基于ISO 26262的7DCT輸入軸轉速監控策略的分析

王章宏，趙秀栩

（1.武漢理工大學 機電工程學院，湖北 武漢 430070；2.東風鼎新動力系統科技有限公司，湖北 武漢 430070）

1 背景介紹

隨著汽車領域電子電氣的復雜程度日益增加，伴隨著汽車的電子電器功能安全事故凸顯，給廣大用戶帶來了生命威脅，為此國際標準化組織（International Organization for Standardization,ISO）分別于2011年及2018年推出第一版和第二版的《道路車輛功能安全標準》——（ISO 26262），指導汽車全生命安全周期的工作開發。雙離合變速箱（Dual Clutch Transmission, DCT）作為燃油汽車的傳動系統核心部件之一，其控制單元（Telematics Control Unit, TCU）具有傳遞扭矩、調速換擋、倒車行駛、中斷動力等功能，此外，TCU與發動機控制單元（Engine Management System, EMS）、車身控制系統（Body Control Module, BCM）、車身穩定系統（Electronic Stability Controller, ESC）等密切交互，共同協調控制整車的正常行駛，提供良好的駕駛體驗。因此，DCT的電控單元開發須嚴格按照ISO 26262的指導進行開發。

基于此，本文根據ISO 26262標準，以7擋雙離合變速箱（7DCT）為例，主要針對7DCT的調速換擋功能中的輸入軸轉速監控的功能安全進行研究，結合目前主流的三層監控方案，基于MATLAB對輸入軸轉速進行三層監控策略模型設計，最后進行仿真和故障注入測試，驗證該設計是否符合功能安全目標。

2 概念階段

2.1 相關項定義

7DCT的調速換擋功能使變速箱結合不同的擋位，從而得到不同扭矩及轉速輸出，使汽車適應不同的道路狀況及提高發動機的燃油效率。其通過與控制器局域網絡（Controller Area Network,CAN）與其他系統控制模塊進行通訊，解析駕駛員意圖，判斷當前動態駕駛工況，完成擋位切換。調速換擋功能架構如圖1所示。輸入軸的轉速邊界條件依據軸系系統的各零部件極限轉速確定，如表1所示，最終輸入軸的轉速邊界確定為離合器的耐久極限轉速，當輸入軸轉速超出該極限轉速后，將導致離合器摩擦片變形損壞。

2.2 啟動安全生命周期

安全生命周期啟動關鍵在于確定系統是全新開發還是基于現有系統的調整。本文討論的調速換擋的輸入軸轉速監控系統為全新開發的相關項，故需按照標準進行所有子階段的工作。

2.3 危害分析和風險評估

危害分析和風險評估（Hazard Analysis and Risk Assessment, HARA）階段是為了識別系統故障可導致的危險并進行風險程度評估，得到安全目標并對安全目標進行汽車安全完整性等級定級（Automobile Safety Integrity Levers, ASIL）。

2.3.1 危險識別

危險識別應定義為車輛層級的狀態或行為。確定車輛級的危害方法有多種：危險與可操作性分析（Hazard and Operability Analysis, HAZOP）、頭腦風暴、chechlist、失效模式和效果分析（Failure Mode and Effects Analysis, FMEA）等。本文對以上方法不做過多闡述并采用HAZOP方法進行危險識別。

結合7DCT的換擋邏輯（圖2），離合器1與內輸入軸硬性連接并控制奇數擋齒輪的結合，離合器2與外輸入軸硬性連接并控制偶數擋齒輪結合。以正在結合的5擋為例，此時離合器1結合，內輸入軸上的5擋齒輪結合，離合器2打開，外輸入軸根據預選檔邏輯判斷只能掛4、6、N擋其中之一。當出現不期望的降擋，則車輛會出現不期望的過高加速，反之出現不期望的加速無力；當控制偶數擋的外輸入軸意外掛上2擋，離合器2又處于打開的時候，將導致外輸入軸的轉速（即離合器2的轉速）過高。最終的HAZOP分析結果如表2所示。

2.3.2 安全目標確定與ASIL定級

安全目標確定來源于危害分析，對每一個整車危害均需確定安全目標，相類似的整車危害可確定成一個安全目標。本文僅就輸入軸轉速過高進行研究，故安全目標確定為避免輸入軸轉速過高。

ASIL等級從暴露度（E）、嚴重度（S）、可控度（C）三個影響因素來確定。輸入軸轉速過高，超出限值導致的離合器失效、車輛無法行駛的運行場景為“高速公路行駛、前后方有車輛”，該場景發生頻率較高，暴露度定義為E3；該故障發生后，動力丟失車輛無法行駛，將導致與高速其他車輛碰撞的嚴重事故，故嚴重度（S）定義為S4；故障發生后，駕駛員只能通過剎車踏板減速停車后遠離現場躲避來車，故可控度（C）定義為C2。

參考表3確定ASIL等級最終避免輸入軸轉速過高這個安全目標的安全等級為ASIL C。

2.3.3 功能安全概念

為了滿足安全目標，功能安全概念包括安全措施和安全機制，通過安全目標導出功能安全需求（Function Safety Requirement, FSR）。針對避免輸入軸轉速過高這個安全目標的功能安全需求如表4所示。

