王章宏，趙秀栩

（1.武漢理工大學(xué) 機(jī)電工程學(xué)院，湖北 武漢 430070；2.東風(fēng)鼎新動(dòng)力系統(tǒng)科技有限公司，湖北 武漢 430070）

1 背景介紹

隨著汽車領(lǐng)域電子電氣的復(fù)雜程度日益增加，伴隨著汽車的電子電器功能安全事故凸顯，給廣大用戶帶來(lái)了生命威脅，為此國(guó)際標(biāo)準(zhǔn)化組織（International Organization for Standardization,ISO）分別于2011年及2018年推出第一版和第二版的《道路車輛功能安全標(biāo)準(zhǔn)》——（ISO 26262），指導(dǎo)汽車全生命安全周期的工作開(kāi)發(fā)。雙離合變速箱（Dual Clutch Transmission, DCT）作為燃油汽車的傳動(dòng)系統(tǒng)核心部件之一，其控制單元（Telematics Control Unit, TCU）具有傳遞扭矩、調(diào)速換擋、倒車行駛、中斷動(dòng)力等功能，此外，TCU與發(fā)動(dòng)機(jī)控制單元（Engine Management System, EMS）、車身控制系統(tǒng)（Body Control Module, BCM）、車身穩(wěn)定系統(tǒng)（Electronic Stability Controller, ESC）等密切交互，共同協(xié)調(diào)控制整車的正常行駛，提供良好的駕駛體驗(yàn)。因此，DCT的電控單元開(kāi)發(fā)須嚴(yán)格按照ISO 26262的指導(dǎo)進(jìn)行開(kāi)發(fā)。

基于此，本文根據(jù)ISO 26262標(biāo)準(zhǔn)，以7擋雙離合變速箱（7DCT）為例，主要針對(duì)7DCT的調(diào)速換擋功能中的輸入軸轉(zhuǎn)速監(jiān)控的功能安全進(jìn)行研究，結(jié)合目前主流的三層監(jiān)控方案，基于MATLAB對(duì)輸入軸轉(zhuǎn)速進(jìn)行三層監(jiān)控策略模型設(shè)計(jì)，最后進(jìn)行仿真和故障注入測(cè)試，驗(yàn)證該設(shè)計(jì)是否符合功能安全目標(biāo)。

2 概念階段

2.1 相關(guān)項(xiàng)定義

7DCT的調(diào)速換擋功能使變速箱結(jié)合不同的擋位，從而得到不同扭矩及轉(zhuǎn)速輸出，使汽車適應(yīng)不同的道路狀況及提高發(fā)動(dòng)機(jī)的燃油效率。其通過(guò)與控制器局域網(wǎng)絡(luò)（Controller Area Network,CAN）與其他系統(tǒng)控制模塊進(jìn)行通訊，解析駕駛員意圖，判斷當(dāng)前動(dòng)態(tài)駕駛工況，完成擋位切換。調(diào)速換擋功能架構(gòu)如圖1所示。輸入軸的轉(zhuǎn)速邊界條件依據(jù)軸系系統(tǒng)的各零部件極限轉(zhuǎn)速確定，如表1所示，最終輸入軸的轉(zhuǎn)速邊界確定為離合器的耐久極限轉(zhuǎn)速，當(dāng)輸入軸轉(zhuǎn)速超出該極限轉(zhuǎn)速后，將導(dǎo)致離合器摩擦片變形損壞。

2.2 啟動(dòng)安全生命周期

安全生命周期啟動(dòng)關(guān)鍵在于確定系統(tǒng)是全新開(kāi)發(fā)還是基于現(xiàn)有系統(tǒng)的調(diào)整。本文討論的調(diào)速換擋的輸入軸轉(zhuǎn)速監(jiān)控系統(tǒng)為全新開(kāi)發(fā)的相關(guān)項(xiàng)，故需按照標(biāo)準(zhǔn)進(jìn)行所有子階段的工作。

2.3 危害分析和風(fēng)險(xiǎn)評(píng)估

危害分析和風(fēng)險(xiǎn)評(píng)估（Hazard Analysis and Risk Assessment, HARA）階段是為了識(shí)別系統(tǒng)故障可導(dǎo)致的危險(xiǎn)并進(jìn)行風(fēng)險(xiǎn)程度評(píng)估，得到安全目標(biāo)并對(duì)安全目標(biāo)進(jìn)行汽車安全完整性等級(jí)定級(jí)（Automobile Safety Integrity Levers, ASIL）。

