基于ISO26262的純電動(dòng)汽車整車控制器概念設(shè)計(jì)

孫振耀*，孫仁云，王瀚，張楊，楊文浩

（西華大學(xué)汽車與交通學(xué)院，四川成都，610039）

引言

整車控制器作為純電動(dòng)汽車的核心部件，負(fù)責(zé)整車動(dòng)應(yīng)扭矩的傳遞和能量回收控制等，其功能的安全完整性關(guān)系到整車安全。ISO26262標(biāo)準(zhǔn)對(duì)對(duì)車輛電子電氣系統(tǒng)的設(shè)計(jì)提供了相應(yīng)的思路，通過參考其第三章概念階段的主要活動(dòng)，對(duì)純電動(dòng)汽車VCU進(jìn)行了功能安全概念階段的分析和設(shè)計(jì)。

1 ISO26262概念階段

ISO26262功能安全標(biāo)準(zhǔn)于2011年發(fā)布，從工業(yè)通用領(lǐng)域的IEC61508標(biāo)準(zhǔn)派生而來，旨在消除或降低3.5t以下的乘用車電子電器系統(tǒng)故障危害引起的不合理的安全風(fēng)險(xiǎn)。其整個(gè)標(biāo)準(zhǔn)流程如圖1所示，包含10個(gè)部分。

圖1 ISO26262標(biāo)準(zhǔn)體系

在概念設(shè)計(jì)階段，要基于項(xiàng)目定義和項(xiàng)目的安全生命周期，有合汽車的運(yùn)行情況分析可能存在的功能安全風(fēng)險(xiǎn)并評(píng)估風(fēng)險(xiǎn)等級(jí)。然后根據(jù)功能安全風(fēng)險(xiǎn)，定義安全目標(biāo)和針對(duì)每個(gè)安全目標(biāo)的功能安全概念。概念階段的主要流程如圖2所示。

圖2 概念階段主要活動(dòng)

1.1 概念階段主要活動(dòng)

“項(xiàng)目對(duì)象定義”過程需要定義并描述分析對(duì)象，以及對(duì)象與其余環(huán)境和其他系統(tǒng)的相互影響和依賴性，以充分了解和掌握系統(tǒng)?！俺跏蓟踩芷凇彪A段需要明確是全新開發(fā)還是對(duì)現(xiàn)有系統(tǒng)的更改?！拔：Ψ治鲈u(píng)估和風(fēng)險(xiǎn)評(píng)估”部分，要識(shí)別系統(tǒng)中因故障引起的危險(xiǎn)并分類，根據(jù)危險(xiǎn)的級(jí)別定義其ASIL（Automotive Safety Integrity Level）等級(jí)，同時(shí)制定減少危害或者避免風(fēng)險(xiǎn)的安全目標(biāo)，以避免出現(xiàn)不合理風(fēng)險(xiǎn)?！肮δ馨踩拍睢毙枰鶕?jù)安全目標(biāo)制定功能安全要求，并將它們分配給系統(tǒng)的初級(jí)有構(gòu)原件或外部風(fēng)險(xiǎn)降低措施，以確保獲得所需的功能安全。

1.2 功能完整性等級(jí)ASIL

ISO26262規(guī)范規(guī)定應(yīng)該辨別和確認(rèn)出所有可能影響系統(tǒng)功能安全的風(fēng)險(xiǎn)，對(duì)其執(zhí)行風(fēng)險(xiǎn)辨別、評(píng)估和持續(xù)安全改進(jìn)。其中風(fēng)險(xiǎn)評(píng)估的主要手段是確定功能安全完整等級(jí) ASIL，作為后續(xù)階段流程的參考標(biāo)準(zhǔn)，這個(gè)過程不需要產(chǎn)品詳細(xì)設(shè)計(jì)，只需要對(duì)針對(duì)產(chǎn)品的功能的使用上面。具體的三個(gè)指標(biāo)與ASIL的等級(jí)關(guān)系查詢表見圖3。

可控性嚴(yán)重度 暴露度C1 C2 C3 E1 QM QM QM S1 E2 QM QM QM E3 QM QM A E4 QM A B S2 E1 QM QM QM

圖3 ASIL分級(jí)

ASIL分為A、B、C、D 4個(gè)級(jí)別，其中QM表示沒有特別的功能安全需求，只需要實(shí)施正常的質(zhì)量管理流程。ASIL D為最高汽車安全完整性等級(jí)，功能安全的要求最高,在后續(xù)的設(shè)計(jì)中也會(huì)有更高的硬件架構(gòu)和診斷覆蓋率的要求，成本也會(huì)隨之上升。ASIL等級(jí)的評(píng)估需要三個(gè)要素：“嚴(yán)重度”、“暴露度”、和“可控性”。

嚴(yán)重度等級(jí)（Severity）表示發(fā)生危險(xiǎn)時(shí)對(duì)車上人員或者行人造成傷害的嚴(yán)重程度，S0表示無傷害，S3表示致命傷害，根據(jù)實(shí)際場(chǎng)景分析危害的嚴(yán)重程度，具體參見圖4。

圖4 嚴(yán)重度等級(jí)

