用于发动机控制功能安全评估的破坏者模型建模方法

2014-06-05 15:30静,张震,谢
关键词:破坏者缸内曲轴

秦 静,张 震,谢 辉

用于发动机控制功能安全评估的破坏者模型建模方法

秦 静,张 震,谢 辉

(天津大学内燃机燃烧学国家重点实验室,天津 300072)

为了评价发动机控制的功能安全,建立了基于曲轴角度的缸内模型作为基础模型,依据ISO 26262协议的要求,提出了用于发动机控制功能安全评估的破坏者模型思想,并以柴油机燃油系统为例,详细说明了破坏者模型的概念和构建思路.通过在LABCAR的HIL平台上实时运行,证实破坏者模型可以为发动机控制器开发提供多种产生风险的案例,是提高发动机控制功能安全的有效工具.

功能安全;ISO 26262;LABCAR;破坏者模型

功能安全是与EUC(受控设备)或EUC控制系统有关的整体安全的组成部分,取决于电气/电子/可编程电子(E/E/PE)安全系统、其他技术安全系统和外界风险降低设施功能的正确行使.设备或控制系统的安全功能在正常条件和故障条件下都应得到保证[1].车辆电子电气系统同样需要功能安全的实施.为避免车辆相关EUC和EUC控制系统失效带来的风险,国际标准化组织历时6年,从IEC 61508中派生出专门针对车辆电子电气系统功能安全的国际级标准ISO 26262[2].ISO 26262是一套关于风险管理和安全技术实现的标准.

硬件在环仿真(HIL)在发动机控制器开发中的作用越来越明显,在ISO 26262中也规定其为实施验证软件安全需求的测试环境之一,并推荐了具体的案例生成方法和测试方法.ISO 26262推荐的HIL测试场景有ECU单个功能测试、软件集成测试和ECU网络测试.同时,基于HIL的测试还包括需求测试、故障注入测试、外部接口测试、通讯测试、资源利用率测试以及压力测试等[3].

本文依据ISO 26262对HIL的要求,提出了一种用于发动机控制功能安全评估的HIL模型概念,即破坏者模型;将该模型在HIL系统中运行,进行柴油机控制器安全相关功能的测试,提高柴油机控制器的功能安全综合等级.限于篇幅,本文以燃油系统为例,解释了该破坏者模型的实现方法.

1 破坏者模型的提出

1.1 破坏者模型提出的背景

在柴油机控制器开发的概念阶段,ISO 26262要求定义出柴油机控制器中可能出现的风险,并对风险进行评估.比如,柴油机控制器失效导致的风险包括车辆意外的加速及由此产生的意外加速损失等,根据表1和表2,严重性(S)、可控性(C)和暴露性(E)分别评级后,意外的加速被评级为ASIL C级[4].

表2 安全综合等级评定Tab.2 Automotive safety integrity level(ASIL)of unintended-acceleration

在车辆意外加速这一风险进行安全评级后,需制定出安全目标,并依次在系统层、硬件层、软件层及生产和操作4个阶段,定义风险减少的措施.这些风险减少措施包括系统层的技术安全要求,技术安全要求在硬件层、软件层和外部机构上的分配以及安全要求的验证等.

技术安全要求在硬件上的分配主要是规定与安全相关的硬件的随机失效率,单点故障失效率和潜在故障失效率必须满足一定的量化指标.比如,ASIL C级别的硬件随机失效率需在1×10-7,h-1以内,加速踏板信号采集的相关硬件安全等级最高.因此,踏板开度信号的采集电路采用冗余设计,以减少随机失效的概率.

技术安全要求在软件上的分配主要是严格的软件设计规范以及足够的安全相关功能.软件层的安全相关功能也就是指各控制模块对其控制对象进行监控,防止造成意外加速,以及造成意外加速后,控制算法必须做出适当的处理,以保证系统的功能安全.如燃油系统控制模块中的轨压监控、对喷油器流量的监控,发现异常则对控制功能进行降级等.

针对系统控制模块开发中软件层的安全功能,需要建立能够模拟出由系统各种失效造成的意外加速风险的模型,本文将其定义为破坏者模型.因此,破坏者模型的概念为依据功能安全标准建立的能够仿真出由特定失效引起的特定风险的模型,用于测试控制器对风险的监控和应对能力,可提高控制器的功能安全的实时模型.破坏者模型应符合ISO 26262在软件层测试中推荐的基于需求的测试、接口测试和鲁棒性测试等HIL测试方法.虽然线束故障也是造成风险的因素之一,但是线束故障的模拟工具已经开发得非常完善,在此不列入破坏者模型的范围.

