插电式混合动力汽车控制系统安全研究

罗晓，杨上东，吴瑞

奇瑞新能源汽车技术有限公司

插电式混合动力汽车控制系统安全研究

罗晓，杨上东，吴瑞

奇瑞新能源汽车技术有限公司

插电式混合动力汽车的纯电动模式和高效的发动机运行模式，能够有效提高汽车节油率。但由于系统的复杂度和电子部件的大量应用，对系统的安全性和可靠性有较高的要求，通过参考国际通用的ISO26262道路车辆功能安全标准对动力系统功能安全进行系统有效的分析,使整车及混合动力驱动系统在发生异常时进入安全状态以保证人员安全和整车安全是混动系统对整车安全开发的重要一环。在系统分析基础上设计混合动力控制器硬件及软件安全监控机制，通过整车控制器（HCU）内部监控芯片对主控制芯片监控及主控制芯片内部互相独立功能模块的对比监控控制器状态，使混合动力驱动系统在异常情况下进入安全状态，以保证人员和整车安全。

插电式混合动力汽车；功能安全；安全机制；安全等级；ASIL

引言

混合动力汽车系统的复杂度和电子部件的大量应用，对系统的安全性和可靠性有较高的要求，在混合动力系统开发过程中引入国际先进的ISO26262道路车辆功能安全标准,该标准从功能安全的角度，详细阐述了开发阶段的要求，其核心价值在于通过系统的功能安全研发管理流程，以及针对电子控制系统硬件和软件的系统化验证和确认方法，保证电子系统的安全功能在面对各种严酷条件时有效，保证驾乘人员以及路人的安全。

通过功能安全分析,采取整车控制器（HCU）内部监控芯片对主控制芯片监控及主控制芯片内部互相独立功能模块的对比监控控制器状态，在车身稳定控制系统（ESP）检测到由于混合动力驱动系统导致整车车轮抱死的情况下，通过整车控制器（HCU）控制电机驱动系统（IPU）及发动机进入零扭矩输出，然后控制变速箱控制系统（TCU）进入空挡，最终使混合动力驱动系统进入安全状态，以保证人员和整车安全。

1.合动力系统功能安全分析设计流程

ISO26262从2005年11月制定，经历6年时间，于2011年11月颁布。适用于总重量不超过3.5吨的乘用车上一个或多个电气/电子安全系统。

混合动力系统功能安全分析设计采用V字型开发模型,图1描述了基于功能安全标准对混合动力系统进行功能安全设计的开发流程。

整个开发过程主要包含以下几个部分：

功能安全概念，通过对系统的风险及危害分析，引出功能安全要求，将安全目标分配给项目初级架构元素或外部降低风险的措施，以确保所要求的功能安全。功能安全概念最终通过安全确认进行评估；

系统设计通过安全测试验证进行评估；

生理生化特征试验结果显示(表5)，菌株CEH-ST79有过氧化氢酶、氧化酶、β-半乳糖苷酶、硝酸盐还原、明胶液化、淀粉水解和酪蛋白测定均为阳性，精氨酸双水解酶、精氨酸脱羧酶、H2S产生、水杨素、吲哚、溶血和脲酶测定为阴性。

软硬件安全需求通过软硬件安全需求测试说明进行验证评估；

详细设计与实现是对具体技术需求的设计实现。

图1.功能安全开发流程

2.合动力系统潜在风险分析及安全目标

根据混合动力系统功能结构框图（图2），混动动总系统潜在风险定义如下：

异常加速及减速

制动扭矩异常丢失

驱动方向与驾驶意图相反

发动机意外启动

图2.混合动力系统功能框图

相关潜在风险从以下几个维度进行相应的评估：

暴露的可能性：E0（几乎不可能）-E4（每次驾驶都可能出现）

可控性：C0（基本都可以控制）-C3（不可控）

严重度：S0（不会造成伤害）-S3（可能造成致命伤害）

根据以上三个维度可以定义出防止风险的安全功能完整性等级，从ASIL A（最低）到ASIL D（最高）。

对安全功能完整性等级有要求的相关安全目标进行汇总整理得出表1与混合动力控制系统相关的安全要求及相应安全目标对应的安全状态。

表1.