安全措施：當避免輸入軸轉速過高的安全目標觸發時，應及時打開離合器中斷動力輸出。安全機制：故障容錯時間間隔（Fault Tolerant Time Interval, FTTI）的確定。FTTI的時間分解如圖3所示。故障檢測時間取決于軟件運行速度，基于大量的實驗經驗總結，當輸入軸轉速達到極限值后，軟件在20 ms內監測到并發送故障標志位。故障反應時間包括駕駛員應急反應時間與硬件機構執行措施時間，由于當轉速達到極限值會對離合器摩擦片產生損傷，故僅考慮硬件機構執行時間，離合器打開的時間為40 ms。故最終的FTTI時間設計為60 ms。

3 基于三層監控架構的輸入軸轉速監控設計

目前功能安全軟件開發主流的框架均采用三層監控框架。第一層（Level 1）實現功能的控制；第二層（Level 2）是對Level 1的關鍵信號進行監控，檢測故障并實現故障反應措施；第三層（Level 3）是對硬件執行機構的故障進行監控。框架如圖4所示。

3.1 Level 1應用層輸入軸轉速監控設計

功能應用層對輸入軸的轉速監控目的是預防輸入軸轉速與發動機轉速存在較大的轉速差。如圖5所示，采用離合器壓力PI（Proportion, Integration）控制，計算出項調節扭矩：

式中，Δ為發動機與輸入軸的轉速差；為項調節系數；為發動機轉動慣量。

計算出項調節扭矩：

式中，Δ為發動機與輸入軸的轉速差；為項調節系數；為發動機轉動慣量。

經過離合器壓力斜率控制后得到離合器扭矩，通過發動機扭矩模型輸出發動機扭矩，反算出發動機轉速，計算方法為

式中，為發動機轉速；為發動機扭矩；為發動機轉動慣量；為調節系數。

3.2 Level 2 功能監控層輸入軸轉速監控設計

Level 2層的設計需要包含輸入CAN相關信號和輸入軸轉速傳感器相關的信號監控、轉速傳感器信號的冗余設計、故障檢測策略設計、故障措施設計等，如圖6所示。

3.2.1 輸入軸轉速冗余設計

根據ISO26262的規定，ASIL C等級以上必須對功能安全相關信號進行冗余設計。輸入軸轉速冗余設計基于車速和擋位速比的信號輸入，計算公式為

式中，為輸入軸轉速冗余；為車速；為該擋位總速比；為車速轉換成轉速的比例。

取決于輪胎半徑，以225/55/R19為例，輪胎半徑為335 mm，計算公式為

式中，為輪胎半徑。式中，為擋位齒輪速比；為主減齒輪速比。

3.2.2 故障監控策略及故障容錯時間延時設計

故障檢測以輸入軸轉速、車速、擋位總速比、輸入軸轉速故障標志位為輸入，當軟件監控的轉速或者冗余計算的轉速達到極限值時，安全目標標志位置位，經過FTTI時間延時計時器，計時器為0時，向底層離合器執行器發送打開離合器指令，中斷動力輸出進入安全狀態。故障監控策略模型如圖7所示，容錯時間延時模型如圖8所示。

3.3 Level 3硬件執行機構監控設計

Level 3層的監控設計是對輸入軸傳感器硬件的監控，主要涉及到轉速和故障的監控。以某型號轉速傳感器型號為例，該傳感器輸出頻率、供應電壓診斷信號。轉速計算公式為

式中，為監控到的輸入軸轉速信號；為傳感器輸出頻率；為頻率轉換成轉速的系數。

當輸出頻率大于傳感器額定頻率或者供應電壓診斷信號置位時，輸入軸轉速故障置位。傳感器硬件監控策略模型如圖9所示。

4 故障注入測試

常見的故障注入測試方法有CAN總線故障注入測試和傳感器故障注入測試，結合前文基于MATLAB/Simulink建立的輸入軸轉速監控方案控制模型，輸入信號為轉速傳感器信號、CAN總線車速及速比信號。通過控制預選擋的結合擋位和車速逆向控制預選擋軸系的輸入軸轉速。以實際在擋行駛4擋、預選擋結合3擋齒輪（3擋速比7.54）為例：當傳感器沒有故障時，輸入軸轉速直接取傳感器的轉速，傳感器轉速超出極限值時，應檢測出故障；當傳感器故障時，冗余策略計算的轉速作為輸入，冗余計算的轉速超出極限值時，應檢測出故障；當傳感器故障且CAN總線的車速及檔位信號也故障時，應檢測出故障。測試項如表5所示。

由圖10和圖11可以看出故障注入后，該控制系統能及時檢測出故障，故障延時正確計時，當計時器遞減為0時，故障措施打開離合器正確執行。

5 結束語

以工程項目為基礎，對7DCT調速換擋控制進行了概念設計。針對避免輸入軸轉速過高的安全目標，采用三層監控方法，分別從Level 1、Level 2、Level 3各層設計了輸入軸轉速監控策略。基于MATLAB/Simulink搭建策略模型，進行故障注入測試，測試結果表明，該監控策略能有效地識別輸入軸轉速過高的故障，并在故障發生時立即做出響應，有效降低了人身傷害的風險。