日本无码免费高清在线|成人日本在线观看高清|A级片免费视频操逼欧美|全裸美女搞黄色大片网站|免费成人a片视频|久久无码福利成人激情久久|国产视频一二国产在线v|av女主播在线观看|五月激情影音先锋|亚洲一区天堂av

  • 手機站
  • 小程序

    汽車測試網(wǎng)

  • 公眾號

    • 汽車測試網(wǎng)

    • 在線課堂

    • 電車測試

純電動汽車轉(zhuǎn)矩控制安全概念與轉(zhuǎn)矩監(jiān)控模型

2020-03-11 00:37:32·  來源:《純電動汽車轉(zhuǎn)矩控制安全概念與轉(zhuǎn)矩監(jiān)控模型》  
 
隨著車輛電控系統(tǒng)復(fù)雜度的提高,在越來越多的軟件和電氣設(shè)備應(yīng)用中,來自系統(tǒng)和軟硬件失效的風(fēng)險也日益增加。一旦失效發(fā)生,不僅危及車輛駕乘人員和行人的生命安
隨著車輛電控系統(tǒng)復(fù)雜度的提高,在越來越多的軟件和電氣設(shè)備應(yīng)用中,來自系統(tǒng)和軟硬件失效的風(fēng)險也日益增加。一旦失效發(fā)生,不僅危及車輛駕乘人員和行人的生命安全,也會因車輛召回、賠償?shù)仁录管囕v生產(chǎn)企業(yè)面臨利潤和商譽損失的巨大風(fēng)險,如何規(guī)避這些風(fēng)險成為汽車企業(yè)亟待解決的重要課題。

ISO26262為避免這些風(fēng)險提供了可行性的要求建議和流程規(guī)范,它是IEC61508(GB/T20438)對道路車輛功能安全要求的具體應(yīng)用,適用于所有與安全相關(guān)的由電子、電氣、軟件組成的系統(tǒng)在整個生命周期內(nèi)的所有活動。ISO26262中指出,系統(tǒng)安全可以從大量的安全措施中獲得,包括各種技術(shù)的應(yīng)用(如機械、液壓、氣動、電氣、電子,以及可編程電子元件)。本文主要根據(jù)ISO26262的相關(guān)要求并結(jié)合實踐經(jīng)驗,對純電動汽車整車控制策略中如何根據(jù)安全概念設(shè)計來定義安全機制以避免風(fēng)險、保證系統(tǒng)安全等方面進(jìn)行研究。

以純電動汽車的轉(zhuǎn)矩控制策略為基礎(chǔ),引入轉(zhuǎn)矩監(jiān)控防止因失效而產(chǎn)生不可控制的轉(zhuǎn)矩,避免整車處于不期望的加速或不期望的減速等危險狀態(tài)。轉(zhuǎn)矩監(jiān)控模型設(shè)計的基本思路是轉(zhuǎn)矩控制指令的異常不能超過安全范圍,在某純電動汽車的整車控制策略開發(fā)中,以功能運行模型為基礎(chǔ)設(shè)計了失效安全模型作為實現(xiàn)轉(zhuǎn)矩監(jiān)控安全機制的架構(gòu)模型。在策略運行過程中,將實際計算出的轉(zhuǎn)矩需求與根據(jù)危險度量計算的轉(zhuǎn)矩限值進(jìn)行比較,確保不會因自身失效而產(chǎn)生不安全的轉(zhuǎn)矩指令。

1 功能安全概念設(shè)計的目標(biāo)

隨著復(fù)雜度的提高,以及軟硬件和機電一體化應(yīng)用的增加,車輛電控系統(tǒng)發(fā)生系統(tǒng)性失效和隨機硬件失效的風(fēng)險不斷增加,需要通過一系列需求定義和設(shè)計過程來避免這些風(fēng)險。首先進(jìn)行危害分析和風(fēng)險評估,危害分析和風(fēng)險評估的流程要考慮暴露的可能性、可控性和嚴(yán)重性,以確定項目的安全目標(biāo)和合適的汽車安全完整性等級(AutomotiveSafetyIntegrationLevel,ASIL)。

