純電動汽車轉矩控制安全概念與轉矩監控模型

趙征瀾

（東風汽車集團有限公司 技術中心，武漢 430058）

隨著車輛電控系統復雜度的提高，在越來越多的軟件和電氣設備應用中，來自系統和軟硬件失效的風險也日益增加。一旦失效發生，不僅危及車輛駕乘人員和行人的生命安全，也會因車輛召回、賠償等事件使車輛生產企業面臨利潤和商譽損失的巨大風險，如何規避這些風險成為汽車企業亟待解決的重要課題。

ISO 26262為避免這些風險提供了可行性的要求建議和流程規范，它是IEC 61508（GB/T 20438）對道路車輛功能安全要求的具體應用，適用于所有與安全相關的由電子、電氣、軟件組成的系統在整個生命周期內的所有活動[1]。ISO 26262中指出，系統安全可以從大量的安全措施中獲得，包括各種技術的應用（如機械、液壓、氣動、電氣、電子，以及可編程電子元件）。本文主要根據ISO 26262的相關要求并結合實踐經驗，對純電動汽車整車控制策略中如何根據安全概念設計來定義安全機制以避免風險、保證系統安全等方面進行研究。

以純電動汽車的轉矩控制策略為基礎，引入轉矩監控防止因失效而產生不可控制的轉矩，避免整車處于不期望的加速或不期望的減速等危險狀態。轉矩監控模型設計的基本思路是轉矩控制指令的異常不能超過安全范圍，在某純電動汽車的整車控制策略開發中，以功能運行模型為基礎設計了失效安全模型作為實現轉矩監控安全機制的架構模型。在策略運行過程中，將實際計算出的轉矩需求與根據危險度量計算的轉矩限值進行比較，確保不會因自身失效而產生不安全的轉矩指令。

1 功能安全概念設計的目標

隨著復雜度的提高，以及軟硬件和機電一體化應用的增加，車輛電控系統發生系統性失效和隨機硬件失效的風險不斷增加，需要通過一系列需求定義和設計過程來避免這些風險。首先進行危害分析和風險評估，危害分析和風險評估的流程要考慮暴露的可能性、可控性和嚴重性，以確定項目的安全目標和合適的汽車安全完整性等級（Automotive Safety Integration Level，ASIL）。

危害分析和風險評估完成后，再進行安全概念設計，主要目的是從安全目標中導出功能安全需求，并將它們分配到產品的初級體系結構中或者外部降低風險的方法中以保證所要求的功能安全性。基于安全目標進行安全概念設計，目的在于考慮具體的系統基本架構。針對每一個安全目標，提出功能安全要求并定位到相應的系統、子系統或功能模塊，包括如何探測和緩解失效，如何利用安全機制分解降低子系統或模塊的風險等級，如何通過警告駕駛員或系統功能降級過渡到安全狀態，對每個項目元素中的功能安全要求進行細化和具體化。

基于安全概念中設計的機制和措施，再根據項目定義、危害分析和風險評估、安全目標的設定，以及考慮來自外部的一些預想架構、功能、操作模式和系統狀態等，可以將功能安全要求進行適當的分配。利用ASIL分解法指定項目內子系統的ASIL等級，如圖1所示，將安全目標合理地分配到子系統當中[2]。

圖1 安全概念設計中的安全目標分解和定位

2 功能安全概念設計方法

2.1 安全目標分析

為了達到安全目標，利用安全概念設計了基本的安全機制和安全措施，考慮項目內部和外部的一些預想架構、功能、操作模式及系統狀態因素，可以將功能安全要求進行適當的分配。利用ASIL分解法將安全目標合理地分配到子系統當中。

以某純電動汽車的安全概念設計為例，針對不期望的加速和不期望的減速兩項整車危害，根據功能定義和危害分析識別整車控制系統中與安全相關的功能和存在的危險，確定整車控制系統的安全目標，見表1（危害事件的ASIL等級由低到高分為ASIL A、ASIL B、ASIL C和ASIL D，應將為危害事件所確定的ASIL等級分配給對應的安全目標；QM是指除了4個ASIL等級之外，根據質量管理標準進行控制的等級）。

2.2 風險等級分解和安全機制設計

明確安全目標后，通過風險等級分解和安全機制設計將整車控制系統的安全目標分解到內部子系統中。由表1可知，該整車控制系統總體風險等級為ASIL C，根據ISO 26262的要求，應避免所有由單點故障引起的安全目標的破壞，并且應通過監控功能、監控軟件運行和監控硬件的安全機制來避免安全目標的破壞。由表2可知，通過風險等級分解和安全機制設計將安全目標分配到系統結構中或者外部降低風險的方法中，以保證要求的功能安全性。

