彭憶強，蘆文峰，鄧鵬毅，王洪榮，馬媛媛, 徐 磊，何 波，楊麗蓉

(1.西華大學汽車與交通學院，四川成都 610039；2.四川汽車關鍵零部件協(xié)同創(chuàng)新中心，四川成都610039； 3.汽車測控與安全四川省重點實驗室，四川成都610039；4.中國汽車工程研究院股份有限公司，重慶401122)

隨著越來越多的電子電氣測量、控制設備應用于過程控制領域，電子電氣設備的功能安全問題逐漸成為該領域的重點研究內容。

功能安全定義為：在電子電氣系統(tǒng)中，不能存在由功能異常表現(xiàn)引起的危害，從而產生不合理的風險，其本質在于控制這些不合理風險的產生。

為此，工業(yè)領域的研究人員在分析、比較、綜合和驗證的基礎上，制定并逐步完善了功能安全標準，使之成為避免電子電氣系統(tǒng)功能異常而引起相關危害的有效手段。到目前為止，功能安全標準的發(fā)展可分為3個階段[1]。

第1階段：20世紀90年代，德國、美國等針對工業(yè)領域對測量和控制設備應考慮的基本安全性要求，頒布了功能安全相關標準(DIN V 19250和ISA S 84.01)。

第2階段：2000年，國際電工委員會(IEC)綜合德國和美國國家標準，頒布《電子/電氣/可編程電子安全相關系統(tǒng)(E/E/PE)的功能安全》(IEC61508)。

第3階段：從2005年起，考慮到汽車工業(yè)的分布式開發(fā)模式、各零部件的安全生命周期不同、汽車產品大規(guī)模批量生產等明顯區(qū)別于其他工業(yè)技術領域的特點，IEC61508作為功能安全基礎標準，并不完全適用于汽車工業(yè)；因此，國際標準化組織(ISO)在IEC61508的基礎上，歷時6年，專門制定了針對汽車電子電氣系統(tǒng)的道路車輛功能安全標準ISO 26262，并于2011年正式發(fā)布了第1版[2]。

道路車輛功能安全標準分為10個部分，分別為功能安全術語，功能安全管理，功能安全概念階段，產品開發(fā)系統(tǒng)、硬件、軟件，具備功能安全性能的電控系統(tǒng)產品的生產、運行，具備功能安全性能的產品的支持過程，汽車安全完整性等級導向和安全導向分析等9個方面進行規(guī)范性描述。最后一個部分(第10部分)是對如何運用功能安全標準進行的指南性說明。總體上看，道路車輛功能安全標準從體系和流程方面指導了如何研發(fā)、生產、運行維護滿足功能安全要求的汽車產品，但是，從技術層面如何具體實現(xiàn)滿足功能安全要求的產品設計和驗證，這是標準所沒有統(tǒng)一規(guī)定的。

隨著汽車電子電氣產品與技術的迭代更新，經過近幾年來的實踐，汽車功能安全標準的應用者和研究者，提煉總結出更多新的應用原則或技術途徑，為此，ISO計劃將于2018年發(fā)布ISO 26262第2版。全國汽車標準化技術委員會主持了我國對ISO 26262的采納工作，從2012年起立項制定中國版的道路車輛功能安全標準，2016年底完成了報批稿，2017年10月頒布，2018年5月實施。

ISO 26262標準適用于最大總質量不超過3.5 t的量產乘用車，其上安裝有一個或多個電子電氣系統(tǒng)，并且這些系統(tǒng)與車輛的安全運行相關。同時，這些系統(tǒng)必須具備實時監(jiān)測和自診斷功能，保證系統(tǒng)故障發(fā)生時能過渡到安全狀態(tài)。

功能安全標準ISO 26262的頒布，給汽車產業(yè)技術的發(fā)展帶來了許多挑戰(zhàn)[3-5]，主要體現(xiàn)在對故障發(fā)生時的危險分析、風險評估和產品的成本控制2方面。

在危險分析和風險評估結果方面，ISO 26262標準提供的基于嚴重性(S)、曝光率(E)、可控性(C)3個參數的風險評估方法基本上屬于定性分析。在汽車行業(yè)分布式開發(fā)模式中，OEM(original equipment manufacturer：原始設備生產商)應當將危險分析和風險評估結果提供給供應商作為項目輸入，并作為輸出確認的標準之一；然而不同OEM確定的危險分析和風險評估結果可能有差異，而且供應商在進行項目先期預研時，可能無法獲得準確的正式輸入條件，只能根據經驗進行系列假設完成分析，權衡多種因素以確定平臺解決方案。

