合肥工业大学 合肥 230002
【摘要】整车控制器VCU作为整车功能的交互节点及调度模块,是新能源汽车的重要控制器之一。本文基于功能安全相关标准,介绍危害分析和风险评估的分析方法,并根据此方法确定VCU的安全目标及功能安全等级。在确定整车层面的需求后进行功能安全概念的分解和分配,并通过对EGAS架构的应用,提出对其功能实现层进行监控的系统架构,为其他控制器的功能安全分析提供参考的示例。
关键词:功能安全;VCU;概念阶段;EGAS架构
引言
伴随着汽车智能化及新能源汽车产业的发展,车载电气电子系统的功能也日益增多,作为整车功能重要组成部分,VCU承担了极为复杂的功能,因其失效而导致的安全风险也不断升高。
如何预防此类风险对人身造成伤害,已成为行业关注的重点研究内容[1-3]。国际标准化组织(ISO)于2011年发布的ISO 26262标准,就是为了解决这类风险,其第二版也于2018年正式发布[4-5]。尽管该标准对于功能安全的开发给出了较为完整的流程,但是其仅作为规范类标准,涉及到的具体开发实例较少,且目前国内关于这部分的开发也处于起步阶段,所以如何实现实际产品的功能安全对开发人员来说还有一定的困难。
整车控制器(VCU)是实现整车扭矩控制的核心控制单元,而且还涉及到整车上下电、模式控制、能量回收控制等众多关键功能,负责系统模块间的交互和调度,故此其是否实现功能安全对整车安全来说意义重大。本文将从混合动力汽车整车控制器出发,详细阐述如何实现概念及系统阶段的功能安全。
1 VCU概念阶段的开发
由于VCU在整车电子电气架构中的特殊性,其在功能安全概念阶段的开发也呈现出自身的特点,具体表现为:VCU作为整车交互单元,会跟整车大部分的系统有功能间的交互,所以VCU系统最终得到的安全目标在数量上会较多;而且VCU只是负责功能的调度,不直接进行功能的执行,所以分配的ASIL等级也不会过高。
1.1安全目标及ASIL等级的定义
安全目标作为系统最高层级的需求,需要由危害分析和风险评估得到,并为安全目标定义ASIL等级。由于VCU功能众多,故在进行危害分析和风险评估时,需考虑的失效及失效场景也更为复杂,最终的分析内容相对于其他系统也较多。
对于系统潜在危害的分析,目前主要的分析方法是HAZOP分析,下表以这种方法为例,列举VCU能量回收功能的潜在失效模式。
表1潜在失效模式表
系统功能 | 功能丧失 | 多于预期 | 少于预期 | 方向相反 | 非预期的功能 | 输出卡滞在固定值上 |
能量回收功能 | 回收能力丧失 | 回收扭矩过大 | 回收扭矩过小 | 回收扭矩反向 | 非预期的回收扭矩 | 回收扭矩卡滞 |
识别出VCU的潜在失效模式后,需要评定其ASIL等级。ASIL等级分为A、B、C、D四级,等级越高表示风险越大,如果分析得出的结果为QM,则表示此失效安全无关。ASIL等级的确定需要考虑严重度(S)、暴露率(E)、可控性(C)三个因素,其中S表示失效发生的后果对交通参与者的伤害程度,C表示交通参与者控制或规避风险的能力,E代表危害事件发生时对应的场景的出现概率。在确定S、E、C三个指标后,根据其值查询下表2得到该失效不同场景下的ASIL等级。
表2 ASIL等级评定表
严重度等级 | 暴露度等级 | 可控性等级 | ||
C1 | C2 | C3 | ||
S1 | E1 | QM | QM | QM |
E2 | QM | QM | QM | |
E3 | QM | QM | A | |
E4 | QM | A | B | |
S2 | E1 | QM | QM | QM |
E2 | QM | QM | A | |
E3 | QM | A | B | |
E4 | A | B | C | |
S3 | E1 | QM | QM | A |
E2 | QM | A | B | |
E3 | A | B | C | |
E4 | B | C | D | |
若同一安全目标拥有不同的ASIL等级,则应继承其中最高的ASIL等级。下表3为危害分析和风险评估的示例:
表3整车控制器HARA分析表
潜在失效模式 | 失效场景 | 严重度 | 严重度理由 | 暴露率 | 暴露率理由 | 可控性 | 可控性理由 | 该场景下的ASIL等级 | 最终ASIL等级 |
发电量过大 | 过流,电池燃烧爆炸 | 3 | 电池燃烧爆炸后果严重 | 4 | 大部分路况都有可能发生 | 3 | 驾驶员无法控制 | D | D |
发电量过小 | 整车SOC下降严重 | 0 | 对人身无伤害 | 4 | 大部分路况都有可能发生 | 0 | 驾驶员行驶无明显限制 | QM | QM |