2.3.1 危險(xiǎn)識(shí)別

危險(xiǎn)識(shí)別應(yīng)定義為車輛層級(jí)的狀態(tài)或行為。確定車輛級(jí)的危害方法有多種：危險(xiǎn)與可操作性分析（Hazard and Operability Analysis, HAZOP）、頭腦風(fēng)暴、chechlist、失效模式和效果分析（Failure Mode and Effects Analysis, FMEA）等。本文對(duì)以上方法不做過(guò)多闡述并采用HAZOP方法進(jìn)行危險(xiǎn)識(shí)別。

結(jié)合7DCT的換擋邏輯（圖2），離合器1與內(nèi)輸入軸硬性連接并控制奇數(shù)擋齒輪的結(jié)合，離合器2與外輸入軸硬性連接并控制偶數(shù)擋齒輪結(jié)合。以正在結(jié)合的5擋為例，此時(shí)離合器1結(jié)合，內(nèi)輸入軸上的5擋齒輪結(jié)合，離合器2打開(kāi)，外輸入軸根據(jù)預(yù)選檔邏輯判斷只能掛4、6、N擋其中之一。當(dāng)出現(xiàn)不期望的降擋，則車輛會(huì)出現(xiàn)不期望的過(guò)高加速，反之出現(xiàn)不期望的加速無(wú)力；當(dāng)控制偶數(shù)擋的外輸入軸意外掛上2擋，離合器2又處于打開(kāi)的時(shí)候，將導(dǎo)致外輸入軸的轉(zhuǎn)速（即離合器2的轉(zhuǎn)速）過(guò)高。最終的HAZOP分析結(jié)果如表2所示。

2.3.2 安全目標(biāo)確定與ASIL定級(jí)

安全目標(biāo)確定來(lái)源于危害分析，對(duì)每一個(gè)整車危害均需確定安全目標(biāo)，相類似的整車危害可確定成一個(gè)安全目標(biāo)。本文僅就輸入軸轉(zhuǎn)速過(guò)高進(jìn)行研究，故安全目標(biāo)確定為避免輸入軸轉(zhuǎn)速過(guò)高。

ASIL等級(jí)從暴露度（E）、嚴(yán)重度（S）、可控度（C）三個(gè)影響因素來(lái)確定。輸入軸轉(zhuǎn)速過(guò)高，超出限值導(dǎo)致的離合器失效、車輛無(wú)法行駛的運(yùn)行場(chǎng)景為“高速公路行駛、前后方有車輛”，該場(chǎng)景發(fā)生頻率較高，暴露度定義為E3；該故障發(fā)生后，動(dòng)力丟失車輛無(wú)法行駛，將導(dǎo)致與高速其他車輛碰撞的嚴(yán)重事故，故嚴(yán)重度（S）定義為S4；故障發(fā)生后，駕駛員只能通過(guò)剎車踏板減速停車后遠(yuǎn)離現(xiàn)場(chǎng)躲避來(lái)車，故可控度（C）定義為C2。

參考表3確定ASIL等級(jí)最終避免輸入軸轉(zhuǎn)速過(guò)高這個(gè)安全目標(biāo)的安全等級(jí)為ASIL C。

2.3.3 功能安全概念

為了滿足安全目標(biāo)，功能安全概念包括安全措施和安全機(jī)制，通過(guò)安全目標(biāo)導(dǎo)出功能安全需求（Function Safety Requirement, FSR）。針對(duì)避免輸入軸轉(zhuǎn)速過(guò)高這個(gè)安全目標(biāo)的功能安全需求如表4所示。

安全措施：當(dāng)避免輸入軸轉(zhuǎn)速過(guò)高的安全目標(biāo)觸發(fā)時(shí)，應(yīng)及時(shí)打開(kāi)離合器中斷動(dòng)力輸出。安全機(jī)制：故障容錯(cuò)時(shí)間間隔（Fault Tolerant Time Interval, FTTI）的確定。FTTI的時(shí)間分解如圖3所示。故障檢測(cè)時(shí)間取決于軟件運(yùn)行速度，基于大量的實(shí)驗(yàn)經(jīng)驗(yàn)總結(jié)，當(dāng)輸入軸轉(zhuǎn)速達(dá)到極限值后，軟件在20 ms內(nèi)監(jiān)測(cè)到并發(fā)送故障標(biāo)志位。故障反應(yīng)時(shí)間包括駕駛員應(yīng)急反應(yīng)時(shí)間與硬件機(jī)構(gòu)執(zhí)行措施時(shí)間，由于當(dāng)轉(zhuǎn)速達(dá)到極限值會(huì)對(duì)離合器摩擦片產(chǎn)生損傷，故僅考慮硬件機(jī)構(gòu)執(zhí)行時(shí)間，離合器打開(kāi)的時(shí)間為40 ms。故最終的FTTI時(shí)間設(shè)計(jì)為60 ms。

