吳浩，魏廣杰，劉永，嚴(yán)運(yùn)兵

摘? 要：為了論證基于IS02626的功能安全概念設(shè)計(jì)和安全確認(rèn)方法可以實(shí)現(xiàn)安全目標(biāo)，對(duì)某電動(dòng)汽車電驅(qū)動(dòng)力系統(tǒng)縱向驅(qū)動(dòng)功能非預(yù)期的失效進(jìn)行了危害分析和風(fēng)險(xiǎn)評(píng)估，以“防止非預(yù)期的車輛自主移動(dòng)”安全目標(biāo)為例，針對(duì)紅綠燈路口停車場(chǎng)景，建立非預(yù)期車輛自主移動(dòng)數(shù)學(xué)模型，參考仿真結(jié)果對(duì)監(jiān)控扭矩閾值和故障容忍時(shí)間間隔（FTTI）進(jìn)行設(shè)計(jì)，并在實(shí)車上進(jìn)行安全確認(rèn)測(cè)試。測(cè)試結(jié)果表明，基于仿真結(jié)果設(shè)計(jì)的安全需求實(shí)現(xiàn)了和安全目標(biāo)的一致性，且具備避免危害的能力。

關(guān)鍵詞：功能安全;故障容忍時(shí)間間隔;安全目標(biāo);安全確認(rèn);故障注入

中圖分類號(hào)：U469.72? ? ?文獻(xiàn)標(biāo)識(shí)碼：A? ? ?文章編號(hào)：1005-2550（2021）05-0017-08

Electric Power-train System Function Safety Concept

Design and Safety Validation

WU Hao1， WEI Guang-jie1， LIU Yong1， YAN Yun-bing2

（ 1. Jiangling Motors Co， Ltd.， Nan Chang 330052， China;

2.Wuhan University of Science and Technology， Wuhan 430065， China）

Abstract： In order to demonstrate that the functional safety concept design and safety validation method based on IS02626 can achieve safety goal， hazard analysis and risk assessment of an electric vehicle power-train system longitudinal driving functions unexpected failure is carried out. Taking the safety goal of “preventing the unintended vehicle autonomous movement” as an example， for the scene of stopping at traffic lights， a mathematical model of the unintended autonomous movement is established， the monitoring torque threshold and fault tolerant time interval are designed according to the simulation results. And safety validation test in vehicle is carried out. The test results show that the designed safety requirement based on the simulation results achieved the consistency with the safety goal and the ability of avoid hazard.

隨著電動(dòng)化、智能化、網(wǎng)聯(lián)化、共享化等新技術(shù)的不斷發(fā)展，依賴于電子電氣系統(tǒng)實(shí)現(xiàn)的汽車功能越來越豐富和復(fù)雜，由電子電器系統(tǒng)功能失效導(dǎo)致的安全風(fēng)險(xiǎn)越來越高;ISO26262對(duì)車輛的電子電氣系統(tǒng)全生命周期進(jìn)行功能安全管理及產(chǎn)品開發(fā)提供了一套標(biāo)準(zhǔn)的流程和方法[1]，考慮到功能安全的重要性，2017年我國國家標(biāo)準(zhǔn)化管理委員會(huì)參考ISO26262制定了中國的功能安全標(biāo)準(zhǔn)GB/T 34590，越來越多的主機(jī)廠也開始在產(chǎn)品開發(fā)過程中導(dǎo)入功能安全的要求。ISO26262標(biāo)準(zhǔn)中與汽車產(chǎn)品開發(fā)強(qiáng)相關(guān)的內(nèi)容為第3至第6部分，分別規(guī)定了在概念、系統(tǒng)、硬件和軟件階段的功能安全開發(fā)要求[1]。一般而言，主機(jī)廠應(yīng)主導(dǎo)概念階段的開發(fā)，這個(gè)階段的工作主要包括對(duì)象定義、危害分析和風(fēng)險(xiǎn)評(píng)估以及功能安全需求導(dǎo)出，供應(yīng)商基于主機(jī)廠導(dǎo)出的功能安全需求進(jìn)一步進(jìn)行零部件系統(tǒng)和軟硬件開發(fā)。

