng)力學(xué)方程[8]，電機(jī)驅(qū)動(dòng)力傳遞到車(chē)輪的車(chē)輛驅(qū)動(dòng)力：

（4）

其中，Tmot為電機(jī)扭矩;i0為減速器速比，η為機(jī)械傳動(dòng)效率;r為輪胎滾動(dòng)半徑。

根據(jù)車(chē)輛動(dòng)力學(xué)方程[8]，車(chē)輛行駛阻力：

（5）

其中，M為整車(chē)質(zhì)量;g為重力加速度;f為滾阻系數(shù);Cd為風(fēng)阻系數(shù);A為車(chē)輛迎風(fēng)面積;u為行駛車(chē)速;α為道路坡度;δ為旋轉(zhuǎn)質(zhì)量換算系數(shù)。

車(chē)輛制動(dòng)力：

（6）

其中，Tμ為車(chē)輛緊急制動(dòng)時(shí)制動(dòng)器提供的制動(dòng)力矩。

（7）

根據(jù)公式（1）～（7），在MATLAB/Simulink 中搭建仿真模型，如圖4所示。其中，Mot err Torque injection模塊根據(jù)式（1）和式（4），計(jì)算電機(jī)扭矩和輸出輪端驅(qū)動(dòng)扭矩;Driver Brake Force injection模塊根據(jù)式（2）計(jì)算制動(dòng)器制動(dòng)力;Vehicle Acceleration Torque Calculation模塊根據(jù)式（5）～（7）計(jì)算車(chē)輛加速力矩;Vehicle Motion Simulation模塊根據(jù)式（5）和式（3）分別計(jì)算車(chē)速和車(chē)輛行駛距離。

針對(duì)某皮卡車(chē)型，仿真計(jì)算所需的整車(chē)參數(shù)和假設(shè)參數(shù)如表3所示：

根據(jù)現(xiàn)有的交通安全中的人為因素統(tǒng)計(jì)[9]，95%的人對(duì)于突發(fā)事件的反應(yīng)時(shí)間為1.6s;根據(jù)“BOSCH汽車(chē)工程手冊(cè)”定義[10]，制動(dòng)過(guò)程包含危險(xiǎn)辨認(rèn)時(shí)間、制動(dòng)延誤時(shí)間，其中危險(xiǎn)辨認(rèn)時(shí)間約為0.4s，制動(dòng)延誤時(shí)間包含反應(yīng)時(shí)間（一般為0.3s）、轉(zhuǎn)換時(shí)間（駕駛員的腳挪到制動(dòng)踏板的時(shí)間，約為0.2s）、制動(dòng)力響應(yīng)和增長(zhǎng)時(shí)間（不超過(guò)0.6s）。參考文獻(xiàn)9和文獻(xiàn)10，本文設(shè)置駕駛員的反應(yīng)制動(dòng)時(shí)間，即從車(chē)輛輸出故障扭矩到制動(dòng)器輸出最大制動(dòng)力的時(shí)間間隔為1.6s;另外假設(shè)電機(jī)故障扭矩從請(qǐng)求到實(shí)車(chē)響應(yīng)的時(shí)間為0.1s，可得出從注入故障扭矩到制動(dòng)器輸出制動(dòng)力的時(shí)間間隔為1.7s;在危險(xiǎn)情況下，駕駛員一般會(huì)進(jìn)行緊急制動(dòng)，按照“GB 7258-2017 機(jī)動(dòng)車(chē)運(yùn)行安全技術(shù)條件”[11]中第7.10.2.2條，要求乘用車(chē)以50km/h的初速度時(shí)制動(dòng)空載檢驗(yàn)充分發(fā)出的平均制動(dòng)減速度不小于6.2m/s2。為實(shí)現(xiàn)6.2m/s2的制動(dòng)減速度，針對(duì)本文選取的車(chē)輛參數(shù)可以仿真計(jì)算出對(duì)應(yīng)的制動(dòng)器緊急制動(dòng)力為15200N;根據(jù)“GB5768道路交通標(biāo)志和標(biāo)線”規(guī)定[12]，車(chē)輛停止線應(yīng)距離人行橫道100～300cm，如圖5所示。因此本文假設(shè)初始的人車(chē)距離為100cm，對(duì)應(yīng)安全目標(biāo)和安全需求的安全驗(yàn)證準(zhǔn)則為“實(shí)施安全機(jī)制后，非預(yù)期的車(chē)輛自主移動(dòng)距離不應(yīng)超過(guò)100cm”;車(chē)輛初始車(chē)速設(shè)置為0km/h。

輸入整車(chē)參數(shù)和假設(shè)參數(shù)后，通過(guò)“非預(yù)期車(chē)輛自主移動(dòng)”Simulink仿真模型計(jì)算出車(chē)輛位移和駕駛員反應(yīng)及剎車(chē)時(shí)間，如表4所示。