1.2 破坏者模型的特点

针对柴油机控制器软件中越来越多的安全功能的需求,被控系统的失效作为监控应对功能或是鲁棒性考虑,将成为开发的重要的设计案例[5].目前的HIL测试主要是以正常的功能需求测试为主,不能为ECU功能安全的测试评估提供失效案例.

破坏者模型为了可以更精确地模拟出系统的各种失效,采用了基于曲轴角度的缸内模型为基础模型,为ECU提供轨压波动、缸内工质的温度、缸内压力等信号输入,并为ECU提供监控和诊断的对象.

根据技术安全要求在软件上的分配,传感器、执行器的失效必须作为软件设计和测试的案例.如果是特定的机械故障可以引起执行器、传感器等电子信号的变化,也是要在设计和测试中作为控制系统的鲁棒性进行考虑的.破坏者模型由两部分构成:基于曲轴角度的发动机工作过程模型(即基础模型)和失效模型.失效模型主要用于模拟引起系统风险和危害的失效行为,具体包括如下功能:

(1) 具备仿真传感器失效造成风险的能力;(2) 具备仿真执行器失效造成风险的能力;(3) 具备仿真电子电气信号变化的机械失效造成风险的能力;

(4) 具备实时输出瞬时转速信号的能力.

上述风险是指在概念阶段经过风险分析和评估所确定的风险.

1.3 破坏者模型的构建方法

依据破坏者模型的概念和特点,提出破坏者模型构建的基本方法如下.

(1) 分析发动机控制分析可能发生的风险.

(2) 针对某一风险,分析可能造成这一风险的传感器失效、执行器失效以及可引起电子电气信号变化的机械失效行为特征.

(3) 建立可以反映发动机每个系统工作机理的物理模型,作为破坏者模型的基础模型.

(4) 针对可能造成风险的失效,注入故障因子,实现对系统的“破坏”.

燃油系统是柴油机运行的核心系统,本文以此为例说明破坏者模型的建立思路.即以减少柴油机共轨燃油系统控制模块造成的意外加速这一风险为目的,建立了柴油机共轨燃油系统的破坏者模型,为控制模块的软件层提供了多种失效案例,便于监控或应对算法的开发,提高软件层的功能安全.

2 破坏者模型的基础模型

基于破坏者模型所需具备的特性,本文通过修改ETAS公司的柴油机车辆模型DEVM,建立了基于曲轴角度的缸内模型作为破坏者模型的基础模型.改进的主要模型为曲轴动力学模型、进排气门模型、共轨燃油系统模型、燃烧放热模型、缸壁散热模型和摩擦扭矩模型.各模型要依据不同的发动机配置结构参数,并与发动机实验数据对照.

2.1 曲轴动力学模型

曲轴角度是整个柴油机模型工作的时钟.建立曲轴动力学模型主要考虑了曲轴的转动矩Teff_eng和活塞、曲轴连杆往复运动克服的重力矩TDri[6].对于不同的发动机,曲轴动力学模块库只需要标定曲轴的转动惯量Icrank和活塞连杆的振荡质量mosc便可完成该模块的配置.

利用曲轴连杆与活塞的简化几何关系,求解此微分方程得出发动机转速n、活塞位置Piss、活塞速度及活塞加速度.图1为活塞位置随曲轴转角的变化.

图1 活塞位置随曲轴转角的变化Fig.1 Piston position changes with the crank angle

2.2 进排气门模型

首先要建立进气门升程和流量面积的模型.将凸轮轴型线简化为sin2ϕ,并对进排气门的形状也做了一定的简化.

进排气门的流量系数方程为

式中:A为进气门面积;m为进气量;p为压力;T为温度;假设流动为绝热过程,k取1.4;dC为修正系数,暂时取1,如果要对该模块进行修正,则标定该修正系数[7].简化后的进气门流通面积的公式为

式中:invaln为每一缸内的进气门个数;l为进排气门升程;d为进排气门直径.进气门和排气门模型只需标定最大升程、直径、开启角度和持续角度便可配置不同的发动机.

2.3 共轨燃油系统模型

高压油泵每循环供油量计算公式为

式中:i为传动比;N为柱塞个数;η为供油系数.

高压共轨轨压计算公式为

泄压阀流量公式为

喷油器模型为

式中:Nnozzle为喷孔数量;Anozzle为喷孔截面积.由于喷油器的种类有限,喷孔数量和喷孔直径很容易获取.

