日本无码免费高清在线|成人日本在线观看高清|A级片免费视频操逼欧美|全裸美女搞黄色大片网站|免费成人a片视频|久久无码福利成人激情久久|国产视频一二国产在线v|av女主播在线观看|五月激情影音先锋|亚洲一区天堂av

  • 手機(jī)站
  • 小程序

    汽車測(cè)試網(wǎng)

  • 公眾號(hào)

    • 汽車測(cè)試網(wǎng)

    • 在線課堂

    • 電車測(cè)試

純電動(dòng)汽車轉(zhuǎn)矩控制安全概念與轉(zhuǎn)矩監(jiān)控模型

2020-03-11 00:37:32·  來源:《純電動(dòng)汽車轉(zhuǎn)矩控制安全概念與轉(zhuǎn)矩監(jiān)控模型》  
 
隨著車輛電控系統(tǒng)復(fù)雜度的提高,在越來越多的軟件和電氣設(shè)備應(yīng)用中,來自系統(tǒng)和軟硬件失效的風(fēng)險(xiǎn)也日益增加。一旦失效發(fā)生,不僅危及車輛駕乘人員和行人的生命安
隨著車輛電控系統(tǒng)復(fù)雜度的提高,在越來越多的軟件和電氣設(shè)備應(yīng)用中,來自系統(tǒng)和軟硬件失效的風(fēng)險(xiǎn)也日益增加。一旦失效發(fā)生,不僅危及車輛駕乘人員和行人的生命安全,也會(huì)因車輛召回、賠償?shù)仁录管囕v生產(chǎn)企業(yè)面臨利潤(rùn)和商譽(yù)損失的巨大風(fēng)險(xiǎn),如何規(guī)避這些風(fēng)險(xiǎn)成為汽車企業(yè)亟待解決的重要課題。

ISO26262為避免這些風(fēng)險(xiǎn)提供了可行性的要求建議和流程規(guī)范,它是IEC61508(GB/T20438)對(duì)道路車輛功能安全要求的具體應(yīng)用,適用于所有與安全相關(guān)的由電子、電氣、軟件組成的系統(tǒng)在整個(gè)生命周期內(nèi)的所有活動(dòng)。ISO26262中指出,系統(tǒng)安全可以從大量的安全措施中獲得,包括各種技術(shù)的應(yīng)用(如機(jī)械、液壓、氣動(dòng)、電氣、電子,以及可編程電子元件)。本文主要根據(jù)ISO26262的相關(guān)要求并結(jié)合實(shí)踐經(jīng)驗(yàn),對(duì)純電動(dòng)汽車整車控制策略中如何根據(jù)安全概念設(shè)計(jì)來定義安全機(jī)制以避免風(fēng)險(xiǎn)、保證系統(tǒng)安全等方面進(jìn)行研究。

以純電動(dòng)汽車的轉(zhuǎn)矩控制策略為基礎(chǔ),引入轉(zhuǎn)矩監(jiān)控防止因失效而產(chǎn)生不可控制的轉(zhuǎn)矩,避免整車處于不期望的加速或不期望的減速等危險(xiǎn)狀態(tài)。轉(zhuǎn)矩監(jiān)控模型設(shè)計(jì)的基本思路是轉(zhuǎn)矩控制指令的異常不能超過安全范圍,在某純電動(dòng)汽車的整車控制策略開發(fā)中,以功能運(yùn)行模型為基礎(chǔ)設(shè)計(jì)了失效安全模型作為實(shí)現(xiàn)轉(zhuǎn)矩監(jiān)控安全機(jī)制的架構(gòu)模型。在策略運(yùn)行過程中,將實(shí)際計(jì)算出的轉(zhuǎn)矩需求與根據(jù)危險(xiǎn)度量計(jì)算的轉(zhuǎn)矩限值進(jìn)行比較,確保不會(huì)因自身失效而產(chǎn)生不安全的轉(zhuǎn)矩指令。

