韓宜偉 劉福聚 崔福軍 劉志勇 張元

（北京中機車輛司法鑒定中心 北京市 100176）

隨著國家和社會的強力支持，科學(xué)技術(shù)的突飛猛進(jìn)，汽車與能源、交通、信息通信等領(lǐng)域相關(guān)技術(shù)加速融合，電動化、網(wǎng)聯(lián)化、智能化成為汽車產(chǎn)業(yè)發(fā)展的潮流和趨勢。日益增多的電子設(shè)備給汽車的性能帶來大幅度的提升，但也帶來了比以往更復(fù)雜的整車安全性問題。2011年ISO 國際標(biāo)準(zhǔn)化組織聯(lián)合IEC 國際電工協(xié)會共同制定了ISO26262 功能安全標(biāo)準(zhǔn)，旨在減少因電子電氣系統(tǒng)失效而導(dǎo)致的安全風(fēng)險，提高整車的安全性。

近些年來國內(nèi)的企業(yè)和高校也加強了電子電氣系統(tǒng)功能安全方面的研究，濰柴動力的張佳驥[1]提出基于ISO26262 的純電動公交車VCU 的設(shè)計；上海捷能汽車?yán)钕嗳A[2]結(jié)合功能安全概念對混合動力汽車駐車系統(tǒng)進(jìn)行了分析；同濟大學(xué)黃代富[3]運用功能安全方法設(shè)計了電池管理系統(tǒng)等，但是作為新能源汽車重要的輔助系統(tǒng)，關(guān)于TMS系統(tǒng)在此方面的研究較少。本文將以某重型混合動力商用車TMS系統(tǒng)為例，重點闡述功能安全階段的設(shè)計與開發(fā)，旨在為后續(xù)基于功能安全的TMS系統(tǒng)軟硬件開發(fā)提供借鑒。

1 概念階段設(shè)計

1.1 TMS系統(tǒng)邊界與相關(guān)項定義

一般混合動力車輛會同時配備幾套冷卻系統(tǒng)分別給發(fā)動機、動力電機及動力電池等部件進(jìn)行冷卻，本文介紹的TMS系統(tǒng)專門為動力電機和動力電池及高壓附件進(jìn)行冷卻，熱管理系統(tǒng)的示意圖如圖1所示。對于TMS系統(tǒng)的結(jié)構(gòu)此時強調(diào)幾點：

圖1：混合動力汽車TMS系統(tǒng)示意圖

（1）電動壓縮機和機械壓縮機共用一套冷凝器、儲液罐及冷凝劑管路，冷卻液與冷凝劑熱交換后通過閥通管路串并聯(lián)的流經(jīng)電機、電池等部件。

（2）電動壓縮機與機械壓縮機互為冗余，兩者都可以單獨工作，也可以聯(lián)合起來運行。

（3）電動壓縮機相比機械壓縮機更加經(jīng)濟、平穩(wěn)，且NVH 表現(xiàn)更好，因此電動壓縮機作為冷卻系統(tǒng)的主執(zhí)行機構(gòu)。

（4）TMS 控制器控制冷卻系統(tǒng)常規(guī)的功能，在TMS 控制器出現(xiàn)故障時整車控制器會接管部分冷卻系統(tǒng)的功能。

（5）TMS系統(tǒng)除了具有冷卻電池電機功能，還具備駕駛室內(nèi)空調(diào)冷卻及電池加熱功能，但本文主要考慮電池和電機冷卻功能，在此不過多闡述討論。TMS系統(tǒng)由機械結(jié)構(gòu)、電氣部件、高低壓線束以及眾多軟硬件組成的控制器組成，在此之中TMS 控制器屬于TMS系統(tǒng)控制的核心，通過CAN 總線與電池管理系統(tǒng)（BMS）、電機控制器（MCU）等進(jìn)行信息交互。通過采集管道內(nèi)溫度信號、壓縮機轉(zhuǎn)速信號、冷媒壓力值信號等，進(jìn)行相應(yīng)的水泵驅(qū)動、風(fēng)扇調(diào)速、壓縮機控制等功能。TMS 控制器的功能概括如下：

（1）根據(jù)車輛部件狀態(tài)控制TMS系統(tǒng)部件工作；

（2）響應(yīng)外部ECU 制冷請求；

（3）故障報警。

功能1：根據(jù)車輛部件狀態(tài)控制TMS系統(tǒng)部件工作。根據(jù)車輛部件狀態(tài)控制TMS系統(tǒng)部件進(jìn)行工作，這是TMS 控制器最基本的功能。當(dāng)車輛當(dāng)前充放電狀態(tài)活躍，電池或電機等部件溫度處于較高水平時，TMS 控制器對接受的信號進(jìn)行處理，根據(jù)車輛目前的需求及自身的工作狀態(tài)，控制TMS系統(tǒng)中的部件進(jìn)行制冷工作。

