張?chǎng)?劉元治 周春雨 馬騰

（中國(guó)第一汽車(chē)股份有限公司研發(fā)總院，長(zhǎng)春 130013）

縮略語(yǔ)

SOCS tate of Charge

ESC Electronic stability control

HARA Hazard Analysis and Risk Assessment

ASIL Automotive Safety Integrity Level

HAZOP Hazard and operability analysis

FMEA Failure Mode and Effects Analysis

FTA Fault Tree Analysis

TSR Technical Safety Requirement

HSR Hardware Safety Requirement

SSR Software Safety Requirement

EPS Electric Power Steering

0 引言

隨著國(guó)家對(duì)新能源汽車(chē)的大力支持以及汽車(chē)企業(yè)持續(xù)性的技術(shù)和產(chǎn)品研發(fā)投入，中國(guó)新能源汽車(chē)市場(chǎng)飛速發(fā)展。新能源汽車(chē)電驅(qū)動(dòng)系統(tǒng)作為顛覆傳統(tǒng)燃油汽車(chē)的動(dòng)力源，是影響行駛功能安全的關(guān)鍵，對(duì)用戶(hù)和整車(chē)企業(yè)至關(guān)重要。ISO 26262: 2018 道路車(chē)輛—功能安全(Road vehicles—Functional safety）作為汽車(chē)行業(yè)功能安全開(kāi)發(fā)普遍依據(jù)的國(guó)際標(biāo)準(zhǔn)，也加強(qiáng)了對(duì)新能源汽車(chē)功能安全方面的關(guān)注[1]。

近年來(lái)，國(guó)內(nèi)外學(xué)者對(duì)汽車(chē)功能安全開(kāi)展了大量研究工作，李波等[2]對(duì)功能安全技術(shù)在中國(guó)的應(yīng)用現(xiàn)狀及發(fā)展趨勢(shì)進(jìn)行了闡述，并明確了功能安全標(biāo)準(zhǔn)體系發(fā)展是基于目標(biāo)市場(chǎng)，定義出合理的、可接受的量化準(zhǔn)則作為車(chē)輛電控系統(tǒng)正向開(kāi)發(fā)和測(cè)試評(píng)價(jià)的基準(zhǔn)輸入，進(jìn)而通過(guò)試驗(yàn)研究得出量化準(zhǔn)則，以確保系統(tǒng)在故障、功能不足的情況下，從設(shè)計(jì)開(kāi)發(fā)源頭避免或降低車(chē)輛對(duì)駕乘人員及周邊人員造成傷害，保障車(chē)輛運(yùn)行安全。裴曉飛[3]等提出了一種集成主動(dòng)制動(dòng)和主動(dòng)轉(zhuǎn)向的緊急避撞策略，證明了在高附著路面的主動(dòng)避障不會(huì)導(dǎo)致整車(chē)失穩(wěn)。彭憶強(qiáng)等[4]介紹了功能安全標(biāo)準(zhǔn)的3 個(gè)發(fā)展階段，分析ISO 26262 給新能源汽車(chē)產(chǎn)業(yè)技術(shù)帶來(lái)的挑戰(zhàn)及其推進(jìn)作用，詳細(xì)論述了功能安全在新能源汽車(chē)動(dòng)力電池、電驅(qū)、電控（簡(jiǎn)稱(chēng)“三電”）關(guān)鍵技術(shù)的應(yīng)用情況，總結(jié)了在新能源汽車(chē)“三電”領(lǐng)域中，應(yīng)用功能安全技術(shù)的基本方法。伍理勛等[5]闡述了危害分析與風(fēng)險(xiǎn)評(píng)估基本方法，并由此確定了電動(dòng)汽車(chē)電機(jī)驅(qū)動(dòng)控制器的安全目標(biāo)和汽車(chē)安全完整性等級(jí)（Automotive Safety Integrity Level,ASIL）。通過(guò)對(duì)電子加速踏板安全監(jiān)控架構(gòu)分析，提出了其功能監(jiān)控層的實(shí)現(xiàn)方法。周成顯等[6]闡述了基于功能安全分析的電機(jī)轉(zhuǎn)矩設(shè)計(jì)管理流程，首先對(duì)電機(jī)轉(zhuǎn)矩管理的功能安全相關(guān)項(xiàng)進(jìn)行分析，然后對(duì)其潛在危害進(jìn)行分析并開(kāi)展風(fēng)險(xiǎn)評(píng)估，依據(jù)該評(píng)估結(jié)果確定電機(jī)轉(zhuǎn)矩管理功能安全等級(jí)。吳靜波等[7]提出一種基于電子加速踏板安全監(jiān)控架構(gòu)的多層監(jiān)控策略，確定了轉(zhuǎn)矩控制功能安全等級(jí)為ASIL C。吳浩等[8]對(duì)某電動(dòng)汽車(chē)電驅(qū)動(dòng)力系統(tǒng)縱向驅(qū)動(dòng)功能非預(yù)期的失效進(jìn)行了危害分析和風(fēng)險(xiǎn)評(píng)估，確定電控系統(tǒng)功能安全等級(jí)為ASIL B。胡焱松等[9]分析了國(guó)內(nèi)電動(dòng)汽車(chē)事故類(lèi)型，證明了電動(dòng)汽車(chē)事故容易引發(fā)起火爆炸的嚴(yán)重后果。張康康等[10]分析了我國(guó)現(xiàn)有電動(dòng)汽車(chē)安全相關(guān)政策，提出要加強(qiáng)國(guó)內(nèi)電動(dòng)汽車(chē)運(yùn)行安全保障的措施和意見(jiàn)。方凱正等[11]建議企業(yè)在新能源汽車(chē)安全方面要更加重視技術(shù)研發(fā)和產(chǎn)品安全管理。

