张鑫 刘元治 周春雨 马腾
(中国第一汽车股份有限公司研发总院,长春 130013)
缩略语
SOCS tate of Charge
ESC Electronic stability control
HARA Hazard Analysis and Risk Assessment
ASIL Automotive Safety Integrity Level
HAZOP Hazard and operability analysis
FMEA Failure Mode and Effects Analysis
FTA Fault Tree Analysis
TSR Technical Safety Requirement
HSR Hardware Safety Requirement
SSR Software Safety Requirement
EPS Electric Power Steering
随着国家对新能源汽车的大力支持以及汽车企业持续性的技术和产品研发投入,中国新能源汽车市场飞速发展。新能源汽车电驱动系统作为颠覆传统燃油汽车的动力源,是影响行驶功能安全的关键,对用户和整车企业至关重要。ISO 26262: 2018 道路车辆—功能安全(Road vehicles—Functional safety)作为汽车行业功能安全开发普遍依据的国际标准,也加强了对新能源汽车功能安全方面的关注[1]。
近年来,国内外学者对汽车功能安全开展了大量研究工作,李波等[2]对功能安全技术在中国的应用现状及发展趋势进行了阐述,并明确了功能安全标准体系发展是基于目标市场,定义出合理的、可接受的量化准则作为车辆电控系统正向开发和测试评价的基准输入,进而通过试验研究得出量化准则,以确保系统在故障、功能不足的情况下,从设计开发源头避免或降低车辆对驾乘人员及周边人员造成伤害,保障车辆运行安全。裴晓飞[3]等提出了一种集成主动制动和主动转向的紧急避撞策略,证明了在高附着路面的主动避障不会导致整车失稳。彭忆强等[4]介绍了功能安全标准的3 个发展阶段,分析ISO 26262 给新能源汽车产业技术带来的挑战及其推进作用,详细论述了功能安全在新能源汽车动力电池、电驱、电控(简称“三电”)关键技术的应用情况,总结了在新能源汽车“三电”领域中,应用功能安全技术的基本方法。伍理勋等[5]阐述了危害分析与风险评估基本方法,并由此确定了电动汽车电机驱动控制器的安全目标和汽车安全完整性等级(Automotive Safety Integrity Level,ASIL)。通过对电子加速踏板安全监控架构分析,提出了其功能监控层的实现方法。周成显等[6]阐述了基于功能安全分析的电机转矩设计管理流程,首先对电机转矩管理的功能安全相关项进行分析,然后对其潜在危害进行分析并开展风险评估,依据该评估结果确定电机转矩管理功能安全等级。吴静波等[7]提出一种基于电子加速踏板安全监控架构的多层监控策略,确定了转矩控制功能安全等级为ASIL C。吴浩等[8]对某电动汽车电驱动力系统纵向驱动功能非预期的失效进行了危害分析和风险评估,确定电控系统功能安全等级为ASIL B。胡焱松等[9]分析了国内电动汽车事故类型,证明了电动汽车事故容易引发起火爆炸的严重后果。张康康等[10]分析了我国现有电动汽车安全相关政策,提出要加强国内电动汽车运行安全保障的措施和意见。方凯正等[11]建议企业在新能源汽车安全方面要更加重视技术研发和产品安全管理。
以上研究主要涉及功能安全技术发展依据的标准、关键分析方法、主要设计流程和常用的安全架构理论内容,但针对四驱电动汽车侧向控制功能失效导致的过度转向和不足转向失稳相关的功能安全分析仍不足。为了提高四驱电动汽车行驶稳定性,本文进行了基于ISO 26262 的功能安全概念阶段危害分析和风险评估(Hazard Analysis and Risk Assessment,HARA)及安全目标设计,并结合仿真和实车试验的方式验证了相关结论,研究成果可应用于四驱电动汽车电控系统的功能安全技术开发。
ISO 26262 是专门为道路车辆功能安全开发制定的标准,适用于汽车产品全生命周期的所有事件。ISO 26262 中电控系统的功能安全开发关键步骤如图1 所示,分为概念阶段、系统阶段和软硬件开发阶段。首先,通过HARA 分析获得顶层的整车级安全需求。然后,各阶段分别将安全需求逐层分解,并落实到电控控制器的软硬件开发当中。最后,所有层级的安全需求都要通过相应测试验证进行闭环,以保证整个电控产品的功能安全开发。
图1 电动汽车功能安全开发过程
