基于ISO 26262的純電動公交車VCU安全分析與設(shè)計(jì)

張佳驥，李 強(qiáng)，王彥波，吳學(xué)強(qiáng)

（濰柴動力股份有限公司新科技研究院，山東 濰坊 261000）

隨著汽車電氣化、智能化趨勢的發(fā)展，現(xiàn)代汽車上的電子設(shè)備、控制器等電子電氣系統(tǒng)數(shù)量越來越多，功能也越來越復(fù)雜，因電子電氣系統(tǒng)失效而導(dǎo)致的安全風(fēng)險(xiǎn)問題日益嚴(yán)峻。ISO 26262功能安全標(biāo)準(zhǔn)是由ISO國際標(biāo)準(zhǔn)化組織聯(lián)合IEC國際電工協(xié)會共同制定的，目標(biāo)是最大程度上減少安全風(fēng)險(xiǎn)，提高車輛電子電氣系統(tǒng)的安全性。

整車控制器 （VCU）是整車控制的核心，通過CAN總線與電池管理系統(tǒng) （BMS），電機(jī)控制器 （MCU）等控制器進(jìn)行信息交互，來進(jìn)行多系統(tǒng)協(xié)調(diào)控制。因此VCU的功能與整車的功能安全十分相關(guān)。為提高整車的功能安全，本文基于ISO 26262標(biāo)準(zhǔn)，對純電動公交車VCU進(jìn)行安全分析與設(shè)計(jì)。

1 道路車輛功能安全標(biāo)準(zhǔn)ISO 26262

ISO 26262功能安全標(biāo)準(zhǔn)于2011年發(fā)布第一版，2018年發(fā)布第二版，是針對汽車電子電氣系統(tǒng)，為減少安全風(fēng)險(xiǎn)，提高車輛安全性而制定。ISO 26262提供了車輛電子電氣系統(tǒng)的功能安全開發(fā)流程，并規(guī)定了汽車電子電氣系統(tǒng)的安全生命周期：概念階段、產(chǎn)品開發(fā)階段-系統(tǒng)層、產(chǎn)品開發(fā)階段-硬件層、產(chǎn)品開發(fā)階段-軟件層、生產(chǎn)發(fā)布之后。安全生命周期如圖1所示。

2 概念階段

2.1 相關(guān)項(xiàng)定義

相關(guān)項(xiàng)定義要給出詳細(xì)的項(xiàng)目定義，明確相關(guān)項(xiàng)的要求，從而對相關(guān)項(xiàng)有足夠的理解，能夠指導(dǎo)后續(xù)工作。內(nèi)容包括相關(guān)項(xiàng)的功能性需求、非功能性需求、法規(guī)要求等。

純電動汽車VCU作為整車控制的核心，通過CAN總線與電池管理系統(tǒng) （BMS）、電機(jī)控制器 （MCU）進(jìn)行信息交互。通過采集加速踏板油門信號、制動踏板制動信號、換擋器擋位信號，進(jìn)行相應(yīng)的車輛驅(qū)動、再生制動、擋位控制、坡道輔助等功能。系統(tǒng)結(jié)構(gòu)如圖2所示。

圖1 安全生命周期

圖2 純電動公交車動力系統(tǒng)結(jié)構(gòu)圖

城市公交車的運(yùn)行環(huán)境為城市市區(qū)與城市郊區(qū)道路。需滿足的法律法規(guī)有JT／T 1094-2016營運(yùn)客車安全技術(shù)條件、GT／T 18384電動汽車 安全要求、GT／T 18488電動汽車用電機(jī)及其控制器、ISO 26262道路車輛 功能安全等。具有的減少安全風(fēng)險(xiǎn)的外部措施為安全帶、ABS防抱死系統(tǒng)。

2.2 危害分析與風(fēng)險(xiǎn)評估 （HARA）

危害分析與風(fēng)險(xiǎn)評估 （HARA）給出一種功能失效的危害及風(fēng)險(xiǎn)的評估方法，需要對系統(tǒng)的風(fēng)險(xiǎn)進(jìn)行評估分析，識別及分類，最終確定相關(guān)項(xiàng)的汽車安全完整性等級。

HARA要求對于每個(gè)危害事件從嚴(yán)重度 （S）、暴露度（E）、可控度 （C）3個(gè)維度進(jìn)行分析。嚴(yán)重度S是指危害事件對駕駛員、乘客或行人造成的人身傷害的程度，分為S0、S1、S2、S3四個(gè)等級；暴露度E是指危害事件在運(yùn)行場景中的暴露概率，分為E0、E1、E2、E3、E4五個(gè)等級；可控度C是指危害事件發(fā)生時(shí)駕駛員、乘客或行人能夠充分控制危害事件以避免傷害的可能性，分為C0、C1、C2、C3四個(gè)等級。然后依據(jù)風(fēng)險(xiǎn)矩陣確定汽車安全完整性等級 （ASIL），如表1所示。ASIL等級越高，表示危害事件的風(fēng)險(xiǎn)越高。

HARA要基于車輛運(yùn)行場景進(jìn)行分析，城市公交車可能的行駛場景有：在十字路口停車、在公交車站停車、車輛在坡道上起步加速、低速通過擁堵路段、借對方車道超車、城市郊區(qū)中高速行駛等。相應(yīng)功能失效產(chǎn)生危害最嚴(yán)重的場景，即ASIL等級最高的場景，該場景下的ASIL等級為該危害事件的ASIL等級。

