四驅電動汽車側向穩定性控制功能安全研究

張鑫 劉元治 周春雨 馬騰

（中國第一汽車股份有限公司研發總院，長春 130013）

縮略語

SOCS tate of Charge

ESC Electronic stability control

HARA Hazard Analysis and Risk Assessment

ASIL Automotive Safety Integrity Level

HAZOP Hazard and operability analysis

FMEA Failure Mode and Effects Analysis

FTA Fault Tree Analysis

TSR Technical Safety Requirement

HSR Hardware Safety Requirement

SSR Software Safety Requirement

EPS Electric Power Steering

0 引言

隨著國家對新能源汽車的大力支持以及汽車企業持續性的技術和產品研發投入，中國新能源汽車市場飛速發展。新能源汽車電驅動系統作為顛覆傳統燃油汽車的動力源，是影響行駛功能安全的關鍵，對用戶和整車企業至關重要。ISO 26262: 2018 道路車輛—功能安全(Road vehicles—Functional safety）作為汽車行業功能安全開發普遍依據的國際標準，也加強了對新能源汽車功能安全方面的關注[1]。

近年來，國內外學者對汽車功能安全開展了大量研究工作，李波等[2]對功能安全技術在中國的應用現狀及發展趨勢進行了闡述，并明確了功能安全標準體系發展是基于目標市場，定義出合理的、可接受的量化準則作為車輛電控系統正向開發和測試評價的基準輸入，進而通過試驗研究得出量化準則，以確保系統在故障、功能不足的情況下，從設計開發源頭避免或降低車輛對駕乘人員及周邊人員造成傷害，保障車輛運行安全。裴曉飛[3]等提出了一種集成主動制動和主動轉向的緊急避撞策略，證明了在高附著路面的主動避障不會導致整車失穩。彭憶強等[4]介紹了功能安全標準的3 個發展階段，分析ISO 26262 給新能源汽車產業技術帶來的挑戰及其推進作用，詳細論述了功能安全在新能源汽車動力電池、電驅、電控（簡稱“三電”）關鍵技術的應用情況，總結了在新能源汽車“三電”領域中，應用功能安全技術的基本方法。伍理勛等[5]闡述了危害分析與風險評估基本方法，并由此確定了電動汽車電機驅動控制器的安全目標和汽車安全完整性等級（Automotive Safety Integrity Level,ASIL）。通過對電子加速踏板安全監控架構分析，提出了其功能監控層的實現方法。周成顯等[6]闡述了基于功能安全分析的電機轉矩設計管理流程，首先對電機轉矩管理的功能安全相關項進行分析，然后對其潛在危害進行分析并開展風險評估，依據該評估結果確定電機轉矩管理功能安全等級。吳靜波等[7]提出一種基于電子加速踏板安全監控架構的多層監控策略，確定了轉矩控制功能安全等級為ASIL C。吳浩等[8]對某電動汽車電驅動力系統縱向驅動功能非預期的失效進行了危害分析和風險評估，確定電控系統功能安全等級為ASIL B。胡焱松等[9]分析了國內電動汽車事故類型，證明了電動汽車事故容易引發起火爆炸的嚴重后果。張康康等[10]分析了我國現有電動汽車安全相關政策，提出要加強國內電動汽車運行安全保障的措施和意見。方凱正等[11]建議企業在新能源汽車安全方面要更加重視技術研發和產品安全管理。

以上研究主要涉及功能安全技術發展依據的標準、關鍵分析方法、主要設計流程和常用的安全架構理論內容，但針對四驅電動汽車側向控制功能失效導致的過度轉向和不足轉向失穩相關的功能安全分析仍不足。為了提高四驅電動汽車行駛穩定性，本文進行了基于ISO 26262 的功能安全概念階段危害分析和風險評估（Hazard Analysis and Risk Assessment，HARA）及安全目標設計，并結合仿真和實車試驗的方式驗證了相關結論，研究成果可應用于四驅電動汽車電控系統的功能安全技術開發。