3.合动力控制系统功能安全设计

对表1中的安全目标实现的功能链进行功能展开并分析，分解具体功能安全需求及相应的安全机制，通过图3混合动力控制系统安全结构实现系统安全目标并在出现相应安全风险的情况下使系统进入安全状态。

图3整体方案：外部控制器通过CAN通讯与混合动力控制器（HCU）之间进行数据交互；混合动力控制器通过CAN通讯与电机控制系统进行通讯；混合动力控制器通过CAN通讯与发动机控制器（EMS）进行通讯；变速箱控制系统（TCU）根据混合动力控制器的请求状态对变速箱的档位进行控制。混合动力控制器内部主控制芯片存在L1、L2两个数据存储区和L1、L2两个功能模块，L2功能模块实现对L1功能模块的监控诊断，当L1、L2功能模块计算数据对比异常时L2功能模块通过CAN实现对动力系统的安全控制；混合动力控制器内部主控制芯片CPU与监控芯片之间通过SPI串口通讯进行数据交互，监控芯片通过对主控制芯片进行提问以验证主控制芯片是否工作正常。

图3.混合动力控制系统安全结构框图

图4.程图为混合动力控制器硬件安全机制流程图，混合动力控制器内部监控芯片每隔一定时间向主控制芯片CPU发送问题，主控制芯片CPU对问题进行应答，监控芯片根据主控制芯片CPU应答的及时性和准确性判断主控制芯片是否工作正常，在应答正确的情况下，监控芯片继续向主控制芯片CPU提出下个问题，不同的问题数量至少10个以上，循环问答；当主控制芯片CPU应答不及时或出错，监控芯片通过硬件控制信号禁止混合动力控制器CAN通讯，电机驱动系统和发动机系统接收不到混合动力控制器CAN信息后进入零扭矩输出，使系统进入安全状态。

图4.混合动力控制系统硬件安全机制流程图

图5.图6为混合动力控制器车轮需求扭矩安全监控示意图及整车控制器软件安全机制流程图。

混合动力控制器内部主控制芯片分为L1、L2两个数据存储区和L1、L2两个功能模块；程序运行时，L1、L2两个数据存储区分别获取相同外部参数：车速信号及油门踏板深度；L1、L2功能模块通过查表分别获取车轮需求扭矩；L2功能模块对L1及L2轮边需求扭矩进行对比，实现对L1功能模块的诊断；当L1、L2功能模块计算数据对比一致时程序正常运行；当L1、L2功能模块计算数据对比不一致时，系统进入故障状态保护，L2功能层通过硬件控制信号禁止CAN通讯，发动机及电机CAN通讯超时后禁止扭矩输出，使系统进入安全状态。

图5.车轮需求扭矩安全监控示意框图

图6.车轮需求扭矩安全监控流程图

图7.车轮抱死状态安全控制方法流程图。混合动力系统正常行驶状态下车身稳定控制系统（ESP）检测到确认的车轮抱死状态，车身稳定控制系统（ESP）将车轮抱死信息发送给混合动力控制器，混合动力控制器控制电机控制系统和发动机系统输出扭矩为零，使其进入零扭矩状态，混合动力控制器在确认电机控制系统及发动机系统输出扭矩为零后请求变速箱控制系统进入空挡，变速箱控制系统控制变速箱进入空挡，最终实现整车由车轮抱死状态进入安全状态的控制。

图7.车轮需求扭矩安全监控流程图

4.论

本文研究通过在混合动力控制系统中引入ISO26262功能安全标准开发流程对系统进行分析，通过系统分析得到控制系统安全需求及需采取的安全机制并通过控制系统硬件及软件进行实现。

通过对功能安全机制的实现,混合动力控制系统对动力总成可能存在的安全风险进行了有效的控制,保证了混合动力驱动系统的扭矩安全,对整车安全起到了重要作用。

[1]国发〔2012〕22号.节能与新能源汽车产业发展规划（2012—2020年）.

[2]陈清泉，孙逢春，祝嘉光.现代电动汽车.北京：北京理工大学出版社，2002.

[3]崔胜民.新能源汽车技术.出版社：北京大学出版社，2009.

[4]ISO 26262-1-2011道路车辆功能安全.

[5]Integrity,MISRA report2,1999.

[6]C.C.Chan，K.T.Chau.An Overview of Power Electronics in Electric Vehicles[J].IEEE IEEE Transaction on Industry Applications，1997，44(1)：3-13.

[7]白凤良，杨建国，杜传进.混合动力电动汽车电动机的仿真建模与分析.武汉理工大学学报.2003第5期

[8](英)汤姆·登顿(Tom Denton)张云文《汽车故障诊断先进技术》.出版社：机械工业出版社

罗晓（1983-），男，汉族，湖北钟祥人，研究生，工程师，电动汽车及混合动力汽车电驱动系统控制技术、故障诊断技术、功能安全纯电动车动力系统开发及功能安全。