羅曉，楊上東，吳瑞

奇瑞新能源汽車(chē)技術(shù)有限公司

插電式混合動(dòng)力汽車(chē)控制系統(tǒng)安全研究

羅曉，楊上東，吳瑞

奇瑞新能源汽車(chē)技術(shù)有限公司

插電式混合動(dòng)力汽車(chē)的純電動(dòng)模式和高效的發(fā)動(dòng)機(jī)運(yùn)行模式，能夠有效提高汽車(chē)節(jié)油率。但由于系統(tǒng)的復(fù)雜度和電子部件的大量應(yīng)用，對(duì)系統(tǒng)的安全性和可靠性有較高的要求，通過(guò)參考國(guó)際通用的ISO26262道路車(chē)輛功能安全標(biāo)準(zhǔn)對(duì)動(dòng)力系統(tǒng)功能安全進(jìn)行系統(tǒng)有效的分析,使整車(chē)及混合動(dòng)力驅(qū)動(dòng)系統(tǒng)在發(fā)生異常時(shí)進(jìn)入安全狀態(tài)以保證人員安全和整車(chē)安全是混動(dòng)系統(tǒng)對(duì)整車(chē)安全開(kāi)發(fā)的重要一環(huán)。在系統(tǒng)分析基礎(chǔ)上設(shè)計(jì)混合動(dòng)力控制器硬件及軟件安全監(jiān)控機(jī)制，通過(guò)整車(chē)控制器（HCU）內(nèi)部監(jiān)控芯片對(duì)主控制芯片監(jiān)控及主控制芯片內(nèi)部互相獨(dú)立功能模塊的對(duì)比監(jiān)控控制器狀態(tài)，使混合動(dòng)力驅(qū)動(dòng)系統(tǒng)在異常情況下進(jìn)入安全狀態(tài)，以保證人員和整車(chē)安全。

插電式混合動(dòng)力汽車(chē)；功能安全；安全機(jī)制；安全等級(jí)；ASIL

引言

混合動(dòng)力汽車(chē)系統(tǒng)的復(fù)雜度和電子部件的大量應(yīng)用，對(duì)系統(tǒng)的安全性和可靠性有較高的要求，在混合動(dòng)力系統(tǒng)開(kāi)發(fā)過(guò)程中引入國(guó)際先進(jìn)的ISO26262道路車(chē)輛功能安全標(biāo)準(zhǔn),該標(biāo)準(zhǔn)從功能安全的角度，詳細(xì)闡述了開(kāi)發(fā)階段的要求，其核心價(jià)值在于通過(guò)系統(tǒng)的功能安全研發(fā)管理流程，以及針對(duì)電子控制系統(tǒng)硬件和軟件的系統(tǒng)化驗(yàn)證和確認(rèn)方法，保證電子系統(tǒng)的安全功能在面對(duì)各種嚴(yán)酷條件時(shí)有效，保證駕乘人員以及路人的安全。

通過(guò)功能安全分析,采取整車(chē)控制器（HCU）內(nèi)部監(jiān)控芯片對(duì)主控制芯片監(jiān)控及主控制芯片內(nèi)部互相獨(dú)立功能模塊的對(duì)比監(jiān)控控制器狀態(tài)，在車(chē)身穩(wěn)定控制系統(tǒng)（ESP）檢測(cè)到由于混合動(dòng)力驅(qū)動(dòng)系統(tǒng)導(dǎo)致整車(chē)車(chē)輪抱死的情況下，通過(guò)整車(chē)控制器（HCU）控制電機(jī)驅(qū)動(dòng)系統(tǒng)（IPU）及發(fā)動(dòng)機(jī)進(jìn)入零扭矩輸出，然后控制變速箱控制系統(tǒng)（TCU）進(jìn)入空擋，最終使混合動(dòng)力驅(qū)動(dòng)系統(tǒng)進(jìn)入安全狀態(tài)，以保證人員和整車(chē)安全。

1.合動(dòng)力系統(tǒng)功能安全分析設(shè)計(jì)流程

ISO26262從2005年11月制定，經(jīng)歷6年時(shí)間，于2011年11月頒布。適用于總重量不超過(guò)3.5噸的乘用車(chē)上一個(gè)或多個(gè)電氣/電子安全系統(tǒng)。