以上研究主要涉及功能安全技術(shù)發(fā)展依據(jù)的標(biāo)準(zhǔn)、關(guān)鍵分析方法、主要設(shè)計(jì)流程和常用的安全架構(gòu)理論內(nèi)容，但針對(duì)四驅(qū)電動(dòng)汽車(chē)側(cè)向控制功能失效導(dǎo)致的過(guò)度轉(zhuǎn)向和不足轉(zhuǎn)向失穩(wěn)相關(guān)的功能安全分析仍不足。為了提高四驅(qū)電動(dòng)汽車(chē)行駛穩(wěn)定性，本文進(jìn)行了基于ISO 26262 的功能安全概念階段危害分析和風(fēng)險(xiǎn)評(píng)估（Hazard Analysis and Risk Assessment，HARA）及安全目標(biāo)設(shè)計(jì)，并結(jié)合仿真和實(shí)車(chē)試驗(yàn)的方式驗(yàn)證了相關(guān)結(jié)論，研究成果可應(yīng)用于四驅(qū)電動(dòng)汽車(chē)電控系統(tǒng)的功能安全技術(shù)開(kāi)發(fā)。

1 功能安全標(biāo)準(zhǔn)ISO 26262

ISO 26262 是專(zhuān)門(mén)為道路車(chē)輛功能安全開(kāi)發(fā)制定的標(biāo)準(zhǔn)，適用于汽車(chē)產(chǎn)品全生命周期的所有事件。ISO 26262 中電控系統(tǒng)的功能安全開(kāi)發(fā)關(guān)鍵步驟如圖1 所示，分為概念階段、系統(tǒng)階段和軟硬件開(kāi)發(fā)階段。首先，通過(guò)HARA 分析獲得頂層的整車(chē)級(jí)安全需求。然后，各階段分別將安全需求逐層分解，并落實(shí)到電控控制器的軟硬件開(kāi)發(fā)當(dāng)中。最后，所有層級(jí)的安全需求都要通過(guò)相應(yīng)測(cè)試驗(yàn)證進(jìn)行閉環(huán)，以保證整個(gè)電控產(chǎn)品的功能安全開(kāi)發(fā)。