功能2：響應(yīng)外部ECU 制冷請求。對于預(yù)見性巡航控制（Predictive Cruise Control，PCC）系統(tǒng)而言，車輛可以預(yù)知接下來幾公里甚至幾十公里的道路，由此車輛的工作模式對制冷系統(tǒng)要求更加靈活多樣，以此來應(yīng)對更高級別的輔助駕駛工況，高級輔助駕駛（Advanced Driver Assistance Systems，ADAS）ECU 通過與TMS控制器的請求接口實現(xiàn)制冷控制。

功能3：故障報警。TMS系統(tǒng)應(yīng)該能夠按照設(shè)定的工作模式控制電池、電機等部件工作在一定的溫度值范圍內(nèi)，當(dāng)部件溫度范圍無法滿足時，TMS系統(tǒng)需要將故障狀態(tài)發(fā)送給HMI，在儀表盤上點亮黃燈提醒駕駛員系統(tǒng)故障。

1.2 功能失效模式與整車危害

ISO 26262 中推薦了一種系統(tǒng)性分析相關(guān)項危害的方法——HAZOP(危害和可操作性分析，Hazard and Operability Analysis)，HAZOP 給開發(fā)人員提供了一種分析功能失效的思維方式，被車輛設(shè)計研發(fā)人員廣泛地運用到了功能安全開發(fā)中，因此本文也借助HAZOP 對TMS系統(tǒng)進(jìn)行分析。如表1、表2 和表3所示，HAZOP主要從以下幾個方面分析功能失效的模式，從而識別出功能失效導(dǎo)致的整車危害。

表1：功能1 HAZOP 分析

表2：功能2 HAZOP 分析

表3：功能3 HAZOP 分析

（1）功能缺失-在有需求時無法提供相應(yīng)的功能。

（2）功能非預(yù)期激活-在沒有需求時功能激活。

（3）輸出卡在某一固定值-功能沒有按照預(yù)期進(jìn)行更新。

（4）有需求時提供非預(yù)期的功能。

綜上分析，雖然TMS系統(tǒng)不同功能對應(yīng)的功能失效不同，但是引起的整車危害是有重疊部分的，根據(jù)整車危害篩選整理匯總?cè)绫?所示。

表4：功能失效模式及整車危害匯總

1.3 危害事件風(fēng)險評估和安全目標(biāo)導(dǎo)出

在概念設(shè)計階段，研發(fā)設(shè)計人員需要將TMS 控制器當(dāng)作一個“黑盒”看待，分析系統(tǒng)失效功能時不能考慮已有的安全機制。將車輛運行狀態(tài)、地理位置、天氣狀況、道路場景、危害事件中涉及的人員等等相結(jié)合便可以得到車輛場景的模型庫，利用分析得到的系統(tǒng)失效模式結(jié)合車輛場景模型庫可以得到較為豐富的危害事件，并根據(jù)系統(tǒng)實際工作狀況剔除不合理的危害事件，接下來對危害事件進(jìn)行汽車安全完整性等級（Automotive Safety Integrity Level,ASIL）打分，危害事件主要是從S（severity 嚴(yán)重度）、E（Exposure暴露度）和C（controllability 可控度）三個維度對風(fēng)險進(jìn)行評級得出對應(yīng)的ASIL 等級，其中嚴(yán)重度S 指危害發(fā)生時對駕駛員、乘客、路人或周邊車輛中人員會造成的傷害等級，包含S0-S3，S0 為無傷害，S3 為危及生命的傷害；暴露度指運行場景在日常駕駛過程中發(fā)生的概率，包含E0-E4，E0 為不可能，E4 為高概率；可控度指危害發(fā)生時駕駛員或其他涉險人員能夠控制危害或者避免傷害的概率，包含C0-C3，C0 為原則可控，C3 為難以控制。ASIL 等級的評定遵循以下公式：

如表5所示為TMS系統(tǒng)功能風(fēng)險評估表，ISO 26262 要求，應(yīng)為具有ASIL 等級的每個危害事件確定一個安全目標(biāo)。因此，基于前面的分析結(jié)果，我們可以得到TMS系統(tǒng)的安全目標(biāo)并匯總?cè)缦拢?/p>