1 功能安全概念設(shè)計(jì)的目標(biāo)

隨著復(fù)雜度的提高,以及軟硬件和機(jī)電一體化應(yīng)用的增加,車輛電控系統(tǒng)發(fā)生系統(tǒng)性失效和隨機(jī)硬件失效的風(fēng)險(xiǎn)不斷增加,需要通過一系列需求定義和設(shè)計(jì)過程來避免這些風(fēng)險(xiǎn)。首先進(jìn)行危害分析和風(fēng)險(xiǎn)評(píng)估,危害分析和風(fēng)險(xiǎn)評(píng)估的流程要考慮暴露的可能性、可控性和嚴(yán)重性,以確定項(xiàng)目的安全目標(biāo)和合適的汽車安全完整性等級(jí)(AutomotiveSafetyIntegrationLevel,ASIL)。

危害分析和風(fēng)險(xiǎn)評(píng)估完成后,再進(jìn)行安全概念設(shè)計(jì),主要目的是從安全目標(biāo)中導(dǎo)出功能安全需求,并將它們分配到產(chǎn)品的初級(jí)體系結(jié)構(gòu)中或者外部降低風(fēng)險(xiǎn)的方法中以保證所要求的功能安全性?;诎踩繕?biāo)進(jìn)行安全概念設(shè)計(jì),目的在于考慮具體的系統(tǒng)基本架構(gòu)。針對(duì)每一個(gè)安全目標(biāo),提出功能安全要求并定位到相應(yīng)的系統(tǒng)、子系統(tǒng)或功能模塊,包括如何探測(cè)和緩解失效,如何利用安全機(jī)制分解降低子系統(tǒng)或模塊的風(fēng)險(xiǎn)等級(jí),如何通過警告駕駛員或系統(tǒng)功能降級(jí)過渡到安全狀態(tài),對(duì)每個(gè)項(xiàng)目元素中的功能安全要求進(jìn)行細(xì)化和具體化。

基于安全概念中設(shè)計(jì)的機(jī)制和措施,再根據(jù)項(xiàng)目定義、危害分析和風(fēng)險(xiǎn)評(píng)估、安全目標(biāo)的設(shè)定,以及考慮來自外部的一些預(yù)想架構(gòu)、功能、操作模式和系統(tǒng)狀態(tài)等,可以將功能安全要求進(jìn)行適當(dāng)?shù)姆峙?。利用ASIL分解法指定項(xiàng)目?jī)?nèi)子系統(tǒng)的ASIL等級(jí),如圖1所示,將安全目標(biāo)合理地分配到子系統(tǒng)當(dāng)中。


2 功能安全概念設(shè)計(jì)方法

2.1 安全目標(biāo)分析

為了達(dá)到安全目標(biāo),利用安全概念設(shè)計(jì)了基本的安全機(jī)制和安全措施,考慮項(xiàng)目?jī)?nèi)部和外部的一些預(yù)想架構(gòu)、功能、操作模式及系統(tǒng)狀態(tài)因素,可以將功能安全要求進(jìn)行適當(dāng)?shù)姆峙洹@肁SIL分解法將安全目標(biāo)合理地分配到子系統(tǒng)當(dāng)中。

以某純電動(dòng)汽車的安全概念設(shè)計(jì)為例,針對(duì)不期望的加速和不期望的減速兩項(xiàng)整車危害,根據(jù)功能定義和危害分析識(shí)別整車控制系統(tǒng)中與安全相關(guān)的功能和存在的危險(xiǎn),確定整車控制系統(tǒng)的安全目標(biāo),見表1(危害事件的ASIL等級(jí)由低到高分為ASILA、ASILB、ASILC和ASILD,應(yīng)將為危害事件所確定的ASIL等級(jí)分配給對(duì)應(yīng)的安全目標(biāo);QM是指除了4個(gè)ASIL等級(jí)之外,根據(jù)質(zhì)量管理標(biāo)準(zhǔn)進(jìn)行控制的等級(jí))。