圖1 電動(dòng)汽車(chē)功能安全開(kāi)發(fā)過(guò)程

1.1 概念階段

概念階段是從電動(dòng)汽車(chē)整車(chē)層級(jí)分析功能及非功能需求，并根據(jù)初始整車(chē)電控系統(tǒng)架構(gòu)進(jìn)行相關(guān)項(xiàng)的范圍定義及功能描述。首先采用危害及可操作性（Hazard and Operability，HAZOP）分析法，根據(jù)整車(chē)功能進(jìn)行失效分析，分析各功能失效模式及造成的整車(chē)危害。然后進(jìn)行HARA 分析，即在各工況和駕駛場(chǎng)景下對(duì)整車(chē)危害引起的風(fēng)險(xiǎn)進(jìn)行評(píng)估，主要包括以下3個(gè)評(píng)估方面：（1）工況和駕駛場(chǎng)景的暴露度（E）；（2）危害發(fā)生時(shí)的嚴(yán)重度（S）；（3）危害發(fā)生時(shí)駕駛員避免風(fēng)險(xiǎn)的可控度（C）。

通過(guò)對(duì)這3 個(gè)方面進(jìn)行打分，綜合得出汽車(chē)安全完整性等級(jí)（ASIL），并設(shè)計(jì)出整車(chē)功能安全目標(biāo)及相關(guān)屬性。最后根據(jù)整車(chē)初始架構(gòu)以安全目標(biāo)失效為頂事件（Top event）進(jìn)行故障樹(shù)分析（Fault Tree Analysis,FTA），設(shè)計(jì)安全機(jī)制，更新初始整車(chē)架構(gòu)，并對(duì)架構(gòu)中各元素提出功能安全需求，制定相應(yīng)測(cè)試、驗(yàn)證規(guī)范。

1.2 系統(tǒng)階段

系統(tǒng)階段需根據(jù)概念階段的功能安全需求，設(shè)計(jì)各子系統(tǒng)初始系統(tǒng)架構(gòu)，并以功能安全需求違背為頂事件，進(jìn)行系統(tǒng)階段故障樹(shù)分析，并設(shè)計(jì)系統(tǒng)階段的安全機(jī)制，更新和分配至系統(tǒng)架構(gòu)元素中，同步進(jìn)行系統(tǒng)潛在失效模式分析（Failure Mode and Effects Analysis，F(xiàn)MEA）以驗(yàn)證安全機(jī)制是否完整。該階段需要對(duì)系統(tǒng)軟件和硬件模塊提出相應(yīng)的技術(shù)安全需求、確定相關(guān)屬性，并針對(duì)相應(yīng)需求制定測(cè)試驗(yàn)證規(guī)范。

1.3 軟硬件開(kāi)發(fā)階段

軟硬件開(kāi)發(fā)階段需根據(jù)系統(tǒng)階段的技術(shù)安全需求分別設(shè)計(jì)相應(yīng)的軟件和硬件的架構(gòu)，并進(jìn)行故障樹(shù)安全分析，設(shè)計(jì)安全機(jī)制并進(jìn)行潛在失效模式分析驗(yàn)證。其中，電動(dòng)汽車(chē)轉(zhuǎn)矩監(jiān)控算法主要在軟件階段實(shí)現(xiàn)。

整個(gè)功能安全設(shè)計(jì)和分析過(guò)程是一個(gè)從整車(chē)級(jí)向系統(tǒng)軟硬件級(jí)進(jìn)行需求承接和逐步細(xì)化的流程，并且對(duì)每個(gè)過(guò)程ISO 26262 針對(duì)不同的ASIL 等級(jí)給出了明確的完成要求，如表1 所示。ASIL 等級(jí)的確定基于嚴(yán)重度（S）、暴露度（E）、可控度（C）影響因子，表1給出了ASIL 等級(jí)確定方法，其中QM 表示質(zhì)量管理（Quality Management），即按照質(zhì)量管理體系開(kāi)發(fā)系統(tǒng)或功能就可以滿(mǎn)足安全要求，不用考慮任何安全相關(guān)的設(shè)計(jì)。確定了危害的ASIL 等級(jí)后，為每個(gè)危害確定至少一個(gè)安全目標(biāo)，作為功能和技術(shù)安全需求的基礎(chǔ)。

表1 功能安全完整性等級(jí)[1]