因此，在運用ISO 26262標準實際開發(fā)過程中，OEM與供應商往往存在分歧。雖然，針對某個安全相關系統(tǒng)的功能安全定義能達成一致，但是在ASIL(automotive safety integrity level：汽車安全完整性等級)分解及分配過程中雙方對ASIL分解公式如何選取或者對于分解后ASIL如何分配可能會產生分歧，如ASIL C可分解為ASIL C+QM或ASIL B+ASIL A。如何選擇分解公式或選定分解公式后，究竟誰來承擔哪個等級的開發(fā)工作，實際開發(fā)過程中上述分歧經常出現(xiàn)且難以解決。

在成本控制方面，汽車產品面臨越來越嚴格的安全管理法規(guī)要求，碰撞安全、行人保護、新能源汽車電池安全等的解決方案需要大量投入。功能安全標準ISO 26262正式出臺，給OEM和供應商提出了更高的要求，這意味著必須投入人力、物力，開發(fā)符合功能安全相關要求的電控系統(tǒng)。

制訂符合ISO 26262標準要求的功能安全解決方案已經成為汽車電子產品研發(fā)過程中的共同關注點，而新能源汽車面臨比傳統(tǒng)汽車更嚴峻的“三電”系統(tǒng)可靠性和安全性問題，已多次出現(xiàn)因新能源汽車“三電”系統(tǒng)的功能安全問題，引起的車輛召回事件。

因此，功能安全標準的實施將對新能源汽車產業(yè)“三電”技術的發(fā)展起到促進作用。

下面將介紹在汽車電子電氣系統(tǒng)開發(fā)過程中，應用ISO 26262的基本方法或流程。然后，重點分析新能源汽車“三電”系統(tǒng)中功能安全技術的應用現(xiàn)狀。

1 基于ISO 26262標準的汽車電子電氣系統(tǒng)開發(fā)流程

ISO 26262標準為汽車電子電氣系統(tǒng)提供了從概念設計、產品開發(fā)到批產后各階段的整個生命周期中與功能安全相關的工作流程和管理流程的基礎。

在概念設計階段，要基于系統(tǒng)定義和系統(tǒng)初步架構，分析可能存在的功能安全風險并評估風險的等級。然后根據功能安全風險，定義安全目標和針對每個安全目標的功能安全概念。

在產品開發(fā)階段，ISO 26262標準繼承汽車工業(yè)中常用的V型流程[6]來定義相關安全活動，基本開發(fā)流程如圖1所示。V型的左側包括技術安全需求的制訂、系統(tǒng)設計，V型的右側包括系統(tǒng)集成、安全確認和發(fā)布。硬件和軟件的開發(fā)同樣遵循相似的V型開發(fā)流程。

圖1 符合ISO 26262標準的基本開發(fā)流程

在生產、運行、維護和報廢的全生命周期階段，ISO 26262通過規(guī)定過程參數一致性、合格的生產/運行/維護工具、嚴格的生產/運行/維護流程、標準的使用信息等，保障滿足功能安全技術要求的汽車電控產品的功能安全性能目標。同時，ISO 26262還通過對于支持過程需要的開發(fā)接口、安全要求定義、配置、變更、驗證、軟硬件工具/組件等方面進行詳細的規(guī)范，其性質類似于質量管理體系的相近特征，保證電控產品的功能安全性能的一致性和可靠性。

2 動力電源方面的功能安全技術

新能源汽車動力電源主要由電能/能量存儲單元、能量轉換模塊及發(fā)電單元(燃料電池、發(fā)動機-發(fā)電機)、電源管理系統(tǒng)、熱管理系統(tǒng)、安全管理系統(tǒng)、內外部封裝系統(tǒng)、連接裝置等構成[7]。

目前，主流新能源汽車二次電池的電能存儲單元主要包括鎳氫電池、鋰離子電池。動力電源系統(tǒng)的安全管理技術的實施需要高精度、復雜的電池管理系統(tǒng)(BMS)，應該具有以下基本功能：

1)動力電池碰撞斷電保護；

2)動力電池高壓電安全防護；

3)動力電池充放電安全管理；

4)動力電池濫用防護；

5)動力電池故障診斷處理；

6)動力電池系統(tǒng)的高性能封裝。

因此，相應的功能安全要求很高，重點體現(xiàn)在以下幾方面。

2.1 動力電池碰撞斷電保護

根據GB/T 31498—2015《電動汽車碰撞后安全要求》[8],電動汽車碰撞后安全評價標準主要包括：1)整車母線電壓、母線搭鐵電壓滿足交流不大于30 V和直流不大于60 V；2)電能要求高壓母線上的殘余總電能應小于0.2 J；3)碰撞后車輛所有高壓設備應有IPXXB級別的物理防護；4)高壓絕緣電阻滿足GB/T 18384.3-2001《電動汽車安全要求》[9]；5)動力電池電解液泄漏量、動力電池移動位移應滿足相應的要求；6)碰撞發(fā)生后30 min內不得起火、爆炸。