1 功能安全標準ISO 26262

ISO 26262 是專門為道路車輛功能安全開發制定的標準，適用于汽車產品全生命周期的所有事件。ISO 26262 中電控系統的功能安全開發關鍵步驟如圖1 所示，分為概念階段、系統階段和軟硬件開發階段。首先，通過HARA 分析獲得頂層的整車級安全需求。然后，各階段分別將安全需求逐層分解，并落實到電控控制器的軟硬件開發當中。最后，所有層級的安全需求都要通過相應測試驗證進行閉環，以保證整個電控產品的功能安全開發。

圖1 電動汽車功能安全開發過程

1.1 概念階段

概念階段是從電動汽車整車層級分析功能及非功能需求，并根據初始整車電控系統架構進行相關項的范圍定義及功能描述。首先采用危害及可操作性（Hazard and Operability，HAZOP）分析法，根據整車功能進行失效分析，分析各功能失效模式及造成的整車危害。然后進行HARA 分析，即在各工況和駕駛場景下對整車危害引起的風險進行評估，主要包括以下3個評估方面：（1）工況和駕駛場景的暴露度（E）；（2）危害發生時的嚴重度（S）；（3）危害發生時駕駛員避免風險的可控度（C）。

通過對這3 個方面進行打分，綜合得出汽車安全完整性等級（ASIL），并設計出整車功能安全目標及相關屬性。最后根據整車初始架構以安全目標失效為頂事件（Top event）進行故障樹分析（Fault Tree Analysis,FTA），設計安全機制，更新初始整車架構，并對架構中各元素提出功能安全需求，制定相應測試、驗證規范。

1.2 系統階段

系統階段需根據概念階段的功能安全需求，設計各子系統初始系統架構，并以功能安全需求違背為頂事件，進行系統階段故障樹分析，并設計系統階段的安全機制，更新和分配至系統架構元素中，同步進行系統潛在失效模式分析（Failure Mode and Effects Analysis，FMEA）以驗證安全機制是否完整。該階段需要對系統軟件和硬件模塊提出相應的技術安全需求、確定相關屬性，并針對相應需求制定測試驗證規范。

1.3 軟硬件開發階段

軟硬件開發階段需根據系統階段的技術安全需求分別設計相應的軟件和硬件的架構，并進行故障樹安全分析，設計安全機制并進行潛在失效模式分析驗證。其中，電動汽車轉矩監控算法主要在軟件階段實現。

整個功能安全設計和分析過程是一個從整車級向系統軟硬件級進行需求承接和逐步細化的流程，并且對每個過程ISO 26262 針對不同的ASIL 等級給出了明確的完成要求，如表1 所示。ASIL 等級的確定基于嚴重度（S）、暴露度（E）、可控度（C）影響因子，表1給出了ASIL 等級確定方法，其中QM 表示質量管理（Quality Management），即按照質量管理體系開發系統或功能就可以滿足安全要求，不用考慮任何安全相關的設計。確定了危害的ASIL 等級后，為每個危害確定至少一個安全目標，作為功能和技術安全需求的基礎。

表1 功能安全完整性等級[1]

2 穩定性控制功能危害分析和風險評估（HARA）

2.1 穩定性控制系統及功能失效分析

對于集中式四驅電動汽車穩定性控制系統（圖2），電子穩定性控制系統（Electronic Stability Control,ESC）以當前車速、轉向盤轉角、加速度為輸入信息，進行整車穩定性控制邏輯計算。當ESC 功能觸發時，首先與整車控制器通訊，向前后軸動力電機轉發轉矩清除請求，即ESC 功能觸發期間，前后軸動力電機響應整車控制器發送的轉矩請求是轉發ESC計算的轉矩請求。同時，ESC 控制4 個車輪施加必要的機械制動扭矩，以維持整車的穩定性控制目標，保證整車的橫擺角速度或質心側偏角在穩定范圍內。

