基于功能安全的整车控制器的概念设计与仿真

摘 要：基于汽车功能安全标准的要求，对电动汽车整车控制器进行了概念设计。在此基础上，完成了对整车控制器的危害分析和风险评估，确定安全等级和安全目标。搭建了整车控制器的仿真模型，对整车驾驶性能进行测试，测试结果表明此设计能够满足功能安全标准规范，实现了对整车控制器的功能安全设计，对整车控制器的安全开发具有指导意义。

关键词：功能安全 整车控制器 危害分析和风险评估 仿真

中图分类号：U469.72 文献标识码：A 文章编号：1672-3791（2017）03（b）-0081-06

Conceptual Design and Simulation of Vehicle Controller Based on Functional Safety

Zhang Zhenwang Liu Shuying

（Hebei University of Technology， Tianjin， 300000， China）

Abstract： Based on Vehicle functional safety standards，the conceptual design is carried out for electric vehicle controller. On this basis， the project definition， hazard analysis and risk assessment of vehicle controller were completed，then the functional safety level and target were determined. Finally， an simulation mode was established to conduct the simulation test at the conceptual design of vehicle controller. The test results showed that the design can satisfy the vehicle functional safety standards. The functional safety conceptual design of vehicle controller was realized， which has a guiding significance for the safe development of vehicle controller.

Key Words： Functional safety； Vehicle control； Hazard analysis and risk assessment； Simulation

电子技术集成化的快速发展及其在汽车上的大量应用极大地推动了汽车产业的发展，汽车对电子技术的依赖程度越来越高的同时，汽车电子电气产品所带来的安全问题越发重要，例如：因各种汽车电控系统软硬件故障而不断出现的汽车召回事件。而整车控制器作为电动车的控制单元，是整车控制系统的核心，负责传递整个电动汽车的动力，保证行驶过程中汽车的动力性以及对整个汽车的能量进行控制管理。因此，为了保证复杂系统下的安全，ISO26262道路车辆功能安全标准应运而生。

ISO26262从2005年11月起正式开始制定，经历了大约6年左右的时间，于2011年11月正式颁布，成为国际标准。道路车辆功能安全标准分为10个部分：术语、功能安全管理、概念阶段、产品开发-系统层、产品开发-硬件层、产品开发-软件层、生产和操作、支持过程、汽车安全完整性等级导向和安全导向分析、指南[1]。具体架构如图1所示。

1 整车控制器的概念设计

整车控制器是整车控制系统的核心，负责传递整个电动汽车的动力，保证行驶过程中汽车的动力性以及对整个汽车的能量进行控制管理。

1.1 项目定义

整车控制系统以整车控制器VCU作为Powertrain控制核心和网关，还包括电池管理系统BMS，电机控制系统MCU等。整车控制器的主要功能监测电池的电流、电压、温度和荷电状态SOC，根据加速踏板和制动踏板传感器采集加速踏板/制动踏板状态进行扭矩解析和再生制动等功能[2]。系统架构图如图2所示。

根据ISO26262项目定义中的相关内容，整车控制器的工作环境主要分为车辆行驶、转弯、避让、超车，以及在不同的天气情况下比如晴天、雨雪、湿滑路面等。实现功能是整车控制器检测和控制各个电子器件的运行，故障报警以及处理保护驾驶员的行车安全[3]。

1.2 危害分析与风险评估

整车控制器的危害分析与风险评估的作用主要是辨别其可能的危害，确定可能存在的风险，确定安全等级ASIL和安全目标。

1.2.1 完全等级ASIL概述

ISO26262中提出了确定功能安全等级（ASIL）的方法，安全等级范围是A、B、C、D，其中ASIL A安全等级最低，ASIL D安全等级最高。在整车和系统电子设计时，需要确定所设计项目的范围[4]。基于项目定义，确定项目的安全目标，避免不合理的风险。ASIL使用3个参数进行评估，分别是：危险对驾驶员或其他交通参与人员造成伤害的严重程度S，危险所在工况的发生概率E，危险涉及的驾驶员和其他交通参与人员及时采取控制行动避免特定伤害的能力C[5]。其分类如表1～4所示。

