电驱动力系统功能安全概念设计和安全确认

吴浩，魏广杰，刘永，严运兵

摘  要：为了论证基于IS02626的功能安全概念设计和安全确认方法可以实现安全目标，对某电动汽车电驱动力系统纵向驱动功能非预期的失效进行了危害分析和风险评估，以“防止非预期的车辆自主移动”安全目标为例，针对红绿灯路口停车场景，建立非预期车辆自主移动数学模型，参考仿真结果对监控扭矩阈值和故障容忍时间间隔（FTTI）进行设计，并在实车上进行安全确认测试。测试结果表明，基于仿真结果设计的安全需求实现了和安全目标的一致性，且具备避免危害的能力。

关键词：功能安全;故障容忍时间间隔;安全目标;安全确认;故障注入

中图分类号：U469.72     文献标识码：A     文章编号：1005-2550（2021）05-0017-08

Electric Power-train System Function Safety Concept

Design and Safety Validation

WU Hao1， WEI Guang-jie1， LIU Yong1， YAN Yun-bing2

（ 1. Jiangling Motors Co， Ltd.， Nan Chang 330052， China;

2.Wuhan University of Science and Technology， Wuhan 430065， China）

Abstract： In order to demonstrate that the functional safety concept design and safety validation method based on IS02626 can achieve safety goal， hazard analysis and risk assessment of an electric vehicle power-train system longitudinal driving functions unexpected failure is carried out. Taking the safety goal of “preventing the unintended vehicle autonomous movement” as an example， for the scene of stopping at traffic lights， a mathematical model of the unintended autonomous movement is established， the monitoring torque threshold and fault tolerant time interval are designed according to the simulation results. And safety validation test in vehicle is carried out. The test results show that the designed safety requirement based on the simulation results achieved the consistency with the safety goal and the ability of avoid hazard.

隨着电动化、智能化、网联化、共享化等新技术的不断发展，依赖于电子电气系统实现的汽车功能越来越丰富和复杂，由电子电器系统功能失效导致的安全风险越来越高;ISO26262对车辆的电子电气系统全生命周期进行功能安全管理及产品开发提供了一套标准的流程和方法[1]，考虑到功能安全的重要性，2017年我国国家标准化管理委员会参考ISO26262制定了中国的功能安全标准GB/T 34590，越来越多的主机厂也开始在产品开发过程中导入功能安全的要求。ISO26262标准中与汽车产品开发强相关的内容为第3至第6部分，分别规定了在概念、系统、硬件和软件阶段的功能安全开发要求[1]。一般而言，主机厂应主导概念阶段的开发，这个阶段的工作主要包括对象定义、危害分析和风险评估以及功能安全需求导出，供应商基于主机厂导出的功能安全需求进一步进行零部件系统和软硬件开发。

由于概念阶段是功能安全开发的基础，不少学者针对功能安全概念设计进行了研究。例如曾艾等[2]对动力总成系统的扭矩安全进行概念阶段开发，以“避免非期望的纵向加速”的安全目标为例，设计了扭矩安全的功能需求;王林等[3]介绍了混合动力汽车电驱动系统的功能安全概念设计;赵征澜[4]介绍了纯电动汽车的扭矩控制安全概念设计，展示了“防止非预期的加速/减速”功能安全目标和安全需求，并在HIL-动力总成台架上对安全机制进行了验证，但是对于安全目标的验收指标和安全需求的扭矩监控阈值和FTTI时间的导出过程未做详细介绍;国外Hyungju Kwon等[5]对电动助力转向系统进行了HARA分析，并通过特定场景的实车危害测试来确定FTTI时间。但是由于在概念阶段零部件和整车一般没有完成开发，所以在概念阶段仅通过实车测试来确定FTTI时间也存在一定局限性;何杰等[6]使用仿真测试的方法，搭建ESP系统Simulink-Carsim联合仿真模型，确定扭矩传感器故障的FTTI时间，但未在实车上测试验证真实驾驶员环境下的可控性。

