韩宜伟 刘福聚 崔福军 刘志勇 张元

（北京中机车辆司法鉴定中心 北京市 100176）

随着国家和社会的强力支持，科学技术的突飞猛进，汽车与能源、交通、信息通信等领域相关技术加速融合，电动化、网联化、智能化成为汽车产业发展的潮流和趋势。日益增多的电子设备给汽车的性能带来大幅度的提升，但也带来了比以往更复杂的整车安全性问题。2011年ISO 国际标准化组织联合IEC 国际电工协会共同制定了ISO26262 功能安全标准，旨在减少因电子电气系统失效而导致的安全风险，提高整车的安全性。

近些年来国内的企业和高校也加强了电子电气系统功能安全方面的研究，潍柴动力的张佳骥[1]提出基于ISO26262 的纯电动公交车VCU 的设计；上海捷能汽车李相华[2]结合功能安全概念对混合动力汽车驻车系统进行了分析；同济大学黄代富[3]运用功能安全方法设计了电池管理系统等，但是作为新能源汽车重要的辅助系统，关于TMS系统在此方面的研究较少。本文将以某重型混合动力商用车TMS系统为例，重点阐述功能安全阶段的设计与开发，旨在为后续基于功能安全的TMS系统软硬件开发提供借鉴。

1 概念阶段设计

1.1 TMS系统边界与相关项定义

一般混合动力车辆会同时配备几套冷却系统分别给发动机、动力电机及动力电池等部件进行冷却，本文介绍的TMS系统专门为动力电机和动力电池及高压附件进行冷却，热管理系统的示意图如图1所示。对于TMS系统的结构此时强调几点：

图1：混合动力汽车TMS系统示意图

（1）电动压缩机和机械压缩机共用一套冷凝器、储液罐及冷凝剂管路，冷却液与冷凝剂热交换后通过阀通管路串并联的流经电机、电池等部件。

（2）电动压缩机与机械压缩机互为冗余，两者都可以单独工作，也可以联合起来运行。

（3）电动压缩机相比机械压缩机更加经济、平稳，且NVH 表现更好，因此电动压缩机作为冷却系统的主执行机构。

（4）TMS 控制器控制冷却系统常规的功能，在TMS 控制器出现故障时整车控制器会接管部分冷却系统的功能。

（5）TMS系统除了具有冷却电池电机功能，还具备驾驶室内空调冷却及电池加热功能，但本文主要考虑电池和电机冷却功能，在此不过多阐述讨论。TMS系统由机械结构、电气部件、高低压线束以及众多软硬件组成的控制器组成，在此之中TMS 控制器属于TMS系统控制的核心，通过CAN 总线与电池管理系统（BMS）、电机控制器（MCU）等进行信息交互。通过采集管道内温度信号、压缩机转速信号、冷媒压力值信号等，进行相应的水泵驱动、风扇调速、压缩机控制等功能。TMS 控制器的功能概括如下：

（1）根据车辆部件状态控制TMS系统部件工作；

（2）响应外部ECU 制冷请求；

（3）故障报警。

功能1：根据车辆部件状态控制TMS系统部件工作。根据车辆部件状态控制TMS系统部件进行工作，这是TMS 控制器最基本的功能。当车辆当前充放电状态活跃，电池或电机等部件温度处于较高水平时，TMS 控制器对接受的信号进行处理，根据车辆目前的需求及自身的工作状态，控制TMS系统中的部件进行制冷工作。

功能2：响应外部ECU 制冷请求。对于预见性巡航控制（Predictive Cruise Control，PCC）系统而言，车辆可以预知接下来几公里甚至几十公里的道路，由此车辆的工作模式对制冷系统要求更加灵活多样，以此来应对更高级别的辅助驾驶工况，高级辅助驾驶（Advanced Driver Assistance Systems，ADAS）ECU 通过与TMS控制器的请求接口实现制冷控制。

功能3：故障报警。TMS系统应该能够按照设定的工作模式控制电池、电机等部件工作在一定的温度值范围内，当部件温度范围无法满足时，TMS系统需要将故障状态发送给HMI，在仪表盘上点亮黄灯提醒驾驶员系统故障。

1.2 功能失效模式与整车危害

ISO 26262 中推荐了一种系统性分析相关项危害的方法——HAZOP(危害和可操作性分析，Hazard and Operability Analysis)，HAZOP 给开发人员提供了一种分析功能失效的思维方式，被车辆设计研发人员广泛地运用到了功能安全开发中，因此本文也借助HAZOP 对TMS系统进行分析。如表1、表2 和表3所示，HAZOP主要从以下几个方面分析功能失效的模式，从而识别出功能失效导致的整车危害。