危害分析和風(fēng)險評估完成后,再進(jìn)行安全概念設(shè)計,主要目的是從安全目標(biāo)中導(dǎo)出功能安全需求,并將它們分配到產(chǎn)品的初級體系結(jié)構(gòu)中或者外部降低風(fēng)險的方法中以保證所要求的功能安全性。基于安全目標(biāo)進(jìn)行安全概念設(shè)計,目的在于考慮具體的系統(tǒng)基本架構(gòu)。針對每一個安全目標(biāo),提出功能安全要求并定位到相應(yīng)的系統(tǒng)、子系統(tǒng)或功能模塊,包括如何探測和緩解失效,如何利用安全機制分解降低子系統(tǒng)或模塊的風(fēng)險等級,如何通過警告駕駛員或系統(tǒng)功能降級過渡到安全狀態(tài),對每個項目元素中的功能安全要求進(jìn)行細(xì)化和具體化。

基于安全概念中設(shè)計的機制和措施,再根據(jù)項目定義、危害分析和風(fēng)險評估、安全目標(biāo)的設(shè)定,以及考慮來自外部的一些預(yù)想架構(gòu)、功能、操作模式和系統(tǒng)狀態(tài)等,可以將功能安全要求進(jìn)行適當(dāng)?shù)姆峙?。利用ASIL分解法指定項目內(nèi)子系統(tǒng)的ASIL等級,如圖1所示,將安全目標(biāo)合理地分配到子系統(tǒng)當(dāng)中。


2 功能安全概念設(shè)計方法

2.1 安全目標(biāo)分析

為了達(dá)到安全目標(biāo),利用安全概念設(shè)計了基本的安全機制和安全措施,考慮項目內(nèi)部和外部的一些預(yù)想架構(gòu)、功能、操作模式及系統(tǒng)狀態(tài)因素,可以將功能安全要求進(jìn)行適當(dāng)?shù)姆峙洹@肁SIL分解法將安全目標(biāo)合理地分配到子系統(tǒng)當(dāng)中。

以某純電動汽車的安全概念設(shè)計為例,針對不期望的加速和不期望的減速兩項整車危害,根據(jù)功能定義和危害分析識別整車控制系統(tǒng)中與安全相關(guān)的功能和存在的危險,確定整車控制系統(tǒng)的安全目標(biāo),見表1(危害事件的ASIL等級由低到高分為ASILA、ASILB、ASILC和ASILD,應(yīng)將為危害事件所確定的ASIL等級分配給對應(yīng)的安全目標(biāo);QM是指除了4個ASIL等級之外,根據(jù)質(zhì)量管理標(biāo)準(zhǔn)進(jìn)行控制的等級)。


2.2 風(fēng)險等級分解和安全機制設(shè)計


明確安全目標(biāo)后,通過風(fēng)險等級分解和安全機制設(shè)計將整車控制系統(tǒng)的安全目標(biāo)分解到內(nèi)部子系統(tǒng)中。由表1可知,該整車控制系統(tǒng)總體風(fēng)險等級為ASILC,根據(jù)ISO26262的要求,應(yīng)避免所有由單點故障引起的安全目標(biāo)的破壞,并且應(yīng)通過監(jiān)控功能、監(jiān)控軟件運行和監(jiān)控硬件的安全機制來避免安全目標(biāo)的破壞。由表2可知,通過風(fēng)險等級分解和安全機制設(shè)計將安全目標(biāo)分配到系統(tǒng)結(jié)構(gòu)中或者外部降低風(fēng)險的方法中,以保證要求的功能安全性。

