劉木林 卜凡濤 林輝 孫洋

東軟睿馳汽車技術(shù)（沈陽(yáng)）有限公司 遼寧省沈陽(yáng)市 110172

隨著無人駕駛和電動(dòng)汽車技術(shù)的發(fā)展,傳統(tǒng)汽車架構(gòu)已經(jīng)不能滿足智能駕駛的要求,對(duì)智能電動(dòng)汽車電子電氣架構(gòu)設(shè)計(jì)的科學(xué)性和高效性提出了更新,更高的標(biāo)準(zhǔn)要求.智能電動(dòng)汽車電子電氣架構(gòu)設(shè)計(jì)與優(yōu)化的最終目標(biāo)是對(duì)汽車電子電器元件進(jìn)行合理的排布,降低總線負(fù)載率,降低成本和質(zhì)量.通過分析智能電動(dòng)汽車電子電氣架構(gòu)設(shè)計(jì)的系統(tǒng)需求,基于域控制器的EE 架構(gòu)是下一代智能電動(dòng)汽車電子電氣架構(gòu)設(shè)計(jì)關(guān)注的重點(diǎn)。電動(dòng)汽車控制系統(tǒng)的核心是動(dòng)力域，而動(dòng)力域中最關(guān)鍵的兩個(gè)控制單元為整車控制器（VCU）和電池管理系統(tǒng)（BMS）。我們將這兩個(gè)控制單元整合到一起，組成了一種電動(dòng)汽車的動(dòng)力域控制系統(tǒng)VBS，而VBS 設(shè)計(jì)的關(guān)鍵部分在功能安全的設(shè)計(jì)。

本文著重介紹了VBS 功能安全中概念階段的設(shè)計(jì)，其中包括相關(guān)項(xiàng)定義、危害分析和風(fēng)險(xiǎn)評(píng)估、功能安全目標(biāo)確定等內(nèi)容。

1 VBS 的相關(guān)項(xiàng)定義

根據(jù)ISO 26262 第三部分，功能安全概念階段設(shè)計(jì)的第一項(xiàng)任務(wù)是進(jìn)行相關(guān)項(xiàng)定義（item definition）。對(duì)于VBS 的相關(guān)項(xiàng)定義，需要做的包括：（1）VBS 邊界以及與其它部件的交互關(guān)系。（2）功能需求定義。

對(duì)于VBS 邊界以及與其他部件的交互關(guān)系可見圖1 所示。VBS 系統(tǒng)包括VBU（vehicle and battery unit）、HVM（high voltage manager）、BIC（battery information collector）三個(gè)部分組成。VBU 主要負(fù)責(zé)中央運(yùn)算處理，與整車信號(hào)交互等功能。接口包括動(dòng)力總成CAN、電子電器CAN、直流充電CAN 及與加速、制動(dòng)踏板等器件的硬線連接。HVM 是高壓管理單元，接口包括高壓的電壓、電流，絕緣檢測(cè)傳感器，高壓接觸器等，還包括動(dòng)力總成CAN 及與BIC 的菊花鏈通信。BIC 主要采集電池的電壓、溫度等信息。BIC 之間以及BIC 和HVM 之間采用菊花鏈通信。

圖1 VBS 邊界以及與其它部件的交互關(guān)系圖

對(duì)于VBS 的功能需求定義，分為15個(gè)部分：（1）系統(tǒng)工作模式識(shí)別及狀態(tài)轉(zhuǎn)換。（2）行車/ 駐車功能。（3）充電管理。（4）整車及電池?zé)峁芾恚?）車輛狀態(tài)顯示及交互。（6）車輛附件管理。（7）車輛故障報(bào)警及處理。（8）電池狀態(tài)監(jiān)控及估算。（9）電芯間電量均衡管理。（10）電池保護(hù)。（11）電池異常處理。（12）熱失控報(bào)警。（13）碰撞檢測(cè)及處理。（14）維修與服務(wù)。（15）VBS 失效檢測(cè)和處理。