2 穩(wěn)定性控制功能危害分析和風(fēng)險(xiǎn)評(píng)估（HARA）

2.1 穩(wěn)定性控制系統(tǒng)及功能失效分析

對(duì)于集中式四驅(qū)電動(dòng)汽車(chē)穩(wěn)定性控制系統(tǒng)（圖2），電子穩(wěn)定性控制系統(tǒng)（Electronic Stability Control,ESC）以當(dāng)前車(chē)速、轉(zhuǎn)向盤(pán)轉(zhuǎn)角、加速度為輸入信息，進(jìn)行整車(chē)穩(wěn)定性控制邏輯計(jì)算。當(dāng)ESC 功能觸發(fā)時(shí)，首先與整車(chē)控制器通訊，向前后軸動(dòng)力電機(jī)轉(zhuǎn)發(fā)轉(zhuǎn)矩清除請(qǐng)求，即ESC 功能觸發(fā)期間，前后軸動(dòng)力電機(jī)響應(yīng)整車(chē)控制器發(fā)送的轉(zhuǎn)矩請(qǐng)求是轉(zhuǎn)發(fā)ESC計(jì)算的轉(zhuǎn)矩請(qǐng)求。同時(shí)，ESC 控制4 個(gè)車(chē)輪施加必要的機(jī)械制動(dòng)扭矩，以維持整車(chē)的穩(wěn)定性控制目標(biāo)，保證整車(chē)的橫擺角速度或質(zhì)心側(cè)偏角在穩(wěn)定范圍內(nèi)。

圖2 集中式四驅(qū)純電動(dòng)汽車(chē)穩(wěn)定性控制系統(tǒng)

整車(chē)穩(wěn)定性失效模式主要有不足轉(zhuǎn)向和過(guò)度轉(zhuǎn)向2 種。當(dāng)整車(chē)發(fā)生不足轉(zhuǎn)向時(shí)，前軸失去轉(zhuǎn)向能力，無(wú)法進(jìn)行彎道轉(zhuǎn)向，可發(fā)生偏離當(dāng)前車(chē)道行駛的危害；當(dāng)整車(chē)發(fā)生過(guò)度轉(zhuǎn)向時(shí)，后軸產(chǎn)生側(cè)滑，可發(fā)生整車(chē)失穩(wěn)旋轉(zhuǎn)危害。對(duì)于本研究所用的集中式四驅(qū)電動(dòng)汽車(chē)，發(fā)生不足轉(zhuǎn)向和過(guò)度轉(zhuǎn)向時(shí)的原因有2種：

（1）由于ESC 本身失效導(dǎo)致，如控制的四個(gè)車(chē)輪的機(jī)械制動(dòng)扭矩過(guò)大。

（2）由于前、后軸動(dòng)力電機(jī)驅(qū)動(dòng)或能量回收扭矩過(guò)大導(dǎo)致。

其中，由ESC 控制的機(jī)械制動(dòng)扭矩足以使整車(chē)車(chē)輪在任何路面抱死，而前后軸動(dòng)力電機(jī)的驅(qū)動(dòng)或能量回收扭矩則一般在高附著路面不會(huì)導(dǎo)致該軸車(chē)輪滑轉(zhuǎn)或抱死。陳廣秋等[12]從車(chē)輛多體動(dòng)力學(xué)、穩(wěn)定性控制策略及穩(wěn)定性控制算法方面闡述了目前國(guó)內(nèi)外電動(dòng)汽車(chē)穩(wěn)定性控制現(xiàn)狀，認(rèn)為在電機(jī)控制轉(zhuǎn)矩分配算法應(yīng)以安全或者節(jié)能為目標(biāo)進(jìn)行控制轉(zhuǎn)矩分配。王瑋等[13]分析了常見(jiàn)的能量回收控制策略?xún)?yōu)缺點(diǎn)，證明對(duì)四驅(qū)車(chē)輛應(yīng)采用前后軸制動(dòng)力比例分配策略。許杰等[14]研究了矢量四驅(qū)控制策略，證明軸間和輪間轉(zhuǎn)矩分配可影響整車(chē)穩(wěn)定性。嚴(yán)運(yùn)兵等[15]提出了基于神經(jīng)網(wǎng)絡(luò)PID 控制策略的直接橫擺力矩算法，證明了ESC穩(wěn)定性控制算法會(huì)顯著影響整車(chē)的穩(wěn)定性能。

