基于ISO 26262的7DCT输入轴转速监控策略的分析
2022-10-02王章宏赵秀栩
王章宏,赵秀栩
(1.武汉理工大学 机电工程学院,湖北 武汉 430070;2.东风鼎新动力系统科技有限公司,湖北 武汉 430070)
1 背景介绍
随着汽车领域电子电气的复杂程度日益增加,伴随着汽车的电子电器功能安全事故凸显,给广大用户带来了生命威胁,为此国际标准化组织(International Organization for Standardization,ISO)分别于2011年及2018年推出第一版和第二版的《道路车辆功能安全标准》——(ISO 26262),指导汽车全生命安全周期的工作开发。双离合变速箱(Dual Clutch Transmission, DCT)作为燃油汽车的传动系统核心部件之一,其控制单元(Telematics Control Unit, TCU)具有传递扭矩、调速换挡、倒车行驶、中断动力等功能,此外,TCU与发动机控制单元(Engine Management System, EMS)、车身控制系统(Body Control Module, BCM)、车身稳定系统(Electronic Stability Controller, ESC)等密切交互,共同协调控制整车的正常行驶,提供良好的驾驶体验。因此,DCT的电控单元开发须严格按照ISO 26262的指导进行开发。
基于此,本文根据ISO 26262标准,以7挡双离合变速箱(7DCT)为例,主要针对7DCT的调速换挡功能中的输入轴转速监控的功能安全进行研究,结合目前主流的三层监控方案,基于MATLAB对输入轴转速进行三层监控策略模型设计,最后进行仿真和故障注入测试,验证该设计是否符合功能安全目标。
2 概念阶段
2.1 相关项定义
7DCT的调速换挡功能使变速箱结合不同的挡位,从而得到不同扭矩及转速输出,使汽车适应不同的道路状况及提高发动机的燃油效率。其通过与控制器局域网络(Controller Area Network,CAN)与其他系统控制模块进行通讯,解析驾驶员意图,判断当前动态驾驶工况,完成挡位切换。调速换挡功能架构如图1所示。输入轴的转速边界条件依据轴系系统的各零部件极限转速确定,如表1所示,最终输入轴的转速边界确定为离合器的耐久极限转速,当输入轴转速超出该极限转速后,将导致离合器摩擦片变形损坏。
2.2 启动安全生命周期
安全生命周期启动关键在于确定系统是全新开发还是基于现有系统的调整。本文讨论的调速换挡的输入轴转速监控系统为全新开发的相关项,故需按照标准进行所有子阶段的工作。
2.3 危害分析和风险评估
危害分析和风险评估(Hazard Analysis and Risk Assessment, HARA)阶段是为了识别系统故障可导致的危险并进行风险程度评估,得到安全目标并对安全目标进行汽车安全完整性等级定级(Automobile Safety Integrity Levers, ASIL)。
2.3.1 危险识别
危险识别应定义为车辆层级的状态或行为。确定车辆级的危害方法有多种:危险与可操作性分析(Hazard and Operability Analysis, HAZOP)、头脑风暴、chechlist、失效模式和效果分析(Failure Mode and Effects Analysis, FMEA)等。本文对以上方法不做过多阐述并采用HAZOP方法进行危险识别。
结合7DCT的换挡逻辑(图2),离合器1与内输入轴硬性连接并控制奇数挡齿轮的结合,离合器2与外输入轴硬性连接并控制偶数挡齿轮结合。以正在结合的5挡为例,此时离合器1结合,内输入轴上的5挡齿轮结合,离合器2打开,外输入轴根据预选档逻辑判断只能挂4、6、N挡其中之一。当出现不期望的降挡,则车辆会出现不期望的过高加速,反之出现不期望的加速无力;当控制偶数挡的外输入轴意外挂上2挡,离合器2又处于打开的时候,将导致外输入轴的转速(即离合器2的转速)过高。最终的HAZOP分析结果如表2所示。
2.3.2 安全目标确定与ASIL定级
安全目标确定来源于危害分析,对每一个整车危害均需确定安全目标,相类似的整车危害可确定成一个安全目标。本文仅就输入轴转速过高进行研究,故安全目标确定为避免输入轴转速过高。
ASIL等级从暴露度(E)、严重度(S)、可控度(C)三个影响因素来确定。输入轴转速过高,超出限值导致的离合器失效、车辆无法行驶的运行场景为“高速公路行驶、前后方有车辆”,该场景发生频率较高,暴露度定义为E3;该故障发生后,动力丢失车辆无法行驶,将导致与高速其他车辆碰撞的严重事故,故严重度(S)定义为S4;故障发生后,驾驶员只能通过刹车踏板减速停车后远离现场躲避来车,故可控度(C)定义为C2。
参考表3确定ASIL等级最终避免输入轴转速过高这个安全目标的安全等级为ASIL C。