由于概念階段是功能安全開發(fā)的基礎(chǔ)，不少學(xué)者針對(duì)功能安全概念設(shè)計(jì)進(jìn)行了研究。例如曾艾等[2]對(duì)動(dòng)力總成系統(tǒng)的扭矩安全進(jìn)行概念階段開發(fā)，以“避免非期望的縱向加速”的安全目標(biāo)為例，設(shè)計(jì)了扭矩安全的功能需求;王林等[3]介紹了混合動(dòng)力汽車電驅(qū)動(dòng)系統(tǒng)的功能安全概念設(shè)計(jì);趙征瀾[4]介紹了純電動(dòng)汽車的扭矩控制安全概念設(shè)計(jì)，展示了“防止非預(yù)期的加速/減速”功能安全目標(biāo)和安全需求，并在HIL-動(dòng)力總成臺(tái)架上對(duì)安全機(jī)制進(jìn)行了驗(yàn)證，但是對(duì)于安全目標(biāo)的驗(yàn)收指標(biāo)和安全需求的扭矩監(jiān)控閾值和FTTI時(shí)間的導(dǎo)出過程未做詳細(xì)介紹;國外Hyungju Kwon等[5]對(duì)電動(dòng)助力轉(zhuǎn)向系統(tǒng)進(jìn)行了HARA分析，并通過特定場(chǎng)景的實(shí)車危害測(cè)試來確定FTTI時(shí)間。但是由于在概念階段零部件和整車一般沒有完成開發(fā)，所以在概念階段僅通過實(shí)車測(cè)試來確定FTTI時(shí)間也存在一定局限性;何杰等[6]使用仿真測(cè)試的方法，搭建ESP系統(tǒng)Simulink-Carsim聯(lián)合仿真模型，確定扭矩傳感器故障的FTTI時(shí)間，但未在實(shí)車上測(cè)試驗(yàn)證真實(shí)駕駛員環(huán)境下的可控性。

本文針對(duì)上述研究的不足，完整實(shí)踐了對(duì)象定義、危害分析和風(fēng)險(xiǎn)評(píng)估、功能安全需求導(dǎo)出和安全確認(rèn)測(cè)試的全過程。在對(duì)電動(dòng)汽車電驅(qū)動(dòng)力系統(tǒng)進(jìn)行對(duì)象定義和HARA分析的基礎(chǔ)上，以“防止非預(yù)期的車輛自主移動(dòng)”安全目標(biāo)為例，針對(duì)紅綠燈路口停車場(chǎng)景建立仿真模型并進(jìn)行了仿真，確定監(jiān)控扭矩閾值和FTTI時(shí)間，并在實(shí)車上進(jìn)行了實(shí)車測(cè)試，最后通過實(shí)車測(cè)試和仿真結(jié)果的對(duì)比，確認(rèn)了基于仿真設(shè)計(jì)的安全需求和安全目標(biāo)的一致性。

1? ? 電驅(qū)動(dòng)力系統(tǒng)功能安全概念設(shè)計(jì)

