孫振耀*，孫仁云，王瀚，張楊，楊文浩

（西華大學(xué)汽車與交通學(xué)院，四川成都，610039）

引言

整車控制器作為純電動汽車的核心部件，負責(zé)整車動應(yīng)扭矩的傳遞和能量回收控制等，其功能的安全完整性關(guān)系到整車安全。ISO26262標準對對車輛電子電氣系統(tǒng)的設(shè)計提供了相應(yīng)的思路，通過參考其第三章概念階段的主要活動，對純電動汽車VCU進行了功能安全概念階段的分析和設(shè)計。

1 ISO26262概念階段

ISO26262功能安全標準于2011年發(fā)布，從工業(yè)通用領(lǐng)域的IEC61508標準派生而來，旨在消除或降低3.5t以下的乘用車電子電器系統(tǒng)故障危害引起的不合理的安全風(fēng)險。其整個標準流程如圖1所示，包含10個部分。

圖1 ISO26262標準體系

在概念設(shè)計階段，要基于項目定義和項目的安全生命周期，有合汽車的運行情況分析可能存在的功能安全風(fēng)險并評估風(fēng)險等級。然后根據(jù)功能安全風(fēng)險，定義安全目標和針對每個安全目標的功能安全概念。概念階段的主要流程如圖2所示。

圖2 概念階段主要活動

1.1 概念階段主要活動

“項目對象定義”過程需要定義并描述分析對象，以及對象與其余環(huán)境和其他系統(tǒng)的相互影響和依賴性，以充分了解和掌握系統(tǒng)?！俺跏蓟踩芷凇彪A段需要明確是全新開發(fā)還是對現(xiàn)有系統(tǒng)的更改。“危害分析評估和風(fēng)險評估”部分，要識別系統(tǒng)中因故障引起的危險并分類，根據(jù)危險的級別定義其ASIL（Automotive Safety Integrity Level）等級，同時制定減少危害或者避免風(fēng)險的安全目標，以避免出現(xiàn)不合理風(fēng)險?！肮δ馨踩拍睢毙枰鶕?jù)安全目標制定功能安全要求，并將它們分配給系統(tǒng)的初級有構(gòu)原件或外部風(fēng)險降低措施，以確保獲得所需的功能安全。

1.2 功能完整性等級ASIL

ISO26262規(guī)范規(guī)定應(yīng)該辨別和確認出所有可能影響系統(tǒng)功能安全的風(fēng)險，對其執(zhí)行風(fēng)險辨別、評估和持續(xù)安全改進。其中風(fēng)險評估的主要手段是確定功能安全完整等級 ASIL，作為后續(xù)階段流程的參考標準，這個過程不需要產(chǎn)品詳細設(shè)計，只需要對針對產(chǎn)品的功能的使用上面。具體的三個指標與ASIL的等級關(guān)系查詢表見圖3。

可控性嚴重度 暴露度C1 C2 C3 E1 QM QM QM S1 E2 QM QM QM E3 QM QM A E4 QM A B S2 E1 QM QM QM

圖3 ASIL分級

ASIL分為A、B、C、D 4個級別，其中QM表示沒有特別的功能安全需求，只需要實施正常的質(zhì)量管理流程。ASIL D為最高汽車安全完整性等級，功能安全的要求最高,在后續(xù)的設(shè)計中也會有更高的硬件架構(gòu)和診斷覆蓋率的要求，成本也會隨之上升。ASIL等級的評估需要三個要素：“嚴重度”、“暴露度”、和“可控性”。

嚴重度等級（Severity）表示發(fā)生危險時對車上人員或者行人造成傷害的嚴重程度，S0表示無傷害，S3表示致命傷害，根據(jù)實際場景分析危害的嚴重程度，具體參見圖4。

圖4 嚴重度等級

可控性等級（Controllability）表示失效發(fā)生時駕駛員和其他交通參與人員能夠避免危險或傷害的能應(yīng)。分為4個等級C0-C4，C0表示通?？煽?，C1為大于99%駕駛員可以控制，C2為大于90%駕駛員可控，C3為低于90%駕駛員可控，參見圖5。