本文针对上述研究的不足，完整实践了对象定义、危害分析和风险评估、功能安全需求导出和安全确认测试的全过程。在对电动汽车电驱动力系统进行对象定义和HARA分析的基础上，以“防止非预期的车辆自主移动”安全目标为例，针对红绿灯路口停车场景建立仿真模型并进行了仿真，确定监控扭矩阈值和FTTI时间，并在实车上进行了实车测试，最后通过实车测试和仿真结果的对比，确认了基于仿真设计的安全需求和安全目标的一致性。

1    电驱动力系统功能安全概念设计

1.1   对象定义

电驱动力系统功能示意图如图1所示，其作用是控制电机输出纵向扭矩驱动车辆行驶。驱动功能由整车控制器计算需求扭矩，电机控制器响应整车控制器的需求扭矩请求，并控制电机执行输出扭矩，经减速器传递至车轮。需求扭矩的计算包含驾驶员需求扭矩、系统能力限制扭矩、车身稳定系统请求扭矩、和故障模式限制扭矩。其中，驾驶员需求扭矩主要根据加速踏板开度、制动踏板开度、档位、实时车速来计算;系统能力限制扭矩主要根据动力电池管理系统和电机控制器提供的系统能力限值来计算;档位控制器根据驾驶员对换挡机构的操作，识别驾驶员的前进/倒车/空挡切换意图;车身稳定系统根据车辆运动时的纵向和横向的稳定性状态等对电驱动系统提出增减扭矩的请求;故障限制扭矩是根据电驱动系统相关的传感器、控制器、执行器不同故障，对扭矩进行限制或清零的处理。

电驱动力系统的内外部接口如图2所示，内部接口主要由整车控制器/电池管理系统/电机控制器/车载充电控制器（OBC）的通讯接口、油门踏板开发/油门踏板位置的传感器接口、驱动电机组成的机械接口、高压配电盒（PDU）/OBC/电机控制器的高压电气接口组成;外部接口主要由减速器/车轮的机械接口、12V蓄电池/直流-直流转换器（DCDC）的低压电气接口、以及档位控制器/车身稳定控制器/DCDC控制器的通讯接口组成。

1.2   危害分析和风险评估

ISO26262规定，在对象定义完成后，下一步就是危害分析和风险评估（Hazard analysis and risk assessment，简称HARA），对由于系统功能失效造成的危害事件进行识别和等级分类。危害识别即HARA的危害分析部分，危害等级分类即HARA的风险评估部分，每个部分都需要独立讨论。

1.2.1 失效/故障分析

HARA分析首先需要列出对象功能的所有可能的失效模式。危害和可操作分析（HOZOP）是一种常用的系统失效分析方法。HAZOP通过使用失效形式关键词，例如“过多”、“过少”、“丧失”、“错误”等，系统性地确定需控制的失效模式范围[7]。对于电驱动力系统的纵向驱动功能，其失效模式见表1：

1.2.2 场景分析和危害识别

同一功能失效在不同的运行场景或驾驶条件下的危害后果可能不同，所以需要分析车辆运行场景。车辆运行场景是包含车辆状态、环境条件和驾驶员行为三者的条件组合。运行场景不必进行全面的排列组合，只需列出对对象功能有明显影响的场景组合。本文以“驾驶员不期望车辆输出扭矩时，提供了扭矩”的故障模式为例，列举了有代表性的车辆停车运行场景，以及故障失效在每个运行场景下导致的危害后果，如表2所示。

1.2.3 风险评估及安全目标

在确定故障和运行场景组成的危害事件后，下一步工作是確定每个危害事件的严重度（S：S0-S3），暴露率（E：E0-E4），和可控度（C：C0-C3），导出每个危害事件的汽车安全完整性等级（ASIL：QM，和A，和B，和C，和D），ISO26262.3对S/E/C评分和ASIL等级确定都进行了指导说明。以运行场景5为例，车辆在拥堵的十字路口或红绿灯路口停车时，车辆产生了非预期的驱动扭矩，可能以低速撞到行人，所以对应的严重度评分为S2;所发生场景在每次驾驶中几乎都可能发生，所以暴露率评分为E4;发生危险时，90%～99%的驾驶员一般可以控制，所以可控度评分为C2。按照ISO26262的ASIL确定表，确定S2-E4-C2对应ASIL B等级。