1.1? ?對(duì)象定義

電驅(qū)動(dòng)力系統(tǒng)功能示意圖如圖1所示，其作用是控制電機(jī)輸出縱向扭矩驅(qū)動(dòng)車輛行駛。驅(qū)動(dòng)功能由整車控制器計(jì)算需求扭矩，電機(jī)控制器響應(yīng)整車控制器的需求扭矩請(qǐng)求，并控制電機(jī)執(zhí)行輸出扭矩，經(jīng)減速器傳遞至車輪。需求扭矩的計(jì)算包含駕駛員需求扭矩、系統(tǒng)能力限制扭矩、車身穩(wěn)定系統(tǒng)請(qǐng)求扭矩、和故障模式限制扭矩。其中，駕駛員需求扭矩主要根據(jù)加速踏板開度、制動(dòng)踏板開度、檔位、實(shí)時(shí)車速來計(jì)算;系統(tǒng)能力限制扭矩主要根據(jù)動(dòng)力電池管理系統(tǒng)和電機(jī)控制器提供的系統(tǒng)能力限值來計(jì)算;檔位控制器根據(jù)駕駛員對(duì)換擋機(jī)構(gòu)的操作，識(shí)別駕駛員的前進(jìn)/倒車/空擋切換意圖;車身穩(wěn)定系統(tǒng)根據(jù)車輛運(yùn)動(dòng)時(shí)的縱向和橫向的穩(wěn)定性狀態(tài)等對(duì)電驅(qū)動(dòng)系統(tǒng)提出增減扭矩的請(qǐng)求;故障限制扭矩是根據(jù)電驅(qū)動(dòng)系統(tǒng)相關(guān)的傳感器、控制器、執(zhí)行器不同故障，對(duì)扭矩進(jìn)行限制或清零的處理。

電驅(qū)動(dòng)力系統(tǒng)的內(nèi)外部接口如圖2所示，內(nèi)部接口主要由整車控制器/電池管理系統(tǒng)/電機(jī)控制器/車載充電控制器（OBC）的通訊接口、油門踏板開發(fā)/油門踏板位置的傳感器接口、驅(qū)動(dòng)電機(jī)組成的機(jī)械接口、高壓配電盒（PDU）/OBC/電機(jī)控制器的高壓電氣接口組成;外部接口主要由減速器/車輪的機(jī)械接口、12V蓄電池/直流-直流轉(zhuǎn)換器（DCDC）的低壓電氣接口、以及檔位控制器/車身穩(wěn)定控制器/DCDC控制器的通訊接口組成。

1.2? ?危害分析和風(fēng)險(xiǎn)評(píng)估

ISO26262規(guī)定，在對(duì)象定義完成后，下一步就是危害分析和風(fēng)險(xiǎn)評(píng)估（Hazard analysis and risk assessment，簡(jiǎn)稱HARA），對(duì)由于系統(tǒng)功能失效造成的危害事件進(jìn)行識(shí)別和等級(jí)分類。危害識(shí)別即HARA的危害分析部分，危害等級(jí)分類即HARA的風(fēng)險(xiǎn)評(píng)估部分，每個(gè)部分都需要獨(dú)立討論。

1.2.1 失效/故障分析

HARA分析首先需要列出對(duì)象功能的所有可能的失效模式。危害和可操作分析（HOZOP）是一種常用的系統(tǒng)失效分析方法。HAZOP通過使用失效形式關(guān)鍵詞，例如“過多”、“過少”、“喪失”、“錯(cuò)誤”等，系統(tǒng)性地確定需控制的失效模式范圍[7]。對(duì)于電驅(qū)動(dòng)力系統(tǒng)的縱向驅(qū)動(dòng)功能，其失效模式見表1：

1.2.2 場(chǎng)景分析和危害識(shí)別

同一功能失效在不同的運(yùn)行場(chǎng)景或駕駛條件下的危害后果可能不同，所以需要分析車輛運(yùn)行場(chǎng)景。車輛運(yùn)行場(chǎng)景是包含車輛狀態(tài)、環(huán)境條件和駕駛員行為三者的條件組合。運(yùn)行場(chǎng)景不必進(jìn)行全面的排列組合，只需列出對(duì)對(duì)象功能有明顯影響的場(chǎng)景組合。本文以“駕駛員不期望車輛輸出扭矩時(shí)，提供了扭矩”的故障模式為例，列舉了有代表性的車輛停車運(yùn)行場(chǎng)景，以及故障失效在每個(gè)運(yùn)行場(chǎng)景下導(dǎo)致的危害后果，如表2所示。

1.2.3 風(fēng)險(xiǎn)評(píng)估及安全目標(biāo)