最后對(duì)這15 個(gè)功能再進(jìn)行詳細(xì)的分解。包含功能框圖，輸入、功能描述及輸出。以第（6）條功能，車輛附件管理功能為例。功能框圖如圖2。輸入為：鉛酸電池電壓信號(hào)；DCDC 狀態(tài)及故障信號(hào)；真空度信號(hào)。輸出為：DCDC 控制開關(guān)指令；功率限制命令；真空泵控制信號(hào)。部分功能需求描述: VBU 采集12V 蓄電池的電壓；將DCDC 故障納入整車故障判斷中，按故障等級(jí)進(jìn)行處理。DCDC 采集和判定電壓過壓、欠壓、過溫、短路等故障，并同時(shí)發(fā)送匯總的故障等級(jí),VBU 只需檢測(cè)故障等級(jí)；通過控制DCDC 以及蓄電池控制繼電器對(duì)蓄電池進(jìn)行充電。根據(jù)蓄電池電壓或外設(shè)要求判定是否需要啟動(dòng)DCDC,當(dāng)檢測(cè)到蓄電池電壓過低時(shí)，需要吸合蓄電池控制繼電器；蓄電池電壓恢復(fù)后不在需要DCDC 工作時(shí)（需要考慮其他外設(shè)要求是否需要停止DCDC 工作），斷開補(bǔ)電繼電器；BCM 故障狀態(tài)要結(jié)合到整車故障中，參與扭矩控制；VBU 實(shí)時(shí)檢測(cè)真空容器壓力傳感器的信號(hào)，查表計(jì)算出壓力值；VBU 控制真空泵的輸出功率，使真空容器中的壓強(qiáng)維持在一定范圍內(nèi)，保證可為整車制動(dòng)系統(tǒng)提供足夠的制動(dòng)力。

圖2 車輛附件管理功能框圖

2 VBS 的危害分析和風(fēng)險(xiǎn)評(píng)估

由ISO26262第三部分可知，倘若需要定義VBS 系統(tǒng)的安全目標(biāo)，需要先對(duì)VBS 系統(tǒng)進(jìn)行危害分析和風(fēng)險(xiǎn)評(píng)估，識(shí)別出系統(tǒng)的潛在危害。表1 是VBS 的危害分析及風(fēng)險(xiǎn)評(píng)估（HARA）文檔。表中列出了HARA 中需要分析的項(xiàng)目，同時(shí)給出一個(gè)失效模式的例子進(jìn)行說明。首先，功能故障項(xiàng)是由相關(guān)項(xiàng)定義而得出的。相關(guān)項(xiàng)定義中給出了15 個(gè)功能項(xiàng)，每個(gè)功能項(xiàng)又會(huì)分解出許多的獨(dú)立功能項(xiàng)，針對(duì)每個(gè)功能項(xiàng)可能出現(xiàn)的失效模式（例如功能失效、反向、過高、過低等）進(jìn)行分解。大約可分解為幾百個(gè)故障模式。然后，針對(duì)每個(gè)故障模式又有不同的情景描述（包括車速、工況、路面情況、駕駛員情況等）。最后對(duì)每個(gè)故障模式及對(duì)應(yīng)的情景描述進(jìn)行三個(gè)維度的評(píng)分。這三個(gè)評(píng)估維度分別為：S 嚴(yán)重程度等級(jí)、E 暴露概率等級(jí)、C可靠性等級(jí)。三個(gè)等級(jí)的評(píng)估標(biāo)準(zhǔn)節(jié)選自ISO 26262，可參照表2 進(jìn)行。

表1 HARA 分析示例

表2 S/E/C 等級(jí)評(píng)估標(biāo)準(zhǔn)

3 VBS 的功能安全目標(biāo)及ASIL 等級(jí)的確定

通過HARA 分析會(huì)得到各個(gè)故障的S、E、C 的值。而功能安全目標(biāo)是基于這三個(gè)值的和進(jìn)行判定的。如果三個(gè)值的和小于7為QM 等級(jí)，不列為功能安全目標(biāo)，按正常產(chǎn)品的質(zhì)量管理即可。和等于7 為ASIL A 等級(jí)；和等于8為ASIL B 等級(jí)；和等于9為ASILC等級(jí)；和等于10為ASIL D 等級(jí)。表3 匯總了VBS 的功能安全目標(biāo)，同時(shí)列出安全狀態(tài)，進(jìn)入安全狀態(tài)的時(shí)間（FTTI）、ASIL等級(jí)。至此完成VBS的功能安全概念階段設(shè)計(jì)。

表3 VBS 功能安全目標(biāo)匯總