基于功能安全分析的混合动力汽车扭矩管理研究

2021-05-17 15:02周成显叶新伟郑乐堂

汽车实用技术 2021年8期

周成显，叶新伟，郑乐堂

（山东汽车制造有限公司汽车工程研究院，山东烟台 265200）

1 前言

当前，越来越多的智能化电器、控制器应用到汽车上，使其电子架构日趋复杂，其中任何一个器件出现故障, 都可能会导致整车出现安全问题。调查数据显示，汽车控制系统中由于有缺陷的软件和硬件所引发的故障已占到由汽车电子装置引起的故障的60%以上。相比传统车辆，混合动力汽车还有电机、电池、电动附件等系统的应用，发生安全事件的可能性更大且危害更高。

功能安全（Functional Safety）要求无论零部件或者安全相关控制系统发生的失效，都需要使受控设备可靠地进入和维持安全状态，避免对人员或者环境产生危害。扭矩管理是电动汽车整车控制的基础，任何扭矩异常都有可能导致危害的产生，并且扭矩的异常变化对驾驶舒适性也有一定影响。

目前多数新能源汽车整车控制器未采用ASIL风险分析确定风险等级并采用相应的应对措施，本文针对整车控制器关键的扭矩管理策略进行风险分析并进行相关的功能安全开发，以提高整车控制器的功能安全等级。

2 基于功能安全分析的扭矩管理策略

2.1 设计流程

本技术通过对当前扭矩管理策略分析，针对原有技术的缺点，确定了基于功能安全的整车扭矩管理策略。其实施过程如图1所示。

首先确定扭矩管理功能安全相关的功能定义，然后通过对相关项进行危害分析和风险评估，在此基础上评定扭矩管理的ASIL等级，再根据模块的ASIL等级进行扭矩管理策略的开发。

图1 基于功能安全分析的扭矩管理设计流程

2.2 功能安全相关项分析

基于整车功能需求对扭矩管理系统的功能安全所涉及对象进行描述，确定系统需要的功能、边界条件、接口等要求。如表1示例：

表1 功能安全相关项分析示例

2.3 功能安全需求确定

功能安全需求确定需要首先进行危害分析及风险评估，然后根据分析结果确定功能安全等级。

对扭矩管理的危害分析及风险评估主要对潜在危害以及其产生该危害的故障行为逐条分析，确定该危害的严重性等级（S）、暴露率（E）、可控性（C），然后再确定扭矩管理系统的安全目标、安全状态以及ASIL风险等级。基本内容如表二所示。其中ASIL等级可根据ISO26262功能安全原则进行确定，其确定原则是S、C、E三参数之和小于7为QM（质量管理），等于7为A级，等于8为B级，等于9为C级，等于10为D级（ASIL等级依次增加）。通过对上述危害进行分析确定扭矩管理模块地风险等级为C，需要采用一定的功能安全措施。

表2 扭矩管理策略的功能安全风险分析示例

2.4 功能安全设计

为实现扭矩管理模块的ASIL-C等级的功能安全要求以及相应风险的安全目标，扭矩管理策略采用主辅MCU的三层监控架构[1]。上层的功能控制模块运行在主MCU中，即图2的level1和level2，其中level1为HCU基本控制功能实现层，level2为扭矩监控层，level3为软件流及硬件监控模块，主要运行在辅MCU。主辅MCU通过SPI通讯，紧急情况下采用主辅双MCU共同控制。

图2 扭矩管理架构

基于上述扭矩管理架构，第一层实现扭矩管理的基本控制，第二层实现扭矩的实时监控及修正，第三层则实现对程序流和核心硬件的监控，其具体内容如图3所示。

Level1为基本的扭矩控制策略层，整车控制器采集加速踏板、制动踏板、发动机、电机信号，经过信号处理后解析为驾驶员需求扭矩，驾驶员需求扭矩再分配为电机请求扭矩和发动机请求扭矩，前述扭矩再与电机、发动机外特性和经济运行特性曲线限制进行比较确认后，再与level2和level3的允许扭矩仲裁，最终得到一个合理扭矩请求，该合理扭矩需求通过CAN发送模块发送到总线上，从而实现第一层功能控制。

Level2为扭矩监控层，整车控制器会对踏板进行冗余信号分析，同时对相应的电机、发动机、电池、AMT反馈信号（或故障信号）进行实时判断，得出当前状态下的电机、发动机的允许扭矩；再同发动机、电机实际采集到的扭矩进行比较，判断目前的扭矩变化状态的合理性，并将允许扭矩发送至Level1中的扭矩限制模块[2]，该模块通过仲裁将最终合理的扭矩请求发到总线上，从而实现第二层的扭矩监控管理。

图3 基于分层架构的扭矩管理策略

Level3为软件流、硬件模块监控层，通过独立的MCU运行空间，来判断主程序运行的MCU主要模块的工作状态以及程序流状态，监控功能控制模块Level1、Level2运行是否正常，并直接限制和控制电机、发动机。

3 结论

本文按照基于功能安全分析的扭矩管理设计流程首先对扭矩管理的功能安全相关项进行分析，然后对扭矩管理的潜在危害进行分析，同时评估其风险，最后根据评估结果确定扭矩管理的功能安全等级为ASIL-C。为实现该等级的功能安全要求以及相应风险的安全目标，扭矩管理采用主辅MCU的三层监控架构。上层的控制功能运行在主MCU运行控制功能，同时对扭矩进行监控，辅MCU主要运行软件流及硬件监控。该设计流程及设计方法也适用于纯电动汽车。