2.3 安全狀態(tài)定義

安全概念設(shè)計要進(jìn)行安全狀態(tài)的定義,駕駛員的操作模式和緊急操作時間間隔,故障可容忍的時間間隔,采用功能冗余降低系統(tǒng)(包括軟件、硬件、傳感器、執(zhí)行機構(gòu)、通信)的風(fēng)險等級。可以通過故障樹分析(FaultTreeAnalysis,F(xiàn)TA),失效分析(FailureModeandEffectAnalysis,F(xiàn)MEA)等方法來支持功能安全要求的完善。安全概念設(shè)計中應(yīng)遵循以下幾點:

(1)對故障的檢測和故障的降級。

(2)有危險發(fā)生的可能性時轉(zhuǎn)換至安全狀態(tài)。

(3)容錯機制,即一個錯誤不會直接破壞安全目標(biāo),并保證系統(tǒng)在安全狀態(tài)。

(4)故障檢測和駕駛員提醒可使人暴露在危險中的可能性控制在一個可接受的時間間隔(響應(yīng)問答和終止響應(yīng))。

(5)仲裁邏輯電路可以通過不同的子系統(tǒng)同時在多路問答中選擇最合適的控制要求。

安全機制是ISO26262中提出的關(guān)鍵概念,它是保證系統(tǒng)能夠進(jìn)入或保持在安全狀態(tài)的措施。為了避免危害相關(guān)人員,一個系統(tǒng)必須設(shè)計安全機制,并通過驗證和確認(rèn)來證實安全機制的有效性,以下是安全機制的幾種實現(xiàn)方式:

(1)與系統(tǒng)本身故障的檢測、指示和控制有關(guān)的措施(系統(tǒng)或單元的自我監(jiān)控)。

(2)與系統(tǒng)結(jié)合的外部設(shè)備內(nèi)部涉及故障的檢測、指示和控制的措施。

(3)能使系統(tǒng)達(dá)到或保持一個安全狀態(tài)的措施。

(4)詳細(xì)表述及實現(xiàn)警報和降級概念的措施。

(5)阻止錯誤隱匿的措施。

3 純電動汽車轉(zhuǎn)矩控制安全機制

目前,純電動汽車的動力總成采用的是基于轉(zhuǎn)矩的控制策略,即控制系統(tǒng)通過對駕駛員需求及車輛狀態(tài)的分析,得到當(dāng)前驅(qū)動車輛所需要的轉(zhuǎn)矩,然后發(fā)出轉(zhuǎn)矩指令控制動力源驅(qū)動車輛。基于轉(zhuǎn)矩的控制方法可以實現(xiàn)對整車動力性、經(jīng)濟性、舒適性的綜合優(yōu)化,但是在這種控制方法下,一旦控制系統(tǒng)的指令出錯,可能在驅(qū)動輪處產(chǎn)生異常驅(qū)動力,引起超出駕駛員期望的加速或減速,甚至超出駕駛員的控制能力,造成引起人身傷害的危險。因此,控制系統(tǒng)需要設(shè)計安全機制來應(yīng)對這種超出范圍的加速或減速,使車輛在發(fā)生危險前重新進(jìn)入安全狀態(tài)。在純電動汽車整車控制策略中引入轉(zhuǎn)矩監(jiān)控防止上述失效產(chǎn)生不可控制的轉(zhuǎn)矩,從而避免整車處于危險狀態(tài)。

在設(shè)計轉(zhuǎn)矩監(jiān)控模型的過程中,根據(jù)ISO26262的要求和實際經(jīng)驗的總結(jié),應(yīng)確保以保護(hù)人員的安全為最高優(yōu)先級,同時實現(xiàn)轉(zhuǎn)矩監(jiān)控的模塊始終處于工作狀態(tài),保證發(fā)生的任何單點失效,以及包含潛在失效的單點失效系統(tǒng)的響應(yīng)是可控制的,且相關(guān)的傳感器、執(zhí)行器、功能模塊都受到監(jiān)控模塊的監(jiān)控。