混合動(dòng)力系統(tǒng)功能安全分析設(shè)計(jì)采用V字型開(kāi)發(fā)模型,圖1描述了基于功能安全標(biāo)準(zhǔn)對(duì)混合動(dòng)力系統(tǒng)進(jìn)行功能安全設(shè)計(jì)的開(kāi)發(fā)流程。

整個(gè)開(kāi)發(fā)過(guò)程主要包含以下幾個(gè)部分：

功能安全概念，通過(guò)對(duì)系統(tǒng)的風(fēng)險(xiǎn)及危害分析，引出功能安全要求，將安全目標(biāo)分配給項(xiàng)目初級(jí)架構(gòu)元素或外部降低風(fēng)險(xiǎn)的措施，以確保所要求的功能安全。功能安全概念最終通過(guò)安全確認(rèn)進(jìn)行評(píng)估；

系統(tǒng)設(shè)計(jì)通過(guò)安全測(cè)試驗(yàn)證進(jìn)行評(píng)估；

生理生化特征試驗(yàn)結(jié)果顯示(表5)，菌株CEH-ST79有過(guò)氧化氫酶、氧化酶、β-半乳糖苷酶、硝酸鹽還原、明膠液化、淀粉水解和酪蛋白測(cè)定均為陽(yáng)性，精氨酸雙水解酶、精氨酸脫羧酶、H2S產(chǎn)生、水楊素、吲哚、溶血和脲酶測(cè)定為陰性。

軟硬件安全需求通過(guò)軟硬件安全需求測(cè)試說(shuō)明進(jìn)行驗(yàn)證評(píng)估；

詳細(xì)設(shè)計(jì)與實(shí)現(xiàn)是對(duì)具體技術(shù)需求的設(shè)計(jì)實(shí)現(xiàn)。

圖1.功能安全開(kāi)發(fā)流程

2.合動(dòng)力系統(tǒng)潛在風(fēng)險(xiǎn)分析及安全目標(biāo)

根據(jù)混合動(dòng)力系統(tǒng)功能結(jié)構(gòu)框圖（圖2），混動(dòng)動(dòng)總系統(tǒng)潛在風(fēng)險(xiǎn)定義如下：

異常加速及減速

制動(dòng)扭矩異常丟失

驅(qū)動(dòng)方向與駕駛意圖相反

發(fā)動(dòng)機(jī)意外啟動(dòng)

圖2.混合動(dòng)力系統(tǒng)功能框圖

相關(guān)潛在風(fēng)險(xiǎn)從以下幾個(gè)維度進(jìn)行相應(yīng)的評(píng)估：

暴露的可能性：E0（幾乎不可能）-E4（每次駕駛都可能出現(xiàn)）

可控性：C0（基本都可以控制）-C3（不可控）

嚴(yán)重度：S0（不會(huì)造成傷害）-S3（可能造成致命傷害）

根據(jù)以上三個(gè)維度可以定義出防止風(fēng)險(xiǎn)的安全功能完整性等級(jí)，從ASIL A（最低）到ASIL D（最高）。

對(duì)安全功能完整性等級(jí)有要求的相關(guān)安全目標(biāo)進(jìn)行匯總整理得出表1與混合動(dòng)力控制系統(tǒng)相關(guān)的安全要求及相應(yīng)安全目標(biāo)對(duì)應(yīng)的安全狀態(tài)。

表1.

3.合動(dòng)力控制系統(tǒng)功能安全設(shè)計(jì)

對(duì)表1中的安全目標(biāo)實(shí)現(xiàn)的功能鏈進(jìn)行功能展開(kāi)并分析，分解具體功能安全需求及相應(yīng)的安全機(jī)制，通過(guò)圖3混合動(dòng)力控制系統(tǒng)安全結(jié)構(gòu)實(shí)現(xiàn)系統(tǒng)安全目標(biāo)并在出現(xiàn)相應(yīng)安全風(fēng)險(xiǎn)的情況下使系統(tǒng)進(jìn)入安全狀態(tài)。