1.2.2 危害分析与风险评估

在整车控制系统中主要故障分为过度加速和o意图的发生制动力（电机冷却系统失效），无意图的方向发生驱动力。

（1）过度加速。

严重性：过度加速导致电机扭矩过大，电机温度升高导致电机失效，如果行驶在正常情况下很可能发生碰撞，对驾驶员造成人身伤害定义严重度为S3。发生概率因为过度加速在平常的驾驶情况下发生不是很频繁，因此定义为E2。可控性多度加速导致失效，驾驶员在获知后由于慌张很难有效控制，可控性为C3。

（2）无意图的发生制动力。

严重性：无意图的制动在正常驾驶情况下很可能造成后面车辆闪躲不及时造成碰撞危及驾驶员的生命定义严重性为S3。发生概率在正常驾驶状况下电机具有温度检测，当冷却系统失效时，会及时提醒驾驶员故障发生概率定位E2。可控性当故障发生驾驶员获知后及时处理避免发生危险可控性定位C2。

（3）无意图的方向发生驱动力。

严重性：正常行驶情况下发生无意图的方向驱动力很可能造成车辆偏离正常行驶轨道与周围车辆发生碰撞或者冲向绿化带，这会造成驾驶员一定的生命危U定义为S3。发生概率正常行驶情况下发生概率较小定为E1。可控性无意图的驱动力发生时驾驶员一般很难及时做出反应定义为C3。

经过危害分析与风险评估后得到安全目标如表5所示。

通过功能安全目标得出功能安全要求，然后分给项目的初始结构以及外部量。主要包括故障的检测指示，失效的缓和处理，整车控制器最高安全等级为ASILB，在设计整车控制器的时候按照安全等级进行设计，使损失降到最低[6]。具体的安全措施为以下几点。

（1）VCU进行自检。若自检失败，储存故障码。

（2）若无故障闭合VCU，VCU对电池管理系统、电机控制系统、高压系统进行监控。

（3）增加系统的冗余设计，减小失效率，实现安全目标。

2 仿真测试

根据汽车电子V模型开发流程，需要对整车控制器的概念设计进行建模仿真测试。该文借助MATLAB/Simulink提供强大的图形化建模服务，对电动汽车的整车控制器进行模型搭建。通过采集开关、档位开关等数字信号，以及加速踏板、制动踏板等模拟信号[7]。综合判断相应的模式，根据当前状态进行故障处理发送扭矩命令以驱动或制动车辆。

2.1 整车控制器的建模

对电动汽车整车控制器的仿真首先我们应该建立仿真模型，主要包括IO口数据采集系统、模式转换（启动模式、制动模式、驱动模式）、整车控制系统、故障处理系统如图3所示。

IO口主要负责采集开关、档位等数字信号，以及加速踏板、制动踏板等模拟信号，根据采集的信号判断电动汽车处于何种模式，整车控制器主要负责监测电机扭矩、温度，电池荷电状态、温度等变化，如果发生故障则显示故障并由故障处理系统处理返回正常数值。

启动模式：驾驶员未踩下加速踏板和制动踏板，电机根据整车控制器提出的需求扭矩命令输出力矩是电动汽车保持静止状态或维持在某一低车速状态。

驱动模式：在电动汽车正常行驶中，如果驾驶员踩下了加速踏板，车辆就会进入正常行驶驱动模式。驾驶员对车辆驱动力矩的需求体现在加速踏板的操作上。

制动模式：只要是制动踏板开度不为0就会进入制动能量回收模式，制动能量回收只是一个补充，用于回收部分制动能量。

2.2 整车控制器测试验证

通过故障注入的方法对整车控制器的性能进行验证，通过IO口注入故障，并对多度加速、无意图的发生制动力、无意图的方向发生驱动力等故障进行了测试，测试的数据如表6所示。其中可控率=故障处理次数/故障注入次数。