在確定故障和運(yùn)行場(chǎng)景組成的危害事件后，下一步工作是確定每個(gè)危害事件的嚴(yán)重度（S：S0-S3），暴露率（E：E0-E4），和可控度（C：C0-C3），導(dǎo)出每個(gè)危害事件的汽車安全完整性等級(jí)（ASIL：QM，和A，和B，和C，和D），ISO26262.3對(duì)S/E/C評(píng)分和ASIL等級(jí)確定都進(jìn)行了指導(dǎo)說明。以運(yùn)行場(chǎng)景5為例，車輛在擁堵的十字路口或紅綠燈路口停車時(shí)，車輛產(chǎn)生了非預(yù)期的驅(qū)動(dòng)扭矩，可能以低速撞到行人，所以對(duì)應(yīng)的嚴(yán)重度評(píng)分為S2;所發(fā)生場(chǎng)景在每次駕駛中幾乎都可能發(fā)生，所以暴露率評(píng)分為E4;發(fā)生危險(xiǎn)時(shí)，90%～99%的駕駛員一般可以控制，所以可控度評(píng)分為C2。按照ISO26262的ASIL確定表，確定S2-E4-C2對(duì)應(yīng)ASIL B等級(jí)。

風(fēng)險(xiǎn)評(píng)估所有評(píng)分結(jié)束后，針對(duì)最惡劣運(yùn)行場(chǎng)景下的故障（稱為頂事件，Top Event）制定安全目標(biāo)。安全目標(biāo)是對(duì)象的頂層安全需求，安全目標(biāo)需要表達(dá)整車層面的功能目標(biāo)，而不是具體的技術(shù)方案。本文所列舉的5個(gè)危害事件的安全目標(biāo)均可定義為“防止非預(yù)期的車輛自主移動(dòng)”。另外，每個(gè)安全目標(biāo)需定義一個(gè)安全狀態(tài)，即沒有不合理風(fēng)險(xiǎn)的Item對(duì)象的運(yùn)行模式。以“防止非預(yù)期的車輛自主移動(dòng)”為例，安全狀態(tài)可設(shè)計(jì)為“中斷電驅(qū)動(dòng)力系統(tǒng)扭矩輸出”。

1.3? ?功能安全需求和概念

1.3.1 功能安全需求設(shè)計(jì)

為了實(shí)現(xiàn)對(duì)象的安全目標(biāo)，需設(shè)計(jì)安全需求來對(duì)危害進(jìn)行檢測(cè)和處理并使之緩和到可接受的范圍內(nèi)。以“防止非預(yù)期的車輛自主移動(dòng)”的安全目標(biāo)為例，整車控制器需要進(jìn)行請(qǐng)求扭矩安全監(jiān)控，電機(jī)控制器需要進(jìn)行電機(jī)實(shí)際扭矩安全監(jiān)控?？稍O(shè)計(jì)一條針對(duì)整車控制器的功能安全需求：“當(dāng)VCU功能模塊計(jì)算的電機(jī)請(qǐng)求扭矩超過扭矩監(jiān)控模塊的電機(jī)安全扭矩（即電機(jī)克服車輛靜態(tài)摩擦阻力所需的扭矩）一定值時(shí)，VCU應(yīng)立即進(jìn)入安全狀態(tài)”。在確定功能安全需求后，需進(jìn)一步明確功能安全機(jī)制，這就需要解答一個(gè)關(guān)鍵的問題：如何設(shè)置的故障檢測(cè)處理時(shí)間和故障扭矩的檢測(cè)閾值，才能確保系統(tǒng)在故障容忍時(shí)間（FTTI）內(nèi)不發(fā)生危害事件？

