发动机线路控制驱动系统的功能安全设计
:ISO 26262—2018 功能安全标准从小于 3.5 吨车型延伸摩托车等多个领域,针对新时期自动驾驶对发动机控制的线路控制需求,本文提出了支持线路控制驱动的支持 ECU 控制单元硬件电路和扭矩安全监控策略的设计与开发,提出了一种双冗余互校验的架构并对其中的合理性判断及故障诊断策略进行开发。利用 Matlab/Simulink 建立相应的控制模型并使用工具 Embedded coder 该工具实现了从模型到代码的自动生成,并使用满足功能安全标准的工具链和开发过程来代码 MIL 测试 SIL 测试与 HIL 最后,在发动机机架上进行测试和验证。试验结果表明,该监控单元能够有效地完成线路控制扭矩的需求,实现功能安全 ASIL-C 要求大大提高了发动机线大大提高。
线控技术(X-by-Wire) 飞机新型飞行控制系统起源于飞机控制系统,是一种线路控制系统(Fly-by-Wire),它将飞机司机的操作命令转换为电信号,用计算机控制飞机飞行。这种控制方法引入汽车驾驶,即通过传感器将驾驶员的操作转换为电信号,通过电信号网络传输到攻击率放大,然后促进执行机构。本质上,在需要有机构动作的地方,液压系统不是用来传输操作的,而是用弱电信号来控制强电执行机构。弱电信号早期在线控(电控)系统中使用的模拟信号较多,目前多采用数字信号。典型的有线控制驱动(Drive By Wire)线控转向( Steer-by-Wire)、线控制动(Brake-by-Wire)等。DBW 英文全称也可以称为Throttle By Wire,也即「线控油门」或者「电控油门」。线控油门系统主要由油门踏板、踏板位移传感器、电控单元组成 ECU、由燃油喷射系统等执行机构组成。
传统的油门控制方法是驾驶员通过踩油门踏板直接控制发动机油门的开关程度,从而决定加速或减速。驾驶员的动作与油门动作之间的机械作用如图所示 1(a) 所示。
图 1(b) 线控驱动示意图将机械连接改为电信号。文献[1-9]提出了电动控制发动机对驾驶员、发动机控制单元软硬件设计及相关控制策略的意图要求,其中,驾驶员仍通过踩油门踏板控制电缆,但电缆不直接连接到油门,而是连接到油门踏板位置传感器,传感器将电缆位置转换为电信号到汽车大脑 ECU(电子控制器),ECU 处理后,将收集到的相关传感器信号发送到执行机构,如节气门、喷油器或喷油泵。
图 1(b) 所示,驾驶员的动作与油门的动作通过电子元件的电信号连接。虽然从结构上看,线路控制油门比传统油门控制更复杂,但油门控制比传统方法更准确,发动机可以根据汽车的各种驾驶信息,准确调整进入气缸的燃油空气混合物,改善发动机的燃烧状态,大大提高了汽车的动力和经济性。同时,它更适合新一代自动驾驶的需要。自动驾驶计算机可以通过指令或电信号控制车辆的驱动。
随着电子控制的复杂性越来越高,电子电气造成的安全问题越来越突出,「功能安全」,是通过安全功能和安全措施避免不允许功能风险的技术总称。国外汽车制造商很早就开始考虑功能安全。 2012 对其汽车和摩托车的电子控制系统实施了功能安全标准。使用计算机等安全装置设计的安全措施,通过去除造成危险的设计或机械故障的安全机制。
根据功能安全的需要,各种车辆的线路控制技术的功能安全目标可能不完全相同。由于使用场景不同,乘用车、商用车、工程车或摩托车等机动车的暴露率、风险程度和可控性可能不同。经过分析,线控驱动至少应该达到的功能安全目标之一(SG001):防止非预期异常加速,目标等级为功能安全 ASIL-B 等级。基于此,本文提供了一个通用的功能安全线控制驱动硬件设计如图所示 2 所示。
除了为车辆用户提供良好的驱动加速性能外,线控驱动系统还必须证明其功能安全可靠。线路控制驱动(油门)系统加速踏板与发动机之间的机械连接不再存在,完全依赖于电子和电气元件,需要采取容错措施,以确保线路控制驱动的功能安全。容错技术的实现主要取决于冗余,即设计的系统在功能或数量上有一定的冗余。当某个部件出现故障时,冗余部分承担相应的功能。同时,为了避免共因失效,在特殊情况下需要使用不同的技术(如开关信号和模拟信号组合)来实现冗余。