在實現(xiàn)某純電動汽車整車控制系統(tǒng)安全機制的過程中,利用一個獨立的硬件芯片來監(jiān)控主芯片,在主芯片出現(xiàn)故障時可以發(fā)出控制命令,利用一個獨立的軟件模塊來監(jiān)視和限制應(yīng)用軟件主功能模塊的運行時序和轉(zhuǎn)矩輸出,這三個方面形成一個安全機制,使系統(tǒng)在探測到危害發(fā)生的可能性時進(jìn)入或維持安全狀態(tài)。整車控制軟件中的輸入、冗余輸入、主功能模塊可以按照質(zhì)量管理體系要求進(jìn)行設(shè)計和驗證,但輸入診斷模塊、簡化的功能模塊和輸出限制模塊則按照危害分析和風(fēng)險評估中定義的最高ASIL級別要求進(jìn)行設(shè)計和驗證。

4 純電動汽車轉(zhuǎn)矩控制監(jiān)控模型

對于要求達(dá)到ASILC或ASILD級別的系統(tǒng),轉(zhuǎn)矩監(jiān)控這一安全機制的系統(tǒng)架構(gòu)可能有多種型式。例如:鎖步模型和功能運行模型。

4.1 鎖步模型

兩套獨立的軟件在兩套獨立的硬件中運行并且不斷比較輸出是否一致,如果輸出不一致將進(jìn)入安全狀態(tài),如圖2所示。它的優(yōu)點是能夠保證發(fā)現(xiàn)隨機失效,即使短暫的錯誤,系統(tǒng)也能在不間斷處理和不損失數(shù)據(jù)的情況下恢復(fù)正常運行。它的缺點是無法發(fā)現(xiàn)設(shè)計造成的系統(tǒng)性失效,并且成本比較昂貴。


4.2 功能運行模型

當(dāng)主芯片軟件在運行過程中收到來自獨立芯片的校驗要求時,中斷正常軟件運行并對主芯片進(jìn)行校驗,比較主芯片運算結(jié)果和獨立芯片的預(yù)存結(jié)果是否一致,如不一致則進(jìn)入安全狀態(tài),如圖3所示。它的優(yōu)點是通過獨立芯片可以校驗包含安全功能的主芯片中的軟件運行狀態(tài),缺點是由于校驗會中斷正常的軟件運行,軟件的實時運行非常復(fù)雜。


4.3 轉(zhuǎn)矩監(jiān)控模型設(shè)計

通過分析、比較幾種轉(zhuǎn)矩監(jiān)控模型的系統(tǒng)架構(gòu),在某純電動汽車的整車控制策略開發(fā)中,以功能運行模型為基礎(chǔ),設(shè)計失效安全模型(圖4)作為純電動汽車整車控制策略中實現(xiàn)轉(zhuǎn)矩監(jiān)控安全機制的架構(gòu)模型。

 

用轉(zhuǎn)矩監(jiān)控模型設(shè)計的基本思路是轉(zhuǎn)矩控制指令的異常不能超過安全范圍。但是由于存在工作模式切換和瞬態(tài)工況,設(shè)計一種涵蓋所有工況的轉(zhuǎn)矩算法比較復(fù)雜,而基于危險限值比較的轉(zhuǎn)矩算法更為簡單有效,能夠較好地應(yīng)對各種工況下的轉(zhuǎn)矩變化。在該純電動汽車整車控制策略中,應(yīng)確保不會因自身失效而產(chǎn)生不安全的轉(zhuǎn)矩指令。在策略運行過程中,將實際計算出的轉(zhuǎn)矩需求與根據(jù)危險度量計算的轉(zhuǎn)矩限值進(jìn)行比較,當(dāng)轉(zhuǎn)矩需求超出限值時,可將需求轉(zhuǎn)矩降低至無轉(zhuǎn)矩輸出。