圖3整體方案：外部控制器通過(guò)CAN通訊與混合動(dòng)力控制器（HCU）之間進(jìn)行數(shù)據(jù)交互；混合動(dòng)力控制器通過(guò)CAN通訊與電機(jī)控制系統(tǒng)進(jìn)行通訊；混合動(dòng)力控制器通過(guò)CAN通訊與發(fā)動(dòng)機(jī)控制器（EMS）進(jìn)行通訊；變速箱控制系統(tǒng)（TCU）根據(jù)混合動(dòng)力控制器的請(qǐng)求狀態(tài)對(duì)變速箱的檔位進(jìn)行控制?；旌蟿?dòng)力控制器內(nèi)部主控制芯片存在L1、L2兩個(gè)數(shù)據(jù)存儲(chǔ)區(qū)和L1、L2兩個(gè)功能模塊，L2功能模塊實(shí)現(xiàn)對(duì)L1功能模塊的監(jiān)控診斷，當(dāng)L1、L2功能模塊計(jì)算數(shù)據(jù)對(duì)比異常時(shí)L2功能模塊通過(guò)CAN實(shí)現(xiàn)對(duì)動(dòng)力系統(tǒng)的安全控制；混合動(dòng)力控制器內(nèi)部主控制芯片CPU與監(jiān)控芯片之間通過(guò)SPI串口通訊進(jìn)行數(shù)據(jù)交互，監(jiān)控芯片通過(guò)對(duì)主控制芯片進(jìn)行提問(wèn)以驗(yàn)證主控制芯片是否工作正常。

圖3.混合動(dòng)力控制系統(tǒng)安全結(jié)構(gòu)框圖

圖4.程圖為混合動(dòng)力控制器硬件安全機(jī)制流程圖，混合動(dòng)力控制器內(nèi)部監(jiān)控芯片每隔一定時(shí)間向主控制芯片CPU發(fā)送問(wèn)題，主控制芯片CPU對(duì)問(wèn)題進(jìn)行應(yīng)答，監(jiān)控芯片根據(jù)主控制芯片CPU應(yīng)答的及時(shí)性和準(zhǔn)確性判斷主控制芯片是否工作正常，在應(yīng)答正確的情況下，監(jiān)控芯片繼續(xù)向主控制芯片CPU提出下個(gè)問(wèn)題，不同的問(wèn)題數(shù)量至少10個(gè)以上，循環(huán)問(wèn)答；當(dāng)主控制芯片CPU應(yīng)答不及時(shí)或出錯(cuò)，監(jiān)控芯片通過(guò)硬件控制信號(hào)禁止混合動(dòng)力控制器CAN通訊，電機(jī)驅(qū)動(dòng)系統(tǒng)和發(fā)動(dòng)機(jī)系統(tǒng)接收不到混合動(dòng)力控制器CAN信息后進(jìn)入零扭矩輸出，使系統(tǒng)進(jìn)入安全狀態(tài)。

圖4.混合動(dòng)力控制系統(tǒng)硬件安全機(jī)制流程圖

圖5.圖6為混合動(dòng)力控制器車(chē)輪需求扭矩安全監(jiān)控示意圖及整車(chē)控制器軟件安全機(jī)制流程圖。

混合動(dòng)力控制器內(nèi)部主控制芯片分為L(zhǎng)1、L2兩個(gè)數(shù)據(jù)存儲(chǔ)區(qū)和L1、L2兩個(gè)功能模塊；程序運(yùn)行時(shí)，L1、L2兩個(gè)數(shù)據(jù)存儲(chǔ)區(qū)分別獲取相同外部參數(shù)：車(chē)速信號(hào)及油門(mén)踏板深度；L1、L2功能模塊通過(guò)查表分別獲取車(chē)輪需求扭矩；L2功能模塊對(duì)L1及L2輪邊需求扭矩進(jìn)行對(duì)比，實(shí)現(xiàn)對(duì)L1功能模塊的診斷；當(dāng)L1、L2功能模塊計(jì)算數(shù)據(jù)對(duì)比一致時(shí)程序正常運(yùn)行；當(dāng)L1、L2功能模塊計(jì)算數(shù)據(jù)對(duì)比不一致時(shí)，系統(tǒng)進(jìn)入故障狀態(tài)保護(hù)，L2功能層通過(guò)硬件控制信號(hào)禁止CAN通訊，發(fā)動(dòng)機(jī)及電機(jī)CAN通訊超時(shí)后禁止扭矩輸出，使系統(tǒng)進(jìn)入安全狀態(tài)。