2.3.3 功能安全概念
为了满足安全目标,功能安全概念包括安全措施和安全机制,通过安全目标导出功能安全需求(Function Safety Requirement, FSR)。针对避免输入轴转速过高这个安全目标的功能安全需求如表4所示。
安全措施:当避免输入轴转速过高的安全目标触发时,应及时打开离合器中断动力输出。安全机制:故障容错时间间隔(Fault Tolerant Time Interval, FTTI)的确定。FTTI的时间分解如图3所示。故障检测时间取决于软件运行速度,基于大量的实验经验总结,当输入轴转速达到极限值后,软件在20 ms内监测到并发送故障标志位。故障反应时间包括驾驶员应急反应时间与硬件机构执行措施时间,由于当转速达到极限值会对离合器摩擦片产生损伤,故仅考虑硬件机构执行时间,离合器打开的时间为40 ms。故最终的FTTI时间设计为60 ms。
3 基于三层监控架构的输入轴转速监控设计
目前功能安全软件开发主流的框架均采用三层监控框架。第一层(Level 1)实现功能的控制;第二层(Level 2)是对Level 1的关键信号进行监控,检测故障并实现故障反应措施;第三层(Level 3)是对硬件执行机构的故障进行监控。框架如图4所示。
3.1 Level 1应用层输入轴转速监控设计
功能应用层对输入轴的转速监控目的是预防输入轴转速与发动机转速存在较大的转速差。如图5所示,采用离合器压力PI(Proportion, Integration)控制,计算出项调节扭矩:
式中,Δ为发动机与输入轴的转速差;为项调节系数;为发动机转动惯量。
计算出项调节扭矩:
式中,Δ为发动机与输入轴的转速差;为项调节系数;为发动机转动惯量。
经过离合器压力斜率控制后得到离合器扭矩,通过发动机扭矩模型输出发动机扭矩,反算出发动机转速,计算方法为
式中,为发动机转速;为发动机扭矩;为发动机转动惯量;为调节系数。
3.2 Level 2 功能监控层输入轴转速监控设计
Level 2层的设计需要包含输入CAN相关信号和输入轴转速传感器相关的信号监控、转速传感器信号的冗余设计、故障检测策略设计、故障措施设计等,如图6所示。
3.2.1 输入轴转速冗余设计
根据ISO26262的规定,ASIL C等级以上必须对功能安全相关信号进行冗余设计。输入轴转速冗余设计基于车速和挡位速比的信号输入,计算公式为
式中,为输入轴转速冗余;为车速;为该挡位总速比;为车速转换成转速的比例。
取决于轮胎半径,以225/55/R19为例,轮胎半径为335 mm,计算公式为
式中,为轮胎半径。式中,为挡位齿轮速比;为主减齿轮速比。
3.2.2 故障监控策略及故障容错时间延时设计
故障检测以输入轴转速、车速、挡位总速比、输入轴转速故障标志位为输入,当软件监控的转速或者冗余计算的转速达到极限值时,安全目标标志位置位,经过FTTI时间延时计时器,计时器为0时,向底层离合器执行器发送打开离合器指令,中断动力输出进入安全状态。故障监控策略模型如图7所示,容错时间延时模型如图8所示。
3.3 Level 3硬件执行机构监控设计
Level 3层的监控设计是对输入轴传感器硬件的监控,主要涉及到转速和故障的监控。以某型号转速传感器型号为例,该传感器输出频率、供应电压诊断信号。转速计算公式为
式中,为监控到的输入轴转速信号;为传感器输出频率;为频率转换成转速的系数。
当输出频率大于传感器额定频率或者供应电压诊断信号置位时,输入轴转速故障置位。传感器硬件监控策略模型如图9所示。
4 故障注入测试
常见的故障注入测试方法有CAN总线故障注入测试和传感器故障注入测试,结合前文基于MATLAB/Simulink建立的输入轴转速监控方案控制模型,输入信号为转速传感器信号、CAN总线车速及速比信号。通过控制预选挡的结合挡位和车速逆向控制预选挡轴系的输入轴转速。以实际在挡行驶4挡、预选挡结合3挡齿轮(3挡速比7.54)为例:当传感器没有故障时,输入轴转速直接取传感器的转速,传感器转速超出极限值时,应检测出故障;当传感器故障时,冗余策略计算的转速作为输入,冗余计算的转速超出极限值时,应检测出故障;当传感器故障且CAN总线的车速及档位信号也故障时,应检测出故障。测试项如表5所示。
由图10和图11可以看出故障注入后,该控制系统能及时检测出故障,故障延时正确计时,当计时器递减为0时,故障措施打开离合器正确执行。
5 结束语
以工程项目为基础,对7DCT调速换挡控制进行了概念设计。针对避免输入轴转速过高的安全目标,采用三层监控方法,分别从Level 1、Level 2、Level 3各层设计了输入轴转速监控策略。基于MATLAB/Simulink搭建策略模型,进行故障注入测试,测试结果表明,该监控策略能有效地识别输入轴转速过高的故障,并在故障发生时立即做出响应,有效降低了人身伤害的风险。