大陆电子-当前变速器控制单元安全概念与未来的展望

1年前浏览735

在过去的二十多年中，我们见证了包括变速器系统在内的车辆的高度电气化进程。高度的整车电气化一方面使得车辆燃油经济性及动力性方面取得了极大的提升；另一方面按照 ISO26262 标准[D8]的要求，为了能满足高达 ASIL-D 的安全目标，制定了很多复杂的安全概念。本文中，我们重点关注总重量为 3500kg 的乘用车中的系统。在第一部分，先会概述大陆汽车变速器控制单元已经成熟的功能安全方案。在第二部分，会展望即将到来的行业趋势：包括集中控制的域控制器、混合动力和纯电动车以及自动驾驶方面，现今的变速器功能安全概念将面临的挑战。

汽车的自动变速器具有不同的类型和不同的技术概念。AT，DCT，CVT 和 AMT 目前在市场上占据主导地位：

● 自动变速器(AT)

● 双离合变速器(DCT)

● 无级变速器(CVT)

● 电控机械自动变速器(AMT)

驱动系统可以是液压的或基于电动机控制的机械元件（离合器，制动器，选档器等）。

变速器控制单元（以下简称 TCU）可以是单个元件，也可以由不同的控制单元组成，用于不同的变速器部件（如发动部分，选档器和手刹）。

虽然自动变速器实现方式多种多样，但是不同的变速器系统还是具有一些共同的功能特征，可以总结为：

● 捕捉驾驶员意图（驻车，倒车，挂空挡，前进档）

● 告知其所选择的驾驶模式并发出警报

● 确保扭矩传递方向正确

● 控制变速器传动比(如换挡策略)

● 控制手刹

尽管以上功能是通过不同的技术实现的，但这些功能的相似性使制定统一的、不受特定变速器类型限制的变速器功能安全目标成为了可能。

上表展示了大陆汽车在用的典型功能安全目标，它们都来源于危害分析，并可以应用于大部分不同类型的变速器系统。

最高的 ASIL 等级会分配给安全目标 6（最大会达到 ASIL-D）和安全目标 5（一般会达到 ASIL C）。

每个安全目标还会分配一项容错时间间隔和不止一个安全状态。

容错时间间隔非常依赖于车辆类型，特别是车辆可以提供的扭矩或加速度。安全状态取决于车辆级别的功能安全概念，在某些情况下取决于与可控性相关的有效假设。

例如，对于安全目标 1“防止传动系统反向传递扭矩”，典型的 TCU 功能安全状态为：“中断扭矩传输”; 而车辆级别的最终安全状态是使车辆在允许的距离内停止行驶。这意味着扭矩中断（由 TCU 控制）仅仅是安全状态的第一部分，实现安全状态的第二部分则基于驾驶员会立即进行刹车的假设。在不同的功能安全概念中，TCU 可以向电动泊车制动控制单元发送制动请求，因此无需对驾驶员反应做出任何假设。

总而言之，对于相同的功能安全目标，功能安全概念会有所不同，从而技术实现方式也会不同，主要取决于：

● 整车架构

● 变速器类型

● 执行器系统(液压系统, 机械系统)

● 传感器系统

在 TCU 层面，我们必须认识到不可能定义一种适用于所有类型变速器和各种功能安全概念的通用技术方案。然而，我们还是可以制定典型的 TCU 功能安全架构。

TCU 功能安全系统架构基于三级架构（图 1），和 EGAS 概念类似[D3], 但这一实现需要特定的变速器系统，而且安全要求可能有部分不同。

该架构的基本理念是，就是在最坏情况下微处理器或外部监控单元能够关闭安全相关的执行器。这意味着技术安全概念基于一个基本的假设：关闭执行器可使变速器在规定的容错时间间隔内进入一个特定的机械状态，这个状态是可以被认为在任何驾驶场景里都是安全的。

L1 级别被定义为基本功能层，它依靠输入传感器信号以确保正确的换挡策略实现。

尽管该级别包含多种避免危险驱动的必要的诊断措施，但技术安全概念（TSC）通常不会使用 L1 的措施和机制实现，并依赖于 L2 和 L3 中实施的安全机制。换句话说，由 L1 级别（软件和硬件）、随机故障或系统故障引起的任何危险故障都必须由 L2 和 L3 管理。

