吳浩，魏廣杰，劉永，嚴運兵

摘? 要：為了論證基于IS02626的功能安全概念設計和安全確認方法可以實現(xiàn)安全目標，對某電動汽車電驅(qū)動力系統(tǒng)縱向驅(qū)動功能非預期的失效進行了危害分析和風險評估，以“防止非預期的車輛自主移動”安全目標為例，針對紅綠燈路口停車場景，建立非預期車輛自主移動數(shù)學模型，參考仿真結(jié)果對監(jiān)控扭矩閾值和故障容忍時間間隔（FTTI）進行設計，并在實車上進行安全確認測試。測試結(jié)果表明，基于仿真結(jié)果設計的安全需求實現(xiàn)了和安全目標的一致性，且具備避免危害的能力。

關鍵詞：功能安全;故障容忍時間間隔;安全目標;安全確認;故障注入

中圖分類號：U469.72? ? ?文獻標識碼：A? ? ?文章編號：1005-2550（2021）05-0017-08

Electric Power-train System Function Safety Concept

Design and Safety Validation

WU Hao1， WEI Guang-jie1， LIU Yong1， YAN Yun-bing2

（ 1. Jiangling Motors Co， Ltd.， Nan Chang 330052， China;

2.Wuhan University of Science and Technology， Wuhan 430065， China）

Abstract： In order to demonstrate that the functional safety concept design and safety validation method based on IS02626 can achieve safety goal， hazard analysis and risk assessment of an electric vehicle power-train system longitudinal driving functions unexpected failure is carried out. Taking the safety goal of “preventing the unintended vehicle autonomous movement” as an example， for the scene of stopping at traffic lights， a mathematical model of the unintended autonomous movement is established， the monitoring torque threshold and fault tolerant time interval are designed according to the simulation results. And safety validation test in vehicle is carried out. The test results show that the designed safety requirement based on the simulation results achieved the consistency with the safety goal and the ability of avoid hazard.

隨著電動化、智能化、網(wǎng)聯(lián)化、共享化等新技術的不斷發(fā)展，依賴于電子電氣系統(tǒng)實現(xiàn)的汽車功能越來越豐富和復雜，由電子電器系統(tǒng)功能失效導致的安全風險越來越高;ISO26262對車輛的電子電氣系統(tǒng)全生命周期進行功能安全管理及產(chǎn)品開發(fā)提供了一套標準的流程和方法[1]，考慮到功能安全的重要性，2017年我國國家標準化管理委員會參考ISO26262制定了中國的功能安全標準GB/T 34590，越來越多的主機廠也開始在產(chǎn)品開發(fā)過程中導入功能安全的要求。ISO26262標準中與汽車產(chǎn)品開發(fā)強相關的內(nèi)容為第3至第6部分，分別規(guī)定了在概念、系統(tǒng)、硬件和軟件階段的功能安全開發(fā)要求[1]。一般而言，主機廠應主導概念階段的開發(fā)，這個階段的工作主要包括對象定義、危害分析和風險評估以及功能安全需求導出，供應商基于主機廠導出的功能安全需求進一步進行零部件系統(tǒng)和軟硬件開發(fā)。

由于概念階段是功能安全開發(fā)的基礎，不少學者針對功能安全概念設計進行了研究。例如曾艾等[2]對動力總成系統(tǒng)的扭矩安全進行概念階段開發(fā)，以“避免非期望的縱向加速”的安全目標為例，設計了扭矩安全的功能需求;王林等[3]介紹了混合動力汽車電驅(qū)動系統(tǒng)的功能安全概念設計;趙征瀾[4]介紹了純電動汽車的扭矩控制安全概念設計，展示了“防止非預期的加速/減速”功能安全目標和安全需求，并在HIL-動力總成臺架上對安全機制進行了驗證，但是對于安全目標的驗收指標和安全需求的扭矩監(jiān)控閾值和FTTI時間的導出過程未做詳細介紹;國外Hyungju Kwon等[5]對電動助力轉(zhuǎn)向系統(tǒng)進行了HARA分析，并通過特定場景的實車危害測試來確定FTTI時間。但是由于在概念階段零部件和整車一般沒有完成開發(fā)，所以在概念階段僅通過實車測試來確定FTTI時間也存在一定局限性;何杰等[6]使用仿真測試的方法，搭建ESP系統(tǒng)Simulink-Carsim聯(lián)合仿真模型，確定扭矩傳感器故障的FTTI時間，但未在實車上測試驗證真實駕駛員環(huán)境下的可控性。