3 基于三層監(jiān)控架構(gòu)的輸入軸轉(zhuǎn)速監(jiān)控設(shè)計(jì)

目前功能安全軟件開(kāi)發(fā)主流的框架均采用三層監(jiān)控框架。第一層（Level 1）實(shí)現(xiàn)功能的控制；第二層（Level 2）是對(duì)Level 1的關(guān)鍵信號(hào)進(jìn)行監(jiān)控，檢測(cè)故障并實(shí)現(xiàn)故障反應(yīng)措施；第三層（Level 3）是對(duì)硬件執(zhí)行機(jī)構(gòu)的故障進(jìn)行監(jiān)控?？蚣苋鐖D4所示。

3.1 Level 1應(yīng)用層輸入軸轉(zhuǎn)速監(jiān)控設(shè)計(jì)

功能應(yīng)用層對(duì)輸入軸的轉(zhuǎn)速監(jiān)控目的是預(yù)防輸入軸轉(zhuǎn)速與發(fā)動(dòng)機(jī)轉(zhuǎn)速存在較大的轉(zhuǎn)速差。如圖5所示，采用離合器壓力PI（Proportion, Integration）控制，計(jì)算出項(xiàng)調(diào)節(jié)扭矩：

式中，Δ為發(fā)動(dòng)機(jī)與輸入軸的轉(zhuǎn)速差；為項(xiàng)調(diào)節(jié)系數(shù)；為發(fā)動(dòng)機(jī)轉(zhuǎn)動(dòng)慣量。

計(jì)算出項(xiàng)調(diào)節(jié)扭矩：

式中，Δ為發(fā)動(dòng)機(jī)與輸入軸的轉(zhuǎn)速差；為項(xiàng)調(diào)節(jié)系數(shù)；為發(fā)動(dòng)機(jī)轉(zhuǎn)動(dòng)慣量。

經(jīng)過(guò)離合器壓力斜率控制后得到離合器扭矩，通過(guò)發(fā)動(dòng)機(jī)扭矩模型輸出發(fā)動(dòng)機(jī)扭矩，反算出發(fā)動(dòng)機(jī)轉(zhuǎn)速，計(jì)算方法為

式中，為發(fā)動(dòng)機(jī)轉(zhuǎn)速；為發(fā)動(dòng)機(jī)扭矩；為發(fā)動(dòng)機(jī)轉(zhuǎn)動(dòng)慣量；為調(diào)節(jié)系數(shù)。

3.2 Level 2 功能監(jiān)控層輸入軸轉(zhuǎn)速監(jiān)控設(shè)計(jì)

Level 2層的設(shè)計(jì)需要包含輸入CAN相關(guān)信號(hào)和輸入軸轉(zhuǎn)速傳感器相關(guān)的信號(hào)監(jiān)控、轉(zhuǎn)速傳感器信號(hào)的冗余設(shè)計(jì)、故障檢測(cè)策略設(shè)計(jì)、故障措施設(shè)計(jì)等，如圖6所示。

3.2.1 輸入軸轉(zhuǎn)速冗余設(shè)計(jì)

根據(jù)ISO26262的規(guī)定，ASIL C等級(jí)以上必須對(duì)功能安全相關(guān)信號(hào)進(jìn)行冗余設(shè)計(jì)。輸入軸轉(zhuǎn)速冗余設(shè)計(jì)基于車速和擋位速比的信號(hào)輸入，計(jì)算公式為

式中，為輸入軸轉(zhuǎn)速冗余；為車速；為該擋位總速比；為車速轉(zhuǎn)換成轉(zhuǎn)速的比例。

取決于輪胎半徑，以225/55/R19為例，輪胎半徑為335 mm，計(jì)算公式為

式中，為輪胎半徑。式中，為擋位齒輪速比；為主減齒輪速比。

3.2.2 故障監(jiān)控策略及故障容錯(cuò)時(shí)間延時(shí)設(shè)計(jì)