2.2 風(fēng)險(xiǎn)等級(jí)分解和安全機(jī)制設(shè)計(jì)


明確安全目標(biāo)后,通過風(fēng)險(xiǎn)等級(jí)分解和安全機(jī)制設(shè)計(jì)將整車控制系統(tǒng)的安全目標(biāo)分解到內(nèi)部子系統(tǒng)中。由表1可知,該整車控制系統(tǒng)總體風(fēng)險(xiǎn)等級(jí)為ASILC,根據(jù)ISO26262的要求,應(yīng)避免所有由單點(diǎn)故障引起的安全目標(biāo)的破壞,并且應(yīng)通過監(jiān)控功能、監(jiān)控軟件運(yùn)行和監(jiān)控硬件的安全機(jī)制來避免安全目標(biāo)的破壞。由表2可知,通過風(fēng)險(xiǎn)等級(jí)分解和安全機(jī)制設(shè)計(jì)將安全目標(biāo)分配到系統(tǒng)結(jié)構(gòu)中或者外部降低風(fēng)險(xiǎn)的方法中,以保證要求的功能安全性。

2.3 安全狀態(tài)定義

安全概念設(shè)計(jì)要進(jìn)行安全狀態(tài)的定義,駕駛員的操作模式和緊急操作時(shí)間間隔,故障可容忍的時(shí)間間隔,采用功能冗余降低系統(tǒng)(包括軟件、硬件、傳感器、執(zhí)行機(jī)構(gòu)、通信)的風(fēng)險(xiǎn)等級(jí)。可以通過故障樹分析(FaultTreeAnalysis,F(xiàn)TA),失效分析(FailureModeandEffectAnalysis,F(xiàn)MEA)等方法來支持功能安全要求的完善。安全概念設(shè)計(jì)中應(yīng)遵循以下幾點(diǎn):

(1)對(duì)故障的檢測(cè)和故障的降級(jí)。

(2)有危險(xiǎn)發(fā)生的可能性時(shí)轉(zhuǎn)換至安全狀態(tài)。

(3)容錯(cuò)機(jī)制,即一個(gè)錯(cuò)誤不會(huì)直接破壞安全目標(biāo),并保證系統(tǒng)在安全狀態(tài)。

(4)故障檢測(cè)和駕駛員提醒可使人暴露在危險(xiǎn)中的可能性控制在一個(gè)可接受的時(shí)間間隔(響應(yīng)問答和終止響應(yīng))。

(5)仲裁邏輯電路可以通過不同的子系統(tǒng)同時(shí)在多路問答中選擇最合適的控制要求。

安全機(jī)制是ISO26262中提出的關(guān)鍵概念,它是保證系統(tǒng)能夠進(jìn)入或保持在安全狀態(tài)的措施。為了避免危害相關(guān)人員,一個(gè)系統(tǒng)必須設(shè)計(jì)安全機(jī)制,并通過驗(yàn)證和確認(rèn)來證實(shí)安全機(jī)制的有效性,以下是安全機(jī)制的幾種實(shí)現(xiàn)方式:

(1)與系統(tǒng)本身故障的檢測(cè)、指示和控制有關(guān)的措施(系統(tǒng)或單元的自我監(jiān)控)。

(2)與系統(tǒng)結(jié)合的外部設(shè)備內(nèi)部涉及故障的檢測(cè)、指示和控制的措施。

(3)能使系統(tǒng)達(dá)到或保持一個(gè)安全狀態(tài)的措施。

(4)詳細(xì)表述及實(shí)現(xiàn)警報(bào)和降級(jí)概念的措施。

(5)阻止錯(cuò)誤隱匿的措施。

3 純電動(dòng)汽車轉(zhuǎn)矩控制安全機(jī)制

目前,純電動(dòng)汽車的動(dòng)力總成采用的是基于轉(zhuǎn)矩的控制策略,即控制系統(tǒng)通過對(duì)駕駛員需求及車輛狀態(tài)的分析,得到當(dāng)前驅(qū)動(dòng)車輛所需要的轉(zhuǎn)矩,然后發(fā)出轉(zhuǎn)矩指令控制動(dòng)力源驅(qū)動(dòng)車輛?;谵D(zhuǎn)矩的控制方法可以實(shí)現(xiàn)對(duì)整車動(dòng)力性、經(jīng)濟(jì)性、舒適性的綜合優(yōu)化,但是在這種控制方法下,一旦控制系統(tǒng)的指令出錯(cuò),可能在驅(qū)動(dòng)輪處產(chǎn)生異常驅(qū)動(dòng)力,引起超出駕駛員期望的加速或減速,甚至超出駕駛員的控制能力,造成引起人身傷害的危險(xiǎn)。因此,控制系統(tǒng)需要設(shè)計(jì)安全機(jī)制來應(yīng)對(duì)這種超出范圍的加速或減速,使車輛在發(fā)生危險(xiǎn)前重新進(jìn)入安全狀態(tài)。在純電動(dòng)汽車整車控制策略中引入轉(zhuǎn)矩監(jiān)控防止上述失效產(chǎn)生不可控制的轉(zhuǎn)矩,從而避免整車處于危險(xiǎn)狀態(tài)。

在設(shè)計(jì)轉(zhuǎn)矩監(jiān)控模型的過程中,根據(jù)ISO26262的要求和實(shí)際經(jīng)驗(yàn)的總結(jié),應(yīng)確保以保護(hù)人員的安全為最高優(yōu)先級(jí),同時(shí)實(shí)現(xiàn)轉(zhuǎn)矩監(jiān)控的模塊始終處于工作狀態(tài),保證發(fā)生的任何單點(diǎn)失效,以及包含潛在失效的單點(diǎn)失效系統(tǒng)的響應(yīng)是可控制的,且相關(guān)的傳感器、執(zhí)行器、功能模塊都受到監(jiān)控模塊的監(jiān)控。

在實(shí)現(xiàn)某純電動(dòng)汽車整車控制系統(tǒng)安全機(jī)制的過程中,利用一個(gè)獨(dú)立的硬件芯片來監(jiān)控主芯片,在主芯片出現(xiàn)故障時(shí)可以發(fā)出控制命令,利用一個(gè)獨(dú)立的軟件模塊來監(jiān)視和限制應(yīng)用軟件主功能模塊的運(yùn)行時(shí)序和轉(zhuǎn)矩輸出,這三個(gè)方面形成一個(gè)安全機(jī)制,使系統(tǒng)在探測(cè)到危害發(fā)生的可能性時(shí)進(jìn)入或維持安全狀態(tài)。整車控制軟件中的輸入、冗余輸入、主功能模塊可以按照質(zhì)量管理體系要求進(jìn)行設(shè)計(jì)和驗(yàn)證,但輸入診斷模塊、簡(jiǎn)化的功能模塊和輸出限制模塊則按照危害分析和風(fēng)險(xiǎn)評(píng)估中定義的最高ASIL級(jí)別要求進(jìn)行設(shè)計(jì)和驗(yàn)證。

4 純電動(dòng)汽車轉(zhuǎn)矩控制監(jiān)控模型

對(duì)于要求達(dá)到ASILC或ASILD級(jí)別的系統(tǒng),轉(zhuǎn)矩監(jiān)控這一安全機(jī)制的系統(tǒng)架構(gòu)可能有多種型式。例如:鎖步模型和功能運(yùn)行模型。