2.4 缸内模型

缸内模型是基于充排法、质量守恒及能量守恒建立的,包括缸内质量模型、缸内工质温度模型、压力模型和放热模型[8].缸内质量模型则是由质量守恒得出.缸内工质温度的计算式为

本文对缸内的燃烧采用均匀混合气零维燃烧的假设,采用阿列纽斯反应率方程计算柴油燃烧速率[9],则有

式中:Ea为柴油反应活化能,取Ea/R=4,650;cO2为缸内氧气浓度;cfuel为缸内柴油浓度;QLHV为柴油低热值,取2×107;KArrh为不同工况下标定的柴油燃烧对应的阿列纽斯系数.图2为转速1,000,r/min、预喷喷油量11,mg、主喷喷油量139,mg时,缸内燃油质量变化曲线,可反映出缸内喷油速率和燃油燃烧速率的变化.

图2 缸内燃油质量变化曲线Fig.2 Fuel quality changes in cylinder

缸内压力则使用理想气体状态方程得出.图3为缸内压力变化.

图3 稳定工况下缸内压力变化Fig.3 Cylinder pressure under the stability condition

2.5 缸壁散热模型

本文采用Woschni's公式计算壁面散热[10],即

w 压缩过程和做功过程中分别取不同的值;wallA为散热壁面面积.

2.6 摩擦扭矩计算模型

由于瞬时摩擦扭矩计算量较大,基于实时模型的考虑,本文采用平均摩擦扭矩计算的经验公式,即

式中:Vdis为柴油机总排量;k1=1.4×105;Rb为活塞环和曲轴轴承设计所承受的低速增压比;μ=1.8;k2=8.6×10-3;k3=2.15×10-7;B0=0.075.

3 共轨燃油系统破坏者模型范例

为了降低意外加速这一ASIL C级别的风险,技术安全要求中应包含硬件设计要求和软件中对燃油系统控制和监控的要求.因此,在共轨燃油系统的控制和监控算法开发中,需要建立共轨系统的破坏模型来测试软件层的功能安全要求.

共轨燃油系统破坏者模型,是指可以仿真共轨燃油系统中传感器、执行器以及机械结构失效造成的风险,验证ECU中对燃油系统失效的监控和响应策略的实时模型.

本文在缸内模型的基础上,举例说明了破坏者模型思想在共轨燃油系统中的应用.依据所提出的破坏者模型的功能定义,燃油系统的破坏者模型应当具备以下条件:

(1) 仿真可能造成意外加速的共轨燃油系统中传感器失效的能力;

(2) 仿真可能造成意外加速的共轨燃油系统中执行器失效的能力;

(3) 仿真可能造成意外加速并能造成电子电气信号变化的共轨燃油系统中机械故障的能力;

(4) 实时输出瞬时转速信号的能力.

3.1 轨压传感器漂移

如果轨压传感器漂移,实测值比实际值小很多,那么控制软件在没有安全算法时会继续提升轨压,导致实际喷油量会比正常喷油量大很多,从而会产生意外的扭矩并带来意外加速.因此,需模拟轨压传感器漂移这一传感器失效现象来测试燃油系统控制软件对此的监控和应对.

本文参考航天发动机在故障诊断时建立故障方程的方法,在轨压传感器模型中加入故障因子用以模拟轨压传感器的漂移,并统一管理故障因子.故障因子是发动机部件故障状态的表征,它代表了由于故障所引起的部件特性线的平移.基础的缸内模型中不包含任何故障的信息.建立故障方程时,对每一个独立的部件特性相应地引入一个故障因子[11].

轨压传感器模型实际为一个压力转换为电压的线性方程.采用特性平移法对其加入故障因子,即输出的轨压电压值比正常情况小R,即如图4所示,轨压保持不变时,轨压传感器漂移后电压输出值降低.

图4 轨压与轨压传感器电压信号曲线Fig.4 Voltage curves of rail pressure senser and rail pressure

3.2 喷油器电磁阀关闭不严或关闭迟缓

本文对各缸喷油脉宽加入故障因子,可仿真各缸喷油脉宽的不一致性,同时可仿真喷油器电磁阀关闭不严造成某缸喷油量过大带来的意外加速.由图5可见,一缸喷油器喷油脉宽异常变大,造成喷油量变大、单缸缸压升高.

图5 单缸喷油脉宽异常增大Fig.5 Abnormal increase of injection pulse-width in one cylinder

由此可见,基于曲轴角度的柴油机缸内模型可以更加灵活、更加逼真地模拟各种失效.采用同样的方法对其他可能造成意外加速风险的传感器和执行器失效进行仿真.同时通过对各机械结构的故障因子的添加可以实现机械故障的仿真.