概念阶段是从电动汽车整车层级分析功能及非功能需求,并根据初始整车电控系统架构进行相关项的范围定义及功能描述。首先采用危害及可操作性(Hazard and Operability,HAZOP)分析法,根据整车功能进行失效分析,分析各功能失效模式及造成的整车危害。然后进行HARA 分析,即在各工况和驾驶场景下对整车危害引起的风险进行评估,主要包括以下3个评估方面:(1)工况和驾驶场景的暴露度(E);(2)危害发生时的严重度(S);(3)危害发生时驾驶员避免风险的可控度(C)。
通过对这3 个方面进行打分,综合得出汽车安全完整性等级(ASIL),并设计出整车功能安全目标及相关属性。最后根据整车初始架构以安全目标失效为顶事件(Top event)进行故障树分析(Fault Tree Analysis,FTA),设计安全机制,更新初始整车架构,并对架构中各元素提出功能安全需求,制定相应测试、验证规范。
系统阶段需根据概念阶段的功能安全需求,设计各子系统初始系统架构,并以功能安全需求违背为顶事件,进行系统阶段故障树分析,并设计系统阶段的安全机制,更新和分配至系统架构元素中,同步进行系统潜在失效模式分析(Failure Mode and Effects Analysis,FMEA)以验证安全机制是否完整。该阶段需要对系统软件和硬件模块提出相应的技术安全需求、确定相关属性,并针对相应需求制定测试验证规范。
软硬件开发阶段需根据系统阶段的技术安全需求分别设计相应的软件和硬件的架构,并进行故障树安全分析,设计安全机制并进行潜在失效模式分析验证。其中,电动汽车转矩监控算法主要在软件阶段实现。
整个功能安全设计和分析过程是一个从整车级向系统软硬件级进行需求承接和逐步细化的流程,并且对每个过程ISO 26262 针对不同的ASIL 等级给出了明确的完成要求,如表1 所示。ASIL 等级的确定基于严重度(S)、暴露度(E)、可控度(C)影响因子,表1给出了ASIL 等级确定方法,其中QM 表示质量管理(Quality Management),即按照质量管理体系开发系统或功能就可以满足安全要求,不用考虑任何安全相关的设计。确定了危害的ASIL 等级后,为每个危害确定至少一个安全目标,作为功能和技术安全需求的基础。
表1 功能安全完整性等级[1]
对于集中式四驱电动汽车稳定性控制系统(图2),电子稳定性控制系统(Electronic Stability Control,ESC)以当前车速、转向盘转角、加速度为输入信息,进行整车稳定性控制逻辑计算。当ESC 功能触发时,首先与整车控制器通讯,向前后轴动力电机转发转矩清除请求,即ESC 功能触发期间,前后轴动力电机响应整车控制器发送的转矩请求是转发ESC计算的转矩请求。同时,ESC 控制4 个车轮施加必要的机械制动扭矩,以维持整车的稳定性控制目标,保证整车的横摆角速度或质心侧偏角在稳定范围内。
图2 集中式四驱纯电动汽车稳定性控制系统
整车稳定性失效模式主要有不足转向和过度转向2 种。当整车发生不足转向时,前轴失去转向能力,无法进行弯道转向,可发生偏离当前车道行驶的危害;当整车发生过度转向时,后轴产生侧滑,可发生整车失稳旋转危害。对于本研究所用的集中式四驱电动汽车,发生不足转向和过度转向时的原因有2种:
(1)由于ESC 本身失效导致,如控制的四个车轮的机械制动扭矩过大。
(2)由于前、后轴动力电机驱动或能量回收扭矩过大导致。
其中,由ESC 控制的机械制动扭矩足以使整车车轮在任何路面抱死,而前后轴动力电机的驱动或能量回收扭矩则一般在高附着路面不会导致该轴车轮滑转或抱死。陈广秋等[12]从车辆多体动力学、稳定性控制策略及稳定性控制算法方面阐述了目前国内外电动汽车稳定性控制现状,认为在电机控制转矩分配算法应以安全或者节能为目标进行控制转矩分配。王玮等[13]分析了常见的能量回收控制策略优缺点,证明对四驱车辆应采用前后轴制动力比例分配策略。许杰等[14]研究了矢量四驱控制策略,证明轴间和轮间转矩分配可影响整车稳定性。严运兵等[15]提出了基于神经网络PID 控制策略的直接横摆力矩算法,证明了ESC稳定性控制算法会显著影响整车的稳定性能。
针对整车不足转向和过度转向的危害进行HARA 分析,依据ISO 26262 进行严重度、暴露度及可控度的典型场景分析(如表2、表3、表4 和表5 所示),确定集中式四驱电动汽车稳定性功能安全目标。
表2 ESC本身失效导致不足转向HARA
表3 ESC本身失效导致过度转向HARA
表4 前电机系统失效导致不足转向HARA
表5 后电机系统失效导致过度转向HARA