4.1 鎖步模型

兩套獨(dú)立的軟件在兩套獨(dú)立的硬件中運(yùn)行并且不斷比較輸出是否一致,如果輸出不一致將進(jìn)入安全狀態(tài),如圖2所示。它的優(yōu)點(diǎn)是能夠保證發(fā)現(xiàn)隨機(jī)失效,即使短暫的錯(cuò)誤,系統(tǒng)也能在不間斷處理和不損失數(shù)據(jù)的情況下恢復(fù)正常運(yùn)行。它的缺點(diǎn)是無法發(fā)現(xiàn)設(shè)計(jì)造成的系統(tǒng)性失效,并且成本比較昂貴。


4.2 功能運(yùn)行模型

當(dāng)主芯片軟件在運(yùn)行過程中收到來自獨(dú)立芯片的校驗(yàn)要求時(shí),中斷正常軟件運(yùn)行并對(duì)主芯片進(jìn)行校驗(yàn),比較主芯片運(yùn)算結(jié)果和獨(dú)立芯片的預(yù)存結(jié)果是否一致,如不一致則進(jìn)入安全狀態(tài),如圖3所示。它的優(yōu)點(diǎn)是通過獨(dú)立芯片可以校驗(yàn)包含安全功能的主芯片中的軟件運(yùn)行狀態(tài),缺點(diǎn)是由于校驗(yàn)會(huì)中斷正常的軟件運(yùn)行,軟件的實(shí)時(shí)運(yùn)行非常復(fù)雜。


4.3 轉(zhuǎn)矩監(jiān)控模型設(shè)計(jì)

通過分析、比較幾種轉(zhuǎn)矩監(jiān)控模型的系統(tǒng)架構(gòu),在某純電動(dòng)汽車的整車控制策略開發(fā)中,以功能運(yùn)行模型為基礎(chǔ),設(shè)計(jì)失效安全模型(圖4)作為純電動(dòng)汽車整車控制策略中實(shí)現(xiàn)轉(zhuǎn)矩監(jiān)控安全機(jī)制的架構(gòu)模型。

 

用轉(zhuǎn)矩監(jiān)控模型設(shè)計(jì)的基本思路是轉(zhuǎn)矩控制指令的異常不能超過安全范圍。但是由于存在工作模式切換和瞬態(tài)工況,設(shè)計(jì)一種涵蓋所有工況的轉(zhuǎn)矩算法比較復(fù)雜,而基于危險(xiǎn)限值比較的轉(zhuǎn)矩算法更為簡(jiǎn)單有效,能夠較好地應(yīng)對(duì)各種工況下的轉(zhuǎn)矩變化。在該純電動(dòng)汽車整車控制策略中,應(yīng)確保不會(huì)因自身失效而產(chǎn)生不安全的轉(zhuǎn)矩指令。在策略運(yùn)行過程中,將實(shí)際計(jì)算出的轉(zhuǎn)矩需求與根據(jù)危險(xiǎn)度量計(jì)算的轉(zhuǎn)矩限值進(jìn)行比較,當(dāng)轉(zhuǎn)矩需求超出限值時(shí),可將需求轉(zhuǎn)矩降低至無轉(zhuǎn)矩輸出。

4.4 主要算法

主要算法包括三個(gè)步驟:

(1)轉(zhuǎn)矩監(jiān)控模塊探測(cè)到轉(zhuǎn)矩錯(cuò)誤,報(bào)錯(cuò)給功能管理模塊。

(2)根據(jù)安全狀態(tài)定義確定應(yīng)進(jìn)入的安全狀態(tài),控制系統(tǒng)進(jìn)入安全狀態(tài)。

(3)進(jìn)入安全狀態(tài)過程中,轉(zhuǎn)矩監(jiān)控模塊將根據(jù)危險(xiǎn)度量的安全限值限制轉(zhuǎn)矩輸出,如圖6所示。