风险评估所有评分结束后，针对最恶劣运行场景下的故障（称为顶事件，Top Event）制定安全目标。安全目标是对象的顶层安全需求，安全目标需要表达整车层面的功能目标，而不是具体的技术方案。本文所列举的5个危害事件的安全目标均可定义为“防止非预期的车辆自主移动”。另外，每个安全目标需定义一个安全状态，即没有不合理风险的Item对象的运行模式。以“防止非预期的车辆自主移动”为例，安全状态可设计为“中断电驱动力系统扭矩输出”。

1.3   功能安全需求和概念

1.3.1 功能安全需求设计

为了实现对象的安全目标，需设计安全需求来对危害进行检测和处理并使之缓和到可接受的范围内。以“防止非预期的车辆自主移动”的安全目标为例，整车控制器需要进行请求扭矩安全监控，电机控制器需要进行电机实际扭矩安全监控。可设计一条针对整车控制器的功能安全需求：“当VCU功能模块计算的电机请求扭矩超过扭矩监控模块的电机安全扭矩（即电机克服车辆静态摩擦阻力所需的扭矩）一定值时，VCU应立即进入安全状态”。在确定功能安全需求后，需进一步明确功能安全机制，这就需要解答一个关键的问题：如何设置的故障检测处理时间和故障扭矩的检测阈值，才能确保系统在故障容忍时间（FTTI）内不发生危害事件？

ISO26262定义了故障处理时间间隔（FHTI），包含故障诊断和处理时间;FHTI应在开发阶段被考虑，为避免危害事件所需的最大的故障检测处理时间间隔[1];FTTI为在安全机制未激活时，从故障发生到发生危害事件所允许的最短时间，所以FTTI应为驾驶员对故障的反应时间和驾驶员控制车辆所需时间之和。本文使用了仿真计算和实车测试的方法，通过实车的故障注入测试可以确定最大的“故障处理时间间隔”和故障扭矩检测阈值。

1.3.2 功能安全需求仿真计算

“非预期车辆自主移动”数学模型如图3所示。假设车辆在十字路口停车，车辆前方有行人陆续通过，行人沿车辆纵向的速度为0，车辆初始位置和行人距离为S。某时刻车辆突然产生Tmot_add的故障扭矩，故障发生terrState时间后，车辆进入安全状态;在故障发生tdrvReact时间后，驾驶员意识到危险并开始制动车辆;驾驶员需要在车辆碰撞到行人之前将车辆完全制动，否则认为危害事件发生，见图3。

在“非预期车辆自主移动”数学模型中，车辆移动过程可分为三部分：1）注入故障扭矩的加速过程t0～t1;2）车辆进入安全状态后的滑行过程t1～t2;3）驾驶员紧急制动车辆至车速为0的过程t2～t3。电机扭矩Tmot和制动器制动扭矩Tμ均为对时间的分段函数：

（1）

（2）

其中，制动器制动力矩分段函数中，制动力响应和上升阶段的制动力矩被简化为0Nm。

根据行驶方程，车辆的行驶位移为车速对时间的积分：

（3）

根据车辆动力学方程[8]，电机驱动力传递到车轮的车辆驱动力：

（4）

其中，Tmot为电机扭矩;i0为减速器速比，η为机械传动效率;r为轮胎滚动半径。

根据车辆动力学方程[8]，车辆行驶阻力：

（5）

其中，M为整车质量;g为重力加速度;f为滚阻系数;Cd为风阻系数;A为车辆迎风面积;u为行驶车速;α为道路坡度;δ为旋转质量换算系数。

车辆制动力：

（6）

其中，Tμ为车辆紧急制动时制动器提供的制动力矩。

（7）

根据公式（1）～（7），在MATLAB/Simulink 中搭建仿真模型，如图4所示。其中，Mot err Torque injection模块根据式（1）和式（4），计算电机扭矩和输出轮端驱动扭矩;Driver Brake Force injection模块根据式（2）计算制动器制动力;Vehicle Acceleration Torque Calculation模块根据式（5）～（7）计算车辆加速力矩;Vehicle Motion Simulation模块根据式（5）和式（3）分别计算车速和车辆行驶距离。