2.2 穩(wěn)定性控制功能HARA分析

針對(duì)整車(chē)不足轉(zhuǎn)向和過(guò)度轉(zhuǎn)向的危害進(jìn)行HARA 分析，依據(jù)ISO 26262 進(jìn)行嚴(yán)重度、暴露度及可控度的典型場(chǎng)景分析（如表2、表3、表4 和表5 所示），確定集中式四驅(qū)電動(dòng)汽車(chē)穩(wěn)定性功能安全目標(biāo)。

表2 ESC本身失效導(dǎo)致不足轉(zhuǎn)向HARA

表3 ESC本身失效導(dǎo)致過(guò)度轉(zhuǎn)向HARA

表4 前電機(jī)系統(tǒng)失效導(dǎo)致不足轉(zhuǎn)向HARA

表5 后電機(jī)系統(tǒng)失效導(dǎo)致過(guò)度轉(zhuǎn)向HARA

2.3 穩(wěn)定性控制功能失效仿真驗(yàn)證

CarSim 模型在計(jì)算機(jī)上運(yùn)行的速度比實(shí)車(chē)控制器的實(shí)時(shí)運(yùn)算快3～6 倍，可以仿真車(chē)輛對(duì)駕駛員、路面及空氣動(dòng)力學(xué)輸入的響應(yīng)，主要用來(lái)預(yù)測(cè)和仿真汽車(chē)整車(chē)操縱穩(wěn)定性、制動(dòng)性、平順性、動(dòng)力性和經(jīng)濟(jì)性，同時(shí)被廣泛應(yīng)用于現(xiàn)代汽車(chē)控制系統(tǒng)開(kāi)發(fā)。Car-Sim 可以方便靈活定義試驗(yàn)環(huán)境和試驗(yàn)過(guò)程，詳細(xì)地定義整車(chē)各系統(tǒng)特性參數(shù)和特性文件，可以用曲線和三維動(dòng)畫(huà)形式觀察仿真結(jié)果，包括圖形化數(shù)據(jù)管理界面、車(chē)輛模型求解器、繪圖工具和三維動(dòng)畫(huà)回放工具。功率譜分析模塊程序穩(wěn)定可靠。本文以某款集中式四驅(qū)電動(dòng)汽車(chē)車(chē)型為目標(biāo)，建立的CarSim 車(chē)輛模型如圖3所示，整車(chē)參數(shù)見(jiàn)表6。張雷等[16]提出了一種基于分層架構(gòu)的軌跡跟蹤與直接橫擺力矩協(xié)調(diào)控制策略，并采用了CarSim 和Simulink 聯(lián)合仿真，證明了該仿真平臺(tái)的可用性。

表6 整車(chē)參數(shù)

圖3 車(chē)輛模型

圖4 道路環(huán)境模型

道路模型設(shè)計(jì)按照J(rèn)TG D20—2017《公路路線設(shè)計(jì)規(guī)范》[17]中表7.3.2，選擇轉(zhuǎn)彎半徑為60 m 的圓形路線，進(jìn)行車(chē)速為40 km/h 的穩(wěn)態(tài)圓形路線仿真計(jì)算，分析不同路面附著系數(shù)下動(dòng)力電機(jī)轉(zhuǎn)矩故障注入導(dǎo)致的整車(chē)失穩(wěn)情況。根據(jù)HARA 分析結(jié)果，集中式四驅(qū)電動(dòng)汽車(chē)在高附著路面不會(huì)因?yàn)閯?dòng)力電機(jī)轉(zhuǎn)矩輸出非預(yù)期增大導(dǎo)致整車(chē)過(guò)度轉(zhuǎn)向失穩(wěn)。在低附著路面如雪路面，動(dòng)力電機(jī)轉(zhuǎn)矩輸出非預(yù)期增大才會(huì)導(dǎo)致整車(chē)過(guò)度轉(zhuǎn)向失穩(wěn)。