圖5.車(chē)輪需求扭矩安全監(jiān)控示意框圖

圖6.車(chē)輪需求扭矩安全監(jiān)控流程圖

圖7.車(chē)輪抱死狀態(tài)安全控制方法流程圖?；旌蟿?dòng)力系統(tǒng)正常行駛狀態(tài)下車(chē)身穩(wěn)定控制系統(tǒng)（ESP）檢測(cè)到確認(rèn)的車(chē)輪抱死狀態(tài)，車(chē)身穩(wěn)定控制系統(tǒng)（ESP）將車(chē)輪抱死信息發(fā)送給混合動(dòng)力控制器，混合動(dòng)力控制器控制電機(jī)控制系統(tǒng)和發(fā)動(dòng)機(jī)系統(tǒng)輸出扭矩為零，使其進(jìn)入零扭矩狀態(tài)，混合動(dòng)力控制器在確認(rèn)電機(jī)控制系統(tǒng)及發(fā)動(dòng)機(jī)系統(tǒng)輸出扭矩為零后請(qǐng)求變速箱控制系統(tǒng)進(jìn)入空擋，變速箱控制系統(tǒng)控制變速箱進(jìn)入空擋，最終實(shí)現(xiàn)整車(chē)由車(chē)輪抱死狀態(tài)進(jìn)入安全狀態(tài)的控制。

圖7.車(chē)輪需求扭矩安全監(jiān)控流程圖

4.論

本文研究通過(guò)在混合動(dòng)力控制系統(tǒng)中引入ISO26262功能安全標(biāo)準(zhǔn)開(kāi)發(fā)流程對(duì)系統(tǒng)進(jìn)行分析，通過(guò)系統(tǒng)分析得到控制系統(tǒng)安全需求及需采取的安全機(jī)制并通過(guò)控制系統(tǒng)硬件及軟件進(jìn)行實(shí)現(xiàn)。

通過(guò)對(duì)功能安全機(jī)制的實(shí)現(xiàn),混合動(dòng)力控制系統(tǒng)對(duì)動(dòng)力總成可能存在的安全風(fēng)險(xiǎn)進(jìn)行了有效的控制,保證了混合動(dòng)力驅(qū)動(dòng)系統(tǒng)的扭矩安全,對(duì)整車(chē)安全起到了重要作用。

[1]國(guó)發(fā)〔2012〕22號(hào).節(jié)能與新能源汽車(chē)產(chǎn)業(yè)發(fā)展規(guī)劃（2012—2020年）.

[2]陳清泉，孫逢春，祝嘉光.現(xiàn)代電動(dòng)汽車(chē).北京：北京理工大學(xué)出版社，2002.

[3]崔勝民.新能源汽車(chē)技術(shù).出版社：北京大學(xué)出版社，2009.

[4]ISO 26262-1-2011道路車(chē)輛功能安全.

[5]Integrity,MISRA report2,1999.

[6]C.C.Chan，K.T.Chau.An Overview of Power Electronics in Electric Vehicles[J].IEEE IEEE Transaction on Industry Applications，1997，44(1)：3-13.

[7]白鳳良，楊建國(guó)，杜傳進(jìn).混合動(dòng)力電動(dòng)汽車(chē)電動(dòng)機(jī)的仿真建模與分析.武漢理工大學(xué)學(xué)報(bào).2003第5期

[8](英)湯姆·登頓(Tom Denton)張?jiān)莆摹镀?chē)故障診斷先進(jìn)技術(shù)》.出版社：機(jī)械工業(yè)出版社

羅曉（1983-），男，漢族，湖北鐘祥人，研究生，工程師，電動(dòng)汽車(chē)及混合動(dòng)力汽車(chē)電驅(qū)動(dòng)系統(tǒng)控制技術(shù)、故障診斷技術(shù)、功能安全純電動(dòng)車(chē)動(dòng)力系統(tǒng)開(kāi)發(fā)及功能安全。