安全考虑的出发点是如果某个环节或者某个部件出了故障怎么办.
在你这个逻辑中,我可以这样概括一下:
有扭矩需求(或者其他情况) AND 转速低于怠速一定值 -->扭矩补偿,这么做可以的,因为只有两个条件同时满足才能激发扭矩补偿.
在正常行驶情况下,没有转速的限制,如果软件或者存储器发生一个故障,比如说从"0"跳到"1",喷油量可能会加倍,这时候就会发生突然加速的危险情况,我所描述的3层安全结构就是按照这个思路搭建的.当然在这个安全结构下,还考虑了几乎其他所有可能发生的故障,使得可能的危险情况发生概率降低到10e-7,也就是ISO26262中规定的ASIL C级别.
注意两点:软件是相对不可靠的,电子器件发生故障是突然并且没有征兆的.
上面这一套方法就是所谓的功能安全.
丰田的车以前没有采用这种安全结构,所以会有突然加速的风险.而在欧美大多数汽车公司中,广泛应用了ISO26262,会对已知或者可能的危险情况采取相应的安全机制,相对可靠些.

【 在 fjkj 的大作中提到: 】
: 看来我考虑的扭矩补偿控制逻辑是不完善的，如果按照我的逻辑，车辆顶到墙时，会自动增加扭矩，虽然有上限，但是限额很高。要修改一下。
: 我的补偿逻辑对速度是有限制的，只是当速度低于怠速较多时，才开始增加燃料喷射，所以不会突然加速。速度超过怠速就会减少燃料喷射。
:
--
FROM 194.250.98.*