因此，開發(fā)符合ISO 26262標準的動力電池碰撞斷電保護系統(tǒng)的關鍵在于盡量縮短響應時間(包括碰撞信號的采集、確認以及執(zhí)行器執(zhí)行整車切斷高壓電指令的時間)，響應時間越短，系統(tǒng)安全性越高。

在ISO 26262標準中，要求的電氣安全防護涉及主動保護和被動保護2種方式。

與碰撞斷電保護相關的主動安全保護方案主要有3種[10]。

1)利用CAN總線通信實現(xiàn)碰撞斷電保護。安全氣囊ECU(SRS ECU)采集碰撞傳感器發(fā)送的碰撞信號后，判斷該碰撞信號是否達到閾值。在確認達到閾值后，置相應控制引腳為低電位。主控制器監(jiān)測到SRS ECU信號引腳電平變化(由高變低)，同時以一定速率向BMS發(fā)送碰撞報文。當BMS接收到3幀以上有效碰撞報文后，即切斷整車高壓回路。

2)用PWM波實現(xiàn)碰撞斷電保護。為避免方案1)中SRS ECU信號引腳電平受外界電磁干擾出現(xiàn)碰撞誤報警情況，采用具有一定時序的PWM波替代SRS ECU碰撞信號。當BMS連續(xù)檢測到2個以上完整的PWM碰撞脈沖后，確認碰撞發(fā)生，立即切斷整車高壓回路。

方案3)是方案1)和2)的綜合：采用信號冗余確保碰撞保護。SRS ECU同時發(fā)送PWM波和CAN報文至BMS，當BMS判定兩路碰撞信號中，任一路信號有效，即執(zhí)行切斷高壓電指令。

與碰撞斷電保護相關的被動安全保護方案是：將碰撞開關串入高壓互鎖回路(HVIL)，慣性開關在碰撞發(fā)生時被觸發(fā)，切斷HVIL回路。

除了上述的電氣安全防護措施外，動力電池組碰撞斷電保護設計還應考慮結構安全防護，如采用U形安裝支架、防撞加強筋、防撞支架等。

2.2 動力電池高壓電安全防護

在GB/T 18384.1—2001以及IEC 60479—1：2005中，對電動汽車高壓安全提出的要求如下：1)接觸電壓不允許超過36 V(人體安全電壓)且漏電電流不允許超過30 mA·s(人體安全閾值)；2)絕緣電阻阻值除以標稱電壓值的最低值為100 Ω/V，最好大于500 Ω/V；3)接通時需進行預充電，避免瞬態(tài)高壓電沖擊；4)確保高壓接觸器斷開時間在20 ms內；5)電源斷開1 s后，任何可觸及的導電部分和地之間的交流峰值不能高于42.4 V，直流電壓應低于60 V，且存儲能量應小于20 J。

為達到上述技術要求，一些研發(fā)人員結合ISO 26262的實施流程，開展了相關的研究工作。一些典型的文獻分析如下。

在文獻[11]中，分析了電動汽車動力電池系統(tǒng)高壓功能存在的3種潛在失效模式：1)高壓電使能失效，導致車輛失去動力；2)高壓電關斷失效，導致高壓回路始終帶電，存在觸電危險；3)高壓回路狀態(tài)監(jiān)控失效，導致高壓回路超出極限狀態(tài)。按照ISO 26262標準要求，對與上述3種失效模式相關的高壓安全的功能(BMS控制器整體功能安全、高壓互鎖、碰撞開關、繼電器控制/診斷以及絕緣檢測)進行危險分析和風險評估，確定ASIL等級分別為ASIL C、ASIL A、ASIL A、ASIL B、QM。同時，定義了相應的功能安全目標，提出相應的技術安全需求，對提高車輛動力電池高壓安全有著積極作用，可作為后續(xù)開發(fā)工作的必要輸入。

在文獻[12]中，基于ISO 26262標準要求，對電動汽車車用電池包高壓繼電器存在的影響駕駛員生命安全的失效形式進行了危險分析和風險評估。按照ASIL評級方法，確定高壓繼電器功能安全等級為ASIL C，相應的功能安全目標為避免非預期高壓繼電器的失效。設計過程中采用監(jiān)控診斷作為安全機制來保證高壓繼電器功能安全，基于安全機制進行了ASIL分解。其分解方案為：監(jiān)控傳感器和故障診斷邏輯控制器按照ASIL C等級開發(fā)，其余傳感器和控制器的ASIL等級為QM。在ASIL分解基礎上，分析了故障診斷的硬件原理，進行了故障檢測軟件設計。經試驗測試表明，所采用的控制方法能夠保證高壓繼電器達到功能安全ASIL C等級。