表1：功能1 HAZOP 分析

表2：功能2 HAZOP 分析

表3：功能3 HAZOP 分析

（1）功能缺失-在有需求时无法提供相应的功能。

（2）功能非预期激活-在没有需求时功能激活。

（3）输出卡在某一固定值-功能没有按照预期进行更新。

（4）有需求时提供非预期的功能。

综上分析，虽然TMS系统不同功能对应的功能失效不同，但是引起的整车危害是有重叠部分的，根据整车危害筛选整理汇总如表4所示。

表4：功能失效模式及整车危害汇总

1.3 危害事件风险评估和安全目标导出

在概念设计阶段，研发设计人员需要将TMS 控制器当作一个“黑盒”看待，分析系统失效功能时不能考虑已有的安全机制。将车辆运行状态、地理位置、天气状况、道路场景、危害事件中涉及的人员等等相结合便可以得到车辆场景的模型库，利用分析得到的系统失效模式结合车辆场景模型库可以得到较为丰富的危害事件，并根据系统实际工作状况剔除不合理的危害事件，接下来对危害事件进行汽车安全完整性等级（Automotive Safety Integrity Level,ASIL）打分，危害事件主要是从S（severity 严重度）、E（Exposure暴露度）和C（controllability 可控度）三个维度对风险进行评级得出对应的ASIL 等级，其中严重度S 指危害发生时对驾驶员、乘客、路人或周边车辆中人员会造成的伤害等级，包含S0-S3，S0 为无伤害，S3 为危及生命的伤害；暴露度指运行场景在日常驾驶过程中发生的概率，包含E0-E4，E0 为不可能，E4 为高概率；可控度指危害发生时驾驶员或其他涉险人员能够控制危害或者避免伤害的概率，包含C0-C3，C0 为原则可控，C3 为难以控制。ASIL 等级的评定遵循以下公式：

如表5所示为TMS系统功能风险评估表，ISO 26262 要求，应为具有ASIL 等级的每个危害事件确定一个安全目标。因此，基于前面的分析结果，我们可以得到TMS系统的安全目标并汇总如下：

表5：TMS 功能风险评估

SG01：TMS系统在车辆充放电过程中应避免制冷量过小→ASIL B

SG02：TMS 在响应外部ECU 的制冷请求时应避免制冷量过小→ ASIL A

1.4 功能安全概念

根据前面相关项定义、危害事件风险评估与分析导出了TMS系统的安全目标，ISO26262 中规定每一个安全目标都需要有至少一个功能安全需求 （Functional Safety Requirement，FSR）来承接，而一项FSR 可以对应多个安全目标，通过导出的FSR 可以指导后续系统、软硬件等的设计。作为功能安全中一个重要的属性，FSR的ASIL 等级是继承自该需求所属的安全目标的，如果该FSR 属于多个安全目标，那么FSR 的ASIL 等级取多个安全目标的ASIL 等级的最高值。如果说某一 FSR 可以分解为两个独立的需求，那么相应的 ASIL 等级也会进行分解，从而可以降低后续活动中该条需求的开发与验证难度进行推导设计。

1.4.1 FTA 分析

按照ISO 26262 的要求，需要在系统设计时进行安全分析，常用的安全分析方法有：故障树分析 （FTA） 、失效模式与影响分析 （FMEA） 等。本文采用故障树FTA 方法进行安全分析。以TMS 制冷量过小作为顶事件，将其向下依次分解到传感器、控制器和执行器中，再继续向下进行分解至最底层，如图2所示以SG01 安全目标为例。

图2：TMS 安全目标SG01 故障树分析

1.4.2 功能安全需求（FSR）分析

结合前面导出的安全目标需求和故障树分析，表6 给出了功能安全需求定义，每一项安全目标对应不止一项功能安全需求。

表6：SG01 功能安全需求分析

由功能安全需求和故障树分析结果，将功能安全需求分配到相关子系统中，作为各子系统开发的需求输入，分配结果如图3所示。

图3：TMS系统SG01 功能安全需求分配

1.4.3 技术安全需求（TSR）分析

技术安全需求（TSR）是实现功能安全需求的必要的技术要求，目的是将相关项层面的功能安全需求细化到系统层面的技术安全需求。技术安全需求应包含系统故障的探测、指示和控制措施；使系统实现或维持在安全状态的措施；对于功能安全需求中的警告和降级细化等。结合FTA 安全分析结果和功能安全需求导出的技术安全需求如表7所示。

表7：SG01 技术安全需求分析

2 系统架构设计

根据前面功能安全需求及技术安全需求，进行TMS 控制器系统架构的设计。系统架构借鉴采用E-Gas 三层架构模式，包含两个控制单元如图4所示，第1 层是基本功能层，包含TMS 控制器软件中所有的控制算法、标定参数和基本的驱动及故障诊断功能。第2 层是功能监控层，主要是对第一层进行监控，通过冗余的信号检测处理是否正确，监控第一层输出数据是否正常。第3 层为处理器监控层，独立于功能控制单元（一般采用ASIC 或微处理器），通过问、答的形式监控功能控制单元工作是否正常。

图4：TMS 控制器系统架构设计

3 结论

本文介绍了基于ISO26262 标准的功能安全的开发流程，并对混合动力重卡TMS系统TMS 进行功能安全设计分析。定义了TMS系统相关项，通过HAZOP 分析确定了TMS系统的功能失效模式及对应整车危害，通过危害事件风险评估对TMS 进行了安全目标导出；结合功能安全和技术安全需求进行了系统概念的设计。本文论述的方法对混合动力TMS 的功能安全开发具有一定的可行性及实用价值，为下一步系统开发及软硬件设计提供了依据。