本文針對上述研究的不足，完整實踐了對象定義、危害分析和風險評估、功能安全需求導出和安全確認測試的全過程。在對電動汽車電驅(qū)動力系統(tǒng)進行對象定義和HARA分析的基礎上，以“防止非預期的車輛自主移動”安全目標為例，針對紅綠燈路口停車場景建立仿真模型并進行了仿真，確定監(jiān)控扭矩閾值和FTTI時間，并在實車上進行了實車測試，最后通過實車測試和仿真結(jié)果的對比，確認了基于仿真設計的安全需求和安全目標的一致性。

1? ? 電驅(qū)動力系統(tǒng)功能安全概念設計

1.1? ?對象定義

電驅(qū)動力系統(tǒng)功能示意圖如圖1所示，其作用是控制電機輸出縱向扭矩驅(qū)動車輛行駛。驅(qū)動功能由整車控制器計算需求扭矩，電機控制器響應整車控制器的需求扭矩請求，并控制電機執(zhí)行輸出扭矩，經(jīng)減速器傳遞至車輪。需求扭矩的計算包含駕駛員需求扭矩、系統(tǒng)能力限制扭矩、車身穩(wěn)定系統(tǒng)請求扭矩、和故障模式限制扭矩。其中，駕駛員需求扭矩主要根據(jù)加速踏板開度、制動踏板開度、檔位、實時車速來計算;系統(tǒng)能力限制扭矩主要根據(jù)動力電池管理系統(tǒng)和電機控制器提供的系統(tǒng)能力限值來計算;檔位控制器根據(jù)駕駛員對換擋機構(gòu)的操作，識別駕駛員的前進/倒車/空擋切換意圖;車身穩(wěn)定系統(tǒng)根據(jù)車輛運動時的縱向和橫向的穩(wěn)定性狀態(tài)等對電驅(qū)動系統(tǒng)提出增減扭矩的請求;故障限制扭矩是根據(jù)電驅(qū)動系統(tǒng)相關的傳感器、控制器、執(zhí)行器不同故障，對扭矩進行限制或清零的處理。

電驅(qū)動力系統(tǒng)的內(nèi)外部接口如圖2所示，內(nèi)部接口主要由整車控制器/電池管理系統(tǒng)/電機控制器/車載充電控制器（OBC）的通訊接口、油門踏板開發(fā)/油門踏板位置的傳感器接口、驅(qū)動電機組成的機械接口、高壓配電盒（PDU）/OBC/電機控制器的高壓電氣接口組成;外部接口主要由減速器/車輪的機械接口、12V蓄電池/直流-直流轉(zhuǎn)換器（DCDC）的低壓電氣接口、以及檔位控制器/車身穩(wěn)定控制器/DCDC控制器的通訊接口組成。

1.2? ?危害分析和風險評估

ISO26262規(guī)定，在對象定義完成后，下一步就是危害分析和風險評估（Hazard analysis and risk assessment，簡稱HARA），對由于系統(tǒng)功能失效造成的危害事件進行識別和等級分類。危害識別即HARA的危害分析部分，危害等級分類即HARA的風險評估部分，每個部分都需要獨立討論。

