插電式混合動力汽車控制系統安全研究

羅曉，楊上東，吳瑞

奇瑞新能源汽車技術有限公司

插電式混合動力汽車控制系統安全研究

羅曉，楊上東，吳瑞

奇瑞新能源汽車技術有限公司

插電式混合動力汽車的純電動模式和高效的發動機運行模式，能夠有效提高汽車節油率。但由于系統的復雜度和電子部件的大量應用，對系統的安全性和可靠性有較高的要求，通過參考國際通用的ISO26262道路車輛功能安全標準對動力系統功能安全進行系統有效的分析,使整車及混合動力驅動系統在發生異常時進入安全狀態以保證人員安全和整車安全是混動系統對整車安全開發的重要一環。在系統分析基礎上設計混合動力控制器硬件及軟件安全監控機制，通過整車控制器（HCU）內部監控芯片對主控制芯片監控及主控制芯片內部互相獨立功能模塊的對比監控控制器狀態，使混合動力驅動系統在異常情況下進入安全狀態，以保證人員和整車安全。

插電式混合動力汽車；功能安全；安全機制；安全等級；ASIL

引言

混合動力汽車系統的復雜度和電子部件的大量應用，對系統的安全性和可靠性有較高的要求，在混合動力系統開發過程中引入國際先進的ISO26262道路車輛功能安全標準,該標準從功能安全的角度，詳細闡述了開發階段的要求，其核心價值在于通過系統的功能安全研發管理流程，以及針對電子控制系統硬件和軟件的系統化驗證和確認方法，保證電子系統的安全功能在面對各種嚴酷條件時有效，保證駕乘人員以及路人的安全。

通過功能安全分析,采取整車控制器（HCU）內部監控芯片對主控制芯片監控及主控制芯片內部互相獨立功能模塊的對比監控控制器狀態，在車身穩定控制系統（ESP）檢測到由于混合動力驅動系統導致整車車輪抱死的情況下，通過整車控制器（HCU）控制電機驅動系統（IPU）及發動機進入零扭矩輸出，然后控制變速箱控制系統（TCU）進入空擋，最終使混合動力驅動系統進入安全狀態，以保證人員和整車安全。

1.合動力系統功能安全分析設計流程

ISO26262從2005年11月制定，經歷6年時間，于2011年11月頒布。適用于總重量不超過3.5噸的乘用車上一個或多個電氣/電子安全系統。

混合動力系統功能安全分析設計采用V字型開發模型,圖1描述了基于功能安全標準對混合動力系統進行功能安全設計的開發流程。

整個開發過程主要包含以下幾個部分：

功能安全概念，通過對系統的風險及危害分析，引出功能安全要求，將安全目標分配給項目初級架構元素或外部降低風險的措施，以確保所要求的功能安全。功能安全概念最終通過安全確認進行評估；

系統設計通過安全測試驗證進行評估；

生理生化特征試驗結果顯示(表5)，菌株CEH-ST79有過氧化氫酶、氧化酶、β-半乳糖苷酶、硝酸鹽還原、明膠液化、淀粉水解和酪蛋白測定均為陽性，精氨酸雙水解酶、精氨酸脫羧酶、H2S產生、水楊素、吲哚、溶血和脲酶測定為陰性。

軟硬件安全需求通過軟硬件安全需求測試說明進行驗證評估；

詳細設計與實現是對具體技術需求的設計實現。

圖1.功能安全開發流程

2.合動力系統潛在風險分析及安全目標

根據混合動力系統功能結構框圖（圖2），混動動總系統潛在風險定義如下：

異常加速及減速

制動扭矩異常丟失

驅動方向與駕駛意圖相反

發動機意外啟動

圖2.混合動力系統功能框圖

相關潛在風險從以下幾個維度進行相應的評估：

暴露的可能性：E0（幾乎不可能）-E4（每次駕駛都可能出現）

可控性：C0（基本都可以控制）-C3（不可控）

嚴重度：S0（不會造成傷害）-S3（可能造成致命傷害）

根據以上三個維度可以定義出防止風險的安全功能完整性等級，從ASIL A（最低）到ASIL D（最高）。

對安全功能完整性等級有要求的相關安全目標進行匯總整理得出表1與混合動力控制系統相關的安全要求及相應安全目標對應的安全狀態。

表1.