表5：TMS 功能風(fēng)險評估

SG01：TMS系統(tǒng)在車輛充放電過程中應(yīng)避免制冷量過小→ASIL B

SG02：TMS 在響應(yīng)外部ECU 的制冷請求時應(yīng)避免制冷量過小→ ASIL A

1.4 功能安全概念

根據(jù)前面相關(guān)項定義、危害事件風(fēng)險評估與分析導(dǎo)出了TMS系統(tǒng)的安全目標(biāo)，ISO26262 中規(guī)定每一個安全目標(biāo)都需要有至少一個功能安全需求 （Functional Safety Requirement，F(xiàn)SR）來承接，而一項FSR 可以對應(yīng)多個安全目標(biāo)，通過導(dǎo)出的FSR 可以指導(dǎo)后續(xù)系統(tǒng)、軟硬件等的設(shè)計。作為功能安全中一個重要的屬性，F(xiàn)SR的ASIL 等級是繼承自該需求所屬的安全目標(biāo)的，如果該FSR 屬于多個安全目標(biāo)，那么FSR 的ASIL 等級取多個安全目標(biāo)的ASIL 等級的最高值。如果說某一 FSR 可以分解為兩個獨立的需求，那么相應(yīng)的 ASIL 等級也會進(jìn)行分解，從而可以降低后續(xù)活動中該條需求的開發(fā)與驗證難度進(jìn)行推導(dǎo)設(shè)計。

1.4.1 FTA 分析

按照ISO 26262 的要求，需要在系統(tǒng)設(shè)計時進(jìn)行安全分析，常用的安全分析方法有：故障樹分析 （FTA） 、失效模式與影響分析 （FMEA） 等。本文采用故障樹FTA 方法進(jìn)行安全分析。以TMS 制冷量過小作為頂事件，將其向下依次分解到傳感器、控制器和執(zhí)行器中，再繼續(xù)向下進(jìn)行分解至最底層，如圖2所示以SG01 安全目標(biāo)為例。

圖2：TMS 安全目標(biāo)SG01 故障樹分析

1.4.2 功能安全需求（FSR）分析

結(jié)合前面導(dǎo)出的安全目標(biāo)需求和故障樹分析，表6 給出了功能安全需求定義，每一項安全目標(biāo)對應(yīng)不止一項功能安全需求。

表6：SG01 功能安全需求分析

由功能安全需求和故障樹分析結(jié)果，將功能安全需求分配到相關(guān)子系統(tǒng)中，作為各子系統(tǒng)開發(fā)的需求輸入，分配結(jié)果如圖3所示。

圖3：TMS系統(tǒng)SG01 功能安全需求分配

1.4.3 技術(shù)安全需求（TSR）分析

技術(shù)安全需求（TSR）是實現(xiàn)功能安全需求的必要的技術(shù)要求，目的是將相關(guān)項層面的功能安全需求細(xì)化到系統(tǒng)層面的技術(shù)安全需求。技術(shù)安全需求應(yīng)包含系統(tǒng)故障的探測、指示和控制措施；使系統(tǒng)實現(xiàn)或維持在安全狀態(tài)的措施；對于功能安全需求中的警告和降級細(xì)化等。結(jié)合FTA 安全分析結(jié)果和功能安全需求導(dǎo)出的技術(shù)安全需求如表7所示。

表7：SG01 技術(shù)安全需求分析

2 系統(tǒng)架構(gòu)設(shè)計

根據(jù)前面功能安全需求及技術(shù)安全需求，進(jìn)行TMS 控制器系統(tǒng)架構(gòu)的設(shè)計。系統(tǒng)架構(gòu)借鑒采用E-Gas 三層架構(gòu)模式，包含兩個控制單元如圖4所示，第1 層是基本功能層，包含TMS 控制器軟件中所有的控制算法、標(biāo)定參數(shù)和基本的驅(qū)動及故障診斷功能。第2 層是功能監(jiān)控層，主要是對第一層進(jìn)行監(jiān)控，通過冗余的信號檢測處理是否正確，監(jiān)控第一層輸出數(shù)據(jù)是否正常。第3 層為處理器監(jiān)控層，獨立于功能控制單元（一般采用ASIC 或微處理器），通過問、答的形式監(jiān)控功能控制單元工作是否正常。

圖4：TMS 控制器系統(tǒng)架構(gòu)設(shè)計

3 結(jié)論

本文介紹了基于ISO26262 標(biāo)準(zhǔn)的功能安全的開發(fā)流程，并對混合動力重卡TMS系統(tǒng)TMS 進(jìn)行功能安全設(shè)計分析。定義了TMS系統(tǒng)相關(guān)項，通過HAZOP 分析確定了TMS系統(tǒng)的功能失效模式及對應(yīng)整車危害，通過危害事件風(fēng)險評估對TMS 進(jìn)行了安全目標(biāo)導(dǎo)出；結(jié)合功能安全和技術(shù)安全需求進(jìn)行了系統(tǒng)概念的設(shè)計。本文論述的方法對混合動力TMS 的功能安全開發(fā)具有一定的可行性及實用價值，為下一步系統(tǒng)開發(fā)及軟硬件設(shè)計提供了依據(jù)。