1.2.1 失效/故障分析

HARA分析首先需要列出對象功能的所有可能的失效模式。危害和可操作分析（HOZOP）是一種常用的系統(tǒng)失效分析方法。HAZOP通過使用失效形式關鍵詞，例如“過多”、“過少”、“喪失”、“錯誤”等，系統(tǒng)性地確定需控制的失效模式范圍[7]。對于電驅(qū)動力系統(tǒng)的縱向驅(qū)動功能，其失效模式見表1：

1.2.2 場景分析和危害識別

同一功能失效在不同的運行場景或駕駛條件下的危害后果可能不同，所以需要分析車輛運行場景。車輛運行場景是包含車輛狀態(tài)、環(huán)境條件和駕駛員行為三者的條件組合。運行場景不必進行全面的排列組合，只需列出對對象功能有明顯影響的場景組合。本文以“駕駛員不期望車輛輸出扭矩時，提供了扭矩”的故障模式為例，列舉了有代表性的車輛停車運行場景，以及故障失效在每個運行場景下導致的危害后果，如表2所示。

1.2.3 風險評估及安全目標

在確定故障和運行場景組成的危害事件后，下一步工作是確定每個危害事件的嚴重度（S：S0-S3），暴露率（E：E0-E4），和可控度（C：C0-C3），導出每個危害事件的汽車安全完整性等級（ASIL：QM，和A，和B，和C，和D），ISO26262.3對S/E/C評分和ASIL等級確定都進行了指導說明。以運行場景5為例，車輛在擁堵的十字路口或紅綠燈路口停車時，車輛產(chǎn)生了非預期的驅(qū)動扭矩，可能以低速撞到行人，所以對應的嚴重度評分為S2;所發(fā)生場景在每次駕駛中幾乎都可能發(fā)生，所以暴露率評分為E4;發(fā)生危險時，90%～99%的駕駛員一般可以控制，所以可控度評分為C2。按照ISO26262的ASIL確定表，確定S2-E4-C2對應ASIL B等級。

風險評估所有評分結(jié)束后，針對最惡劣運行場景下的故障（稱為頂事件，Top Event）制定安全目標。安全目標是對象的頂層安全需求，安全目標需要表達整車層面的功能目標，而不是具體的技術方案。本文所列舉的5個危害事件的安全目標均可定義為“防止非預期的車輛自主移動”。另外，每個安全目標需定義一個安全狀態(tài)，即沒有不合理風險的Item對象的運行模式。以“防止非預期的車輛自主移動”為例，安全狀態(tài)可設計為“中斷電驅(qū)動力系統(tǒng)扭矩輸出”。

1.3? ?功能安全需求和概念

1.3.1 功能安全需求設計

為了實現(xiàn)對象的安全目標，需設計安全需求來對危害進行檢測和處理并使之緩和到可接受的范圍內(nèi)。以“防止非預期的車輛自主移動”的安全目標為例，整車控制器需要進行請求扭矩安全監(jiān)控，電機控制器需要進行電機實際扭矩安全監(jiān)控?？稍O計一條針對整車控制器的功能安全需求：“當VCU功能模塊計算的電機請求扭矩超過扭矩監(jiān)控模塊的電機安全扭矩（即電機克服車輛靜態(tài)摩擦阻力所需的扭矩）一定值時，VCU應立即進入安全狀態(tài)”。在確定功能安全需求后，需進一步明確功能安全機制，這就需要解答一個關鍵的問題：如何設置的故障檢測處理時間和故障扭矩的檢測閾值，才能確保系統(tǒng)在故障容忍時間（FTTI）內(nèi)不發(fā)生危害事件？

ISO26262定義了故障處理時間間隔（FHTI），包含故障診斷和處理時間;FHTI應在開發(fā)階段被考慮，為避免危害事件所需的最大的故障檢測處理時間間隔[1];FTTI為在安全機制未激活時，從故障發(fā)生到發(fā)生危害事件所允許的最短時間，所以FTTI應為駕駛員對故障的反應時間和駕駛員控制車輛所需時間之和。本文使用了仿真計算和實車測試的方法，通過實車的故障注入測試可以確定最大的“故障處理時間間隔”和故障扭矩檢測閾值。