因此 L1 通常被认为是 QM 级别，不会被分配安全要求。

L2 层用于监控功能安全目标是否违规：所有的针对功能安全目标的安全机制都应在 L2 层实现，这些机制通常由故障检测和故障响应两部分组成。

基于不同的输入信号，可以检测执行器的状态。这些信号通常与 L1 使用的信号相同，但 L2 使用它们以确保足够的完整性以允许可靠的故障检测。

在某些情况下，安全机制使用单个输入信号来检测安全目标，然后使用额外的诊断信息来确保信号本身是可靠的。这种方法也被命名为 1oo1D（1 out of 1）。

通常，对于更高级别的 ASIL，安全机制被分成两个平行且独立的分解路径，每条路径均有不同的输入信号，该机制也被称作 1oo2 (1 out of 2)。该机制非常可靠，因为即使一条路径受到故障影响，另一条独立路径也不会被影响且能监测到安全目标违规并触发安全状态。

两种方法中，关键在于对相关故障进行分析，以排除单个故障导致安全目标违规和相应安全机制故障同时发生的情况。

安全机制的第二部分用于触发正确的安全状态。安全状态意味着在关闭执行器的情况下，通常使用独立于 L1 层的执行器路径的硬件路径来完成响应。该硬件路径旨在满足 ASIL 需求。

为了适应相应的安全目标，安全机制的两部分必须在 FTTI 内适当规划并可靠执行，这是 L3 层的目的。

L3 层的存在是为了确保 L2 层以及其它 TCU 的重要安全概念的可靠运行。首先，必须保证 L2 SW 可以在微控制器上可靠地执行，通过以下方式完成：

● 微处理器中的安全机制当前的微处理器生产商已提供了详细的安全手册，解决了集成商需要做的事情，以保证安全计算（如：在 RAM 和 FLASH 上配置 ECC；锁步；寄存器保护）

● 实施免受干扰措施以保护 ASIL 软件的执行（如：软件变量的冗余存储，内存分区，程序流监控）

● 外部监控单元，可关闭执行器（如看门狗）

● 微控制器电源监控（欠压、过压）

● 避免安全机制潜在故障的诊断，每个行驶工况执行一次（如：微控制器内部安全机制测试及关闭路径）

L3 诊断检测到故障意味着无法确保 L2 SW 的执行，所以应触发安全状态。在潜在故障的情况下，也可以采用替代警告或降级概念。

前述章节中的技术安全概念假设了一个完整的 TCU 失效与每个驾驶场景中的变速器层的安全状态相对应。事实上，硬件架构为：当 TCU 完全不工作或 TCU 的任何内部安全机制（特别是 L3 层）检测到一个导致违反安全目标的失效时，执行器驱动程序就会被关闭（无电流状态）。

如果变速器系统在执行器关断时能够自行达到安全状态，则该系统架构是适用的。

如果 TCU 功能的不可用会引发危险状态，上述安全概念则会显示其局限性，这是因为当前的系统架构基于“fail-safe”的理念且不是一个失效可操作系统。接下来的章节，我们将讨论对于新的应用领域，传统的技术安全概念在多大程度上可重复使用的程度或要求使用全新解决方法。

整车电子架构的一个重要趋势是将过去的分立控制单元转变为中央集成的域控制器的架构。

通过这种方式如发动机，变速器，制动系统，底盘都可以实现在域控制器中进行集中管理，而域控制器处理子系统信号并发送指令给不同的智能执行器来控制各个车辆子系统。对整车制造商 OEM 来说，采用域控制器架构的一个最主要的好处是：域控制器架构可以减少整车控制器的数量，降低软件开发的成本，以及可能把智能执行器作为一个通用商品，这可以大大的降低整个整车电子系统的成本。

域控制器架构提供了车辆功能集成化的机会（比如安全机制集成化）。

这意味着，域控制器中，可以避免在专用控制器中发生的重复诊断。与安全相关的全套信号可用于车辆领域的所有安全功能中，以增强安全机制的稳健设计。

安全状态和降级模式可以集中管理，以避免与安全响应发生矛盾。此外，在引入安全状态时，域控制器还可以更好的利用车辆组件，如：现在对于“非预期的车辆行驶”，可以由变速器、发动机和制动器系统协作完成。

对于智能执行器，可以看到，智能执行器的开发可能不需要对整车系统有很深的了解（根据 ISO26262 定义的项目级别）。例如，对基于电机的执行器，可以开发一种适合车辆不同应用的设计（如驱动离合器、换挡机构执行器、手刹、油泵等）。从功能安全方面来说，这就意味着这个智能电机执行器可以被开发成为一个具有广泛功能安全概念的零部件而不依赖于某个特定的应用，即功能安全法规中描述的 SEooC。