故障檢測(cè)以輸入軸轉(zhuǎn)速、車速、擋位總速比、輸入軸轉(zhuǎn)速故障標(biāo)志位為輸入，當(dāng)軟件監(jiān)控的轉(zhuǎn)速或者冗余計(jì)算的轉(zhuǎn)速達(dá)到極限值時(shí)，安全目標(biāo)標(biāo)志位置位，經(jīng)過(guò)FTTI時(shí)間延時(shí)計(jì)時(shí)器，計(jì)時(shí)器為0時(shí)，向底層離合器執(zhí)行器發(fā)送打開(kāi)離合器指令，中斷動(dòng)力輸出進(jìn)入安全狀態(tài)。故障監(jiān)控策略模型如圖7所示，容錯(cuò)時(shí)間延時(shí)模型如圖8所示。

3.3 Level 3硬件執(zhí)行機(jī)構(gòu)監(jiān)控設(shè)計(jì)

Level 3層的監(jiān)控設(shè)計(jì)是對(duì)輸入軸傳感器硬件的監(jiān)控，主要涉及到轉(zhuǎn)速和故障的監(jiān)控。以某型號(hào)轉(zhuǎn)速傳感器型號(hào)為例，該傳感器輸出頻率、供應(yīng)電壓診斷信號(hào)。轉(zhuǎn)速計(jì)算公式為

式中，為監(jiān)控到的輸入軸轉(zhuǎn)速信號(hào)；為傳感器輸出頻率；為頻率轉(zhuǎn)換成轉(zhuǎn)速的系數(shù)。

當(dāng)輸出頻率大于傳感器額定頻率或者供應(yīng)電壓診斷信號(hào)置位時(shí)，輸入軸轉(zhuǎn)速故障置位。傳感器硬件監(jiān)控策略模型如圖9所示。

4 故障注入測(cè)試

常見(jiàn)的故障注入測(cè)試方法有CAN總線故障注入測(cè)試和傳感器故障注入測(cè)試，結(jié)合前文基于MATLAB/Simulink建立的輸入軸轉(zhuǎn)速監(jiān)控方案控制模型，輸入信號(hào)為轉(zhuǎn)速傳感器信號(hào)、CAN總線車速及速比信號(hào)。通過(guò)控制預(yù)選擋的結(jié)合擋位和車速逆向控制預(yù)選擋軸系的輸入軸轉(zhuǎn)速。以實(shí)際在擋行駛4擋、預(yù)選擋結(jié)合3擋齒輪（3擋速比7.54）為例：當(dāng)傳感器沒(méi)有故障時(shí)，輸入軸轉(zhuǎn)速直接取傳感器的轉(zhuǎn)速，傳感器轉(zhuǎn)速超出極限值時(shí)，應(yīng)檢測(cè)出故障；當(dāng)傳感器故障時(shí)，冗余策略計(jì)算的轉(zhuǎn)速作為輸入，冗余計(jì)算的轉(zhuǎn)速超出極限值時(shí)，應(yīng)檢測(cè)出故障；當(dāng)傳感器故障且CAN總線的車速及檔位信號(hào)也故障時(shí)，應(yīng)檢測(cè)出故障。測(cè)試項(xiàng)如表5所示。

由圖10和圖11可以看出故障注入后，該控制系統(tǒng)能及時(shí)檢測(cè)出故障，故障延時(shí)正確計(jì)時(shí)，當(dāng)計(jì)時(shí)器遞減為0時(shí)，故障措施打開(kāi)離合器正確執(zhí)行。

5 結(jié)束語(yǔ)

以工程項(xiàng)目為基礎(chǔ)，對(duì)7DCT調(diào)速換擋控制進(jìn)行了概念設(shè)計(jì)。針對(duì)避免輸入軸轉(zhuǎn)速過(guò)高的安全目標(biāo)，采用三層監(jiān)控方法，分別從Level 1、Level 2、Level 3各層設(shè)計(jì)了輸入軸轉(zhuǎn)速監(jiān)控策略。基于MATLAB/Simulink搭建策略模型，進(jìn)行故障注入測(cè)試，測(cè)試結(jié)果表明，該監(jiān)控策略能有效地識(shí)別輸入軸轉(zhuǎn)速過(guò)高的故障，并在故障發(fā)生時(shí)立即做出響應(yīng)，有效降低了人身傷害的風(fēng)險(xiǎn)。