由表6的测试数据可知，整车控制器能够检测出注入的故障，并且通过相关操作处理故障，从而使失效造成的损失降到最低，满足ISO26262道路安全标准，实现了概念阶段整车控制器的功能安全设计。

2.3 驾驶性能测试

为了验证整车控制器VCU能否准确且有效地接收加速踏板和制动踏板的真实信号，能够控制电机输出正确的需求扭矩。该文通过模拟车辆在加速、起步和制动时的状态，判断整车控制VCU的性能，从而确定整车控制器VCU是否到达设计的目标。

起步测试：测试开始时点火开关处于Start状态，在时间为9 s时踩下制动踏板，使制动踏板的开度达到100%，将整车的档位达到前进挡D档，松开制动踏板后，若此时未踩下加速踏板，则车辆进入蠕行状态（即车辆未踩下油门以某一低速行驶），从图4中可以看出，在14 s松开制动踏板的同时，电机的输出扭矩在逐步增大，整车的速度也随之增高，当车速达到4 km/h时，电机最大的输出扭矩为35 Nm，随着车速超过4 km/h时，电机的输出扭矩在逐渐减小，最后车辆以一定的速度匀速行驶，电机的稳定输出扭矩约为6 Nm，与设计要求符合。

加速测试：加速测试主要是验证整车的动力性能，能够很好地控制电机的输出扭矩，在32 s时制动踏板，使制动踏板的开度达到100%，此时电机的输出扭矩迅速增加，并且达到最大输出扭矩后又下降进入恒功率区，在50 s时，使加速踏板松开，车辆进入滑行状态，电机在此时输出很小的负扭矩，整车的速度在逐渐减小。根据整车加速测试的结果分析得出整车控制器VCU满足加速设计的要求。

制动测试：在88 s，踩下制动踏板使制动踏板开度达到100%，电机输出较大的负扭矩，整车进入制动能量的回收，随着整车速度的减小，电机的输出扭矩也在减小，当整车的速度下降为0时，电机的输出扭矩也变0。当整车的速度下降为0时，使制动踏板松开，车辆进入蠕行模式。根据整车制动测试的结果分析得出整车控制器VCU满足加速设计的要求。测试仿真曲线如图4所示。

3 结语

ISO26262为从事于汽车相关的研发机构和生产企业提供了新的思路和方法，尤其是在汽车电子产品快速发展的趋势下，表现尤其重要。在此背景下，文中基于ISO26262，对整车控制器进行了项目定义、风险分析与评估，并确定系统的ASIL等级B，提出功能安全要求和安全目标。同时运用Simulink软件对整车控制器进行仿真，通过故障注入的方法对整车控制器进行测试，测试数据表明满足ISO道路安全标准。

参考文献

[1] ISO 26262，Road Vehicles Functional Safety―pat1：vocabulary，International Organizations for Standards[S].2011.

[2] ISO 26262-3：2011（E）Road Vehicles-Functional Safety[S].Geneva IEC，2011.

[3] 姜海斌.纯电动车整车控制策略及控制器的研究[D].上海：上海交通大学，2010.

[4] 还宏生.汽车设计中的安全要求及ISO26262标准[J].检测与维修，2012（10）：41-43.

[5] 李娜，孙文勇，宁信道.HAZOP、LOPA和SIL方法的应用分析[J].中国安全生产科学技术，2012，8（5）：101-106.

[6] 刘佳熙，郭辉，李君.汽车电子电气系统的功能安全标准 ISO 26262[J].上海汽车，2011（10）：57-61.

[7] 杨超.电动车动力学建模与仿真研究[D].武汉：武汉理工大学，2007.