随着人们对汽车智能性和车联网要求的提升,在高端汽车中广泛地运用多种功能的ECU,电子控制系统的复杂程度也逐渐变高。在汽车电子控制系统多样化和复杂化的同时,汽车电气电子元件失效导致的汽车安全问题也引起人们广泛关注,为此ISO(International Organization for Standardization,国际标准化组织)颁布了ISO 26262标准,对汽车电气电子产品的三个阶段(概念阶段、产品开发阶段以及产品发布阶段之后)提出了要求。本文在原有基于转矩控制的高压共轨柴油机ECU软件上增加安全模块软件,并将软件集成后,进行联合仿真试验研究,研究内容以及成果包括:首先,依据功能安全标准ISO 26262对软件开发的要求,包括软件设计和测试部分,分析高压共轨柴油机ECU控制软件的安全问题。由于柴油机电子控制系统的软件安全问题较多,以非驾驶员需求的车辆加速为例,进行危害分析和风险评估。根据导致车辆意外加速的三种失效模式(制动踏板失效,自发加速,制动迟滞)确定防止非驾驶员需求加速的安全目标以及汽车安全完整性等级(Automotive Safety Integrity Level,ASIL)C级;采用故障树分析法分别对三种失效模式进行分析,查找出可能导致意外加速的模块,将这些模块的软件功能合并至避免非驾驶员意图加速的ECU软件安全需求。其次,基于ISO 26262标准对“V字型”开发提出的原则,依据ECU软件安全需求,运用Matlab/Simulink在原有的高压共轨柴油机ECU控制软件基础上增加功能安全控制模型,模型包括电源、制动踏板、加速踏板、轨压以及转矩限制等模块。对传感器原始信号进行故障检测(含供电电压故障、制动踏板状态故障、加速踏板超限或者信号不合理故障、轨压超限故障以及传感器接触不良故障等),根据每种故障的不同失效模式,选择不同替代方式,如加速踏板信号1超限故障,则以加速踏板信号2的两倍作为踏板开度输出,并限制输出转矩和降低喷油量,从而保证避免非驾驶员意图的加速。最后,为验证功能安全控制模型的功能性和可靠性,将在Simulink环境下的控制模型和在GT-Power环境下的柴油机被控模型耦合进行联合仿真。第一部分对Simulink控制模型进行单元模块测试,验证五个单元模块的功能性和逻辑性;第二部分进行联合仿真试验,将功能安全模块集成到原有的柴油机ECU控制软件中,通过搭建Simulink和GT-Power接口,将Simulink控制模型与柴油机GT-Power物理模型连接,对功能安全模型进行仿真试验研究。在三种工况下(1400 r/min,负荷率10%;1500 r/min,负荷率25%;1800 r/min,负荷率50%),功能安全模型可将发动机转速从2200r/min限制到2050r/min、发动机输出转矩从304.12Nm限制到265.53Nm和喷油量从55.18mg/cyc降低到47.78mg/cyc,以此保证系统安全性。联合仿真结果表明:功能安全控制模型运行可靠并达到了功能安全需求。