计算自动驾驶(ADU)平台只需要通过两路数模转换(DAC)将要求信号转换为测图 3 所示的电压范围可以控制发动机驱动的纵向加速度,达到自动驾驶的目的。同时,也可以通过CAN发出两路开度请求信号,ECU 经过同一信号的合理验证和故障诊断,可以在设定合理值后完成 ADU响应扭矩请求。
图 4 为双冗余油门信号处理电路原理图的核心部分,sig1 连接加速踏板信号 EPA,sig2 连接加速踏板 EPA2.两个信号分别进行滤波、钳位、限流等处理,然后通过一级电压跟后进入单片机 AD_3 和 AD_98h23 两个通道 AD 采样。另外,为了保证两路加速踏板信号能够独立工作,不相互影响,另外两部分是独立的电源和地点,这里就不赘述了。
功能安全标准要求各安全相关硬件要素的失效率 λ 可按等式进行 (1) 假设所有的故障都是独立的,并根据指数分布),如下所示 :
其中 λ SPF 与硬件元素单点故障相关的失效率;λ RF 与硬件元素残余故障相关的失效率 ;λ MPF —与硬件元素多点故障相关的失效率 ;λ S — 与硬件要素安全故障相关联的失效率。与硬件元素多点故障相关的失效率, λ MPF 可按等式(2)表示,如下:
式中 : λ MPF,DP — 与硬件元素可检测或可检测的多点故障相关的失效率, λ MPF,L — 与硬件元素潜伏故障相关的失效率。用于等级 ASIL(B) 安全目标。等式(3)中的计算应用于确定单点故障测量 :
通过公式(3)将改进后的电路导入计算模块,计算系统单点故障测量值 97.5%驱动系统的功能符合功能安全标准的要求 ASIL-C 超出系统驱动功能安全的要求 ASIL-B 功能安全等级要求安全等级。
对于上节所述,在根据功能安全要求设计硬件电路时,应用层软件必须有相应的控制算法来完成线路控制油门的安全监控和故障诊断要求。
该模块的功能是通过底层模拟量和数字输入(带怠速开关的线路控制加速踏板)模块获取油门踏板传感器的原始信号,并输出可用于发动机管理系统的传感器信号。
如图 5 所示般线控加速踏板信号处理软件架构示意图。输入信号主要由图可见 4 个 :两 路 模 拟 量 踏 板 开 度 输 入(AccPedCD_adUW和 AccPedCD_ad2UW),怠速开关数字输入(AccPedCD_bIdleRawUB),制动开关的数字输入(BrkCD_bOnUB)。当油门踏板传感器信号时AccPedCD_rFltUW=f (油门踏板传感器原始信号 AccPedCD_adUW/AccPedCD_ad2UW,怠速开关的原始信号 AccPedCD_bIdleRawUB,制动踏板信号 BrkCD_bOnUB)。
首先数字滤波和基本开路短路故障诊断两个信号。该模块首先检测加速踏板位置与制动信号之间的合理性。如果加速踏板和刹车器同时踩下,并且加速踏板在刹车器之前踩下,那么不合理性被检测到。如果检测到不合理性,则当加速踏板开度小于标定值时,将将作为检测后加速踏板开度值输出失效模式复位算法的原理 AccPed_rThresSftyUW_C ,或者其变化幅度大于标定值 AccPed_drAPPUnFltLimW_C 确认周期后,状态将输入变量 AccPed_stPlaAPPBrkRst_mpUB。
二是基于功能安全的保证算法,算法原理是 :首先,判断加速踏板和制动信号的出现时间。如果制动信号先于有效加速踏板信号,则判断合理性检验结果合理。
如图 7 如果合理加速踏板信号后出现制动信号,加速踏板信号满足原始开度小于AccPed_rThresSftyUW_C , 而且变化范围小于 AccPed_drAPPUnFltLimW_C,经确认周期后,判断合理性检验结果不合理,进入 AccPed_stPlaAPPBrkDet_mpUB,加速踏板输出值为 0 确保系统输出驱动的安全。
