摘要:随着我国经济的发展,汽车已成为人们生活中的必需品,而对于车辆电子电器系统而言,动力总成控制单元是车辆各种控制单元中极其重要的组成部分,而变速器控制单元TCU是自动挡汽车动力总成控制单元中不可或缺的一部分。本文主要讨论DCT电控系统功能开发过程中的概念及系统设计,包括功能安全概念、技术安全概念及系统设计。
关键词:变速器;DCT;安全概念;系统设计
1、安全目标定义
在功能安全开发的概念阶段,需要完成相关项定义和危害分析及风险评估,才能得到系统的安全目标。双离合自动变速器﹙DCT﹚是一种自动变速器类型,其电控系统在实现自动换挡、保证换挡品质和驾驶性等方面发挥着重要的作用。结合DCT的机械结构和工作原理,根据电控系统的可能失效以及相应的危害分析与风险评估,定义DCT电控系统的一个功能安全目标为避免高车速时输出轴发生锁死。对于前驱车辆,变速器输出轴锁死可能导致的危害为车辆失去转向能力,安全目标对应的安全等级为ASILC。在定义安全目标时,需要定义安全目标的容错时间,即系统故障发生到车辆危险发生的时间。对于车辆变速器输出轴锁死,从输出轴开始锁死到车辆失去稳定性的时间即为整车的容错时间。若将DCT输出轴锁死的容错时间设定为某一值,则要求DCT电控系统发生故障时,需要确保车辆能在该值限定的时间内进入对应的安全状态。针对DCT输出轴锁死的工况,将DCT电控系统对应的安全状态设定为输出级关闭,使两个离合器均实现分离,车辆动力传动链断开。
2、功能安全概念设计
定义好安全目标后,下一步需要设计功能安全概念。功能安全概念是安全目标的细化。系统设计工程师需要识别出系统中可能导致违反安全目标的所有功能模块。功能安全概念中需要定义错误检测和减轻失效的方法、过渡到安全状态的方式、容错机制、故障检测以及驾驶员警告、多路请求的仲裁逻辑等内容。功能安全概念的设计需要基于系统的功能设计来进行分析,可以通过系统建模语言SysML进行建模,建立系统的初步架构、功能网络及失效网络,从而针对失效网络定义功能安全概念。对于DCT输出轴锁死的工况,可能的原因是2个离合器同时结合,也可能是同一轴上两个同步器同时结合。针对避免DCT输出轴锁死这一安全目标,设定的一个功能安全概念:避免控制2个离合器同时处于结合状态。每个功能安全概念的设计需要根据安全目标定义功能安全概念的容错时间、ASIL等级,以及功能安全概念的验证标准。在功能安全概念和技术安全概念的设计中,ASIL分解是一个极其重要的概念。根据安全目标分解功能安全概念以及根据功能安全概念分解技术安全概念的过程中进行ASIL等级的分解,可以有效降低开发成本,增强设计合理性,避免过度设计。同时,在进行ASIL分解的过程中必须保证分解的独立性,即需要保证分解的概念之间不会互相干扰。为了避免系统之间功能的互相串扰,可以采用物理隔离方式和时间隔离方式。物理隔离方式需要从存储区域上将分解的不同ASIL等级的功能进行隔离。时间隔离需要通过任务调度及程序流监控的方式保证不同ASIL等级任务进行之间的独立性。
3、功能安全系统设计
在进行功能安全系统设计时,需要根据功能安全需求定义系统的初步架构,包括系统设计架构以及系统功能链路的主要架构。基于功能安全概念与系统基础架构,进行技术安全概念的设计。
技术安全概念是功能安全概念的细化,是安全设计的延伸与拓展。在技术安全概念的设计中需要考虑系统的接口、使用环境及系统配置的多样性,同时在系统设计需要进行系统安全机制的设计,包括故障检测、故障指示及故障处理等。在DCT功能安全的系统设计中,为了避免2个离合器同时结合,以离合器电磁阀为常低阀为例,功能安全需求设计需要避免2个离合器控制电流同时过大导致2个离合器结合,而离合器控制电流过大可能由应用层软件控制错误、底层软件控制错误及电磁阀输出硬件电路短路等多个原因导致,因此在技术安全概念设计时需要做细化分解。在技术安全概念的设计过程中,可以采用故障树分析﹙FTA﹚方对安全目标及功能安全概念进行细化分析,从而得出技术安全需求,在技术安全需求的基础上,需要统一所有需求。在系统层面考虑技术安全需求的兼容性,从而设计出合理的系统架构。系统架构是系统设计的基础,系统的详细设计需要基于系统的基础架构。在DCT功能安全系统设计中,采用多层功能架构实现安全目标。常规功能层用于实现DCT正常的控制功能,包括离合器转速、同步器位置等控制器输入输出信号的处理与诊断。功能监控层用于对安全相关的部分功能进行冗余计算和校验,包括关键信号和变速器状态的检查。硬件监控层用于对功能监控层赖以执行的硬件环境进行检查,包括CPU及其它关键芯片的工作是否正常。在功能安全系统设计中,FMEA﹙失效模式影响分析﹚和FTA﹙故障树分析﹚是2个重要的安全分析方法。FMEA采用经典5步法进行系统的安全分析,通过架构树建立、功能网建立、失效网建立、风险分析及优化5个步骤得到FMEA分析的结果,分析各个组件的失效对系统的影响以及是否针对各个失效有对应的处理措施。通过FMEA分析方法识别出系统的高RPN值项,针对RPN值较高的项目采取措施降低失效的发生概率或者提高失效的可探测性,将系统的RPN值降低到一个可接受的安全范围。FTA通过分析系统违反安全目标的原因,以违反安全目标作为故障树的顶事件,进行失效树的建立,从而得出系统的最小割集。通过割集判断系统是否存在单点失效以及潜伏失效。此外,还可以通过FTA判断系统是否存在共因失效。如果系统存在一定的共因失效,则需要针对该共因进行单独分析,判断该共因失效发生时是否会违反系统的安全目标。
综合上述DCT技术安全需求,以TSRI﹣2-4为例,需要检测出DCT控制器输出级的电器性故障。对于电磁阀输出级低边短地的工况,为了检测出输出级短地故障,对于硬件设计而言,分配的硬件需求为:硬件需要对输出级低边AD电压采样,信号传递给MCU,信号延时不超过设定限值。对于软件设计而言,分配的软件需求为:﹙1﹚软件接收AD采样电压对低边短地进行诊断,在设定限值内诊断出故障。﹙2﹚检测出低边短地故障之后,系统在设定限值内进入安全状态,输出级关闭。功能安全系统设计完成,将需求分配到软件和硬件之后,就完成了技术安全概念的设计,同时,相关开发人员就可以按照技术安全概念进行详细的硬件设计和软件设计。
结语:随着车辆安全性受到越来越多的关注,同时功能安全国家标准的发布以及国内外各汽车厂商对车辆功能安全的重视程度不断提升,功能安全势必成为车辆电控系统开发中的一个重要的开发领域。
参考文献:
[1] ISO26262.道路车辆功能安全[S].北京:国家标准出版社.
[2] GB/T34590-2017.道路车辆功能安全[S].北京:国家标准出版社,2017.
[3] 葛鹏,陈勇,罗大国,etal.基于道路车辆功能安全标准ISO26262的DCT电控系统设计[C]//2014中国汽车工程学会年会论文集.2014.
[4] 徐秀华,陈勇,罗大国,etal.ISO26262概念设计阶段在自动变速器控制系统中的应用[J].汽车与安全,2012(06):49-52.