1.3.2 功能安全需求仿真計算

“非預期車輛自主移動”數(shù)學模型如圖3所示。假設車輛在十字路口停車，車輛前方有行人陸續(xù)通過，行人沿車輛縱向的速度為0，車輛初始位置和行人距離為S。某時刻車輛突然產(chǎn)生Tmot_add的故障扭矩，故障發(fā)生terrState時間后，車輛進入安全狀態(tài);在故障發(fā)生tdrvReact時間后，駕駛員意識到危險并開始制動車輛;駕駛員需要在車輛碰撞到行人之前將車輛完全制動，否則認為危害事件發(fā)生，見圖3。

在“非預期車輛自主移動”數(shù)學模型中，車輛移動過程可分為三部分：1）注入故障扭矩的加速過程t0～t1;2）車輛進入安全狀態(tài)后的滑行過程t1～t2;3）駕駛員緊急制動車輛至車速為0的過程t2～t3。電機扭矩Tmot和制動器制動扭矩Tμ均為對時間的分段函數(shù)：

（1）

（2）

其中，制動器制動力矩分段函數(shù)中，制動力響應和上升階段的制動力矩被簡化為0Nm。

根據(jù)行駛方程，車輛的行駛位移為車速對時間的積分：

（3）

根據(jù)車輛動力學方程[8]，電機驅(qū)動力傳遞到車輪的車輛驅(qū)動力：

（4）

其中，Tmot為電機扭矩;i0為減速器速比，η為機械傳動效率;r為輪胎滾動半徑。

根據(jù)車輛動力學方程[8]，車輛行駛阻力：

（5）

其中，M為整車質(zhì)量;g為重力加速度;f為滾阻系數(shù);Cd為風阻系數(shù);A為車輛迎風面積;u為行駛車速;α為道路坡度;δ為旋轉(zhuǎn)質(zhì)量換算系數(shù)。

車輛制動力：

（6）

其中，Tμ為車輛緊急制動時制動器提供的制動力矩。

（7）

根據(jù)公式（1）～（7），在MATLAB/Simulink 中搭建仿真模型，如圖4所示。其中，Mot err Torque injection模塊根據(jù)式（1）和式（4），計算電機扭矩和輸出輪端驅(qū)動扭矩;Driver Brake Force injection模塊根據(jù)式（2）計算制動器制動力;Vehicle Acceleration Torque Calculation模塊根據(jù)式（5）～（7）計算車輛加速力矩;Vehicle Motion Simulation模塊根據(jù)式（5）和式（3）分別計算車速和車輛行駛距離。

針對某皮卡車型，仿真計算所需的整車參數(shù)和假設參數(shù)如表3所示：

根據(jù)現(xiàn)有的交通安全中的人為因素統(tǒng)計[9]，95%的人對于突發(fā)事件的反應時間為1.6s;根據(jù)“BOSCH汽車工程手冊”定義[10]，制動過程包含危險辨認時間、制動延誤時間，其中危險辨認時間約為0.4s，制動延誤時間包含反應時間（一般為0.3s）、轉(zhuǎn)換時間（駕駛員的腳挪到制動踏板的時間，約為0.2s）、制動力響應和增長時間（不超過0.6s）。參考文獻9和文獻10，本文設置駕駛員的反應制動時間，即從車輛輸出故障扭矩到制動器輸出最大制動力的時間間隔為1.6s;另外假設電機故障扭矩從請求到實車響應的時間為0.1s，可得出從注入故障扭矩到制動器輸出制動力的時間間隔為1.7s;在危險情況下，駕駛員一般會進行緊急制動，按照“GB 7258-2017 機動車運行安全技術條件”[11]中第7.10.2.2條，要求乘用車以50km/h的初速度時制動空載檢驗充分發(fā)出的平均制動減速度不小于6.2m/s2。為實現(xiàn)6.2m/s2的制動減速度，針對本文選取的車輛參數(shù)可以仿真計算出對應的制動器緊急制動力為15200N;根據(jù)“GB5768道路交通標志和標線”規(guī)定[12]，車輛停止線應距離人行橫道100～300cm，如圖5所示。因此本文假設初始的人車距離為100cm，對應安全目標和安全需求的安全驗證準則為“實施安全機制后，非預期的車輛自主移動距離不應超過100cm”;車輛初始車速設置為0km/h。

