设计研究
基于DCT的自动变速器功能安全概念及系统设计
王振锁王治松（联合汽车电子有限公司，上海201206）
【摘要】文章按照ISO26262功能安全开发标准，讨论了DCT电控系统功能安全开发过程中的概念及系统设计，包括功能安全概念、技术安全概念及系统设计。
)According to functional safety development standard ISO 26262, the concept and
【Abstract】
system design for DCT TCU is discussed, including functional safety concept, technical safety concept and system design.
【关键词】变速器DCT安全概念系统设计 doi:10.3969/j.issn.1007-4554.2018.03.04
DCT电控系统的一个功能安全目标为避免高车速
0引言
国际标准组织于2011年发布了第一版汽车行业电子电气系统的功能安全标准ISO26262，我国也于2017年10月发布了对应的国家标准。对于车辆电子电气系统而言，动力总成控制单元是车辆各种控制单元中极其重要的组成部分，而变速器控制单元TCU是自动档汽车动力总成控制单元中不可或缺的一部分。
1安全目标定义
在功能安全开发的概念阶段，需要完成相关项定义和危害分析及风险评估，才能得到系统的安全目标。双离合自动变速器(DCT)是一种自动变速器类型，其电控系统在实现自动换档、保证换档品质和驾驶性等方面发挥着重要的作用。结合 DCT的机械结构和工作原理，根据电控系统的可能失效以及相应的危害分析与风险评估，定义
收稿日期：2017-10-31 上海汽车2018.03
时输出轴发生锁死。对于前驱车辆，变速器输出轴锁死可能导致的危害为车辆失去转向能力，安全目标对应的安全等级为ASILC。
在定义安全目标时，需要定义安全目标的容错时间，即系统故障发生到车辆危险发生的时间。对于车辆变速器输出轴锁死，从输出轴开始锁死到车辆失去稳定性的时间即为整车的容错时间。若将DCT输出轴锁死的容错时间设定为某一值，则要求DCT电控系统发生故障时，需要确保车辆能在该值限定的时间内进人对应的安全状态。针对DCT输出轴锁死的工况，将DCT电控系统对应的安全状态设定为输出级关闭，使两个离合器均
实现分离，车辆动力传动链断开。 2
功能安全概念设计
定义好安全目标之后，下一步需要设计功能安全概念。功能安全概念是安全目标的细化。系统设计工程师需要识别出系统中可能导致违反安
· 19 ·