電動汽車動力域控制系統(tǒng)VBS 的功能安全概念階段設(shè)計

劉木林 卜凡濤 林輝 孫洋

東軟睿馳汽車技術(shù)（沈陽）有限公司 遼寧省沈陽市 110172

隨著無人駕駛和電動汽車技術(shù)的發(fā)展,傳統(tǒng)汽車架構(gòu)已經(jīng)不能滿足智能駕駛的要求,對智能電動汽車電子電氣架構(gòu)設(shè)計的科學(xué)性和高效性提出了更新,更高的標(biāo)準要求.智能電動汽車電子電氣架構(gòu)設(shè)計與優(yōu)化的最終目標(biāo)是對汽車電子電器元件進行合理的排布,降低總線負載率,降低成本和質(zhì)量.通過分析智能電動汽車電子電氣架構(gòu)設(shè)計的系統(tǒng)需求,基于域控制器的EE 架構(gòu)是下一代智能電動汽車電子電氣架構(gòu)設(shè)計關(guān)注的重點。電動汽車控制系統(tǒng)的核心是動力域，而動力域中最關(guān)鍵的兩個控制單元為整車控制器（VCU）和電池管理系統(tǒng)（BMS）。我們將這兩個控制單元整合到一起，組成了一種電動汽車的動力域控制系統(tǒng)VBS，而VBS 設(shè)計的關(guān)鍵部分在功能安全的設(shè)計。

本文著重介紹了VBS 功能安全中概念階段的設(shè)計，其中包括相關(guān)項定義、危害分析和風(fēng)險評估、功能安全目標(biāo)確定等內(nèi)容。

1 VBS 的相關(guān)項定義

根據(jù)ISO 26262 第三部分，功能安全概念階段設(shè)計的第一項任務(wù)是進行相關(guān)項定義（item definition）。對于VBS 的相關(guān)項定義，需要做的包括：（1）VBS 邊界以及與其它部件的交互關(guān)系。（2）功能需求定義。

對于VBS 邊界以及與其他部件的交互關(guān)系可見圖1 所示。VBS 系統(tǒng)包括VBU（vehicle and battery unit）、HVM（high voltage manager）、BIC（battery information collector）三個部分組成。VBU 主要負責(zé)中央運算處理，與整車信號交互等功能。接口包括動力總成CAN、電子電器CAN、直流充電CAN 及與加速、制動踏板等器件的硬線連接。HVM 是高壓管理單元，接口包括高壓的電壓、電流，絕緣檢測傳感器，高壓接觸器等，還包括動力總成CAN 及與BIC 的菊花鏈通信。BIC 主要采集電池的電壓、溫度等信息。BIC 之間以及BIC 和HVM 之間采用菊花鏈通信。

圖1 VBS 邊界以及與其它部件的交互關(guān)系圖

對于VBS 的功能需求定義，分為15個部分：（1）系統(tǒng)工作模式識別及狀態(tài)轉(zhuǎn)換。（2）行車/ 駐車功能。（3）充電管理。（4）整車及電池?zé)峁芾恚?）車輛狀態(tài)顯示及交互。（6）車輛附件管理。（7）車輛故障報警及處理。（8）電池狀態(tài)監(jiān)控及估算。（9）電芯間電量均衡管理。（10）電池保護。（11）電池異常處理。（12）熱失控報警。（13）碰撞檢測及處理。（14）維修與服務(wù)。（15）VBS 失效檢測和處理。

最后對這15 個功能再進行詳細的分解。包含功能框圖，輸入、功能描述及輸出。以第（6）條功能，車輛附件管理功能為例。功能框圖如圖2。輸入為：鉛酸電池電壓信號；DCDC 狀態(tài)及故障信號；真空度信號。輸出為：DCDC 控制開關(guān)指令；功率限制命令；真空泵控制信號。部分功能需求描述: VBU 采集12V 蓄電池的電壓；將DCDC 故障納入整車故障判斷中，按故障等級進行處理。DCDC 采集和判定電壓過壓、欠壓、過溫、短路等故障，并同時發(fā)送匯總的故障等級,VBU 只需檢測故障等級；通過控制DCDC 以及蓄電池控制繼電器對蓄電池進行充電。根據(jù)蓄電池電壓或外設(shè)要求判定是否需要啟動DCDC,當(dāng)檢測到蓄電池電壓過低時，需要吸合蓄電池控制繼電器；蓄電池電壓恢復(fù)后不在需要DCDC 工作時（需要考慮其他外設(shè)要求是否需要停止DCDC 工作），斷開補電繼電器；BCM 故障狀態(tài)要結(jié)合到整車故障中，參與扭矩控制；VBU 實時檢測真空容器壓力傳感器的信號，查表計算出壓力值；VBU 控制真空泵的輸出功率，使真空容器中的壓強維持在一定范圍內(nèi)，保證可為整車制動系統(tǒng)提供足夠的制動力。

圖2 車輛附件管理功能框圖

2 VBS 的危害分析和風(fēng)險評估

由ISO26262第三部分可知，倘若需要定義VBS 系統(tǒng)的安全目標(biāo)，需要先對VBS 系統(tǒng)進行危害分析和風(fēng)險評估，識別出系統(tǒng)的潛在危害。表1 是VBS 的危害分析及風(fēng)險評估（HARA）文檔。表中列出了HARA 中需要分析的項目，同時給出一個失效模式的例子進行說明。首先，功能故障項是由相關(guān)項定義而得出的。相關(guān)項定義中給出了15 個功能項，每個功能項又會分解出許多的獨立功能項，針對每個功能項可能出現(xiàn)的失效模式（例如功能失效、反向、過高、過低等）進行分解。大約可分解為幾百個故障模式。然后，針對每個故障模式又有不同的情景描述（包括車速、工況、路面情況、駕駛員情況等）。最后對每個故障模式及對應(yīng)的情景描述進行三個維度的評分。這三個評估維度分別為：S 嚴重程度等級、E 暴露概率等級、C可靠性等級。三個等級的評估標(biāo)準節(jié)選自ISO 26262，可參照表2 進行。

表1 HARA 分析示例

表2 S/E/C 等級評估標(biāo)準

3 VBS 的功能安全目標(biāo)及ASIL 等級的確定

通過HARA 分析會得到各個故障的S、E、C 的值。而功能安全目標(biāo)是基于這三個值的和進行判定的。如果三個值的和小于7為QM 等級，不列為功能安全目標(biāo)，按正常產(chǎn)品的質(zhì)量管理即可。和等于7 為ASIL A 等級；和等于8為ASIL B 等級；和等于9為ASILC等級；和等于10為ASIL D 等級。表3 匯總了VBS 的功能安全目標(biāo)，同時列出安全狀態(tài)，進入安全狀態(tài)的時間（FTTI）、ASIL等級。至此完成VBS的功能安全概念階段設(shè)計。

表3 VBS 功能安全目標(biāo)匯總