在計(jì)算轉(zhuǎn)矩限值時(shí),除了依據(jù)安全目標(biāo)中定義的危險(xiǎn)度量外,還需要讀入車輛和各部件的狀態(tài),這些信號(hào)將進(jìn)行獨(dú)立的解讀和校驗(yàn),并對(duì)其中有關(guān)聯(lián)的信號(hào)基于邏輯關(guān)系進(jìn)行檢查,保證輸入信號(hào)的有效性。

在轉(zhuǎn)矩監(jiān)控的實(shí)現(xiàn)中,通過三層監(jiān)控,即硬件層面上通過獨(dú)立芯片監(jiān)控主芯片,軟件運(yùn)行層面上監(jiān)控功能部分的運(yùn)行時(shí)序,應(yīng)用層面上進(jìn)行功能失效判斷和轉(zhuǎn)矩監(jiān)控,通過這些措施可以滿足ASILC及以上等級(jí)對(duì)系統(tǒng)軟硬件的安全技術(shù)需求。

5 模型仿真及試驗(yàn)驗(yàn)證

5.1 策略仿真

本文設(shè)計(jì)的轉(zhuǎn)矩監(jiān)控模型采用Matlab/Simulink進(jìn)行控制策略建模及自動(dòng)代碼生成,與底層代碼集成后生成控制軟件下載到目標(biāo)控制器,并驗(yàn)證轉(zhuǎn)矩監(jiān)控策略。


為了驗(yàn)證轉(zhuǎn)矩監(jiān)控策略中轉(zhuǎn)矩監(jiān)控算法的有效性,首先進(jìn)行了模型仿真,得到實(shí)際轉(zhuǎn)矩、轉(zhuǎn)矩限制值結(jié)果,如圖8所示。


5.2 安全機(jī)制驗(yàn)證

控制策略開發(fā)完成并生產(chǎn)代碼后,下載到目標(biāo)控制器,在HIL臺(tái)架和動(dòng)力總成試驗(yàn)臺(tái)架上進(jìn)行轉(zhuǎn)矩監(jiān)控安全機(jī)制的驗(yàn)證。試驗(yàn)表明,當(dāng)實(shí)際需求轉(zhuǎn)矩超過根據(jù)危險(xiǎn)度量計(jì)算的轉(zhuǎn)矩限值時(shí),觸發(fā)安全機(jī)制,轉(zhuǎn)矩需求迅速下降到無轉(zhuǎn)矩輸出,如圖9所示。


6 結(jié)論

綜上所述,轉(zhuǎn)矩監(jiān)控是整車功能安全設(shè)計(jì)的一部分,它的需求來源于自整車層級(jí)由上而下的風(fēng)險(xiǎn)分析和分解。完成策略設(shè)計(jì)后,還需在MIL、HIL和實(shí)物臺(tái)架方面進(jìn)行故障注入驗(yàn)證,針對(duì)各種工況和運(yùn)行環(huán)境測(cè)試安全機(jī)制的有效性。安全機(jī)制的驗(yàn)證分為兩部分,一部分是根據(jù)安全目標(biāo)設(shè)計(jì)功能測(cè)試用例,在HIL等系統(tǒng)中利用故障注入等方法驗(yàn)證功能是否符合設(shè)計(jì)需求,并進(jìn)行初步標(biāo)定。另一部分是在車輛上進(jìn)行驗(yàn)證,利用設(shè)定特定的輸入等方法模擬故障,驗(yàn)證安全機(jī)制是否滿足功能安全要求。最終還要通過FMEA等工具,確認(rèn)失效分析中的所有項(xiàng)目已經(jīng)關(guān)閉,達(dá)成安全目標(biāo)的安全機(jī)制設(shè)計(jì)有效運(yùn)行。電動(dòng)汽車電機(jī)驅(qū)動(dòng)控制器功能安全架構(gòu)研究
 
 
分享到:
 
反對(duì) 0 舉報(bào) 0 收藏 0 評(píng)論 0
滬ICP備11026917號(hào)-25