在文獻[13]中，針對純電動汽車高壓回路安全監(jiān)控問題進行了功能安全研究，設計了一種基于STM32 ARM Cortex-M3內核單片機以及CAN總線技術的監(jiān)測系統(tǒng)，并在純電動汽車駐停過程中，采用高壓回路故障診斷與安全監(jiān)測策略保證上電、運行、斷電全過程的高壓用電安全。具體策略如下：1)上電過程控制策略。高壓回路監(jiān)測系統(tǒng)在監(jiān)測到純電動汽車有效啟動命令上電后，若蓄電池儲能充足、電壓正常且電路無互鎖、短路及絕緣等故障，則預充電系統(tǒng)執(zhí)行預充電指令。若在規(guī)定時間內完成預充電，系統(tǒng)進一步接通高壓回路，否則禁止接通高壓回路。2)運行過程診斷策略。車輛在預充電結束且高壓回路成功接通后，在進入正常運轉的同時，啟動實時故障診斷功能。利用計算模型實時循環(huán)檢測與高壓安全直接相關的絕緣電阻、電壓、電流等重要電氣參數。當車輛發(fā)生絕緣故障、高壓環(huán)路互鎖、高壓環(huán)路故障、高低壓故障、短路或車輛碰撞、側翻時，及時斷開高壓回路，同時點亮故障報警燈。3)斷開控制策略。系統(tǒng)接收到正常斷開信號進入斷電管理狀態(tài)，首先檢測動力電池組的溫度，在溫度值許可情況下切斷主接觸器直接完成斷電。若溫度過高，強制降溫至許可值，再切斷高壓回路，最后完成系統(tǒng)余電泄放。

從上述文獻分析可知，在實際工程應用中，采用加強基本防護、繼電器控制、碰撞開關、高壓互鎖、高速斷電管理、高壓回路安全監(jiān)測、高壓電系統(tǒng)狀態(tài)參數在線監(jiān)測等措施來滿足ISO 26262標準規(guī)定的動力電池高壓安全防護要求。

2.3 動力電池充放電安全管理

動力電池充放電安全功能主要由充電系統(tǒng)、整車控制器(VCU)、BMS和電機控制器(MCU)配合保障。MCU提供電能使用/回收相關信息；BMS提供電池系統(tǒng)的狀態(tài)/故障信息；VCU匯總以上信息，對充放電相關參數(功率、電流、電壓、溫度等)解耦處理后，進行電池安全邏輯判斷，再將充放電指令發(fā)送至電能管理系統(tǒng)。電能管理系統(tǒng)(由VCU、BMS、MCU的相關功能部分和充電機構成)根據VCU的指令完成滿足動力電池安全管理的充放電動作。

為符合ISO 26262標準的實施流程，需要對充放電過程中可能存在的故障及影響程度進行分析。

充電過程中(包括plug-in和電能回收)，可將電池故障分級作為主要參數制定相應的安全管理策略。1)針對某些對安全不構成影響的輕微故障(如單體電壓差大于10 mV，不超過20 mV)，可以報警，而不限制充電參數；2)針對某些故障(如SOC偏離設定值、電池溫度高于設定值等)，在報警的同時，適當降低充電功率；3)針對某些危險故障(如反接、極高壓、短路、溫度極高、溫升極快、冒煙、著火等)，應立即斷電[14]。

放電過程中，安全管理策略由VCU采集BMS、MCU提供的電池狀態(tài)和驅動狀態(tài)信號，解析駕駛意圖，發(fā)出動態(tài)調節(jié)指令，使得電池的放電強度、SOC/SOH/SOF相關參數在標定范圍內運行。

為了從起始狀態(tài)起，有效管控電池組的安全，必須采取實時的故障診斷措施，并采用合理的安全管理策略，才能滿足ISO 26262標準規(guī)定的充電安全的要求。

2.4 動力電池濫用防護

電池濫用包括短路、過放、火燒、浸水、振動、撞擊、擠壓、針刺、跌落、過流/過壓充電、高/低溫充放電等。在電池使用過程中，應設法避免濫用工況出現(xiàn)。在電芯及電池系統(tǒng)設計、制造過程中，應該采用本質安全的材料與方法來滿足ISO 26262標準所規(guī)定的電池容忍濫用工況的要求[15]。

2.5 動力電池故障診斷處理

電池故障診斷處理屬于主動安全防護技術。通過采集風速、車速/加速度、電池電壓/電流/溫度場/氫氧氣濃度等信號，由BMS進行數據分析，計算出絕緣電阻模型、SOC/SOH/SOF模型、電池濫用、電池組熱模型等模型后，輸出相應控制信號[16-17]。

為滿足ISO 26262標準的要求，故障診斷處理至少應該包含以下基本項目：電池溫度過高/低、單體及模塊電壓過高/低、單體一致性偏差過大、充放電功率過大等。根據整車設計與電池系統(tǒng)的具體要求，納入故障診斷的項目還應包括總電壓過高/低、SOC值高/低、內外部通信接口故障、電池連接松動等故障[18]。