2.4 基于Simulink的控制模型建立

在MATLAB/Simulink 中搭建整車(chē)控制模型，與CarSim建立聯(lián)合仿真模型如圖5所示?？刂颇K主要以車(chē)速、加速踏板開(kāi)度為輸入信號(hào)，計(jì)算行駛驅(qū)動(dòng)中的前后軸動(dòng)力電機(jī)需求轉(zhuǎn)矩，研究以40 km/h的車(chē)速穩(wěn)態(tài)圓形行駛為初始狀態(tài)，分別進(jìn)行前后軸動(dòng)力電機(jī)驅(qū)動(dòng)和能量回收制動(dòng)轉(zhuǎn)矩故障注入，觀測(cè)整車(chē)橫擺角速度、側(cè)向加速度、四輪輪速信號(hào)、轉(zhuǎn)向盤(pán)轉(zhuǎn)角和轉(zhuǎn)彎半徑變化，驗(yàn)證HARA分析中的整車(chē)失穩(wěn)及危害情況。

圖5 整車(chē)控制模型

3 仿真結(jié)果

3.1 高附著路面仿真結(jié)果

由圖6～圖9 的仿真結(jié)果可以看出，在附著系數(shù)為0.9 的高附著路面條件下，駕駛員以40 km/h 車(chē)速進(jìn)行穩(wěn)態(tài)圓形行駛，當(dāng)前、后軸驅(qū)動(dòng)轉(zhuǎn)矩發(fā)生非預(yù)期增大故障，1 s后（駕駛員反應(yīng)時(shí)間）駕駛員施加制動(dòng)，整車(chē)側(cè)向加速度、橫擺角速度和轉(zhuǎn)彎半徑都只有較小波動(dòng)，整車(chē)行駛保持穩(wěn)定狀態(tài)，不會(huì)引發(fā)側(cè)向失穩(wěn)危害。當(dāng)前、后軸能量回收轉(zhuǎn)矩發(fā)生非預(yù)期增大故障時(shí)，1 s（駕駛員反應(yīng)時(shí)間）后駕駛員通過(guò)增大加速踏板開(kāi)度，增加前軸驅(qū)動(dòng)轉(zhuǎn)矩，整車(chē)側(cè)向加速度、橫擺角速度和轉(zhuǎn)彎半徑也都只有較小波動(dòng)，整車(chē)行駛保持穩(wěn)定狀態(tài)。

圖6 高附著路面前電機(jī)驅(qū)動(dòng)轉(zhuǎn)矩非預(yù)期增大整車(chē)穩(wěn)定性

圖7 高附著路面前電機(jī)能量回收轉(zhuǎn)矩非預(yù)期增大整車(chē)穩(wěn)定性

圖8 高附著路面后電機(jī)驅(qū)動(dòng)轉(zhuǎn)矩非預(yù)期增大整車(chē)穩(wěn)定性

圖9 高附著路面后電機(jī)能量回收轉(zhuǎn)矩非預(yù)期增大整車(chē)穩(wěn)定性

3.2 低附著路面仿真結(jié)果

由圖10～圖13 的仿真結(jié)果可以看出，在附著系數(shù)為0.25 的低附著路面條件（模擬雪路面）下，駕駛員以40 km/h車(chē)速穩(wěn)定行駛，當(dāng)前軸驅(qū)動(dòng)轉(zhuǎn)矩或能量回收轉(zhuǎn)矩發(fā)生非預(yù)期增大故障時(shí)，整車(chē)橫擺角速度和轉(zhuǎn)彎半徑都有較大波動(dòng)，整車(chē)呈現(xiàn)嚴(yán)重不足轉(zhuǎn)向失穩(wěn)；當(dāng)后軸發(fā)生非預(yù)期驅(qū)動(dòng)轉(zhuǎn)矩或能量回收轉(zhuǎn)矩增大故障時(shí)，駕駛員增加前軸驅(qū)動(dòng)轉(zhuǎn)矩，整車(chē)橫擺角速度和轉(zhuǎn)彎半徑都有較大波動(dòng)，整車(chē)呈現(xiàn)因嚴(yán)重的過(guò)度轉(zhuǎn)向而出現(xiàn)失穩(wěn)狀態(tài)。