輸入整車參數(shù)和假設參數(shù)后，通過“非預期車輛自主移動”Simulink仿真模型計算出車輛位移和駕駛員反應及剎車時間，如表4所示。

其中，注入幅值300Nm持續(xù)時間200ms的故障扭矩后，車輛位移和車速的仿真結(jié)果如圖6和圖7所示。據(jù)圖6和圖7可發(fā)現(xiàn)，在第100ms時注入300Nm故障扭矩，車輛開始加速;在第300ms時電機扭矩清零，車輛開始滑行減速;在第1800ms時駕駛員進行制動，車輛開始制動減速;在第1950ms時車輛完全停止。

由于電機峰值扭矩為300Nm，故障扭矩診斷閾值可以在可驅(qū)動車輛移動的最小扭矩和電機峰值扭矩之間，即在6Nm至300Nm內(nèi)選取;考慮車輛位移不超過100cm，選取車輛位移接近100cm的仿真數(shù)據(jù)中，選取最短的故障注入時間作為安全需求的FHTI時間，即從2/4/7/9組數(shù)據(jù)中選擇第7組，設計FHTI時間為170ms;故障容忍時間間隔FTTI可從2/4/7/9組仿真結(jié)果中選擇最短的駕駛員反應和剎車時間，即FTTI時間可選擇為1850ms。

2? ? 安全確認測試

功能安全確認需提供證據(jù)證明功能安全需求和安全目標的一致性，并具備減輕或避免危害事件的能力;減輕或避免危害事件的能力可通過測試、試運行或?qū)＜以u價來評估[1]。需說明的是，安全確認不僅包含功能安全開發(fā)結(jié)束時進行的驗證工作，也包含在功能安全開發(fā)過程中的工作。

本文通過在實車上進行故障注入測試進行安全確認，并將測試結(jié)果和仿真結(jié)果進行back-to-back對照，驗證功能安全需求中的監(jiān)控扭矩增加閾值和允許的故障診斷處理時間設置是否可以實現(xiàn)安全目標，即“防止非預期的車輛自主移動”，以及對應的安全驗證準則“實施安全機制后，非預期的車輛自主移動距離不應超過100cm”。

2.1? ?測試實施步驟

選擇封閉的水平水泥路面作為測試場地，使用CANoe總線信號注入的方法進行故障注入測試[13]，在測試前調(diào)試好測試設備和測試腳本。測試腳本設定的故障注入條件為，當整車上電到Ready狀態(tài)且制動踏板完全松開后開始注入故障扭矩，并可設置故障注入時間，如表5所示。按照下述步驟實施測試：

2.2? ?測試結(jié)果和分析

測試結(jié)果如表6所示，為使車輛位移不超過100cm，當故障扭矩為50Nm時，故障注入時間應小于1500ms;當故障扭矩為100Nm時， 故障注入時間應小于600ms;當故障扭矩為200Nm時，故障注入時間應小于250ms;當故障扭矩為300Nm時，故障注入時間應小于170ms。在設計故障扭矩檢測閾值和故障診斷處理時間時，可依據(jù)上述測試測試結(jié)果進行對照選取;從車輛位移接近100cm的測試結(jié)果中選取最短的故障注入時間數(shù)據(jù)，因此選取的故障檢測和處理時間應小于170ms，此時間和基于仿真結(jié)果設計的FHTI時間一致。