2.6 動力電池高性能封裝

動力電池系統(tǒng)的高性能封裝關鍵技術在于主被動安全保障與輕量化的多目標約束優(yōu)化。主動安全保障包括前述的各種維持電池系統(tǒng)工作在高效區(qū)間的裝置和電池溫度維持系統(tǒng)。被動安全系統(tǒng)包括碰撞感知、RESS系統(tǒng)及其連接回路的電壓與殘余能量控制、電池單體及系統(tǒng)減振吸能裝置、可燃/有害氣體主動檢測及排放、電池系統(tǒng)封裝內部氣壓平衡裝置等[19-20]。

3 動力驅動方面的功能安全技術

新能源汽車電驅系統(tǒng)性能決定著整車性能。新能源汽車電驅系統(tǒng)與普通電氣傳動系統(tǒng)相比應該具有高轉矩-慣量比和寬調速范圍、較高效率區(qū)域、加減速性能好、可靠性高等特點。

ISO 26262功能安全標準頒布以來，新能源汽車電驅系統(tǒng)的故障診斷、容錯策略得到越來越多研發(fā)者的重視，大多數OEM廠商已開始針對ISO 26262標準開展功能安全的設計研究。雖然應用于電驅系統(tǒng)功能安全的全面解決方案還沒有，但是已有一些相關設計的案例[21]。

文獻[22]分析了新能源電動汽車電機驅動系統(tǒng)失效模式分類和失效機制，基于電動汽車電驅系統(tǒng)的特殊性，將故障分為硬性和軟性兩類故障，提出對軟性故障進行容錯的思路。

文獻[23]采用失效模式影響和診斷分析(FMEDA)方法分析永磁同步電機(PMSM)常見故障。在整車仿真環(huán)境中，針對極限工況，仿真分析了PMSM故障時整車行為，完成ISO 26262標準下PMSM的ASIL評級工作，所得結論具有一定的客觀性，可為電機和整車控制單元設計與開發(fā)提供參考。

文獻[24]基于ISO 26262標準提出一種電動汽車電機控制系統(tǒng)安全監(jiān)控設計方案。此方案通過硬件和軟件兩級監(jiān)控來實現(xiàn)安全監(jiān)控功能。在硬件系統(tǒng)設計方面，除電機控制芯片外，單獨設立了安全監(jiān)控芯片。在硬件電路設計方面，采用SPI、GPIO、CAN等通信手段，保證系統(tǒng)的實時性。在軟件設計方面，電機控制芯片的安全監(jiān)控功能由電機控制芯片自檢和監(jiān)控芯片共同完成，安全監(jiān)控算法包括自檢算法和周期測試算法等。軟硬件兩級監(jiān)控設計使得電機驅動系統(tǒng)安全監(jiān)控功能不但能夠實時監(jiān)控電機負載的運行情況，而且還能對電機控制芯片的運行狀態(tài)進行監(jiān)控；因此，故障診斷全面，覆蓋率高，可提高電機驅動系統(tǒng)運行的安全性與可靠性，使其達到ASIL C等級。

文獻[25]基于ISO 26262標準，定義了一種影響駕駛安全的危險事件：“車用驅動電機系統(tǒng)的實際輸出轉矩大幅偏離轉矩指令”，評估分析了與此事件相關的S、E、C 3個參數，確定該事件的ASIL等級可達到ASIL C。通過分析發(fā)現(xiàn)：電動汽車電驅系統(tǒng)在接收來自VCU轉矩指令Tvcu到實際輸出轉矩Te的過程中，與轉矩傳遞相關的各功能模塊出現(xiàn)單點故障都會導致“Te大幅度偏離Tvcu”的發(fā)生。為此，采用信息、軟件、硬件冗余等方法，將此事件轉化為多點故障，通過增加完善的故障檢測功能及實時故障處理措施，使其達到ISO 26262標準規(guī)定的ASIL C安全等級要求。

為保證電驅動系統(tǒng)的正常運行，通常采用冗余措施來提高系統(tǒng)的可靠性及安全等級。電動汽車電驅動系統(tǒng)常用的冗余措施包括以下幾個方面[23-24,26]。

1)CAN通信：在CAN通信報文中增加CRC 校驗碼，以提高通信數據傳送的安全性。

2)電壓采樣：采用硬件成本較低的分壓電路，同時采樣3個驅動橋臂上的母線電壓，能夠顯著提高電壓采樣的可靠性。

3)電流采樣：同時采樣三相電流，在監(jiān)測電流不平衡問題的同時，可確保當其中一相電流采樣故障時，仍能夠維持電驅動系統(tǒng)正常運轉。

4)旋轉變壓器：在旋轉變壓器中加入低成本低精度的霍爾傳感器，基于其實現(xiàn)正弦波控制?？稍谛D變壓器故障時，維持驅動電機系統(tǒng)正常工作，也可采用無位置傳感器方法，基于采樣電流和電壓，估計轉矩位置角，當旋轉變壓器故障時，車輛在無位置傳感器模式下可跛行靠邊停車。

