10.16638/jki.1671-7988.2021.04.014
基于ISO26262的重型商用车PCC系统
功能安全设计*
王国晖1,霍炜1*,王玉海2,李兴坤3,郑旭光3,臧政1
(1.青岛大学机电工程学院,山东青岛266071;2.吉林大学青岛汽车研究院,山东青岛266071;
3.中寰卫星导航通信有限公司青岛分公司,山东青岛266071)
摘要:预见性巡航控制(Predictive Cruise Control,PCC)系统为车辆纵向动力学高级辅助驾驶(Advanced Driver Assistance Systems,ADAS)系统,PCC以坡度信息为基础,控制车辆通过坡道时提前速度变化,达到节油目的。
文章基于ISO26262功能安全标准对PCC系统进行危险分析与安全评估(Hazard Analysis and Risk Assessment,HARA),提出ASIL(Automotive Safety Integration Level,汽车安全完整性等级)安
全等级以及确定安全目标,对PCC不同信号进行功能安全设计。设计实车实验验证,该系统能合理地处理发动机转速、扭矩及车辆车速、道路坡度等信息,保证了车辆在高速环境下能稳定运行,保护了驾驶员与车辆的安全。
关键词:预见性巡航控制;ADAS;ISO26262;功能安全;危险分析;安全评估
中图分类号:U463 文献标识码:A 文章编号:1671-7988(2021)04-42-05
PCC system for heavy commercial vehicle based on ISO26262
Functional safety design*
Wang Guohui1, Huo Wei1*, Wang Yuhai2, Li Xingkun3, Zheng Xuguang3, Zang Zheng1
( 1.College of Mechanical and Electrical Engineering, Qingdao University, Shandong Qingdao 266071;
2.Qingdao Automotive Research Institute, Jinlin University, Shandong Qingdao 266071;
3.China Satellite Navigation Communications Co. Ltd. Shandong Qingdao 266071 )
Abstract:Predictive Cruise Control (PCC) is an Advanced Driver Assistance Systems (ADAS) system for longitudinal dynamics of vehicles. Based on slope information, PCC controls the Predictive speed of vehicles as they pass through ramps to achieve fuel efficiency. Based on ISO26262 functional Safety standard, this paper carries out Hazard Analysis and Risk Assessment (HARA) for PCC system, proposes ASIL (Automotive Safety Integration Level) Safety Level and determines Safety targets, and carries out functional Safety design for different PCC signals. The experimental results show that the system can reasonably process engine speed, torque, vehicle speed, road slope and other information, so as to ensure the stable operation of vehicles in high-speed environment and protect the safety of drivers and vehicles.
Keywords: Predictive cruise control; ADAS; ISO26262; Functional safety; Hazard analysis; Safety assessment
CLC NO.: U463 Document Code: A Article ID: 1671-7988(2021)04-42-05
作者简介:王国晖(1996-),硕士研究生,就读于青岛大学机电工程学院,研究方向为车辆智能辅助驾驶及系统功能安全。*通讯作者:霍炜,副教授,硕士生导师,就职于青岛大学机电工程学院。基金项目:山东省高等学校科技计划项目(J18KA048)。
42
王国晖 等:基于ISO26262的重型商用车PCC 系统功能安全设计