圖2 集中式四驅純電動汽車穩定性控制系統

整車穩定性失效模式主要有不足轉向和過度轉向2 種。當整車發生不足轉向時，前軸失去轉向能力，無法進行彎道轉向，可發生偏離當前車道行駛的危害；當整車發生過度轉向時，后軸產生側滑，可發生整車失穩旋轉危害。對于本研究所用的集中式四驅電動汽車，發生不足轉向和過度轉向時的原因有2種：

（1）由于ESC 本身失效導致，如控制的四個車輪的機械制動扭矩過大。

（2）由于前、后軸動力電機驅動或能量回收扭矩過大導致。

其中，由ESC 控制的機械制動扭矩足以使整車車輪在任何路面抱死，而前后軸動力電機的驅動或能量回收扭矩則一般在高附著路面不會導致該軸車輪滑轉或抱死。陳廣秋等[12]從車輛多體動力學、穩定性控制策略及穩定性控制算法方面闡述了目前國內外電動汽車穩定性控制現狀，認為在電機控制轉矩分配算法應以安全或者節能為目標進行控制轉矩分配。王瑋等[13]分析了常見的能量回收控制策略優缺點，證明對四驅車輛應采用前后軸制動力比例分配策略。許杰等[14]研究了矢量四驅控制策略，證明軸間和輪間轉矩分配可影響整車穩定性。嚴運兵等[15]提出了基于神經網絡PID 控制策略的直接橫擺力矩算法，證明了ESC穩定性控制算法會顯著影響整車的穩定性能。

2.2 穩定性控制功能HARA分析

針對整車不足轉向和過度轉向的危害進行HARA 分析，依據ISO 26262 進行嚴重度、暴露度及可控度的典型場景分析（如表2、表3、表4 和表5 所示），確定集中式四驅電動汽車穩定性功能安全目標。

表2 ESC本身失效導致不足轉向HARA

表3 ESC本身失效導致過度轉向HARA

表4 前電機系統失效導致不足轉向HARA

表5 后電機系統失效導致過度轉向HARA

2.3 穩定性控制功能失效仿真驗證

CarSim 模型在計算機上運行的速度比實車控制器的實時運算快3～6 倍，可以仿真車輛對駕駛員、路面及空氣動力學輸入的響應，主要用來預測和仿真汽車整車操縱穩定性、制動性、平順性、動力性和經濟性，同時被廣泛應用于現代汽車控制系統開發。Car-Sim 可以方便靈活定義試驗環境和試驗過程，詳細地定義整車各系統特性參數和特性文件，可以用曲線和三維動畫形式觀察仿真結果，包括圖形化數據管理界面、車輛模型求解器、繪圖工具和三維動畫回放工具。功率譜分析模塊程序穩定可靠。本文以某款集中式四驅電動汽車車型為目標，建立的CarSim 車輛模型如圖3所示，整車參數見表6。張雷等[16]提出了一種基于分層架構的軌跡跟蹤與直接橫擺力矩協調控制策略，并采用了CarSim 和Simulink 聯合仿真，證明了該仿真平臺的可用性。

表6 整車參數

圖3 車輛模型

圖4 道路環境模型

道路模型設計按照JTG D20—2017《公路路線設計規范》[17]中表7.3.2，選擇轉彎半徑為60 m 的圓形路線，進行車速為40 km/h 的穩態圓形路線仿真計算，分析不同路面附著系數下動力電機轉矩故障注入導致的整車失穩情況。根據HARA 分析結果，集中式四驅電動汽車在高附著路面不會因為動力電機轉矩輸出非預期增大導致整車過度轉向失穩。在低附著路面如雪路面，動力電機轉矩輸出非預期增大才會導致整車過度轉向失穩。

2.4 基于Simulink的控制模型建立

在MATLAB/Simulink 中搭建整車控制模型，與CarSim建立聯合仿真模型如圖5所示。控制模塊主要以車速、加速踏板開度為輸入信號，計算行駛驅動中的前后軸動力電機需求轉矩，研究以40 km/h的車速穩態圓形行駛為初始狀態，分別進行前后軸動力電機驅動和能量回收制動轉矩故障注入，觀測整車橫擺角速度、側向加速度、四輪輪速信號、轉向盤轉角和轉彎半徑變化，驗證HARA分析中的整車失穩及危害情況。