其中，注入幅值300Nm持續(xù)時(shí)間200ms的故障扭矩后，車(chē)輛位移和車(chē)速的仿真結(jié)果如圖6和圖7所示。據(jù)圖6和圖7可發(fā)現(xiàn)，在第100ms時(shí)注入300Nm故障扭矩，車(chē)輛開(kāi)始加速;在第300ms時(shí)電機(jī)扭矩清零，車(chē)輛開(kāi)始滑行減速;在第1800ms時(shí)駕駛員進(jìn)行制動(dòng)，車(chē)輛開(kāi)始制動(dòng)減速;在第1950ms時(shí)車(chē)輛完全停止。

由于電機(jī)峰值扭矩為300Nm，故障扭矩診斷閾值可以在可驅(qū)動(dòng)車(chē)輛移動(dòng)的最小扭矩和電機(jī)峰值扭矩之間，即在6Nm至300Nm內(nèi)選取;考慮車(chē)輛位移不超過(guò)100cm，選取車(chē)輛位移接近100cm的仿真數(shù)據(jù)中，選取最短的故障注入時(shí)間作為安全需求的FHTI時(shí)間，即從2/4/7/9組數(shù)據(jù)中選擇第7組，設(shè)計(jì)FHTI時(shí)間為170ms;故障容忍時(shí)間間隔FTTI可從2/4/7/9組仿真結(jié)果中選擇最短的駕駛員反應(yīng)和剎車(chē)時(shí)間，即FTTI時(shí)間可選擇為1850ms。

2? ? 安全確認(rèn)測(cè)試

功能安全確認(rèn)需提供證據(jù)證明功能安全需求和安全目標(biāo)的一致性，并具備減輕或避免危害事件的能力;減輕或避免危害事件的能力可通過(guò)測(cè)試、試運(yùn)行或?qū)＜以u(píng)價(jià)來(lái)評(píng)估[1]。需說(shuō)明的是，安全確認(rèn)不僅包含功能安全開(kāi)發(fā)結(jié)束時(shí)進(jìn)行的驗(yàn)證工作，也包含在功能安全開(kāi)發(fā)過(guò)程中的工作。

本文通過(guò)在實(shí)車(chē)上進(jìn)行故障注入測(cè)試進(jìn)行安全確認(rèn)，并將測(cè)試結(jié)果和仿真結(jié)果進(jìn)行back-to-back對(duì)照，驗(yàn)證功能安全需求中的監(jiān)控扭矩增加閾值和允許的故障診斷處理時(shí)間設(shè)置是否可以實(shí)現(xiàn)安全目標(biāo)，即“防止非預(yù)期的車(chē)輛自主移動(dòng)”，以及對(duì)應(yīng)的安全驗(yàn)證準(zhǔn)則“實(shí)施安全機(jī)制后，非預(yù)期的車(chē)輛自主移動(dòng)距離不應(yīng)超過(guò)100cm”。

2.1? ?測(cè)試實(shí)施步驟

選擇封閉的水平水泥路面作為測(cè)試場(chǎng)地，使用CANoe總線信號(hào)注入的方法進(jìn)行故障注入測(cè)試[13]，在測(cè)試前調(diào)試好測(cè)試設(shè)備和測(cè)試腳本。測(cè)試腳本設(shè)定的故障注入條件為，當(dāng)整車(chē)上電到Ready狀態(tài)且制動(dòng)踏板完全松開(kāi)后開(kāi)始注入故障扭矩，并可設(shè)置故障注入時(shí)間，如表5所示。按照下述步驟實(shí)施測(cè)試：

2.2? ?測(cè)試結(jié)果和分析

測(cè)試結(jié)果如表6所示，為使車(chē)輛位移不超過(guò)100cm，當(dāng)故障扭矩為50Nm時(shí)，故障注入時(shí)間應(yīng)小于1500ms;當(dāng)故障扭矩為100Nm時(shí)， 故障注入時(shí)間應(yīng)小于600ms;當(dāng)故障扭矩為200Nm時(shí)，故障注入時(shí)間應(yīng)小于250ms;當(dāng)故障扭矩為300Nm時(shí)，故障注入時(shí)間應(yīng)小于170ms。在設(shè)計(jì)故障扭矩檢測(cè)閾值和故障診斷處理時(shí)間時(shí)，可依據(jù)上述測(cè)試測(cè)試結(jié)果進(jìn)行對(duì)照選取;從車(chē)輛位移接近100cm的測(cè)試結(jié)果中選取最短的故障注入時(shí)間數(shù)據(jù)，因此選取的故障檢測(cè)和處理時(shí)間應(yīng)小于170ms，此時(shí)間和基于仿真結(jié)果設(shè)計(jì)的FHTI時(shí)間一致。