43
1 前言
随着汽车智能化、网联化程度的提高,无人自动驾驶与高级辅助驾驶成为国内外各大车企与高校的研究热点,汽车行业正在向智能化驾驶方向转型和发展[1-4],车辆与智能设施之间可以通过发达的通信技术实现多种车辆信息的实时传输与共享[5]。实际应用过程中,由于传感器等硬件条件限制、目前有限的智能无法代替人类思维以及发生事故责任主体确认等法律问题,无人驾驶汽车的普及还需要一定时间的积累。ADAS 作为有人驾驶向无人驾驶过渡的重要技术手段,二十一世纪初在国外便得到发展,中国虽然在ADAS 方面发展比较滞后,但在中国汽车智能网联化快速发展的推动下,其相关安全法规也在日趋完善。
汽车电子电气(Electronic electrical ,E/E )系统复杂度及集成度的提高一定程度上造成安全事故发生率的提高,系统失效及随机硬件失效带来的系统风险和安全问题也越来被重视。国内外学者针对该问题进行了相关研究。浙江大学赵俊鹏[6]依据ISO26262标准根据加速踏板位置及发动机转速冗余信号建立了扭矩计算模型,监控限制发动机扭矩;泛亚汽车尚世亮[7]对汽车电子稳定性控制系统进行故障注入测试,设计了菊花链式CAN 总线架构故障注入电路并进行实车测试系统功能安全;Jung-Hee Suk [8]提出了一种用于汽车视觉系统的实时图像拼接引擎的有效架构,采用双核结构使用rock-step 逻辑检测状态机中的故障,以满足ISO26262标准;Frederico Ferlini [9]提出故障注入方式验证安全机制的功能,加速评估诊断覆盖能力的方法;Dafang Wang [10]根据ISO26262功能安全标准对新能源汽车电机控制系统进行了概念设计,完成电机控制系统的项目定义、危害分析和风险评估,确定了功能安全目标和功能安全要求;Shibahara, S.[11]研究了支持汽车安全完整性等级ASIL B 的安全机构硬件内置自测(Built-in Self Test ,BIST )和用于故障预测的监测器,引入了分段时间概念,缩短测试过程。
为保证PCC 系统正确性与安全性,针对PCC 进行的危险分析与功能安全设计显得尤为重要。在PCC 测试中,针对不同工况的功能安全测试一直是研究的重点和难点。针对这些重点和难点,本文进行硬件在环设计(Hardware-In-Loop ,HIL )及实车实验,针对不同工况基于ISO26262对PCC 系统进行全面系统的测试。这极大增加了PCC 系统在不同工况尤其是恶劣环境下的可靠性,减低危险发生概率,保护司机及车辆安全。
汽车安全性2 基于ISO26262的PCC 控制策略
2.1 PCC 系统
预见性巡航控制系统利用预见性巡航控制器中集成的ADASIS 地图确定车辆当前位置,并提前预测前方道路坡度、
曲率。PCC 系统会利用ADASIS 地图提供的前方道路坡度信息,提前对前方道路进行路网重构,对车辆冲坡、下坡的行驶情况计算出合理的行驶方式(先匀速后加/减速、先加/减速后匀速、加速行驶、减速行驶等),提前确定最优车辆档位及发动机扭矩。 2.2 ISO26262简介
ISO26262建立在电子电气及可编程器件功能安全基本标准IEC61508之上,专门为汽车行业定制,用于汽车行业中特定的电气器件、电子设备、可编程电子器件等专门用于汽车领域的部件,旨在提高汽车电子电气产品功能安全的国际标准[12]。2018年发布第二版,将3.5t 以上的商用车及摩托车加入标准范围。 2.3 危害分析与风险评估
危害分析与风险评估给出一种功能失效的危害及风险的评估方法,需要对系统的风险进行评估分析,识别及分类,最终确定相关项的汽车安全完整性等级。对PCC 进行系统的危害分析和风险评估,其目的是对系统的危害因素进行识别和分类,制定相应的安全目标,并采取有效的预防对策[10]。依据ISO
26262进行危害分析和风险评估的方法,同时考虑到PCC 行驶的道路工况及环境因素,对其进行危险分析与风险评估。安全目标是系统顶层的安全要求,其描述的是系统功能的目的,而非具体的技术解决方案。ASIL 等级为QM 的事件无需制定安全目标,每个安全目标都须定义一个安全状态。PCC 控制危害事件的ASIL 评分及安全目标见表1。
表1 PCC 控制危害事件的ASIL 评分及安全目标
2.4 PCC 系统信号诊断机制
PCC 系统的目标挡位、转速、扭矩信息由CAN 总线信号传递,在汽车功能安全方面存在很多潜在风险,极限工况下软件若出现非预期的档位、转速、扭矩变化,可能造成意外。
汽车实用技术
44PCC软件信号处理机制采用多信号源输入与反馈处理机
制,通过实时监测多信号源输入,以及将反馈信号进行对比,进行逻辑检测与综合处理,判断是否符合PCC巡航控制状态,保证车辆正确运行。图1为PCC多信号诊断机制流程图。
图1 PCC多信号诊断机制流程
输入信号的采集及诊断处理PCC输入信号包括:多功能杆信号、制动信号、离合信号、油门信号、挡位信号等。
预见性巡航控制系统扭矩需求需符合控制车辆扭矩正常上下坡,以及考虑发动机输出能力及传动系统传动效率,综合计算后得出行驶过程中发动机的输出扭矩。
根据汽车理论,汽车行驶方程式为:
(1)式(1)中输出扭矩T、摩擦扭矩T frig由ECU标定数据决定(通过SAE J1939协议获取),道路坡度α由ADAS地图获取,i g为变速箱当前档位速比,i0后桥速比,η传动效率,δ汽车旋转质量换算系数,m整车质量,v当前车速,μ滚动阻力系数,A D迎风面积,C D空气阻力系数,g重力加速度。
整车故障通过采集发动机报文及各传感器输入信号的故障,对各个模块上报的故障等级处理,转化为整车故障等级并进入对应的处理机制。将整车故障按危险程度分为0、1、2、3四个安全等级,分别为:
0:正常;
1:定速巡航,预见性巡航控制系统获取前方道路信息,进入定速巡航模式;
2:轻微故障,系统通过反馈机制对参数进行调节,保证车辆正常行驶;
3:紧急故障,系统报警并退出,提醒驾驶员接管车辆。
2.4.1 多功能杆、制动、离合、油门等信号异常处理机制
PCC系统处于ON状态(待机状态)时,会不断向发动机请求多功能杆、制动、离合、油门等信号报文,并根据当前车辆状态进行计算,判断是否符合公式(1)。当信号错误或无信号时,PCC无法启动;当信号正常时,系统准许进入。
搭建PCC上位机软件,对整车多功能杆、制动、离合、油门等信号进行检测,若上位机没有检测到多功能杆、制动、离合、油门等信号或检测到的信号异常,禁止进入PCC系统,达到安全目标。图2为PCC上位机软件操作界面。
图2 PCC软件操作界面
2.4.2 速度信号处理机制
速度信号由两路信号进行冗余设计。把信号值区分成五个区间,v max、v high、v low、v min均为速度信号门限值,车辆的驱动力由车辆纵向动力学模型计算得出。
(2)式中F为驱动力,ρ为空气密度。
车辆入坡初速度,坡度大小是影响车辆上/下坡行驶速度的重要因素。由于重型商用车尤其是满载情况下惯性较大,车辆需要在行驶过程中保持一定的车速避免危险情况的发生。车辆上、下坡时,车辆动力学模型中的车速要控制在一定范围,降低ASIL等级。PCC系统中,设置速度门限值v max、v high、v low、v min,既要满足安全需求又要满足交通法规要求,故选择:
(3)
式(3)中v max为下坡极限速度、v min为PCC进入速度、v high为PCC高速巡航、v low为PCC低速巡航。当车速高于60km/h时,按动set+、set-可进入PCC控车模式,当预测正常下坡车速高于95km/h时,发动机提前开启排气制动,控制车辆到达坡底时车速在95km/h行驶。v high-v low为预见性巡航控制系统正常行驶车速,巡航速度高于v high或低于v low 时,提醒驾驶员车速过高/低。
2.4.3 坡度信息处理机制
当PCC接收前方坡度信号时,同时根据接收到的坡度信号计算前方道路速度,判断车速是否变化。PCC又实时接收公式(3)计算的加速度计的坡度信号,检测坡度信息与车辆运行状态是否匹配,保证PCC稳定运行。CCS为PCC系统的保护系统,当前路段无坡度信号时,PCC自动退出,由底层CCS接管车辆,按当前车速进入传统定速巡航模式,防止车辆失控。图3为PCC坡度信号处理机制流程图。
2.4.4 发动机万有特征曲线校验
PCC系统每100ms向发动机发动一个扭矩百分比,发动
王国晖 等:基于ISO26262的重型商用车PCC 系统功能安全设计
45
机会发出实时扭矩,根据发动机map 图在策略中对读取到的外特征进行合理的判断,当扭矩不合理时,执行上一个有效值。
图3 PCC 坡度信号处理机制流程图
3 系统测试
3.1 实车实验
为了验证PCC 控制策略算法的有效性与准确性,以一汽解放JH6重型商用车为实车平台进行算法的验证。实验车辆如图4所示,表2为JH6重型商用车主要性能参数。实车实验前,在车辆内添加载重块,使车辆为满载状态49t ,实验道路选取某段高速公路如图5所示,图6为该实验路段部分道路坡度,可以看出道路坡度在-3%-3%之间,0~3km 为上坡路段,4~5km 为下坡路段。分别在平直路段、上坡路段、下坡路段验证车辆车速、道路坡度、发动机转速及扭矩信息可靠性。实验时,先由驾驶员操纵车辆,拨动多功能杆,驾驶员停止操作油门踏板但仍需把控方向盘、刹车等,由PCC 控制发动机扭矩控制车辆加/减速,验证车辆是否可以以正常车速冲坡、下坡。
图4 实验车辆JH6 图5 实车实验道路
表2 JH6主要参数
3.2 实验结果
由上位机程序验证整车多功能杆、制动、离合、油门等信号是否异常,待机状态时,PCC 系统会收集商用车多功能杆、制动、离合、油门踏板等信号,当断开一路信号时,上
位机报错,PCC 无法进入,接收正常信号时可进入PCC 系统,保证多功能杆及踏板信号功能安全。根据图6为前方道路坡度图和图8PCC 控车实验扭矩图,PCC 算法通过将道路整合,分段控制扭矩,
可以有效降低前方道路分段数量,延长预测距离,减小程序计算量,提高运算速率。通过T-BOX 坡度信号与加速度计坡度信号对比,同一路段坡度信号一致。图9 PCC 控车试验动力链接图表明当车辆发动机会断开动力链接时,车速稳定保持在合理范围,验证了车速控制功能安全。由图10PCC 控车实验燃油消耗量计算得,PCC 控车节油率约为3%,达到PCC 系统功能要求。由图7控车实验油