表1 風(fēng)險(xiǎn)矩陣

受篇幅限制，本文僅對車輛驅(qū)動及再生制動功能進(jìn)行了HARA分析，如表2所示，分析得到了的4個(gè)危害事件，分別分析每個(gè)危害事件的嚴(yán)重度S、暴露度E、可控度C，得出每個(gè)危害事件的ASIL等級。其中危害事件“沒有駕駛員需求時(shí)產(chǎn)生扭矩”危害最嚴(yán)重的場景為城市郊區(qū)中高速行駛，ASIL等級為C；危害事件“駕駛員需求扭矩時(shí)沒有扭矩”危害最嚴(yán)重的場景為借對方車道超車，ASIL等級為A；危害事件“駕駛員制動時(shí)無再生制動扭矩”危害最嚴(yán)重的場景為城市郊區(qū)中高速行駛，ASIL等級為C；危害事件“駕駛員沒有制動需求時(shí)，產(chǎn)生再生制動扭矩”危害最嚴(yán)重的場景為在城市郊區(qū)中高速行駛，ASIL等級為B。

2.3 安全目標(biāo)

安全目標(biāo)是相關(guān)項(xiàng)最高層面的安全要求，應(yīng)為每一個(gè)危害事件確定一個(gè)安全目標(biāo)，并繼承危害事件的ASIL等級。安全目標(biāo)表述為功能目的，而不表述為技術(shù)解決方案。通過以上危害分析與風(fēng)險(xiǎn)評估，導(dǎo)出危害事件相應(yīng)的安全目標(biāo)，表3給出車輛驅(qū)動和再生制動功能的安全目標(biāo)。

表2 HARA分析

表3 安全目標(biāo)

2.4 功能安全需求 （FSR）

功能安全需求 （FSR）由安全目標(biāo)導(dǎo)出，以避免每個(gè)危害事件的不合理風(fēng)險(xiǎn)。功能安全需求應(yīng)包含運(yùn)行模式、故障容錯時(shí)間間隔 （FTTI）、安全狀態(tài)、功能冗余 （故障容錯）、報(bào)警和降級、駕駛員的控制方法等內(nèi)容。根據(jù)2.3中的安全目標(biāo)導(dǎo)出功能安全需求，表4給出了功能安全需求定義，對于每個(gè)安全目標(biāo)給出了2～4個(gè)功能安全需求。

表4 功能安全需求

3 系統(tǒng)設(shè)計(jì)

3.1 安全分析與技術(shù)安全要求

按照ISO 26262的要求，需要在系統(tǒng)設(shè)計(jì)時(shí)進(jìn)行安全分析，常用的安全分析方法有：故障樹分析 （FTA）、失效模式與影響分析 （FMEA）等。本文采用故障樹FTA方法進(jìn)行安全分析。分別以車輛非預(yù)期的加速、再生制動效能降低作為頂事件，將其向下依次分解到傳感器、控制器和執(zhí)行器中，再繼續(xù)向下進(jìn)行分解至最底層，如圖3、圖4所示。

圖3 車輛非預(yù)期加速FTA分析

圖4 再生制動效能降低FTA分析

技術(shù)安全需求 （TSR）是實(shí)現(xiàn)功能安全需求的必要的技術(shù)要求，目的是將相關(guān)項(xiàng)層面的功能安全需求細(xì)化到系統(tǒng)層面的技術(shù)安全需求。技術(shù)安全需求應(yīng)包含系統(tǒng)故障的探測、指示和控制措施；使系統(tǒng)實(shí)現(xiàn)或維持在安全狀態(tài)的措施；對于功能安全需求中的警告和降級細(xì)化等。結(jié)合FTA安全分析結(jié)果和功能安全需求導(dǎo)出的技術(shù)安全需求如表5所示。

表5 技術(shù)安全需求

3.2 系統(tǒng)架構(gòu)設(shè)計(jì)

根據(jù)技術(shù)安全需求，進(jìn)行系統(tǒng)架構(gòu)設(shè)計(jì)。對VCU系統(tǒng)架構(gòu)設(shè)計(jì)采用了E-GAS架構(gòu)的設(shè)計(jì)理念，即如圖4給出的3層安全監(jiān)控設(shè)計(jì)：第1層為基本功能層，實(shí)現(xiàn)驅(qū)動、再生制動、故障診斷等基本功能。第2層為功能監(jiān)控層，監(jiān)控第1層與安全相關(guān)的功能是否正常運(yùn)行，通過冗余的信號處理監(jiān)控信號處理是否正確，并采用扭矩監(jiān)控模塊，監(jiān)控第1層的扭矩輸出是否正常。第3層為處理器監(jiān)控層，獨(dú)立于功能控制器（采用ASIC或微處理器），通過問、答的形式監(jiān)控功能處理器的程序是否正常運(yùn)行；當(dāng)檢測到故障后，獨(dú)立于功能處理器觸發(fā)相應(yīng)的故障響應(yīng)。

圖5 VCU系統(tǒng)架構(gòu)設(shè)計(jì)

4 結(jié)束語

本文介紹了基于ISO 26262標(biāo)準(zhǔn)的功能安全開發(fā)流程，并對純電動公交車VCU進(jìn)行了安全分析和設(shè)計(jì)。通過HARA分析確定了純電動公交車VCU的安全目標(biāo)以及ASIL等級，根據(jù)安全目標(biāo)導(dǎo)出了功能安全需求和技術(shù)安全需求，并完成了VCU系統(tǒng)架構(gòu)設(shè)計(jì)。本文論述的方法對于純電動汽車VCU的功能安全開發(fā)具有一定的可行性及實(shí)用價(jià)值，為純電動汽車VCU功能安全開發(fā)提供一種思路。