ISO26262定義了故障處理時(shí)間間隔（FHTI），包含故障診斷和處理時(shí)間;FHTI應(yīng)在開發(fā)階段被考慮，為避免危害事件所需的最大的故障檢測(cè)處理時(shí)間間隔[1];FTTI為在安全機(jī)制未激活時(shí)，從故障發(fā)生到發(fā)生危害事件所允許的最短時(shí)間，所以FTTI應(yīng)為駕駛員對(duì)故障的反應(yīng)時(shí)間和駕駛員控制車輛所需時(shí)間之和。本文使用了仿真計(jì)算和實(shí)車測(cè)試的方法，通過實(shí)車的故障注入測(cè)試可以確定最大的“故障處理時(shí)間間隔”和故障扭矩檢測(cè)閾值。

1.3.2 功能安全需求仿真計(jì)算

“非預(yù)期車輛自主移動(dòng)”數(shù)學(xué)模型如圖3所示。假設(shè)車輛在十字路口停車，車輛前方有行人陸續(xù)通過，行人沿車輛縱向的速度為0，車輛初始位置和行人距離為S。某時(shí)刻車輛突然產(chǎn)生Tmot_add的故障扭矩，故障發(fā)生terrState時(shí)間后，車輛進(jìn)入安全狀態(tài);在故障發(fā)生tdrvReact時(shí)間后，駕駛員意識(shí)到危險(xiǎn)并開始制動(dòng)車輛;駕駛員需要在車輛碰撞到行人之前將車輛完全制動(dòng)，否則認(rèn)為危害事件發(fā)生，見圖3。

在“非預(yù)期車輛自主移動(dòng)”數(shù)學(xué)模型中，車輛移動(dòng)過程可分為三部分：1）注入故障扭矩的加速過程t0～t1;2）車輛進(jìn)入安全狀態(tài)后的滑行過程t1～t2;3）駕駛員緊急制動(dòng)車輛至車速為0的過程t2～t3。電機(jī)扭矩Tmot和制動(dòng)器制動(dòng)扭矩Tμ均為對(duì)時(shí)間的分段函數(shù)：

（1）

（2）

其中，制動(dòng)器制動(dòng)力矩分段函數(shù)中，制動(dòng)力響應(yīng)和上升階段的制動(dòng)力矩被簡(jiǎn)化為0Nm。

根據(jù)行駛方程，車輛的行駛位移為車速對(duì)時(shí)間的積分：

（3）

根據(jù)車輛動(dòng)力學(xué)方程[8]，電機(jī)驅(qū)動(dòng)力傳遞到車輪的車輛驅(qū)動(dòng)力：

（4）

其中，Tmot為電機(jī)扭矩;i0為減速器速比，η為機(jī)械傳動(dòng)效率;r為輪胎滾動(dòng)半徑。

根據(jù)車輛動(dòng)力學(xué)方程[8]，車輛行駛阻力：

（5）

其中，M為整車質(zhì)量;g為重力加速度;f為滾阻系數(shù);Cd為風(fēng)阻系數(shù);A為車輛迎風(fēng)面積;u為行駛車速;α為道路坡度;δ為旋轉(zhuǎn)質(zhì)量換算系數(shù)。

車輛制動(dòng)力：

（6）

其中，Tμ為車輛緊急制動(dòng)時(shí)制動(dòng)器提供的制動(dòng)力矩。

（7）

根據(jù)公式（1）～（7），在MATLAB/Simulink 中搭建仿真模型，如圖4所示。其中，Mot err Torque injection模塊根據(jù)式（1）和式（4），計(jì)算電機(jī)扭矩和輸出輪端驅(qū)動(dòng)扭矩;Driver Brake Force injection模塊根據(jù)式（2）計(jì)算制動(dòng)器制動(dòng)力;Vehicle Acceleration Torque Calculation模塊根據(jù)式（5）～（7）計(jì)算車輛加速力矩;Vehicle Motion Simulation模塊根據(jù)式（5）和式（3）分別計(jì)算車速和車輛行駛距離。