表1 整車控制系統功能分析和安全目標

表2 整車控制系統各個功能安全目標的分解

2.3 安全狀態定義

安全概念設計要進行安全狀態的定義，駕駛員的操作模式和緊急操作時間間隔，故障可容忍的時間間隔，采用功能冗余降低系統（包括軟件、硬件、傳感器、執行機構、通信）的風險等級。可以通過故障樹分析（Fault Tree Analysis，FTA），失效分析（Failure Mode and Effect Analysis，FMEA）等方法來支持功能安全要求的完善。安全概念設計中應遵循以下幾點：（1）對故障的檢測和故障的降級。（2）有危險發生的可能性時轉換至安全狀態。（3）容錯機制，即一個錯誤不會直接破壞安全目標，并保證系統在安全狀態。（4）故障檢測和駕駛員提醒可使人暴露在危險中的可能性控制在一個可接受的時間間隔（響應問答和終止響應）。（5）仲裁邏輯電路可以通過不同的子系統同時在多路問答中選擇最合適的控制要求。

安全機制是ISO 26262中提出的關鍵概念，它是保證系統能夠進入或保持在安全狀態的措施。為了避免危害相關人員，一個系統必須設計安全機制，并通過驗證和確認來證實安全機制的有效性，以下是安全機制的幾種實現方式：（1）與系統本身故障的檢測、指示和控制有關的措施（系統或單元的自我監控）。（2）與系統結合的外部設備內部涉及故障的檢測、指示和控制的措施。（3）能使系統達到或保持一個安全狀態的措施。（4）詳細表述及實現警報和降級概念的措施。（5）阻止錯誤隱匿的措施。

3 純電動汽車轉矩控制安全機制

目前，純電動汽車的動力總成采用的是基于轉矩的控制策略，即控制系統通過對駕駛員需求及車輛狀態的分析，得到當前驅動車輛所需要的轉矩，然后發出轉矩指令控制動力源驅動車輛。基于轉矩的控制方法可以實現對整車動力性、經濟性、舒適性的綜合優化，但是在這種控制方法下，一旦控制系統的指令出錯，可能在驅動輪處產生異常驅動力，引起超出駕駛員期望的加速或減速，甚至超出駕駛員的控制能力，造成引起人身傷害的危險[3]。因此，控制系統需要設計安全機制來應對這種超出范圍的加速或減速，使車輛在發生危險前重新進入安全狀態。在純電動汽車整車控制策略中引入轉矩監控防止上述失效產生不可控制的轉矩，從而避免整車處于危險狀態。

在設計轉矩監控模型的過程中，根據ISO 26262的要求和實際經驗的總結，應確保以保護人員的安全為最高優先級，同時實現轉矩監控的模塊始終處于工作狀態，保證發生的任何單點失效，以及包含潛在失效的單點失效系統的響應是可控制的，且相關的傳感器、執行器、功能模塊都受到監控模塊的監控[4]。

在實現某純電動汽車整車控制系統安全機制的過程中，利用一個獨立的硬件芯片來監控主芯片，在主芯片出現故障時可以發出控制命令，利用一個獨立的軟件模塊來監視和限制應用軟件主功能模塊的運行時序和轉矩輸出，這三個方面形成一個安全機制，使系統在探測到危害發生的可能性時進入或維持安全狀態[5]。整車控制軟件中的輸入、冗余輸入、主功能模塊可以按照質量管理體系要求進行設計和驗證，但輸入診斷模塊、簡化的功能模塊和輸出限制模塊則按照危害分析和風險評估中定義的最高ASIL級別要求進行設計和驗證。

4 純電動汽車轉矩控制監控模型

對于要求達到ASIL C或ASIL D級別的系統，轉矩監控這一安全機制的系統架構可能有多種型式。例如：鎖步模型和功能運行模型。

4.1 鎖步模型

兩套獨立的軟件在兩套獨立的硬件中運行并且不斷比較輸出是否一致[6]，如果輸出不一致將進入安全狀態，如圖2所示。它的優點是能夠保證發現隨機失效，即使短暫的錯誤，系統也能在不間斷處理和不損失數據的情況下恢復正常運行。它的缺點是無法發現設計造成的系統性失效，并且成本比較昂貴。

圖2 轉矩監控模型1（鎖步模型）

4.2 功能運行模型

當主芯片軟件在運行過程中收到來自獨立芯片的校驗要求時，中斷正常軟件運行并對主芯片進行校驗，比較主芯片運算結果和獨立芯片的預存結果是否一致，如不一致則進入安全狀態，如圖3所示。它的優點是通過獨立芯片可以校驗包含安全功能的主芯片中的軟件運行狀態，缺點是由于校驗會中斷正常的軟件運行，軟件的實時運行非常復雜。

圖3 轉矩監控模型2（功能運行模型）

4.3 轉矩監控模型設計

通過分析、比較幾種轉矩監控模型的系統架構，在某純電動汽車的整車控制策略開發中，以功能運行模型為基礎，設計失效安全模型（圖4）作為純電動汽車整車控制策略中實現轉矩監控安全機制的架構模型。

用轉矩監控模型設計的基本思路是轉矩控制指令的異常不能超過安全范圍。但是由于存在工作模式切換和瞬態工況，設計一種涵蓋所有工況的轉矩算法比較復雜，而基于危險限值比較的轉矩算法更為簡單有效，能夠較好地應對各種工況下的轉矩變化。在該純電動汽車整車控制策略中，應確保不會因自身失效而產生不安全的轉矩指令。在策略運行過程中，將實際計算出的轉矩需求與根據危險度量計算的轉矩限值進行比較，當轉矩需求超出限值時，可將需求轉矩降低至無轉矩輸出。