3.3 瞬时转速输出

缸内模型离线仿真都可以计算出瞬时转速.实时输出瞬时转速才是需要解决的问题.以前的HIL测试中是将曲轴一周的波形存储在HIL平台的波形表中,一个周期内的曲轴信号的齿间距离和幅值是不变的,无法反映出真实发动机中各种失效带来的瞬时转速的变化.本文在LABCAR系统1335板卡波形表中存储一个码盘的波形(使用正弦信号代替曲轴齿),幅值和齿间距离是与瞬时转速相关的.图6为通过示波器采集到的LABCAR实时输出的曲轴信号,反映出突加速时的瞬时转速,同时曲轴信号的电压幅值和2个齿间的时间都更接近真实的瞬时转速信号.

图6 突加速过程中的瞬时转速Fig.6 Transient speed during acceleration

4 破坏者模型基础模型的HIL运行

4.1 LABCAR硬件通道与模型的连接

本文所采用的HIL仿真平台包括LABCAR、监控PC、LABCAR-IP和EE.其中,LABCAR包括RTPC及多种板块,可用于实时的运算和信号的采集与产生;LABCAR-IP具有配置LABCAR板卡硬件、管理仿真模型与硬件的信号连接、管理仿真任务及通讯信号等功能;EE则具有对RTPC中运行的模型进行监控标定的功能.

LABCAR在Simulink中嵌入了Input_Port和Output_Port两个模块.通过在LABCAR-IP中配置LABCAR的各板卡通道与Input_Port和Output_Port的连接,可实现模型与真实信号的转化.

将模型中计算的转速、缸压、轨压及各种温度数值用Output_Port输出,在LABACR-IP的Connection Manager里连接该Output_Port与专门的板卡通道,将模型信号转化为真实值输出.

4.2 破坏者模型的实时性和瞬时性

依据具体柴油机的物理参数配置基础缸内模型,并对每个库进行实验数据对比.将模型下载到LABCAR中,使用本实验室自主研发的柴油机控制器进行闭环仿真.

将模型的每一步计算的任务周期在LABCAR-IP分配到0.05,ms中,从而保证了柴油机基础缸内模型在3,000,r/min以下都能在每个曲轴角度下运算1次,计算出每个曲轴角度下的瞬时转速、缸压和缸内温度等.图7为通过示波器采集到的LABCAR实时输出的缸压信号的电压值.

图7 LABCAR的DAC通道输出缸压的电压信号Fig.7 Analog voltage signals of cylinder pressure out by DAC channel in LABCAR

5 破坏者模型的功能安全评估

5.1 轨压传感器漂移

将LABCAR连接自主研发的柴油机ECU对模拟的失效进行实时仿真,测试未添加此失效监控和应对算法的ECU的反应.如图8所示,虚线为柴油机转速,实线为轨压,点划线为轨压传感器输出的电压值.在启用了轨压传感器故障因子后,实际输入给ECU的轨压电压值降低,但是实际轨压反而升高,ECU误认为供油不足而增大了油泵计量单元开度,使得轨压突然上升,最终柴油机转速也从1,100,r/min意外增加到1,700,r/min.

图8 轨压传感器漂移后转速意外增加Fig.8 Unintended-acceleration after the drift of rail pressure sensor

针对此种失效,ECU没有任何的监控和应对措施,可见尚不满足功能安全的要求.因此可以在ECU燃油系统控制软件中添加各个工况下轨压的期望值作为轨压安全基准,如果采集到的轨压值与此期望值偏差超过一定值则认为存在失效,对系统进行降级,同时减小扭矩或是紧急停车.

5.2 喷油器电磁阀关闭不严或关闭迟缓

LABCAR通过1336板卡采集各缸喷油脉宽,开启对一缸喷油脉宽的故障因子实时仿真喷油器电磁阀关闭不严或关闭迟缓.如图9所示,虚线为一缸的喷油脉宽,实线为柴油机转速.故障因子开启后,转速由1,050,r/min升高到1,130,r/min,并且转速波动变大.

图9 喷油器关闭不严或关闭迟滞造成的转速意外增加Fig.9 Unintended-acceleration caused by fuel valve closure lax or sluggish

针对此种失效,可以在ECU燃油系统控制软件中添加对喷油器真实喷油量的监控算法,并做失效处理.

6 结 论

发动机的控制系统日益复杂,控制的功能安全也越来越受关注.本文依据ISO 26262中的风险分析和评估,对柴油机控制系统可能造成的意外加速这一风险进行评级,并为减少这一风险在软件层开发过程中建立了用于HIL的破坏者模型,针对该风险进行评估测试从而提高软件层的功能安全.主要结论如下.