針對(duì)某皮卡車型，仿真計(jì)算所需的整車參數(shù)和假設(shè)參數(shù)如表3所示：

根據(jù)現(xiàn)有的交通安全中的人為因素統(tǒng)計(jì)[9]，95%的人對(duì)于突發(fā)事件的反應(yīng)時(shí)間為1.6s;根據(jù)“BOSCH汽車工程手冊(cè)”定義[10]，制動(dòng)過程包含危險(xiǎn)辨認(rèn)時(shí)間、制動(dòng)延誤時(shí)間，其中危險(xiǎn)辨認(rèn)時(shí)間約為0.4s，制動(dòng)延誤時(shí)間包含反應(yīng)時(shí)間（一般為0.3s）、轉(zhuǎn)換時(shí)間（駕駛員的腳挪到制動(dòng)踏板的時(shí)間，約為0.2s）、制動(dòng)力響應(yīng)和增長(zhǎng)時(shí)間（不超過0.6s）。參考文獻(xiàn)9和文獻(xiàn)10，本文設(shè)置駕駛員的反應(yīng)制動(dòng)時(shí)間，即從車輛輸出故障扭矩到制動(dòng)器輸出最大制動(dòng)力的時(shí)間間隔為1.6s;另外假設(shè)電機(jī)故障扭矩從請(qǐng)求到實(shí)車響應(yīng)的時(shí)間為0.1s，可得出從注入故障扭矩到制動(dòng)器輸出制動(dòng)力的時(shí)間間隔為1.7s;在危險(xiǎn)情況下，駕駛員一般會(huì)進(jìn)行緊急制動(dòng)，按照“GB 7258-2017 機(jī)動(dòng)車運(yùn)行安全技術(shù)條件”[11]中第7.10.2.2條，要求乘用車以50km/h的初速度時(shí)制動(dòng)空載檢驗(yàn)充分發(fā)出的平均制動(dòng)減速度不小于6.2m/s2。為實(shí)現(xiàn)6.2m/s2的制動(dòng)減速度，針對(duì)本文選取的車輛參數(shù)可以仿真計(jì)算出對(duì)應(yīng)的制動(dòng)器緊急制動(dòng)力為15200N;根據(jù)“GB5768道路交通標(biāo)志和標(biāo)線”規(guī)定[12]，車輛停止線應(yīng)距離人行橫道100～300cm，如圖5所示。因此本文假設(shè)初始的人車距離為100cm，對(duì)應(yīng)安全目標(biāo)和安全需求的安全驗(yàn)證準(zhǔn)則為“實(shí)施安全機(jī)制后，非預(yù)期的車輛自主移動(dòng)距離不應(yīng)超過100cm”;車輛初始車速設(shè)置為0km/h。

輸入整車參數(shù)和假設(shè)參數(shù)后，通過“非預(yù)期車輛自主移動(dòng)”Simulink仿真模型計(jì)算出車輛位移和駕駛員反應(yīng)及剎車時(shí)間，如表4所示。

其中，注入幅值300Nm持續(xù)時(shí)間200ms的故障扭矩后，車輛位移和車速的仿真結(jié)果如圖6和圖7所示。據(jù)圖6和圖7可發(fā)現(xiàn)，在第100ms時(shí)注入300Nm故障扭矩，車輛開始加速;在第300ms時(shí)電機(jī)扭矩清零，車輛開始滑行減速;在第1800ms時(shí)駕駛員進(jìn)行制動(dòng)，車輛開始制動(dòng)減速;在第1950ms時(shí)車輛完全停止。

由于電機(jī)峰值扭矩為300Nm，故障扭矩診斷閾值可以在可驅(qū)動(dòng)車輛移動(dòng)的最小扭矩和電機(jī)峰值扭矩之間，即在6Nm至300Nm內(nèi)選取;考慮車輛位移不超過100cm，選取車輛位移接近100cm的仿真數(shù)據(jù)中，選取最短的故障注入時(shí)間作為安全需求的FHTI時(shí)間，即從2/4/7/9組數(shù)據(jù)中選擇第7組，設(shè)計(jì)FHTI時(shí)間為170ms;故障容忍時(shí)間間隔FTTI可從2/4/7/9組仿真結(jié)果中選擇最短的駕駛員反應(yīng)和剎車時(shí)間，即FTTI時(shí)間可選擇為1850ms。