1.2定义安全目标
在完成危害分析和风险评估过程后,需为有ASIL等级的危害事件定义安全目标。在定义安全目标时,需对安全目标的其他属性进行定义,如:安全状态和故障容错时间间隔(FTTI),安全状态是指在检测到失效后整车进入的无风险的运行模式,FTTI是指从故障发生到危害事件发生的时间间隔,也是整车能进行安全处理的最大时间间隔,具体定义如下表4所示:
表4 安全目标表
安全目标 | ASIL等级 | 安全状态 | FTTI |
防止电池过流引起热失控 | D | 禁止能量回收功能 | 100 |
1.3功能安全概念阶段开发
功能安全概念阶段的开发是将整车级的安全目标分配到初始功能架构上,即针对各体统提出安全要求,同时分配相应的ASIL等级。
以上述安全目标为例,通过FTA的方法对安全目标进行分解。
图1 FTA分析图
由图可知,由于VCU和MCU的部分失效会导致安全目标的违背,应继承安全目标的ASIL D等级,但由于BMS系统会对电池的充电电流进行限制,在电池过充时会命令断开主接触器,所以在此处BMS系统可以对VCU和BMS的ASIL等级进行分解。关于ASIL分解的具体描述大家可参考ISO26262第九部分的对应内容。在此处的ASIL等级分解如下所示:
ASIL D=ASIL B(D)+ ASIL B(D)
根据上述分解过程,即可得到如下表5的内容:
表5 功能安全概念列表
安全目标 | 分配的系统 | 功能安全要求 | ASIL等级 |
防止电池过流引起热失控 | MCU | 电机进行能量回收的扭矩不应控制过大 | B(D) |
VCU | VCU不应发送过大的能量回收扭矩 | B(D) | |
BMS | BMS应在电流超过阈值时控制关断主接触器 | B(D) |
2 EGAS在系统架构中的应用
在进行功能安全系统阶段的设计时,可考虑对ASIL等级进行分解,即将ASIL等级要求分配到重要的系统架构上,而安全无关的要素则可降级为QM,以减少开发的工作量及开发难度。本文将介绍ESAS架构进行分解,EGAS架构图如下:
图2 EGAS架构图
EGAS架构的概念主要是讲系统进行分层,即功能层(Level 1)、功能监管层(Level 2)和CPU监管层(Level 3)。在VCU系统中,EGAS的具体应用为:Level 1为VCU的应用层功能,其中还包括一些故障响应策略;Level 2是用来监控Level 1中的重要变量是否符合安全目标的阈值,且在检测到故障后需触发系统的故障处理;Level 3主要是通过问答机制监控Level 2是否运行正常,当确认故障时,需触发故障响应,且与Level 1的处理保持独立性。
根据前文的分析,VCU的安全目标是“防止电池过流引起的热失控”,将其分解到Level 2层,对应的需求为“保证能量回收不能过大”,因此,要实现VCU的功能安全,需要对能量回收扭矩值进行监控。具体的设计图如下所示:
图3 EGAS架构设计图
3.总结
VCU作为整车功能的调控单元,其在功能安全实现上具有自己的特点,简要来说就是安全目标较多且杂,但是ASIL等级不会过高。此外,由于VCU与外部系统交互众多,所以在进行功能安全开发时需充分考虑外部措施对VCU的ASIL等级评定的影响。同时,在进行其他系统的功能安全设计时也可充分考虑VCU是否能对其设计冗余机制,以减少整车功能安全的开发成本和开发难度。
由于功能安全标准的特殊性,功能安全的实现方式并不固定。本文针对VCU的功能安全概念及系统阶段的几点问题进行了讨论,为行业内VCU的功能安全开发及其他系统的功能安全开发提供参考。
参考文献
李波,冯屹,王兆,等.中国道路车辆功能安全标准化工作规划[J]. 中国标准化, 2017(12):122-125.
尚世亮,李波.车辆电控系统预期功能安全技术研究[J].中国标准化, 2016(9)58-62.
CLARKL,MILNE S.功能安全对于汽车供应链的挑战[J].电子产品世界,2016(10):27.
ISO 26262:2011 Road vehicles-Functional safety.
ISO 26262:2018 Road vehicles-Functional safety.
客服QQ:30444492琼网文【2021】1550-113号
增值电信业务经营许可证:琼B2-20210322
出版物经营许可证:新出发龙华出字第(2021)009号
广播电视节目制作经营许可证:(琼)字第00779号
版权所有 ©2002-2024 期刊网(www.qikanchina.com) 琼ICP备2021005105号