针对某皮卡车型，仿真计算所需的整车参数和假设参数如表3所示：

根据现有的交通安全中的人为因素统计[9]，95%的人对于突发事件的反应时间为1.6s;根据“BOSCH汽车工程手册”定义[10]，制动过程包含危险辨认时间、制动延误时间，其中危险辨认时间约为0.4s，制动延误时间包含反应时间（一般为0.3s）、转换时间（驾驶员的脚挪到制动踏板的时间，约为0.2s）、制动力响应和增长时间（不超过0.6s）。参考文献9和文献10，本文设置驾驶员的反应制动时间，即从车辆输出故障扭矩到制动器输出最大制动力的时间间隔为1.6s;另外假设电机故障扭矩从请求到实车響应的时间为0.1s，可得出从注入故障扭矩到制动器输出制动力的时间间隔为1.7s;在危险情况下，驾驶员一般会进行紧急制动，按照“GB 7258-2017 机动车运行安全技术条件”[11]中第7.10.2.2条，要求乘用车以50km/h的初速度时制动空载检验充分发出的平均制动减速度不小于6.2m/s2。为实现6.2m/s2的制动减速度，针对本文选取的车辆参数可以仿真计算出对应的制动器紧急制动力为15200N;根据“GB5768道路交通标志和标线”规定[12]，车辆停止线应距离人行横道100～300cm，如图5所示。因此本文假设初始的人车距离为100cm，对应安全目标和安全需求的安全验证准则为“实施安全机制后，非预期的车辆自主移动距离不应超过100cm”;车辆初始车速设置为0km/h。

输入整车参数和假设参数后，通过“非预期车辆自主移动”Simulink仿真模型计算出车辆位移和驾驶员反应及刹车时间，如表4所示。

其中，注入幅值300Nm持续时间200ms的故障扭矩后，车辆位移和车速的仿真结果如图6和图7所示。据图6和图7可发现，在第100ms时注入300Nm故障扭矩，车辆开始加速;在第300ms时电机扭矩清零，车辆开始滑行减速;在第1800ms时驾驶员进行制动，车辆开始制动减速;在第1950ms时车辆完全停止。

由于电机峰值扭矩为300Nm，故障扭矩诊断阈值可以在可驱动车辆移动的最小扭矩和电机峰值扭矩之间，即在6Nm至300Nm内选取;考虑车辆位移不超过100cm，选取车辆位移接近100cm的仿真数据中，选取最短的故障注入时间作为安全需求的FHTI时间，即从2/4/7/9组数据中选择第7组，设计FHTI时间为170ms;故障容忍时间间隔FTTI可从2/4/7/9组仿真结果中选择最短的驾驶员反应和刹车时间，即FTTI时间可选择为1850ms。

2    安全确认测试

功能安全确认需提供证据证明功能安全需求和安全目标的一致性，并具备减轻或避免危害事件的能力;减轻或避免危害事件的能力可通过测试、试运行或专家评价来评估[1]。需说明的是，安全确认不仅包含功能安全开发结束时进行的验证工作，也包含在功能安全开发过程中的工作。

本文通过在实车上进行故障注入测试进行安全确认，并将测试结果和仿真结果进行back-to-back对照，验证功能安全需求中的监控扭矩增加阈值和允许的故障诊断处理时间设置是否可以实现安全目标，即“防止非预期的车辆自主移动”，以及对应的安全验证准则“实施安全机制后，非预期的车辆自主移动距离不应超过100cm”。

2.1   测试实施步骤

选择封闭的水平水泥路面作为测试场地，使用CANoe总线信号注入的方法进行故障注入测试[13]，在测试前调试好测试设备和测试脚本。测试脚本设定的故障注入条件为，当整车上电到Ready状态且制动踏板完全松开后开始注入故障扭矩，并可设置故障注入时间，如表5所示。按照下述步骤实施测试：