圖10 低附著路面前電機(jī)驅(qū)動(dòng)轉(zhuǎn)矩非預(yù)期增大整車(chē)穩(wěn)定性

圖12 低附著路面后電機(jī)驅(qū)動(dòng)轉(zhuǎn)矩非預(yù)期增大整車(chē)穩(wěn)定性

圖13 低附著路面后電機(jī)能量回收轉(zhuǎn)矩非預(yù)期增大整車(chē)穩(wěn)定性

仿真結(jié)果驗(yàn)證了HARA 分析中對(duì)該電動(dòng)四驅(qū)樣車(chē)動(dòng)力電機(jī)發(fā)生驅(qū)動(dòng)轉(zhuǎn)矩和能量回收轉(zhuǎn)矩非預(yù)期增大故障，對(duì)整車(chē)穩(wěn)定性的影響，即前軸動(dòng)力電機(jī)的非預(yù)期轉(zhuǎn)矩增大只有在低附著路面才能產(chǎn)生不足轉(zhuǎn)向使整車(chē)失穩(wěn)，從而暴露度和嚴(yán)重度都應(yīng)相應(yīng)降級(jí)；而后軸動(dòng)力電機(jī)轉(zhuǎn)矩非預(yù)期增大也只有在低附著路面才能產(chǎn)生過(guò)度轉(zhuǎn)向使整車(chē)失穩(wěn)，從而暴露度和嚴(yán)重度也相應(yīng)降級(jí)。

此外，針對(duì)ESC 失效導(dǎo)致的不足轉(zhuǎn)向及過(guò)度轉(zhuǎn)向，使整車(chē)失穩(wěn)達(dá)到的ASIL D 級(jí)功能安全危害風(fēng)險(xiǎn)，目前只能通過(guò)ESC 系統(tǒng)本身設(shè)計(jì)相應(yīng)安全機(jī)制，保證誤觸發(fā)的概率滿(mǎn)足ASIL D級(jí)功能安全的軟硬件、系統(tǒng)開(kāi)發(fā)及驗(yàn)證要求。

4 結(jié)束語(yǔ)

針對(duì)電動(dòng)汽車(chē)進(jìn)行功能安全開(kāi)發(fā)時(shí)，側(cè)向穩(wěn)定性控制功能安全等級(jí)研究是影響整車(chē)安全的重要研究?jī)?nèi)容之一。本文基于某集中式四驅(qū)電動(dòng)汽車(chē)穩(wěn)定性控制功能進(jìn)行了基于ISO 26262 功能安全概念階段HARA 分析及安全目標(biāo)設(shè)計(jì)，并采用CarSim 和Simulink聯(lián)合仿真方式驗(yàn)證了HARA 分析工況及相關(guān)安全目標(biāo)的合理性。對(duì)該集中式四驅(qū)電動(dòng)汽車(chē)，穩(wěn)定性控制功能安全等級(jí)應(yīng)按ASIL D開(kāi)發(fā)，其中電子穩(wěn)定性控制系統(tǒng)（ESC）的非預(yù)期觸發(fā)應(yīng)按ASIL D 開(kāi)發(fā)，動(dòng)力電機(jī)系統(tǒng)的非預(yù)期驅(qū)動(dòng)轉(zhuǎn)矩和能量回收轉(zhuǎn)矩應(yīng)按ASIL B開(kāi)發(fā)。

研究成果可對(duì)電動(dòng)汽車(chē)電控系統(tǒng)的功能安全開(kāi)發(fā)提供技術(shù)支持，后續(xù)應(yīng)開(kāi)展實(shí)車(chē)驗(yàn)證以進(jìn)一步驗(yàn)證研究結(jié)論。同時(shí)，在預(yù)期功能安全方面，后續(xù)進(jìn)行駕駛員在低附著路面下的駕駛誤操作導(dǎo)致車(chē)輛失穩(wěn)的安全機(jī)制設(shè)計(jì)研究。