(1) 提出了用于功能安全评估的破坏者模型基本思想和构建方法.破坏者模型由2部分构成,即基于曲轴角度的发动机工作过程基础模型和模拟可引起系统风险和危害因素的失效模型.

(2) 以柴油机共轨燃油系统控制模块的开发为例,建立了典型失效行为模拟的失效模型.在燃油系统的基础模型中加入故障因子,仿真燃油系统中可能造成意外加速这一风险的失效.

(3) 通过基于LABCAR的HIL系统的实时运行,对破坏者模型进行了验证.结果表明,该模型可为发动机控制器软件层的开发提供风险案例以评估ECU的功能安全.

[1] International Electrotechnical Commission. IEC 61508 Functional Safety of Electrical/Electronic/Programmable Electronic Safety-Related Systems[S]. Gereva,Switzerland:IEC,1998.

[2] International Organization for Standardization. ISO 26262 Road Vehicles—Functional Safety[S]. Gereva,Switzerland:ISO,2011.

[3] Himmler A. Hardware-in-the-loop testing in the context of ISO 26262[C] // SAE Paper. Detroit,USA,2012:2012-01-0035.

[4] Hamann R. ISO 26262 release just ahead remaining problems[C]// SAE Paper. Detroit,USA,2011:2011-01-1000.

[5] Sachs H,Gojny M,Carl U. Robust detection of oscillatory and transient aircraft actuation system failures using analytical redundancy[C]//SAE Paper. Detroit,USA,2009:2009-01-3175.

[6] 周龙保. 内燃机学[M]. 北京:机械工业出版社,2005.

Zhou Longbao. Internal Combustion Engine[M]. Beijing:China Machine Press,2005(in Chinese).

[7] Gambarotta. A,Lucchetti. G. A thermodynamic mean value model of the intake and exhaust system of a turbocharged engine for HiL/SiL applications[C]//SAE Paper. Detroit,USA,2009:2009-24-0121.

[8] Heywood J B. Internal Combustion Engines Fundamentals [M]. New York:McGraw-Hill,1988.

[9] Philip O. A model diesel with turbocharger,EGR and cylinder pressure calculation for HiL and SiL[C]//5th Symposium:Control Systems for Power Trains of Motor Vehicles. Berlin,Germany,2005.

[10] Ramos J I. Internal Combustion Engine Modelling [M]. Washington:Hemisphere Publishing Corporation,1989.

[11] 范作民,孙春林. 发动机故障方程的建立与故障因子的引入[J]. 中国民航学院学报,1994,12(1):1-15.

Fan Zuomin,Sun Chunlin. Development of engine fault equation and introduction of fault factors[J]. Journal of Civil Aviation Institute of China,1994,12(1):1-15(in Chinese).

(责任编辑:孙立华)

A Break-Down Model for Evaluation to Engine Control Function Safety

Qin Jing,Zhang Zhen,Xie Hui
(State Key Laboratory of Engines,Tianjin University,Tianjin 300072,China)

In order to evaluate the engine control function safety, a method of break-down model is proposed according to ISO 26262. The break-down model is built based on a simplified crank angle based diesel engine. The fuel system is used as an example to specify the concept and construction idea of break-down model. Through the real time operation of LABCAR HIL platform, it’s verifiedthat the model can provide many cases of risk for engine controller development, and is an effective tool to improve the engine control function safety.

function safety;ISO 26262;LABCAR;break-down model

TK427

A

0493-2137(2014)10-0856-07

10.11784/tdxbz201210053

2012-10-29;

2012-12-03.

国家高技术研究发展计划(863计划)资助项目(2012AA111709).

秦 静(1979— ),女,博士,副研究员,qinjing@tju.edu.cn.

谢 辉,xiehui@tju.edu.cn.

猜你喜欢
破坏者缸内曲轴
让破坏者变成修复者——雄安检察机关办理首起刑事附带民事污染环境案
肿瘤相关巨噬细胞:守护者还是破坏者
柴油机纯氧燃烧过程及缸内喷水影响的模拟研究
浅析曲轴磨床的可靠性改进
一种曲轴竖置热处理装置设计
缸内直喷发动机的燃烧和爆震仿真分析
基于支持向量机的曲轴动平衡控制方法
支持直接喷射汽油机欧6开发目标的缸内和循环可辨颗粒生成的评估
创新的曲轴零件试验方法
汽轮机低压排气缸内流场的PIV实验研究