圖5 可控性等級

暴露度等級（Exposure）是指該風(fēng)險在實際應(yīng)用環(huán)境中發(fā)生的概率，該等級不是考慮某種風(fēng)險實際發(fā)生的概率，而是某失效發(fā)生時會導(dǎo)致危害風(fēng)險發(fā)生的場景發(fā)生頻次?？煞譃镋0-E4 5個等級，參考圖6。

圖6 暴露度等級

2 整車控制器的概念設(shè)計

2.1 項目對象定義

整車控制器是純電動汽車的控制核心，負責(zé)傳遞整車的扭矩信號，以及對整車的電池進行管理。整車控制器收集加速踏板和制動踏板模擬信號，根據(jù)車速、檔位、荷電狀態(tài) SOC、電池電機溫度、鑰匙信號等對駕駛員意圖進行分析，進而決定輸出轉(zhuǎn)矩的大小和駕駛模式的選擇，并進行能量優(yōu)化管理。

考慮到整車控制器在國內(nèi)的運行條件和因素不盡相同，為了后續(xù)的設(shè)計方便，將VCU一般國內(nèi)的運行條件列于表1。

表1 VCU運行條件

整車控制器常見的危險事件有：1、非意圖的扭矩增加。2、非意圖的制動應(yīng)矩。3、

車輛無制動應(yīng)矩等。將危險事件列于表2，并進行ASIL等級分析，有于篇幅省略了部分類似的并且 ASIL等級更低的情況。

表2 危險事件分析

2.2 安全目標確認

根據(jù)表2對危險事件的分析，可以得到安全目標要求和其ASIL等級。類似的安全目標可以合并為一個安全目標，ASIL等級取其中最高的。表3列出了整車控制器安全目標。

2.3 功能安全故障樹分析

FTA(Fault tree analysis)故障樹分析，是一種自上而下的演繹方法。它從一個最頂層的故障開始，逐層向下進行分析。這種方法可列舉出所有直接或非直接的因素，直到最底層的不可分解的失效。本文以“非意圖的制動應(yīng)矩”為頂層事件進行分析，詳見圖7。

表3 VCU安全目標

圖7列出了導(dǎo)致“非意圖的制動應(yīng)矩”事件的原因，并逐層分解至更深層的原因。由圖可知大致會有13種基本故障會導(dǎo)致“非意圖的制動應(yīng)矩”事件的發(fā)生，因此可以在設(shè)計階段了解到導(dǎo)致系統(tǒng)故障的可能原因和事件，使得在開發(fā)階段就能規(guī)避系統(tǒng)的單點故障和多點故障等等。

圖7 FTA故障樹分析

2.4 功能安全概念

針對安全目標SG_1、SG_2、SG_3，參考FTA故障樹分析的有有，本文設(shè)計了如下功能安全概念：針對模擬輸出信號問題了提出FSR-1的安全需求。針對加速踏板和制動踏板的模擬輸入，提出FSR-4、FSR-5。針對VCU電源和時鐘故障，提出 FSR-2、FSR-3的監(jiān)控要求。針對CAN信息，提出FSR-6的功能安全需求。將詳細的功能安全需求列入表4。

表4 功能安全概念

通過軟件邏輯比對診斷錯誤 輸入FSR-6 CAN傳遞信息受冗余信息保護 C CAN

3 有束語

ISO26262為汽車電子電氣系統(tǒng)功能安全開發(fā)提供了過程指導(dǎo)和新的思路方法。本文依照其第三章概念開發(fā)階段的流程建議，對VCU整車控制器進行了概念階段的設(shè)計，完成了針對整車控制器扭矩功能安全概念要求的設(shè)計，滿足ISO26262標準，為后續(xù)的硬件設(shè)計和軟件開發(fā)提供了基礎(chǔ)。