基于ISO26262的纯电动汽车整车控制器概念设计

2018-09-20孙振耀孙仁云王瀚张杨杨文浩

数码设计 2018年4期

孙振耀*，孙仁云，王瀚，张杨，杨文浩

（西华大学汽车与交通学院，四川成都，610039）

引言

整车控制器作为纯电动汽车的核心部件，负责整车动应扭矩的传递和能量回收控制等，其功能的安全完整性关系到整车安全。ISO26262标准对对车辆电子电气系统的设计提供了相应的思路，通过参考其第三章概念阶段的主要活动，对纯电动汽车VCU进行了功能安全概念阶段的分析和设计。

1 ISO26262概念阶段

ISO26262功能安全标准于2011年发布，从工业通用领域的IEC61508标准派生而来，旨在消除或降低3.5t以下的乘用车电子电器系统故障危害引起的不合理的安全风险。其整个标准流程如图1所示，包含10个部分。

图1 ISO26262标准体系

在概念设计阶段，要基于项目定义和项目的安全生命周期，有合汽车的运行情况分析可能存在的功能安全风险并评估风险等级。然后根据功能安全风险，定义安全目标和针对每个安全目标的功能安全概念。概念阶段的主要流程如图2所示。

图2 概念阶段主要活动

1.1 概念阶段主要活动

“项目对象定义”过程需要定义并描述分析对象，以及对象与其余环境和其他系统的相互影响和依赖性，以充分了解和掌握系统。“初始化安全生命周期”阶段需要明确是全新开发还是对现有系统的更改。“危害分析评估和风险评估”部分，要识别系统中因故障引起的危险并分类，根据危险的级别定义其ASIL（Automotive Safety Integrity Level）等级，同时制定减少危害或者避免风险的安全目标，以避免出现不合理风险。“功能安全概念”需要根据安全目标制定功能安全要求，并将它们分配给系统的初级有构原件或外部风险降低措施，以确保获得所需的功能安全。

1.2 功能完整性等级ASIL

ISO26262规范规定应该辨别和确认出所有可能影响系统功能安全的风险，对其执行风险辨别、评估和持续安全改进。其中风险评估的主要手段是确定功能安全完整等级 ASIL，作为后续阶段流程的参考标准，这个过程不需要产品详细设计，只需要对针对产品的功能的使用上面。具体的三个指标与ASIL的等级关系查询表见图3。

可控性严重度暴露度C1 C2 C3 E1 QM QM QM S1 E2 QM QM QM E3 QM QM A E4 QM A B S2 E1 QM QM QM

图3 ASIL分级

ASIL分为A、B、C、D 4个级别，其中QM表示没有特别的功能安全需求，只需要实施正常的质量管理流程。ASIL D为最高汽车安全完整性等级，功能安全的要求最高,在后续的设计中也会有更高的硬件架构和诊断覆盖率的要求，成本也会随之上升。ASIL等级的评估需要三个要素：“严重度”、“暴露度”、和“可控性”。

严重度等级（Severity）表示发生危险时对车上人员或者行人造成伤害的严重程度，S0表示无伤害，S3表示致命伤害，根据实际场景分析危害的严重程度，具体参见图4。

图4 严重度等级

可控性等级（Controllability）表示失效发生时驾驶员和其他交通参与人员能够避免危险或伤害的能应。分为4个等级C0-C4，C0表示通常可控，C1为大于99%驾驶员可以控制，C2为大于90%驾驶员可控，C3为低于90%驾驶员可控，参见图5。

图5 可控性等级

暴露度等级（Exposure）是指该风险在实际应用环境中发生的概率，该等级不是考虑某种风险实际发生的概率，而是某失效发生时会导致危害风险发生的场景发生频次。可分为E0-E4 5个等级，参考图6。

图6 暴露度等级

2 整车控制器的概念设计

2.1 项目对象定义

整车控制器是纯电动汽车的控制核心，负责传递整车的扭矩信号，以及对整车的电池进行管理。整车控制器收集加速踏板和制动踏板模拟信号，根据车速、档位、荷电状态 SOC、电池电机温度、钥匙信号等对驾驶员意图进行分析，进而决定输出转矩的大小和驾驶模式的选择，并进行能量优化管理。

考虑到整车控制器在国内的运行条件和因素不尽相同，为了后续的设计方便，将VCU一般国内的运行条件列于表1。

表1 VCU运行条件

整车控制器常见的危险事件有：1、非意图的扭矩增加。2、非意图的制动应矩。3、

车辆无制动应矩等。将危险事件列于表2，并进行ASIL等级分析，有于篇幅省略了部分类似的并且 ASIL等级更低的情况。

表2 危险事件分析

2.2 安全目标确认

根据表2对危险事件的分析，可以得到安全目标要求和其ASIL等级。类似的安全目标可以合并为一个安全目标，ASIL等级取其中最高的。表3列出了整车控制器安全目标。

2.3 功能安全故障树分析

FTA(Fault tree analysis)故障树分析，是一种自上而下的演绎方法。它从一个最顶层的故障开始，逐层向下进行分析。这种方法可列举出所有直接或非直接的因素，直到最底层的不可分解的失效。本文以“非意图的制动应矩”为顶层事件进行分析，详见图7。

表3 VCU安全目标

图7列出了导致“非意图的制动应矩”事件的原因，并逐层分解至更深层的原因。由图可知大致会有13种基本故障会导致“非意图的制动应矩”事件的发生，因此可以在设计阶段了解到导致系统故障的可能原因和事件，使得在开发阶段就能规避系统的单点故障和多点故障等等。

图7 FTA故障树分析

2.4 功能安全概念

针对安全目标SG_1、SG_2、SG_3，参考FTA故障树分析的有有，本文设计了如下功能安全概念：针对模拟输出信号问题了提出FSR-1的安全需求。针对加速踏板和制动踏板的模拟输入，提出FSR-4、FSR-5。针对VCU电源和时钟故障，提出 FSR-2、FSR-3的监控要求。针对CAN信息，提出FSR-6的功能安全需求。将详细的功能安全需求列入表4。