张佳骥，李 强，王彦波，吴学强

（潍柴动力股份有限公司新科技研究院，山东 潍坊 261000）

随着汽车电气化、智能化趋势的发展，现代汽车上的电子设备、控制器等电子电气系统数量越来越多，功能也越来越复杂，因电子电气系统失效而导致的安全风险问题日益严峻。ISO 26262功能安全标准是由ISO国际标准化组织联合IEC国际电工协会共同制定的，目标是最大程度上减少安全风险，提高车辆电子电气系统的安全性。

整车控制器 （VCU）是整车控制的核心，通过CAN总线与电池管理系统 （BMS），电机控制器 （MCU）等控制器进行信息交互，来进行多系统协调控制。因此VCU的功能与整车的功能安全十分相关。为提高整车的功能安全，本文基于ISO 26262标准，对纯电动公交车VCU进行安全分析与设计。

1 道路车辆功能安全标准ISO 26262

ISO 26262功能安全标准于2011年发布第一版，2018年发布第二版，是针对汽车电子电气系统，为减少安全风险，提高车辆安全性而制定。ISO 26262提供了车辆电子电气系统的功能安全开发流程，并规定了汽车电子电气系统的安全生命周期：概念阶段、产品开发阶段-系统层、产品开发阶段-硬件层、产品开发阶段-软件层、生产发布之后。安全生命周期如图1所示。

2 概念阶段

2.1 相关项定义

相关项定义要给出详细的项目定义，明确相关项的要求，从而对相关项有足够的理解，能够指导后续工作。内容包括相关项的功能性需求、非功能性需求、法规要求等。

纯电动汽车VCU作为整车控制的核心，通过CAN总线与电池管理系统 （BMS）、电机控制器 （MCU）进行信息交互。通过采集加速踏板油门信号、制动踏板制动信号、换挡器挡位信号，进行相应的车辆驱动、再生制动、挡位控制、坡道辅助等功能。系统结构如图2所示。

图1 安全生命周期

图2 纯电动公交车动力系统结构图

城市公交车的运行环境为城市市区与城市郊区道路。需满足的法律法规有JT／T 1094-2016营运客车安全技术条件、GT／T 18384电动汽车 安全要求、GT／T 18488电动汽车用电机及其控制器、ISO 26262道路车辆 功能安全等。具有的减少安全风险的外部措施为安全带、ABS防抱死系统。

2.2 危害分析与风险评估 （HARA）

危害分析与风险评估 （HARA）给出一种功能失效的危害及风险的评估方法，需要对系统的风险进行评估分析，识别及分类，最终确定相关项的汽车安全完整性等级。

HARA要求对于每个危害事件从严重度 （S）、暴露度（E）、可控度 （C）3个维度进行分析。严重度S是指危害事件对驾驶员、乘客或行人造成的人身伤害的程度，分为S0、S1、S2、S3四个等级；暴露度E是指危害事件在运行场景中的暴露概率，分为E0、E1、E2、E3、E4五个等级；可控度C是指危害事件发生时驾驶员、乘客或行人能够充分控制危害事件以避免伤害的可能性，分为C0、C1、C2、C3四个等级。然后依据风险矩阵确定汽车安全完整性等级 （ASIL），如表1所示。ASIL等级越高，表示危害事件的风险越高。

HARA要基于车辆运行场景进行分析，城市公交车可能的行驶场景有：在十字路口停车、在公交车站停车、车辆在坡道上起步加速、低速通过拥堵路段、借对方车道超车、城市郊区中高速行驶等。相应功能失效产生危害最严重的场景，即ASIL等级最高的场景，该场景下的ASIL等级为该危害事件的ASIL等级。

表1 风险矩阵

受篇幅限制，本文仅对车辆驱动及再生制动功能进行了HARA分析，如表2所示，分析得到了的4个危害事件，分别分析每个危害事件的严重度S、暴露度E、可控度C，得出每个危害事件的ASIL等级。其中危害事件“没有驾驶员需求时产生扭矩”危害最严重的场景为城市郊区中高速行驶，ASIL等级为C；危害事件“驾驶员需求扭矩时没有扭矩”危害最严重的场景为借对方车道超车，ASIL等级为A；危害事件“驾驶员制动时无再生制动扭矩”危害最严重的场景为城市郊区中高速行驶，ASIL等级为C；危害事件“驾驶员没有制动需求时，产生再生制动扭矩”危害最严重的场景为在城市郊区中高速行驶，ASIL等级为B。

2.3 安全目标

安全目标是相关项最高层面的安全要求，应为每一个危害事件确定一个安全目标，并继承危害事件的ASIL等级。安全目标表述为功能目的，而不表述为技术解决方案。通过以上危害分析与风险评估，导出危害事件相应的安全目标，表3给出车辆驱动和再生制动功能的安全目标。

表2 HARA分析

表3 安全目标

2.4 功能安全需求 （FSR）

功能安全需求 （FSR）由安全目标导出，以避免每个危害事件的不合理风险。功能安全需求应包含运行模式、故障容错时间间隔 （FTTI）、安全状态、功能冗余 （故障容错）、报警和降级、驾驶员的控制方法等内容。根据2.3中的安全目标导出功能安全需求，表4给出了功能安全需求定义，对于每个安全目标给出了2～4个功能安全需求。

表4 功能安全需求

3 系统设计

3.1 安全分析与技术安全要求

按照ISO 26262的要求，需要在系统设计时进行安全分析，常用的安全分析方法有：故障树分析 （FTA）、失效模式与影响分析 （FMEA）等。本文采用故障树FTA方法进行安全分析。分别以车辆非预期的加速、再生制动效能降低作为顶事件，将其向下依次分解到传感器、控制器和执行器中，再继续向下进行分解至最底层，如图3、图4所示。

图3 车辆非预期加速FTA分析

图4 再生制动效能降低FTA分析

技术安全需求 （TSR）是实现功能安全需求的必要的技术要求，目的是将相关项层面的功能安全需求细化到系统层面的技术安全需求。技术安全需求应包含系统故障的探测、指示和控制措施；使系统实现或维持在安全状态的措施；对于功能安全需求中的警告和降级细化等。结合FTA安全分析结果和功能安全需求导出的技术安全需求如表5所示。

表5 技术安全需求

3.2 系统架构设计

根据技术安全需求，进行系统架构设计。对VCU系统架构设计采用了E-GAS架构的设计理念，即如图4给出的3层安全监控设计：第1层为基本功能层，实现驱动、再生制动、故障诊断等基本功能。第2层为功能监控层，监控第1层与安全相关的功能是否正常运行，通过冗余的信号处理监控信号处理是否正确，并采用扭矩监控模块，监控第1层的扭矩输出是否正常。第3层为处理器监控层，独立于功能控制器（采用ASIC或微处理器），通过问、答的形式监控功能处理器的程序是否正常运行；当检测到故障后，独立于功能处理器触发相应的故障响应。

图5 VCU系统架构设计

4 结束语

本文介绍了基于ISO 26262标准的功能安全开发流程，并对纯电动公交车VCU进行了安全分析和设计。通过HARA分析确定了纯电动公交车VCU的安全目标以及ASIL等级，根据安全目标导出了功能安全需求和技术安全需求，并完成了VCU系统架构设计。本文论述的方法对于纯电动汽车VCU的功能安全开发具有一定的可行性及实用价值，为纯电动汽车VCU功能安全开发提供一种思路。