圖8給出了注入300Nm故障扭矩200ms的車速實測和仿真結(jié)果對比。由于汽車傳動系的彈性阻尼特性，直接施加大扭矩時，車速會發(fā)生一定程度的振蕩，但是在加速、滑行和制動三個階段實測車速和仿真車速的變化趨勢是一致的。

圖9給出了實車測試測結(jié)果和Simulink仿真結(jié)果的車輛位移對比，發(fā)現(xiàn)各組數(shù)據(jù)的變化趨勢相同，車輛位移差異也在合理范圍內(nèi)?？紤]實車測試的測量誤差因素，本文設計的仿真模型是比較準確的，因此仿真結(jié)果可以作為設計功能安全需求參考的依據(jù)。

3? ? ?結(jié)論

本文對電驅(qū)動力系統(tǒng)進行了對象定義，并以“駕駛員不期望車輛輸出扭矩時，提供了扭矩”為例進行了HARA分析，導出了“防止非預期的車輛自主移動”的安全目標，針對“車輛在紅綠燈路口停車時發(fā)生自主移動”的場景，并使用仿真計算的方法明確了功能安全需求中的安全監(jiān)控扭矩閾值和時間要求。

在實車上進行了安全確認測試，測試結(jié)果表明了仿真結(jié)果和實車測試結(jié)果的一致性，驗證了基于仿真結(jié)果設計的安全需求對于安全目標的一致性和避免危害的能力。本文基于ISO26262要求的扭矩功能安全開發(fā)實踐，可為相關企業(yè)工程師在功能安全概念階段和安全確認測試階段的工程實踐提供案例借鑒。

參考文獻：

[1]ISO 26262. Road Vehicles-Function Safety [S]，Geneva：International Organization for Standardization， 2018 .

[2]曾艾，楊永光. 基于ISO 26262的動力總成系統(tǒng)扭矩安全概念設計[J]，上海汽車，2017（10）：25-29.

[3]王林，趙鑫，任倩萌，混合動力汽車電驅(qū)動系統(tǒng)的功能安全概念設計[J]，上海汽車，2018（11）：4-18.

[4]趙征瀾，純電動汽車轉(zhuǎn)矩控制安全概念與轉(zhuǎn)矩監(jiān)控模型[J]，汽車工程學報，2018，8（3）：229-234.

[5]Hyungju Kwon， Itabashi-Campbell，R.， McLaughlin，K. ISO 26262 Application to Electric Steering Development with a Focus on Hazard Analysis[C]， 2013 IEEE international systems conference， Orlando， Florida， USA， April 2013.

[6]何杰，陳慧，符合ISO26262的EPS扭矩傳感器故障容錯時間間隔確定方法[C]. 2015 中國汽車工程學會年會論文集（Volume2）. 中國汽車工程學會，2015：4.

[7]P. Goddard， “System safety applied to vehicle design” [J]， SAE， Int. J. Passenger. Cars – Mech. Syst.， 2008 ， vol. 2（1）， pp. 1-97.

[8]余志生，汽車理論[M]，北京：機械工業(yè)出版社，2018.

[9]R. Dewar and P. Olson， Human Factors in Traffic Safety [M]， 2nd ed. Tucson， AZ， USA： Lawyers & Judges Publishing， 2007.

[10]Konrad Reif，BOSCH汽車工程手冊[M]，北京：北京理工大學出版社，2016.

[11]GB 7258-2017 機動車運行安全技術條件[S]，2017.

[12]GB 5768.3道路交通標志和標線[S]，2009.

[13]尚世亮，王雷雷，趙向東，基于ISO26262的車輛電子電氣系統(tǒng)故障注入測試方法[J]，汽車技術，2015（12）：49-58.