2? ? 安全確認(rèn)測(cè)試

功能安全確認(rèn)需提供證據(jù)證明功能安全需求和安全目標(biāo)的一致性，并具備減輕或避免危害事件的能力;減輕或避免危害事件的能力可通過測(cè)試、試運(yùn)行或?qū)＜以u(píng)價(jià)來評(píng)估[1]。需說明的是，安全確認(rèn)不僅包含功能安全開發(fā)結(jié)束時(shí)進(jìn)行的驗(yàn)證工作，也包含在功能安全開發(fā)過程中的工作。

本文通過在實(shí)車上進(jìn)行故障注入測(cè)試進(jìn)行安全確認(rèn)，并將測(cè)試結(jié)果和仿真結(jié)果進(jìn)行back-to-back對(duì)照，驗(yàn)證功能安全需求中的監(jiān)控扭矩增加閾值和允許的故障診斷處理時(shí)間設(shè)置是否可以實(shí)現(xiàn)安全目標(biāo)，即“防止非預(yù)期的車輛自主移動(dòng)”，以及對(duì)應(yīng)的安全驗(yàn)證準(zhǔn)則“實(shí)施安全機(jī)制后，非預(yù)期的車輛自主移動(dòng)距離不應(yīng)超過100cm”。

2.1? ?測(cè)試實(shí)施步驟

選擇封閉的水平水泥路面作為測(cè)試場(chǎng)地，使用CANoe總線信號(hào)注入的方法進(jìn)行故障注入測(cè)試[13]，在測(cè)試前調(diào)試好測(cè)試設(shè)備和測(cè)試腳本。測(cè)試腳本設(shè)定的故障注入條件為，當(dāng)整車上電到Ready狀態(tài)且制動(dòng)踏板完全松開后開始注入故障扭矩，并可設(shè)置故障注入時(shí)間，如表5所示。按照下述步驟實(shí)施測(cè)試：

2.2? ?測(cè)試結(jié)果和分析

測(cè)試結(jié)果如表6所示，為使車輛位移不超過100cm，當(dāng)故障扭矩為50Nm時(shí)，故障注入時(shí)間應(yīng)小于1500ms;當(dāng)故障扭矩為100Nm時(shí)， 故障注入時(shí)間應(yīng)小于600ms;當(dāng)故障扭矩為200Nm時(shí)，故障注入時(shí)間應(yīng)小于250ms;當(dāng)故障扭矩為300Nm時(shí)，故障注入時(shí)間應(yīng)小于170ms。在設(shè)計(jì)故障扭矩檢測(cè)閾值和故障診斷處理時(shí)間時(shí)，可依據(jù)上述測(cè)試測(cè)試結(jié)果進(jìn)行對(duì)照選取;從車輛位移接近100cm的測(cè)試結(jié)果中選取最短的故障注入時(shí)間數(shù)據(jù)，因此選取的故障檢測(cè)和處理時(shí)間應(yīng)小于170ms，此時(shí)間和基于仿真結(jié)果設(shè)計(jì)的FHTI時(shí)間一致。

圖8給出了注入300Nm故障扭矩200ms的車速實(shí)測(cè)和仿真結(jié)果對(duì)比。由于汽車傳動(dòng)系的彈性阻尼特性，直接施加大扭矩時(shí)，車速會(huì)發(fā)生一定程度的振蕩，但是在加速、滑行和制動(dòng)三個(gè)階段實(shí)測(cè)車速和仿真車速的變化趨勢(shì)是一致的。

圖9給出了實(shí)車測(cè)試測(cè)結(jié)果和Simulink仿真結(jié)果的車輛位移對(duì)比，發(fā)現(xiàn)各組數(shù)據(jù)的變化趨勢(shì)相同，車輛位移差異也在合理范圍內(nèi)?？紤]實(shí)車測(cè)試的測(cè)量誤差因素，本文設(shè)計(jì)的仿真模型是比較準(zhǔn)確的，因此仿真結(jié)果可以作為設(shè)計(jì)功能安全需求參考的依據(jù)。