在拖动特性、动力传输以及动力源管理上，混合动力和纯电动汽车引入了新的概念。

虽然第一个电动动力系统早在 19 世纪末就已经出现，但电动汽车不得不等待100 多年才能获得技术改造。现代电动动力总成概念已经证明，一个固定档位可能足以用于日常乘用车辆。此外，由于电动机在低 RPM 范围内能传递扭矩的能力，因此不需要诸如离合器或变矩器的分离元件。因此，电动车辆中的自动变速箱似乎是不必要的。尽管如此，车辆制造商仍在研究通过向系统添加带有两个或三个齿轮的变速箱来提高电动车辆的效率和性能的程度。这种变速箱实现了为内燃机设计的变速箱所需的特征子集。因此，有可能重复使用过去开发的变速器控制单元安全概念的相关部分。适应可能是必要的，但不代表实现功能安全的主要挑战。

与仅由电动机推动的纯电动车辆相比，混合动力电动车辆（HEV）另外还包含了内燃发动机。两个电源可以组合在不同的拓扑结构中以推动车辆：

● 系列 - 仅由电动机推动，使用 ICE 为电池充电（“范围扩展器”）

● 并联 - 由 ICE 和/或电动机与变速箱配合推进

● 功率分流 - 并联和串联混合的组合

对于需要变速箱的 HEV，我们可以根据动力传动系统的构思来区分两个类别：

● 为基于 ICE 的车辆设计的传动系统，带有“附加”电机和- 专用混合动力变速箱（DHT）

● 专门设计用于仅包含 ICE 和电动机的车辆。

为了缩短产品上市时间，许多汽车制造商选择将基于 ICE 的系列生产汽车升级为混合动力汽车，而不是开始全新的混合动力汽车开发。虽然这种方法可能会缩短开发时间，但最终产品可能具有功能性能不需要的额外复杂性。积极的作用是 ICE 部件的几乎完整的安全概念可以通过小的修改重复使用。ICE 车辆的现有计划和程序也简化了安全验证。增加安全概念的挑战来自 ICE 和电机操作的编排以及相关的故障模式。与仅具有 ICE 的车辆相比，从车轮中分离 ICE 可能足以达到安全状态，在 HEV 中，必须在安全机构内考虑两个动力源的操作模式。安全概念中的这种额外复杂性通常分布在多个控制单元上，并且必须进行详细分析，以确保耦合和去耦中的故障不会影响整个车辆的安全性。举个例子：假设车辆高速行驶中，而电机处于能量回收模式，此时正在运行的发动机突然从动力总成上断开，则车辆可能会发生非预期的减速。或者当车辆处于高速行驶的状态，并使用单电机驱动模式时，原先断开的发动机突然连接到动力总成上, 也同样可能会导致非预期的减速发生。

动力系统功能的丧失仍然是可用性而非安全问题。无论是人或自动驾驶系统驾驶车辆，都可以认为该状态是完全可控的。因此，在安全的观点下，不需要为动力系或任何相关的子系统（ TCU ）分配故障操作要求。TCU 安全概念在专用控制单元中达到了很高的成熟度。在上面讨论的新汽车应用的背景下，大多数 TCU 安全架构也是可重复使用的。虽然预计传动安全概念不会发生革命性的变化，但在具有域控制器和分布式智能执行器的新车辆架构中，安全功能的重新分配和编排代表了即将推出的产品开发中的挑战性任务。

文献

[1]Sabzewari, K.: Cost efficient powertrain for plug-in hybrid electric vehicle, 16th International CTI Symposium Automotive Transmissions, HEV and EV Drives, Berlin 2017.

[2]SAE J3016 Taxonomy and Definitions for Terms Related to Driving Automation Systems for On-Road Motor Vehicles (J3016 JUN2018)

[3]Standardized E-Gas Monitoring Concept for Gasoline and Diesel Engine Control Units, Version 6.0, Audi AG, BMW AG, Daimler AG, Porsche AG, VW AG

[4]Fischer, R.: Dedicated Hybrid Transmissions (DHT) - A New Category of Transmissions, 14th International CTI Symposium Automotive Transmissions, HEV and EV Drives, Berlin 2015.

[5]H. Naunheimer et al., Automotive Transmissions, 2nd ed., Springer-Verlag Berlin Heidelberg 2011

[6]Wikipedia,"Automated driving system” (https://en. wikip edia.org/wiki/Automated_driving_system)

[7]ISO/PRF PAS 21448 Road vehicles - Safety of the intended functionality

[8]ISO 26262-1:2011 Road vehicles - Functional safety

来源：电动新视界

System 电源通用汽车电子电机自动驾驶传动控制

著作权归作者所有，欢迎分享，未经许可，不得转载

首次发布时间：2023-06-15