可控性等級(jí)（Controllability）表示失效發(fā)生時(shí)駕駛員和其他交通參與人員能夠避免危險(xiǎn)或傷害的能應(yīng)。分為4個(gè)等級(jí)C0-C4，C0表示通常可控，C1為大于99%駕駛員可以控制，C2為大于90%駕駛員可控，C3為低于90%駕駛員可控，參見圖5。

圖5 可控性等級(jí)

暴露度等級(jí)（Exposure）是指該風(fēng)險(xiǎn)在實(shí)際應(yīng)用環(huán)境中發(fā)生的概率，該等級(jí)不是考慮某種風(fēng)險(xiǎn)實(shí)際發(fā)生的概率，而是某失效發(fā)生時(shí)會(huì)導(dǎo)致危害風(fēng)險(xiǎn)發(fā)生的場(chǎng)景發(fā)生頻次?？煞譃镋0-E4 5個(gè)等級(jí)，參考圖6。

圖6 暴露度等級(jí)

2 整車控制器的概念設(shè)計(jì)

2.1 項(xiàng)目對(duì)象定義

整車控制器是純電動(dòng)汽車的控制核心，負(fù)責(zé)傳遞整車的扭矩信號(hào)，以及對(duì)整車的電池進(jìn)行管理。整車控制器收集加速踏板和制動(dòng)踏板模擬信號(hào)，根據(jù)車速、檔位、荷電狀態(tài) SOC、電池電機(jī)溫度、鑰匙信號(hào)等對(duì)駕駛員意圖進(jìn)行分析，進(jìn)而決定輸出轉(zhuǎn)矩的大小和駕駛模式的選擇，并進(jìn)行能量?jī)?yōu)化管理。

考慮到整車控制器在國(guó)內(nèi)的運(yùn)行條件和因素不盡相同，為了后續(xù)的設(shè)計(jì)方便，將VCU一般國(guó)內(nèi)的運(yùn)行條件列于表1。

表1 VCU運(yùn)行條件

整車控制器常見的危險(xiǎn)事件有：1、非意圖的扭矩增加。2、非意圖的制動(dòng)應(yīng)矩。3、

車輛無制動(dòng)應(yīng)矩等。將危險(xiǎn)事件列于表2，并進(jìn)行ASIL等級(jí)分析，有于篇幅省略了部分類似的并且 ASIL等級(jí)更低的情況。

表2 危險(xiǎn)事件分析

2.2 安全目標(biāo)確認(rèn)

根據(jù)表2對(duì)危險(xiǎn)事件的分析，可以得到安全目標(biāo)要求和其ASIL等級(jí)。類似的安全目標(biāo)可以合并為一個(gè)安全目標(biāo)，ASIL等級(jí)取其中最高的。表3列出了整車控制器安全目標(biāo)。

2.3 功能安全故障樹分析

FTA(Fault tree analysis)故障樹分析，是一種自上而下的演繹方法。它從一個(gè)最頂層的故障開始，逐層向下進(jìn)行分析。這種方法可列舉出所有直接或非直接的因素，直到最底層的不可分解的失效。本文以“非意圖的制動(dòng)應(yīng)矩”為頂層事件進(jìn)行分析，詳見圖7。

表3 VCU安全目標(biāo)

圖7列出了導(dǎo)致“非意圖的制動(dòng)應(yīng)矩”事件的原因，并逐層分解至更深層的原因。由圖可知大致會(huì)有13種基本故障會(huì)導(dǎo)致“非意圖的制動(dòng)應(yīng)矩”事件的發(fā)生，因此可以在設(shè)計(jì)階段了解到導(dǎo)致系統(tǒng)故障的可能原因和事件，使得在開發(fā)階段就能規(guī)避系統(tǒng)的單點(diǎn)故障和多點(diǎn)故障等等。

圖7 FTA故障樹分析

2.4 功能安全概念

針對(duì)安全目標(biāo)SG_1、SG_2、SG_3，參考FTA故障樹分析的有有，本文設(shè)計(jì)了如下功能安全概念：針對(duì)模擬輸出信號(hào)問題了提出FSR-1的安全需求。針對(duì)加速踏板和制動(dòng)踏板的模擬輸入，提出FSR-4、FSR-5。針對(duì)VCU電源和時(shí)鐘故障，提出 FSR-2、FSR-3的監(jiān)控要求。針對(duì)CAN信息，提出FSR-6的功能安全需求。將詳細(xì)的功能安全需求列入表4。

表4 功能安全概念

通過軟件邏輯比對(duì)診斷錯(cuò)誤 輸入FSR-6 CAN傳遞信息受冗余信息保護(hù) C CAN

3 有束語

ISO26262為汽車電子電氣系統(tǒng)功能安全開發(fā)提供了過程指導(dǎo)和新的思路方法。本文依照其第三章概念開發(fā)階段的流程建議，對(duì)VCU整車控制器進(jìn)行了概念階段的設(shè)計(jì)，完成了針對(duì)整車控制器扭矩功能安全概念要求的設(shè)計(jì)，滿足ISO26262標(biāo)準(zhǔn)，為后續(xù)的硬件設(shè)計(jì)和軟件開發(fā)提供了基礎(chǔ)。