5)解碼芯片：軟件解碼作為冗余措施，在解碼芯片故障后，可切換至軟件解碼計算模式得到位置角。

6)軟件計算：軟件計算涉及采樣計算、轉矩-電流查表、矢量控制等計算環(huán)節(jié)。采用雙核汽車級芯片，以雙核鎖步模式運行主控芯片中關鍵模塊，使兩個內核在相同周期執(zhí)行相同指令，在每個時鐘周期校驗二者運行偏差，從而實現(xiàn)安全狀態(tài)控制。

7)驅動電路、功率模塊和電機繞組。采用多相電機系統(tǒng)方案，控制精度有所下降且系統(tǒng)成本明顯上升。

4 電控技術方面的功能安全技術

新能源汽車電控技術不僅需要完成駕駛員操作意圖解析及傳遞、主回路能量優(yōu)化控制功能，而且還延伸到了電動輔助部件控制及其能量使用優(yōu)化管理、整車級安全管理控制、網絡信息管理控制等。

為滿足ISO 26262標準要求，在進行VCU的研發(fā)過程中，研發(fā)人員需要對相關系統(tǒng)或零部件故障進行分析，采取軟、硬件冗余等措施，保證VCU的功能安全，相關實例如下。

在文獻[27]中，參照ISO 26262標準，設計了整車控制單元雙VCU架構：主VCU采用32位單片機，輔VCU功能相對簡單，選用16位單片機，主輔VCU通信實現(xiàn)系統(tǒng)級安全監(jiān)控和保護功能。同時，針對VCU的功能模塊硬件電路，如電源管理模塊、CAN通信模塊、輸入信號采集模塊，采用芯片溫度范圍控制、部件冗余設計、系統(tǒng)電磁兼容設計等元器件級可靠性設計和系統(tǒng)級可靠性設計相結合的方法，來確保VCU的可靠性。

文獻[28]在整車控制單元硬件設計中分析了各個模塊的功能，然后對各功能模塊進行詳細設計，分析了模塊中電子元器件可能存在的失效模式、失效機制，以及每種失效模式下的影響及危害，并對電路中關鍵電路及微控制器設計冗余電路，有效提高了整車控制單元的可靠性。

在文獻[29]中，基于ISO 26262標準，針對電動汽車VCU存在的3種影響駕駛安全的危險事件：1)非駕駛員意愿的加速或減速；2)不響應駕駛員的操作指令；3)失去對車輛其它用電附件的控制能力，采用FMEDA、故障樹分析(FTA)等方法進行評估分析，確定上述3種危險事件的ASIL等級分別為ASIL D、ASIL B、QM(保證產品質量即可達到)，提出了指導整車控制單元前期設計過程中的3個功能安全目標。同時，采用雙VCU架構，進一步完善VCU的安全機制。

在采用雙VCU架構時，還應考慮一些功能安全機制，包括：1)基于冗余和異構原則，主輔VCU在設計時，分別采用不同內核的芯片，避免共因失效；2)SPI問答機制，即主輔VCU之間相互傳遞生命信號；3)SPI冗余，降低因SPI單點故障導致VCU出現(xiàn)功能失效的概率[29-31]。

對于與VCU密切相關的一些傳感器或執(zhí)行機構信號，如加速踏板信號，應采集故障主要包括傳感器供電故障、傳感器本身故障、線束與連接器故障、采集模塊故障等。而常用功能安全機制包括：1)VCU對外部傳感器供電檢測；2)雙路冗余的傳感器及信號采集電路；3)主輔VCU同時采集相關信號，通過SPI相互通信周期性校驗自身采集信號的有效性[32-33]。

針對VCU與其他控制單元，進行CAN通信。常用的功能安全機制有：1)采用CAN使能邏輯，避免主/輔MCU工作異常影響正常CAN通信機制；2)設置主MCU對輔MCU的CAN通信使能為“雙控”，即使用2個獨立的引腳，輸出經“與”運算后再對輔MCU的CAN通信進行使能控制；3)主MCU采用不同方法編寫兩套獨立關閉輔MCU CAN通信決策程序，以實現(xiàn)輔MCU CAN通信的冗余[29,34-35]。

整車控制單元在驅動電機、動力電池組初次故障時，可優(yōu)先采用如下失效處理原則作出適當故障響應。1)變量缺省原則。車輛行駛工況下，當動力電池組與整車控制單元通信故障時，取整車控制單元檢測到的最后一次SOC值作為缺省值，并以此SOC值為基礎進行系統(tǒng)控制。2)轉矩限制原則。整車控制單元檢測到電機溫度傳感器故障時，為避免電機因大電流驅動過熱，適當降低驅動電機力矩輸出，進入降功率行駛模式[36-37]。