门踏板开度图、图8和图11控车实验车速图可看出,整个实验过程驾驶员没有操纵油门踏板,由PCC 控制车辆,驾驶员没有踩油门踏板时,PCC 可以根据前方道路坡度控制发动机转速、扭矩,上坡路段时,发动机扭矩较高,到达下坡路段前,发动机提前降扭,控制车速在合理范围内。图11可以看出,PCC 控车下坡阶段车速较高,但可以准确控制在90km/h 以下,符合预期功能需求与安全功能需求。
图6 PCC 控车试验道路坡度图 图7 PCC 控车试验油门踏板开度图
图8 PCC 控车试验扭矩图 图9 PCC 控车试验动力链接图
图10 PCC 控车试验燃油消耗图 图11 PCC 控车试验车速图
4 结论
本文以重型商用车为实验平台,对预见性巡航控制系统进行功能设计及功能安全设计,基于JH6重型商用车对系统功能及安全功能进行实车实验,得到如下结论。
(1)对预见性巡航控制系统进行介绍,并完成了对整车
汽车实用技术
46 的实际控制,实现了预见性巡航功能;
(2)预见性巡航控制系统能对前方道路进行合理的路网重构,并可以根据路网重构后的坡度进行有效计算,实时控制发动机输出扭矩满足动力性及燃油经济性需求,车辆能实现良好的冲坡、下坡;
(3)实现了预见性巡航控制系统的功能安全,将发动机扭矩、车辆车速控制在合理范围内,减少系统故障,避免驾驶员及车辆发生危险。
参考文献
[1] Adnane Cabani,Redouane Khemmar,Jean Yves Ertaud,Romain Rossi,
Xavier Savatier. ADAS multi-sensor fusion system-based security and energy optimisation for an electric vehicle[J].Inderscience Pub -lishers (IEL),2019,14(4).
[2] Sujanie Peiris,Janneke Berecki-Gisolf,Bernard Chen,Brian Fildes.
Road Trauma in Regional and Remote Australia and New Zealand in Preparedness for ADAS Technologies and Autonomous Vehicles [J]. Sustainability,2020,12(11).
[3] Yeonggeol Park,Seohang Lee,Myoungyeon Park,Jaekon Shin,Jayil
Jeong. Target robot for active safety evaluation of ADAS vehicles[J]. Journal of Mechanical Science and Technology,2019,33(9).
[4] 吕能超,段至诚,吴超仲.驾驶经验对先进驾驶辅助系统的作用研
究[J].交通运输系统工程与信息,2017,17(6):48-55.
[5] 李林恒,甘婧,曲栩,等.智能网联环境下基于安全势场理论的车辆
跟驰模型[J].中国公路学报,2019,32(12):76-87.
[6] 赵俊鹏,周文华,梁恒.基于ISO 26262标准的电控柴油机扭矩监控
策略研究[J].机电工程,2014,31(3):367-372.
[7] 尚世亮,王雷雷,赵向东.基于ISO26262的车辆电子电气系统故障
注入测试方法[J].汽车技术,2015,(12):49-51,58.
[8] Jung-Hee Suk,Chun-Gi Lyuh,Sanghoon Yoon and Tae Moon Roh.
Fixed Homography-Based Real-Time SW/HW Image Stitching Engine for Motor Vehicles[J].ETRI Journal,2015,37(6):1143-1153. [9] Frederico Ferlini,Laio Oriel Seman,Eduardo Augusto Bezerra. Enab
-ling ISO26262 Compliance with Accelerated Diagnostic Coverage Assessment[J]. Electronics,2020,9(5).
[10] Dafang Wang,Peng Song,Zexu Xu,Guanglin Dong,Hui Wei. Conce
-ptual Design of Functional Safety of Motor Control System Based on ISO26262[J].EDP Sciences,2018,173.
[11] S.Shibahara et al., “A 16 nm FinFET Heterogeneous Nona-Core
SoC Supporting ISO26262 ASIL B Standard,” IEEE JSSC, vol. 52, no. 1, pp. 77-88, 2017.
[12] 卢静.功能安全标准ISO26262在汽车电子电器开发中的应用[J].
电子世界,2016(20):124-125.
发布评论