2.2   测试结果和分析

测试结果如表6所示，为使车辆位移不超过100cm，当故障扭矩为50Nm时，故障注入时间应小于1500ms;当故障扭矩为100Nm时， 故障注入时间应小于600ms;当故障扭矩为200Nm时，故障注入时间应小于250ms;当故障扭矩为300Nm时，故障注入时间应小于170ms。在设计故障扭矩检测阈值和故障诊断处理时间时，可依据上述测试测试结果进行对照选取;从车辆位移接近100cm的测试结果中选取最短的故障注入时间数据，因此选取的故障检测和处理时间应小于170ms，此时间和基于仿真结果设计的FHTI时间一致。

图8给出了注入300Nm故障扭矩200ms的车速实测和仿真结果对比。由于汽车传动系的弹性阻尼特性，直接施加大扭矩时，车速会发生一定程度的振荡，但是在加速、滑行和制动三个阶段实测车速和仿真车速的变化趋势是一致的。

图9给出了实车测试测结果和Simulink仿真结果的车辆位移对比，发现各组数据的变化趋势相同，车辆位移差异也在合理范围内。考虑实车测试的测量误差因素，本文设计的仿真模型是比较准确的，因此仿真结果可以作为设计功能安全需求参考的依据。

3     结论

本文对电驱动力系统进行了对象定义，并以“驾驶员不期望车辆输出扭矩时，提供了扭矩”为例进行了HARA分析，导出了“防止非预期的车辆自主移动”的安全目标，针对“车辆在红绿灯路口停车时发生自主移动”的场景，并使用仿真计算的方法明确了功能安全需求中的安全监控扭矩阈值和时间要求。

在实车上进行了安全確认测试，测试结果表明了仿真结果和实车测试结果的一致性，验证了基于仿真结果设计的安全需求对于安全目标的一致性和避免危害的能力。本文基于ISO26262要求的扭矩功能安全开发实践，可为相关企业工程师在功能安全概念阶段和安全确认测试阶段的工程实践提供案例借鉴。

参考文献：

[1]ISO 26262. Road Vehicles-Function Safety [S]，Geneva：International Organization for Standardization， 2018 .

[2]曾艾，杨永光. 基于ISO 26262的动力总成系统扭矩安全概念设计[J]，上海汽车，2017（10）：25-29.

[3]王林，赵鑫，任倩萌，混合动力汽车电驱动系统的功能安全概念设计[J]，上海汽车，2018（11）：4-18.

[4]赵征澜，纯电动汽车转矩控制安全概念与转矩监控模型[J]，汽车工程学报，2018，8（3）：229-234.

[5]Hyungju Kwon， Itabashi-Campbell，R.， McLaughlin，K. ISO 26262 Application to Electric Steering Development with a Focus on Hazard Analysis[C]， 2013 IEEE international systems conference， Orlando， Florida， USA， April 2013.

[6]何杰，陈慧，符合ISO26262的EPS扭矩传感器故障容错时间间隔确定方法[C]. 2015 中国汽车工程学会年会论文集（Volume2）. 中国汽车工程学会，2015：4.

[7]P. Goddard， “System safety applied to vehicle design” [J]， SAE， Int. J. Passenger. Cars – Mech. Syst.， 2008 ， vol. 2（1）， pp. 1-97.

[8]余志生，汽车理论[M]，北京：机械工业出版社，2018.

[9]R. Dewar and P. Olson， Human Factors in Traffic Safety [M]， 2nd ed. Tucson， AZ， USA： Lawyers & Judges Publishing， 2007.

[10]Konrad Reif，BOSCH汽车工程手册[M]，北京：北京理工大学出版社，2016.

[11]GB 7258-2017 机动车运行安全技术条件[S]，2017.

[12]GB 5768.3道路交通标志和标线[S]，2009.

[13]尚世亮，王雷雷，赵向东，基于ISO26262的车辆电子电气系统故障注入测试方法[J]，汽车技术，2015（12）：49-58.