整車控制單元實際工作過程中，可以將電池故障分級、電機故障分級作為主要參數，制定相應的安全管理策略。1)輕微故障。主要是指用電附件故障，由于其對駕駛特性影響較小，點亮故障報警燈，提示駕駛員即可。2)制動能量回收故障。一般由制動踏板傳感器故障引起，其信號難以反應駕駛員真實的駕駛意圖，關閉制動能量回收功能的同時應點亮故障報警燈。3)車輛II級故障。驅動系統(tǒng)II級故障，應執(zhí)行降功率策略；電池系統(tǒng)II級故障，SOC值低于預設值時，執(zhí)行“跛行回家”策略，SOC高于預設值時，執(zhí)行降功率策略。4)嚴重故障。執(zhí)行下電停車指令[38-39]。

5 結論

新能源汽車的核心系統(tǒng)：“三電”系統(tǒng)的可靠性和安全性，是目前新能源汽車推廣過程中，必須面臨和妥善解決的關鍵性技術難題。

ISO 26262《道路車輛功能安全》標準從技術、流程、管理3個角度和概念、系統(tǒng)、軟硬件3個層面，系統(tǒng)闡述了汽車電控產品在設計、開發(fā)、生產、運行、維護直至報廢的全生命周期中所涉及的技術、流程管控要求，對于提升新能源汽車電控系統(tǒng)產品的安全技術水平，進而改善新能源汽車的安全性具有重要意義。

通過本文的綜合分析，目前新能源汽車“三電”系統(tǒng)功能安全技術的研究與應用現(xiàn)狀如下：

1)動力電源方面，從控制角度看：①應運用足夠的手段保證 BMS 整體可靠運行，正確并及時地監(jiān)控系統(tǒng)狀態(tài)并控制高壓回路；②應使高壓互鎖功能覆蓋所有的高壓元件并反映高壓回路的完整狀態(tài)，否則快速切斷高壓輸出；③應保證碰撞時能夠快速并準確地切斷高壓輸出；④繼電器控制和診斷邏輯應該能夠確保繼電器按照要求正確地動作，同時一旦出現(xiàn)異常動作應當能夠及時地響應。以上措施，可使得電池系統(tǒng)滿足功能安全標準ISO 26262的要求。

2)在電驅動方面，采用冗余設計(信息冗余、軟件冗余、硬件冗余)可以在一定程度上提高新能源汽車驅動系統(tǒng)功能安全。在采取上述冗余措施的同時，還應該結合單點故障指標來考慮硬件的失效率。同時，應采取措施，對系統(tǒng)故障進行實時檢測，依據合理的安全策略來進行故障處理，才能進一步保障驅動系統(tǒng)的功能安全。

3)在電控技術方面，新能源汽車電控系統(tǒng)的硬件應采用高性能專用控制芯片(高性能微處理器)和雙核架構(32位主控系統(tǒng)+16/8位監(jiān)控診斷系統(tǒng))。在軟件方面，應在標準化軟件架構(如AUTOSAR、OSEK系統(tǒng))的基礎上，采用多種通信手段，如CAN/Flexray+WiFi+移動通信網等，以及軟件冗余等措施，以保障功能安全的要求和信息高度綜合化的需求。

[1]史學玲.功能安全標準的歷史過程與發(fā)展趨勢[J].儀器儀表標準化與計量,2006(2):6.

[2]Road Vehicles-Functional Safety-Part1, Part2, Part3, Part4, Part5, Part6, Part7, Part8, Part9, Part10：ISO26262-1, 2, 3, 4, 5, 6, 7, 8, 9, 10-2011[S].2011.

[3]CLARK L, MILNE S.功能安全對于汽車供應鏈的挑戰(zhàn)[J].電子產品世界,2016(10):27.

[4]劉佳熙，郭輝，李君.汽車電子電氣系統(tǒng)的功能安全標準：ISO 26262[J].上海汽車, 2011(10):57.

[5]HAMANN R, SAULER J,KRISO S.et al. Application of ISO 26262 in Reality[J].SAE 2009-01-0758.

[6]彭憶強.基于模型的汽車電控單元仿真測試技術研究[J].中國測試技術, 2006(6):15.

[7]鄧鵬毅，彭憶強，蔡云,等.新能源汽車關鍵技術及發(fā)展趨勢[J].西華大學學報(自然科學版),2017,36(4):34.

[8]電動汽車碰撞后安全要求：GB/T 31498—2015[S]. 2015.

[9]電動汽車安全要求第2部分：功能安全和故障防護：GB/T 18384.3—2001[S].2001.