基于功能安全的设计要求系统具有软件架构设计和特殊的测试手段,如满足模型要求 MAAB 和 ISO26262 规范要求还应进行环测试(MIL)以及 SIL 测试,以及 HIL 最后进行台架试验和实车试验。
审查建模标准 :MATLAB 提供了 Model Advisor,可实现建模标准的静态检查,包括检查项目 MAAB、ISO26262 国际标准对模型的要求也可以选择公司定制的建模规范。本文提出的共轨 ECU 必须要求 ISO26262 静态检查模型。
如图所示,加速踏板扭矩请求处理模块的控制软件模型验证。 8 为规范汽车电子建模检查,检查结果为 100% 符合 ;图 9 为功能安全标准 ISO26262 符合性检查,检查结果达到 100%。
在 基 于 模 型 的 软 件 开 发 过 程 中, 在 Matlab/Simulink 在模拟环境中,控制算法模型与被控对象模型连接形成闭环,在模型层面形成闭环,主要用于验证模型功能的实现。
HIL 测试针对的主要是控制器的硬件和软件集成测试,硬件、软件及系统的开发过程都是基于技术安全要求规范的 V 模型,其中系统级产品研发应遵循功能安全 ISO 26262 的要求,硬件级的产品研发应遵循功能安全 ISO 26262-5 的要求,软件级的产品研发应遵循功能安全 ISO 26262-6 的要求。HIL 测试在基于功能安全 ECU 和基于模型的 V 流程开发流程中所处的位置非常重要,系统级 V 模型中左边的分支都是系统设计和要求,右边的分支是集成、验证、确认和功能安全评估;硬件级 V 模型中左边为硬件设计和硬件要求,右边为硬件的集成和验证 ;软件级 V 模型中左边为软件需求规范和软件设计架构要求,右边为软件安全需求中的软件集成和验证。针对基于功能安全的共轨 ECU 开发,本文采用德国如图进行模型在环仿真实例,实例中进行了故障注入测试,将两路加速踏板的信号输入信号由正常值变为错误值,当两路信号校验不一致的时候,系统报告错误(图中蓝线所示,由 0 变到 1)。
ETAS 公司的 LABCAR 高级 HIL 测试系统进行功能安全及相关测试 :
图 12 所示,将共轨 ECU 的线束与 HIL 测试系统 LABCAR 相连接,然后根据测试用例写出测试脚本,如图所示,将测试脚本加入 LABCAR 测试主机运行,系统测试出测试结果如表 1 所示。
经过上面对软件模型的验证,模型的单元测试与集成测试,以及硬件在环 HIL 测试之后,各项结果满足测试要求,将模型生成代码与底层基于 AUTOSAR 的代码进行集成之后下载到实际 ECU 进行装车实验,检验两路油门数据变化在实车上的表现。如图所示为实车测试两路油门的加速与释放油门信号值对比,图 13 所示为踩下加速踏板并维持一定时间之后松开踏板的两路油门信号,分红色为第一路加速踏板的值,蓝色为第二路踏板的值(为便于对比,将实际值乘以 2)。图 14 为多次反复加减速测试的两路油门对比的数值,由图可知,完全满足系统设计要求。
本文针对自动驾驶对新一代发动机控制提出的线控需求,提出一种支持机线控驱动的 ECU 控制单元的双冗余互校验的硬件电路架构,以及相应的合理性判断及故障诊断的扭矩安全监控策略的设计与开发。经过计算,该硬件电路架构方案完全满足发动机驱动的功能安全等级 ASIL-C 的要求。利用 Matlab/Simulink 工具搭建了相应的控制模型,通过功能安全标准的工具链和开发流程对代码进行 MIL 测试 SIL 测试与 HIL 测试,验证结果表明该控制模块完全符合功能安全标准的要。最后在发动机台架上进行试验验证,结果证明此监控单元能有效完成线控扭矩需求并达到功能安全 ASIL-C 的要求,极大提高了发动机线控驱动的安全性。