3.合動力控制系統功能安全設計

對表1中的安全目標實現的功能鏈進行功能展開并分析，分解具體功能安全需求及相應的安全機制，通過圖3混合動力控制系統安全結構實現系統安全目標并在出現相應安全風險的情況下使系統進入安全狀態。

圖3整體方案：外部控制器通過CAN通訊與混合動力控制器（HCU）之間進行數據交互；混合動力控制器通過CAN通訊與電機控制系統進行通訊；混合動力控制器通過CAN通訊與發動機控制器（EMS）進行通訊；變速箱控制系統（TCU）根據混合動力控制器的請求狀態對變速箱的檔位進行控制。混合動力控制器內部主控制芯片存在L1、L2兩個數據存儲區和L1、L2兩個功能模塊，L2功能模塊實現對L1功能模塊的監控診斷，當L1、L2功能模塊計算數據對比異常時L2功能模塊通過CAN實現對動力系統的安全控制；混合動力控制器內部主控制芯片CPU與監控芯片之間通過SPI串口通訊進行數據交互，監控芯片通過對主控制芯片進行提問以驗證主控制芯片是否工作正常。

圖3.混合動力控制系統安全結構框圖

圖4.程圖為混合動力控制器硬件安全機制流程圖，混合動力控制器內部監控芯片每隔一定時間向主控制芯片CPU發送問題，主控制芯片CPU對問題進行應答，監控芯片根據主控制芯片CPU應答的及時性和準確性判斷主控制芯片是否工作正常，在應答正確的情況下，監控芯片繼續向主控制芯片CPU提出下個問題，不同的問題數量至少10個以上，循環問答；當主控制芯片CPU應答不及時或出錯，監控芯片通過硬件控制信號禁止混合動力控制器CAN通訊，電機驅動系統和發動機系統接收不到混合動力控制器CAN信息后進入零扭矩輸出，使系統進入安全狀態。

圖4.混合動力控制系統硬件安全機制流程圖

圖5.圖6為混合動力控制器車輪需求扭矩安全監控示意圖及整車控制器軟件安全機制流程圖。

混合動力控制器內部主控制芯片分為L1、L2兩個數據存儲區和L1、L2兩個功能模塊；程序運行時，L1、L2兩個數據存儲區分別獲取相同外部參數：車速信號及油門踏板深度；L1、L2功能模塊通過查表分別獲取車輪需求扭矩；L2功能模塊對L1及L2輪邊需求扭矩進行對比，實現對L1功能模塊的診斷；當L1、L2功能模塊計算數據對比一致時程序正常運行；當L1、L2功能模塊計算數據對比不一致時，系統進入故障狀態保護，L2功能層通過硬件控制信號禁止CAN通訊，發動機及電機CAN通訊超時后禁止扭矩輸出，使系統進入安全狀態。

圖5.車輪需求扭矩安全監控示意框圖

圖6.車輪需求扭矩安全監控流程圖

圖7.車輪抱死狀態安全控制方法流程圖。混合動力系統正常行駛狀態下車身穩定控制系統（ESP）檢測到確認的車輪抱死狀態，車身穩定控制系統（ESP）將車輪抱死信息發送給混合動力控制器，混合動力控制器控制電機控制系統和發動機系統輸出扭矩為零，使其進入零扭矩狀態，混合動力控制器在確認電機控制系統及發動機系統輸出扭矩為零后請求變速箱控制系統進入空擋，變速箱控制系統控制變速箱進入空擋，最終實現整車由車輪抱死狀態進入安全狀態的控制。

圖7.車輪需求扭矩安全監控流程圖

4.論

本文研究通過在混合動力控制系統中引入ISO26262功能安全標準開發流程對系統進行分析，通過系統分析得到控制系統安全需求及需采取的安全機制并通過控制系統硬件及軟件進行實現。

通過對功能安全機制的實現,混合動力控制系統對動力總成可能存在的安全風險進行了有效的控制,保證了混合動力驅動系統的扭矩安全,對整車安全起到了重要作用。

[1]國發〔2012〕22號.節能與新能源汽車產業發展規劃（2012—2020年）.

[2]陳清泉，孫逢春，祝嘉光.現代電動汽車.北京：北京理工大學出版社，2002.

[3]崔勝民.新能源汽車技術.出版社：北京大學出版社，2009.

[4]ISO 26262-1-2011道路車輛功能安全.

[5]Integrity,MISRA report2,1999.

[6]C.C.Chan，K.T.Chau.An Overview of Power Electronics in Electric Vehicles[J].IEEE IEEE Transaction on Industry Applications，1997，44(1)：3-13.

[7]白鳳良，楊建國，杜傳進.混合動力電動汽車電動機的仿真建模與分析.武漢理工大學學報.2003第5期

[8](英)湯姆·登頓(Tom Denton)張云文《汽車故障診斷先進技術》.出版社：機械工業出版社

羅曉（1983-），男，漢族，湖北鐘祥人，研究生，工程師，電動汽車及混合動力汽車電驅動系統控制技術、故障診斷技術、功能安全純電動車動力系統開發及功能安全。