圖4 基于失效安全的轉矩監控模型

圖5 轉矩危險限值比較

4.4 主要算法

主要算法包括三個步驟：（1）轉矩監控模塊探測到轉矩錯誤，報錯給功能管理模塊。（2）根據安全狀態定義確定應進入的安全狀態，控制系統進入安全狀態。（3）進入安全狀態過程中，轉矩監控模塊將根據危險度量的安全限值限制轉矩輸出，如圖6所示。

在計算轉矩限值時，除了依據安全目標中定義的危險度量外，還需要讀入車輛和各部件的狀態，這些信號將進行獨立的解讀和校驗，并對其中有關聯的信號基于邏輯關系進行檢查，保證輸入信號的有效性[7]。

圖6 轉矩監控的實現

在轉矩監控的實現中，通過三層監控，即硬件層面上通過獨立芯片監控主芯片，軟件運行層面上監控功能部分的運行時序，應用層面上進行功能失效判斷和轉矩監控，通過這些措施可以滿足ASIL C及以上等級對系統軟硬件的安全技術需求。

5 模型仿真及試驗驗證

5.1 策略仿真

本文設計的轉矩監控模型采用Matlab/Simulink進行控制策略建模及自動代碼生成，與底層代碼集成后生成控制軟件下載到目標控制器，并驗證轉矩監控策略。

圖7 轉矩監控策略模型

為了驗證轉矩監控策略中轉矩監控算法的有效性，首先進行了模型仿真，得到實際轉矩、轉矩限制值結果，如圖8所示。

5.2 安全機制驗證

控制策略開發完成并生產代碼后，下載到目標控制器，在HIL臺架和動力總成試驗臺架上進行轉矩監控安全機制的驗證。試驗表明，當實際需求轉矩超過根據危險度量計算的轉矩限值時，觸發安全機制，轉矩需求迅速下降到無轉矩輸出，如圖9所示。

圖8 加速中實際需求轉矩與轉矩限值仿真

圖9 需求轉矩計算故障時對需求轉矩的限制

6 結論

綜上所述，轉矩監控是整車功能安全設計的一部分，它的需求來源于自整車層級由上而下的風險分析和分解。完成策略設計后，還需在MIL、HIL和實物臺架方面進行故障注入驗證，針對各種工況和運行環境測試安全機制的有效性。安全機制的驗證分為兩部分，一部分是根據安全目標設計功能測試用例，在HIL等系統中利用故障注入等方法驗證功能是否符合設計需求，并進行初步標定。另一部分是在車輛上進行驗證，利用設定特定的輸入等方法模擬故障，驗證安全機制是否滿足功能安全要求。最終還要通過FMEA等工具，確認失效分析中的所有項目已經關閉，達成安全目標的安全機制設計有效運行。

[1] ISO/WD 26262. Road Vehicles-Functional Safety [S].Geneva：International Organization for Standardization，2011.

[2] 李娜，孫文勇，寧信道. HAZOP、LOPA和SIL方法的應用分析 [J]. 中國安全生產科學技術，2012，8(5)：101-106.LI Na，SUN Wenyong，NING Xindao. The Application of HAZOP， LOPA and SIL Analytical Method [J].Journal of Safety Science and Technology，2012，8(5)：101-106. (in Chinese)

[3] 朱軍. 新能源汽車動力系統控制原理及應用 [M]. 上海：上海科學技術出版社，2013.ZHU Jun. Principles and Applications of Powertrain Controls for Hybrid and Electric Vehicles [M]. Shanghai：Shanghai Scientific & Technical Publishers，2013.(in Chinese)

[4] Standardized E-Gas Monitoring Concept for Gasoline and Diesel Engine Control Unit V6.0 [Z]. Germany：EQAS Workshop，2015.

[5] 丹尼爾·理查德·利德基，烏拉曼·賽義德，程思為. 扭矩監控系統和方法：中國，CN104682813A [P]. 2015-06-03.LIDKI D R，SAEED U，CHENG Siwei. Torque Monitoring System and Method：China，CN104682813A[P]. 2015-06-03. (in Chinese)

[6] P·佩勒斯卡，D·施納貝爾. 用于事件同步特別是針對容錯系統處理器的方法：中國，CN1682194 [P]. 2005-10-12.PEILESIKA P，SCHNABEL D. Method for Event Synchronization，Especially for Fault Tolerant System Processors：China，CN1682194 [P]. 2005-10-12.(in Chinese)

[7] 胡昌華，許化龍. 控制系統故障診斷與容錯控制的分析和設計 [M]. 北京：國防工業出版社，2000.HU Changhua，XU Hualong. Design and Analysis of Fault-tolerant Control and Fault Diagnosis for Control System [M]. Beijing：National Defend Industry Press，2000.(in Chinese)