[10]廉玉波，伍星馳，王洪軍，等.動力電池碰撞斷電保護技術分析[C]//2014中國汽車工程學會年會論文集.上海：中國汽車工程學會，2014:134-137.

[11]朱葉.基于ISO 26262的動力電池系統(tǒng)高壓功能安全概念[J].Automobile Parts,2013(10): 97.

[12]印凱，朱建新，張筱瑜.基于ISO 26262的車用電池包高壓繼電器控制方法設計[J].傳動技術,2016(3):45.

[13]張俊，謝偉東.純電動汽車高壓回路安全監(jiān)測系統(tǒng)設計[J].機電工程,2013(3):364.

[14]胡銀全，劉和平，劉平,等.電動汽車用磷酸鐵鋰電池充電特性的分析[J].汽車工程,2013(4):293.

[15]李凱，王奐.電動汽車用動力電池環(huán)境下的安全性能[J].安全與電磁兼容,2013(2):18.

[16]RESSLER G. Application of systemsafety engineering processes to advanced battery safety[J].SAE International Journal of Engines,2011(1):1921.

[17]劉碧軍，楊林，朱建新,等.電動汽車高壓電安全測試系統(tǒng)的研究[J].汽車工程,2005(4):274.

[18]曹寶健，謝先宇，魏學哲.電動汽車鋰電池管理系統(tǒng)故障診斷研究[J].上海汽車,2012(12):8.

[19]方謀，趙驍，李建軍,等.電動車用鋰離子蓄電池模塊的安全性問題[J].新材料產業(yè),2014(3): 45.

[20]閻冬,馬宏珺，杜凱,等.豐田車載動力電池安全技術路線[J].科技創(chuàng)新導報,2016(5):32.

[21]溫旭輝.電動汽車電機驅動技術現(xiàn)狀與發(fā)展綜述[J].電力電子,2013(2):5.

[22]于海，劉志強，崔淑梅.電動汽車電機驅動系統(tǒng)故障與失效模式分析[J].電力電子技術,2011(12):69.

[23]鄔肖鵬，劉飛，熊璐,等.ISO 26262標準下永磁同步電機故障對整車安全性的分析[J].汽車技術,2013(2):13.

[24]王瑛，蔡交明.電動汽車電機控制系統(tǒng)安全監(jiān)控功能的設計與實現(xiàn)[J].汽車電子,2014(4):37.

[25]莊興明，張琴.基于ISO 26262標準的車用驅動電機系統(tǒng)設計研究[J].研究與開發(fā),2016(4):18.

[26]HABLI I, IBARRA I, RIVETT R.et al.Model-based assurance for justifying automotivefunctionalsafety[J].SAE 2010-01-0209.

[27]宋雪靜.基于雙MCU的純電動汽車整車控制器硬件設計[J].設計研究,2015(5):33.

[28]朱鋒.純電動車整車控制器設計與失效性分析方法研究[D].哈爾濱：哈爾濱工業(yè)大學,2012.

[29]杜德清.電動汽車VCU故障診斷系統(tǒng)開發(fā)與測試[D].長春：吉林大學,2016.

[30]尚世亮，王雷雷，趙向東.基于ISO 26262的車輛電子電氣系統(tǒng)故障注入測試方法[J].汽車技術,2015(12):49.

[31]CHEN Y,WANG J. Desgin and experimental evalua-tions on energy efficient control allocation methods for over-actuated electric vehicles: longitudinal motioncase[J]. IEEE/ASMETransaction on Mechatronics, 2014(2): 538.

[32]郭遠東，王春霞.ISO 26262對汽車電子產品EMC的影響[J].電子產品可靠性與環(huán)境試驗,2014(2):32.

[33]SHORT M,PONT M J，HUANG Q.Development of a hardware-in-the-Looptest facility for distributed embedded systems[R].Leicester,LE1 7RH, United Kingdom: Embedded Systems Laboratory (University of Leicester), 2004.

[34]GUO K H, DING H T, ZHANG J W.Development of a longitudinal and lateral driver modle for autonomous vehicle control[J].International Ournal of Vehicle Design,2004(1):50.

[35]BAGO M, MARIJAN S, PERIC N. Modeling controller area network communication[C]//The 5th IEEE International Conference on Industrial Informatics. Vienna: IEEE,2007，485-490.

[36]李偉.純電動汽車加速踏板信號自診斷及失效保護策略[J].建設機械技術與管理，2013(5):100.

[37]嚴洪江.混合動力控制單元加速踏板信號電路硬件功能安全設計與驗證[J].工業(yè)控制計算機,2016(9):39.

[38]崔書超，柴智，南金瑞.基于CAN總線的純電動汽車故障診斷系統(tǒng)[J].車輛與動力技術，2012(2):44.

[39]陳正，王文揚，陳祥威.新能源汽車實時監(jiān)控管理系統(tǒng)的設計[J].裝備制造技術,2014(12):203.