圖5 整車控制模型

3 仿真結果

3.1 高附著路面仿真結果

由圖6～圖9 的仿真結果可以看出，在附著系數為0.9 的高附著路面條件下，駕駛員以40 km/h 車速進行穩態圓形行駛，當前、后軸驅動轉矩發生非預期增大故障，1 s后（駕駛員反應時間）駕駛員施加制動，整車側向加速度、橫擺角速度和轉彎半徑都只有較小波動，整車行駛保持穩定狀態，不會引發側向失穩危害。當前、后軸能量回收轉矩發生非預期增大故障時，1 s（駕駛員反應時間）后駕駛員通過增大加速踏板開度，增加前軸驅動轉矩，整車側向加速度、橫擺角速度和轉彎半徑也都只有較小波動，整車行駛保持穩定狀態。

圖6 高附著路面前電機驅動轉矩非預期增大整車穩定性

圖7 高附著路面前電機能量回收轉矩非預期增大整車穩定性

圖8 高附著路面后電機驅動轉矩非預期增大整車穩定性

圖9 高附著路面后電機能量回收轉矩非預期增大整車穩定性

3.2 低附著路面仿真結果

由圖10～圖13 的仿真結果可以看出，在附著系數為0.25 的低附著路面條件（模擬雪路面）下，駕駛員以40 km/h車速穩定行駛，當前軸驅動轉矩或能量回收轉矩發生非預期增大故障時，整車橫擺角速度和轉彎半徑都有較大波動，整車呈現嚴重不足轉向失穩；當后軸發生非預期驅動轉矩或能量回收轉矩增大故障時，駕駛員增加前軸驅動轉矩，整車橫擺角速度和轉彎半徑都有較大波動，整車呈現因嚴重的過度轉向而出現失穩狀態。

圖10 低附著路面前電機驅動轉矩非預期增大整車穩定性

圖12 低附著路面后電機驅動轉矩非預期增大整車穩定性

圖13 低附著路面后電機能量回收轉矩非預期增大整車穩定性

仿真結果驗證了HARA 分析中對該電動四驅樣車動力電機發生驅動轉矩和能量回收轉矩非預期增大故障，對整車穩定性的影響，即前軸動力電機的非預期轉矩增大只有在低附著路面才能產生不足轉向使整車失穩，從而暴露度和嚴重度都應相應降級；而后軸動力電機轉矩非預期增大也只有在低附著路面才能產生過度轉向使整車失穩，從而暴露度和嚴重度也相應降級。

此外，針對ESC 失效導致的不足轉向及過度轉向，使整車失穩達到的ASIL D 級功能安全危害風險，目前只能通過ESC 系統本身設計相應安全機制，保證誤觸發的概率滿足ASIL D級功能安全的軟硬件、系統開發及驗證要求。

4 結束語

針對電動汽車進行功能安全開發時，側向穩定性控制功能安全等級研究是影響整車安全的重要研究內容之一。本文基于某集中式四驅電動汽車穩定性控制功能進行了基于ISO 26262 功能安全概念階段HARA 分析及安全目標設計，并采用CarSim 和Simulink聯合仿真方式驗證了HARA 分析工況及相關安全目標的合理性。對該集中式四驅電動汽車，穩定性控制功能安全等級應按ASIL D開發，其中電子穩定性控制系統（ESC）的非預期觸發應按ASIL D 開發，動力電機系統的非預期驅動轉矩和能量回收轉矩應按ASIL B開發。

研究成果可對電動汽車電控系統的功能安全開發提供技術支持，后續應開展實車驗證以進一步驗證研究結論。同時，在預期功能安全方面，后續進行駕駛員在低附著路面下的駕駛誤操作導致車輛失穩的安全機制設計研究。