圖8給出了注入300Nm故障扭矩200ms的車(chē)速實(shí)測(cè)和仿真結(jié)果對(duì)比。由于汽車(chē)傳動(dòng)系的彈性阻尼特性，直接施加大扭矩時(shí)，車(chē)速會(huì)發(fā)生一定程度的振蕩，但是在加速、滑行和制動(dòng)三個(gè)階段實(shí)測(cè)車(chē)速和仿真車(chē)速的變化趨勢(shì)是一致的。

圖9給出了實(shí)車(chē)測(cè)試測(cè)結(jié)果和Simulink仿真結(jié)果的車(chē)輛位移對(duì)比，發(fā)現(xiàn)各組數(shù)據(jù)的變化趨勢(shì)相同，車(chē)輛位移差異也在合理范圍內(nèi)?？紤]實(shí)車(chē)測(cè)試的測(cè)量誤差因素，本文設(shè)計(jì)的仿真模型是比較準(zhǔn)確的，因此仿真結(jié)果可以作為設(shè)計(jì)功能安全需求參考的依據(jù)。

3? ? ?結(jié)論

本文對(duì)電驅(qū)動(dòng)力系統(tǒng)進(jìn)行了對(duì)象定義，并以“駕駛員不期望車(chē)輛輸出扭矩時(shí)，提供了扭矩”為例進(jìn)行了HARA分析，導(dǎo)出了“防止非預(yù)期的車(chē)輛自主移動(dòng)”的安全目標(biāo)，針對(duì)“車(chē)輛在紅綠燈路口停車(chē)時(shí)發(fā)生自主移動(dòng)”的場(chǎng)景，并使用仿真計(jì)算的方法明確了功能安全需求中的安全監(jiān)控扭矩閾值和時(shí)間要求。

在實(shí)車(chē)上進(jìn)行了安全確認(rèn)測(cè)試，測(cè)試結(jié)果表明了仿真結(jié)果和實(shí)車(chē)測(cè)試結(jié)果的一致性，驗(yàn)證了基于仿真結(jié)果設(shè)計(jì)的安全需求對(duì)于安全目標(biāo)的一致性和避免危害的能力。本文基于ISO26262要求的扭矩功能安全開(kāi)發(fā)實(shí)踐，可為相關(guān)企業(yè)工程師在功能安全概念階段和安全確認(rèn)測(cè)試階段的工程實(shí)踐提供案例借鑒。

參考文獻(xiàn)：

[1]ISO 26262. Road Vehicles-Function Safety [S]，Geneva：International Organization for Standardization， 2018 .

[2]曾艾，楊永光. 基于ISO 26262的動(dòng)力總成系統(tǒng)扭矩安全概念設(shè)計(jì)[J]，上海汽車(chē)，2017（10）：25-29.

[3]王林，趙鑫，任倩萌，混合動(dòng)力汽車(chē)電驅(qū)動(dòng)系統(tǒng)的功能安全概念設(shè)計(jì)[J]，上海汽車(chē)，2018（11）：4-18.

[4]趙征瀾，純電動(dòng)汽車(chē)轉(zhuǎn)矩控制安全概念與轉(zhuǎn)矩監(jiān)控模型[J]，汽車(chē)工程學(xué)報(bào)，2018，8（3）：229-234.

[5]Hyungju Kwon， Itabashi-Campbell，R.， McLaughlin，K. ISO 26262 Application to Electric Steering Development with a Focus on Hazard Analysis[C]， 2013 IEEE international systems conference， Orlando， Florida， USA， April 2013.

[6]何杰，陳慧，符合ISO26262的EPS扭矩傳感器故障容錯(cuò)時(shí)間間隔確定方法[C]. 2015 中國(guó)汽車(chē)工程學(xué)會(huì)年會(huì)論文集（Volume2）. 中國(guó)汽車(chē)工程學(xué)會(huì)，2015：4.

[7]P. Goddard， “System safety applied to vehicle design” [J]， SAE， Int. J. Passenger. Cars – Mech. Syst.， 2008 ， vol. 2（1）， pp. 1-97.

[8]余志生，汽車(chē)?yán)碚揫M]，北京：機(jī)械工業(yè)出版社，2018.

[9]R. Dewar and P. Olson， Human Factors in Traffic Safety [M]， 2nd ed. Tucson， AZ， USA： Lawyers & Judges Publishing， 2007.

[10]Konrad Reif，BOSCH汽車(chē)工程手冊(cè)[M]，北京：北京理工大學(xué)出版社，2016.

[11]GB 7258-2017 機(jī)動(dòng)車(chē)運(yùn)行安全技術(shù)條件[S]，2017.

[12]GB 5768.3道路交通標(biāo)志和標(biāo)線[S]，2009.

[13]尚世亮，王雷雷，趙向東，基于ISO26262的車(chē)輛電子電氣系統(tǒng)故障注入測(cè)試方法[J]，汽車(chē)技術(shù)，2015（12）：49-58.