3? ? ?結(jié)論

本文對(duì)電驅(qū)動(dòng)力系統(tǒng)進(jìn)行了對(duì)象定義，并以“駕駛員不期望車輛輸出扭矩時(shí)，提供了扭矩”為例進(jìn)行了HARA分析，導(dǎo)出了“防止非預(yù)期的車輛自主移動(dòng)”的安全目標(biāo)，針對(duì)“車輛在紅綠燈路口停車時(shí)發(fā)生自主移動(dòng)”的場(chǎng)景，并使用仿真計(jì)算的方法明確了功能安全需求中的安全監(jiān)控扭矩閾值和時(shí)間要求。

在實(shí)車上進(jìn)行了安全確認(rèn)測(cè)試，測(cè)試結(jié)果表明了仿真結(jié)果和實(shí)車測(cè)試結(jié)果的一致性，驗(yàn)證了基于仿真結(jié)果設(shè)計(jì)的安全需求對(duì)于安全目標(biāo)的一致性和避免危害的能力。本文基于ISO26262要求的扭矩功能安全開發(fā)實(shí)踐，可為相關(guān)企業(yè)工程師在功能安全概念階段和安全確認(rèn)測(cè)試階段的工程實(shí)踐提供案例借鑒。

參考文獻(xiàn)：

[1]ISO 26262. Road Vehicles-Function Safety [S]，Geneva：International Organization for Standardization， 2018 .

[2]曾艾，楊永光. 基于ISO 26262的動(dòng)力總成系統(tǒng)扭矩安全概念設(shè)計(jì)[J]，上海汽車，2017（10）：25-29.

[3]王林，趙鑫，任倩萌，混合動(dòng)力汽車電驅(qū)動(dòng)系統(tǒng)的功能安全概念設(shè)計(jì)[J]，上海汽車，2018（11）：4-18.

[4]趙征瀾，純電動(dòng)汽車轉(zhuǎn)矩控制安全概念與轉(zhuǎn)矩監(jiān)控模型[J]，汽車工程學(xué)報(bào)，2018，8（3）：229-234.

[5]Hyungju Kwon， Itabashi-Campbell，R.， McLaughlin，K. ISO 26262 Application to Electric Steering Development with a Focus on Hazard Analysis[C]， 2013 IEEE international systems conference， Orlando， Florida， USA， April 2013.

[6]何杰，陳慧，符合ISO26262的EPS扭矩傳感器故障容錯(cuò)時(shí)間間隔確定方法[C]. 2015 中國汽車工程學(xué)會(huì)年會(huì)論文集（Volume2）. 中國汽車工程學(xué)會(huì)，2015：4.

[7]P. Goddard， “System safety applied to vehicle design” [J]， SAE， Int. J. Passenger. Cars – Mech. Syst.， 2008 ， vol. 2（1）， pp. 1-97.

[8]余志生，汽車?yán)碚揫M]，北京：機(jī)械工業(yè)出版社，2018.

[9]R. Dewar and P. Olson， Human Factors in Traffic Safety [M]， 2nd ed. Tucson， AZ， USA： Lawyers & Judges Publishing， 2007.

[10]Konrad Reif，BOSCH汽車工程手冊(cè)[M]，北京：北京理工大學(xué)出版社，2016.

[11]GB 7258-2017 機(jī)動(dòng)車運(yùn)行安全技術(shù)條件[S]，2017.

[12]GB 5768.3道路交通標(biāo)志和標(biāo)線[S]，2009.

[13]尚世亮，王雷雷，趙向東，基于ISO26262的車輛電子電氣系統(tǒng)故障注入測(cè)試方法[J]，汽車技術(shù)，2015（12）：49-58.