自动变速箱(二):离合器保护、监控和安全
上一篇文章中重点讲了离合器的滑摩控制,那么接下来我们要讨论一下离合器保护、监控和安全相关的概念和策略。
离合器保护
显然,当用作起步元件时,离合器可能由于驾驶员误用而过载。软件所需的鲁棒性意味着它在这种情况下比手动变速器更好地保护系统。
一个关键的例子是在山上驾驶或起步。在具有自动离合器的车辆坡道起步期间,首先发动机速度稍微增加并且离合器打滑。只有当达到对应于车速的起步转速时,离合器才会完全关闭。然而,如果车辆相对缓慢地上坡行驶,则发动机速度和离合器速度可能永远不同步。为了避免这种恒定滑摩,离合器控制模仿正常驾驶员的“策略”:
一旦车辆移动,离合器就完全缓慢地关闭。这意味着车辆在低速上坡而不滑摩离合器。这种策略如图8所示。
另一个特别关键的情况是,如果车辆通过调节加速踏板保持在坡路上,例如在山上的交通堵塞中可能发生的情况。具有脚踏式离合器的驾驶员通常不会这样表现,因为通过加速踏板和离合器踏板的配合在这里相对困难。另一方面,自动离合器有利于坡道保持。
用于防止离合器误用的策略在图9中示出。在一定时间(大约4秒)之后,离合器逐渐关闭。由于驾驶员操作加速器并因此希望起动,并且离合器扭矩非常缓慢地建立,因此车辆响应对驾驶员来说并不奇怪;他可以适当地响应:通过继续起步或通过制动将车辆保持在坡路上。他同时体验和“学习”系统的自然限制。
这两个示例说明了通过适当的相对简单的软件措施,整个系统的鲁棒性可以大大增加,防止误用。
监控概念
下面描述的处理器监控系统可以用作线控换档系统(例如BMW的“大鸡腿”)所需的安全考虑的示例。
微处理器是所有自动变速箱的核心组件,无论是档位选择,发动机干预或离合器控制。因此,其监控具有特殊的意义,因为单个错误可能导致危险的情况。为了检测这些情况并使其安全,开发了一个多级监测概念,即所谓的“智能安全监控”(ISM)。 ISM主要考虑一系列特别关键的情况,即所谓的“顶级事件”。正是由于处理器错误,它必须安全地防止它们的出现。
安全条件
在制定监测概念时提出的第一个问题涉及系统应转移到的安全状况。如果这里假设存在处理器错误,则在故障情况下只有非常有限的响应可能性。由于系统的“智能”可能已经失效,因此使用各种(或许甚至是复杂的)策略来响应不同的错误情况是非常困难或甚至不可能的。
图10示出了对于离合器的安全条件的考虑,离合器必须被认为是变速器系统的最重要的动力传递元件。离合器执行结构可以闭合,打开或停在当前位置作为对错误的响应。其它策略,例如打开和关闭的各种时序,甚至作为对外部信号的响应,在处理器故障期间几乎是不可想象的。
对于潜在的初始情况,即离合器关闭,离合器处于中间位置或离合器打开,应该考虑上述三个响应中的哪个是最安全的。
如果离合器是关闭的,例如对防止溜车(顶部事件:车辆在坡道上,发动机停止并且齿轮啮合),关闭或保持关闭是最安全的选择。另一方面,打开离合器可能导致对驾驶员的意外响应,即车辆突然溜车。
另一方面,如果离合器是打开的,则打开或保持打开是安全的选择。驾驶员完全意想不到的离合器关闭,例如在斑马线或交通灯(顶部事件),可能具有致命的后果。
如果离合器处于中间位置,则根据实际情况,进一步打开或关闭可以是安全的或导致非常危急的情况。停止离合器作动是这里最安全的响应,因为驾驶员不会面对意外的车辆动作。显然,在所有情况下停止离合器作动表示最安全的选项。这里还示出了机电离合器致动器的优点,即,当关闭执行机构或电源时,位置保持不变,离合器既不关闭也不打开,如在液压系统上。
智能安全监控(ISM)
为了满足线控换档系统的要求,变速箱企业与TCU供应商共同开发了具有多个级别的监控结构。它基本上基于各种软件Level 以及所使用的主处理器和监控处理器彼此控制的事实。图11提供了系统的说明。
监控的最大部分在主处理器中的各个软件层级中运行。因此,除了用于自动变速箱控制(功能级别)的实际功能之外,此处还实现各种监控级别。主处理器(Infineon 80C167)和监控处理器(Motorola 68HC05)被用作硬件。
如果需要,这些处理器中的每一个可以独立地关闭自动变速箱系统的功率驱动器。
此外,它们可以触发控制单元上的复位,以便在出现处理器故障的情况下重新初始化系统并且使得驾驶能够继续。
Level 1(功能级别)包含正常和跛行回家操作中的完整功能,即离合器控制,档位选择或发动机干预。
Level 2(功能监控)监控Level1.为此,读取Level1的输入信号及其生成的输出信号,并检查其合理性。但是,它不是涵盖的Level 1的整个功能,而只是被监控的安全关键功能(顶级事件)。
一个简单的例子是在没有驾驶员操作加速器的情况下防止有档位啮合的离合器闭合。独立于所有其他计算,功能级别(Level 1)软件必须进行的错误监控或调整,功能监控(Level 2)仅需要确保离合器结合不会超过爬行扭矩。一旦违反了这个相对简单的规则,功能监控器会将其追溯到控制器错误,并关闭电源驱动器。
Level 3涵盖了各种测试,这些测试再次确保监控Level 2的正确运行。这包括程序执行控制,确保执行功能监控的每个部分,以及RAM和ROM的连续内存检查。还执行Level 2的命令检查。
这意味着将检查Level 2使用的所有相关处理器命令的正确工作。这种基于Level 3对Level 2的广泛监控能够实现,是因为Level 2包括比Level 1代码少得多。
监控过程中的最后一个模块是监控模块。借助于随机选择的对主处理器的Level 3的“问题”以及从Level 3的软件模块生成的答案,监控处理器检查其完整性。主控制器也使用这种交换的问题和答案,以监控第二处理器。因此,监控处理器必须检测在主处理器中引发的有意的“错误”答案并验证这些答案。
如果在监控概念的三个级别(Level1/2/3)之一中检测到关键安全错误,则关闭功率驱动芯片,并且触发处理器的复位。通过关闭功率驱动芯片,自动变速箱系统进入上面定义的安全条件,并且如果控制器错误只是暂时的,可以再次纠正自身。否则,系统保持安全状态,直到错误得到纠正。所描述的安全结构主要基于与传动系中的其它安全相关部件一起使用的设计,例如在电子节气门控制系统上。