4.4 主要算法

主要算法包括三個步驟:

(1)轉(zhuǎn)矩監(jiān)控模塊探測到轉(zhuǎn)矩錯誤,報錯給功能管理模塊。

(2)根據(jù)安全狀態(tài)定義確定應(yīng)進(jìn)入的安全狀態(tài),控制系統(tǒng)進(jìn)入安全狀態(tài)。

(3)進(jìn)入安全狀態(tài)過程中,轉(zhuǎn)矩監(jiān)控模塊將根據(jù)危險度量的安全限值限制轉(zhuǎn)矩輸出,如圖6所示。


在計算轉(zhuǎn)矩限值時,除了依據(jù)安全目標(biāo)中定義的危險度量外,還需要讀入車輛和各部件的狀態(tài),這些信號將進(jìn)行獨立的解讀和校驗,并對其中有關(guān)聯(lián)的信號基于邏輯關(guān)系進(jìn)行檢查,保證輸入信號的有效性。

在轉(zhuǎn)矩監(jiān)控的實現(xiàn)中,通過三層監(jiān)控,即硬件層面上通過獨立芯片監(jiān)控主芯片,軟件運行層面上監(jiān)控功能部分的運行時序,應(yīng)用層面上進(jìn)行功能失效判斷和轉(zhuǎn)矩監(jiān)控,通過這些措施可以滿足ASILC及以上等級對系統(tǒng)軟硬件的安全技術(shù)需求。

5 模型仿真及試驗驗證

5.1 策略仿真

本文設(shè)計的轉(zhuǎn)矩監(jiān)控模型采用Matlab/Simulink進(jìn)行控制策略建模及自動代碼生成,與底層代碼集成后生成控制軟件下載到目標(biāo)控制器,并驗證轉(zhuǎn)矩監(jiān)控策略。


為了驗證轉(zhuǎn)矩監(jiān)控策略中轉(zhuǎn)矩監(jiān)控算法的有效性,首先進(jìn)行了模型仿真,得到實際轉(zhuǎn)矩、轉(zhuǎn)矩限制值結(jié)果,如圖8所示。


5.2 安全機制驗證

控制策略開發(fā)完成并生產(chǎn)代碼后,下載到目標(biāo)控制器,在HIL臺架和動力總成試驗臺架上進(jìn)行轉(zhuǎn)矩監(jiān)控安全機制的驗證。試驗表明,當(dāng)實際需求轉(zhuǎn)矩超過根據(jù)危險度量計算的轉(zhuǎn)矩限值時,觸發(fā)安全機制,轉(zhuǎn)矩需求迅速下降到無轉(zhuǎn)矩輸出,如圖9所示。


6 結(jié)論

綜上所述,轉(zhuǎn)矩監(jiān)控是整車功能安全設(shè)計的一部分,它的需求來源于自整車層級由上而下的風(fēng)險分析和分解。完成策略設(shè)計后,還需在MIL、HIL和實物臺架方面進(jìn)行故障注入驗證,針對各種工況和運行環(huán)境測試安全機制的有效性。安全機制的驗證分為兩部分,一部分是根據(jù)安全目標(biāo)設(shè)計功能測試用例,在HIL等系統(tǒng)中利用故障注入等方法驗證功能是否符合設(shè)計需求,并進(jìn)行初步標(biāo)定。另一部分是在車輛上進(jìn)行驗證,利用設(shè)定特定的輸入等方法模擬故障,驗證安全機制是否滿足功能安全要求。最終還要通過FMEA等工具,確認(rèn)失效分析中的所有項目已經(jīng)關(guān)閉,達(dá)成安全目標(biāo)的安全機制設(shè)計有效運行。電動汽車電機驅(qū)動控制器功能安全架構(gòu)研究
 
 
分享到:
 
反對 0 舉報 0 收藏 0 評論 0
滬ICP備11026917號-25