CarSim 模型在计算机上运行的速度比实车控制器的实时运算快3~6 倍,可以仿真车辆对驾驶员、路面及空气动力学输入的响应,主要用来预测和仿真汽车整车操纵稳定性、制动性、平顺性、动力性和经济性,同时被广泛应用于现代汽车控制系统开发。Car-Sim 可以方便灵活定义试验环境和试验过程,详细地定义整车各系统特性参数和特性文件,可以用曲线和三维动画形式观察仿真结果,包括图形化数据管理界面、车辆模型求解器、绘图工具和三维动画回放工具。功率谱分析模块程序稳定可靠。本文以某款集中式四驱电动汽车车型为目标,建立的CarSim 车辆模型如图3所示,整车参数见表6。张雷等[16]提出了一种基于分层架构的轨迹跟踪与直接横摆力矩协调控制策略,并采用了CarSim 和Simulink 联合仿真,证明了该仿真平台的可用性。
表6 整车参数
图3 车辆模型
图4 道路环境模型
道路模型设计按照JTG D20—2017《公路路线设计规范》[17]中表7.3.2,选择转弯半径为60 m 的圆形路线,进行车速为40 km/h 的稳态圆形路线仿真计算,分析不同路面附着系数下动力电机转矩故障注入导致的整车失稳情况。根据HARA 分析结果,集中式四驱电动汽车在高附着路面不会因为动力电机转矩输出非预期增大导致整车过度转向失稳。在低附着路面如雪路面,动力电机转矩输出非预期增大才会导致整车过度转向失稳。
在MATLAB/Simulink 中搭建整车控制模型,与CarSim建立联合仿真模型如图5所示。控制模块主要以车速、加速踏板开度为输入信号,计算行驶驱动中的前后轴动力电机需求转矩,研究以40 km/h的车速稳态圆形行驶为初始状态,分别进行前后轴动力电机驱动和能量回收制动转矩故障注入,观测整车横摆角速度、侧向加速度、四轮轮速信号、转向盘转角和转弯半径变化,验证HARA分析中的整车失稳及危害情况。
图5 整车控制模型
由图6~图9 的仿真结果可以看出,在附着系数为0.9 的高附着路面条件下,驾驶员以40 km/h 车速进行稳态圆形行驶,当前、后轴驱动转矩发生非预期增大故障,1 s后(驾驶员反应时间)驾驶员施加制动,整车侧向加速度、横摆角速度和转弯半径都只有较小波动,整车行驶保持稳定状态,不会引发侧向失稳危害。当前、后轴能量回收转矩发生非预期增大故障时,1 s(驾驶员反应时间)后驾驶员通过增大加速踏板开度,增加前轴驱动转矩,整车侧向加速度、横摆角速度和转弯半径也都只有较小波动,整车行驶保持稳定状态。
图6 高附着路面前电机驱动转矩非预期增大整车稳定性
图7 高附着路面前电机能量回收转矩非预期增大整车稳定性
图8 高附着路面后电机驱动转矩非预期增大整车稳定性
图9 高附着路面后电机能量回收转矩非预期增大整车稳定性
由图10~图13 的仿真结果可以看出,在附着系数为0.25 的低附着路面条件(模拟雪路面)下,驾驶员以40 km/h车速稳定行驶,当前轴驱动转矩或能量回收转矩发生非预期增大故障时,整车横摆角速度和转弯半径都有较大波动,整车呈现严重不足转向失稳;当后轴发生非预期驱动转矩或能量回收转矩增大故障时,驾驶员增加前轴驱动转矩,整车横摆角速度和转弯半径都有较大波动,整车呈现因严重的过度转向而出现失稳状态。
图10 低附着路面前电机驱动转矩非预期增大整车稳定性
图12 低附着路面后电机驱动转矩非预期增大整车稳定性
图13 低附着路面后电机能量回收转矩非预期增大整车稳定性
仿真结果验证了HARA 分析中对该电动四驱样车动力电机发生驱动转矩和能量回收转矩非预期增大故障,对整车稳定性的影响,即前轴动力电机的非预期转矩增大只有在低附着路面才能产生不足转向使整车失稳,从而暴露度和严重度都应相应降级;而后轴动力电机转矩非预期增大也只有在低附着路面才能产生过度转向使整车失稳,从而暴露度和严重度也相应降级。
此外,针对ESC 失效导致的不足转向及过度转向,使整车失稳达到的ASIL D 级功能安全危害风险,目前只能通过ESC 系统本身设计相应安全机制,保证误触发的概率满足ASIL D级功能安全的软硬件、系统开发及验证要求。
针对电动汽车进行功能安全开发时,侧向稳定性控制功能安全等级研究是影响整车安全的重要研究内容之一。本文基于某集中式四驱电动汽车稳定性控制功能进行了基于ISO 26262 功能安全概念阶段HARA 分析及安全目标设计,并采用CarSim 和Simulink联合仿真方式验证了HARA 分析工况及相关安全目标的合理性。对该集中式四驱电动汽车,稳定性控制功能安全等级应按ASIL D开发,其中电子稳定性控制系统(ESC)的非预期触发应按ASIL D 开发,动力电机系统的非预期驱动转矩和能量回收转矩应按ASIL B开发。
研究成果可对电动汽车电控系统的功能安全开发提供技术支持,后续应开展实车验证以进一步验证研究结论。同时,在预期功能安全方面,后续进行驾驶员在低附着路面下的驾驶误操作导致车辆失稳的安全机制设计研究。