劉木林 卜凡濤 林輝 孫洋
東軟睿馳汽車技術(shù)(沈陽)有限公司 遼寧省沈陽市 110172
隨著無人駕駛和電動汽車技術(shù)的發(fā)展,傳統(tǒng)汽車架構(gòu)已經(jīng)不能滿足智能駕駛的要求,對智能電動汽車電子電氣架構(gòu)設(shè)計的科學(xué)性和高效性提出了更新,更高的標(biāo)準要求.智能電動汽車電子電氣架構(gòu)設(shè)計與優(yōu)化的最終目標(biāo)是對汽車電子電器元件進行合理的排布,降低總線負載率,降低成本和質(zhì)量.通過分析智能電動汽車電子電氣架構(gòu)設(shè)計的系統(tǒng)需求,基于域控制器的EE 架構(gòu)是下一代智能電動汽車電子電氣架構(gòu)設(shè)計關(guān)注的重點。電動汽車控制系統(tǒng)的核心是動力域,而動力域中最關(guān)鍵的兩個控制單元為整車控制器(VCU)和電池管理系統(tǒng)(BMS)。我們將這兩個控制單元整合到一起,組成了一種電動汽車的動力域控制系統(tǒng)VBS,而VBS 設(shè)計的關(guān)鍵部分在功能安全的設(shè)計。
本文著重介紹了VBS 功能安全中概念階段的設(shè)計,其中包括相關(guān)項定義、危害分析和風(fēng)險評估、功能安全目標(biāo)確定等內(nèi)容。
根據(jù)ISO 26262 第三部分,功能安全概念階段設(shè)計的第一項任務(wù)是進行相關(guān)項定義(item definition)。對于VBS 的相關(guān)項定義,需要做的包括:(1)VBS 邊界以及與其它部件的交互關(guān)系。(2)功能需求定義。
對于VBS 邊界以及與其他部件的交互關(guān)系可見圖1 所示。VBS 系統(tǒng)包括VBU(vehicle and battery unit)、HVM(high voltage manager)、BIC(battery information collector)三個部分組成。VBU 主要負責(zé)中央運算處理,與整車信號交互等功能。接口包括動力總成CAN、電子電器CAN、直流充電CAN 及與加速、制動踏板等器件的硬線連接。HVM 是高壓管理單元,接口包括高壓的電壓、電流,絕緣檢測傳感器,高壓接觸器等,還包括動力總成CAN 及與BIC 的菊花鏈通信。BIC 主要采集電池的電壓、溫度等信息。BIC 之間以及BIC 和HVM 之間采用菊花鏈通信。
圖1 VBS 邊界以及與其它部件的交互關(guān)系圖
對于VBS 的功能需求定義,分為15個部分:(1)系統(tǒng)工作模式識別及狀態(tài)轉(zhuǎn)換。(2)行車/ 駐車功能。(3)充電管理。(4)整車及電池?zé)峁芾恚?)車輛狀態(tài)顯示及交互。(6)車輛附件管理。(7)車輛故障報警及處理。(8)電池狀態(tài)監(jiān)控及估算。(9)電芯間電量均衡管理。(10)電池保護。(11)電池異常處理。(12)熱失控報警。(13)碰撞檢測及處理。(14)維修與服務(wù)。(15)VBS 失效檢測和處理。
最后對這15 個功能再進行詳細的分解。包含功能框圖,輸入、功能描述及輸出。以第(6)條功能,車輛附件管理功能為例。功能框圖如圖2。輸入為:鉛酸電池電壓信號;DCDC 狀態(tài)及故障信號;真空度信號。輸出為:DCDC 控制開關(guān)指令;功率限制命令;真空泵控制信號。部分功能需求描述: VBU 采集12V 蓄電池的電壓;將DCDC 故障納入整車故障判斷中,按故障等級進行處理。DCDC 采集和判定電壓過壓、欠壓、過溫、短路等故障,并同時發(fā)送匯總的故障等級,VBU 只需檢測故障等級;通過控制DCDC 以及蓄電池控制繼電器對蓄電池進行充電。根據(jù)蓄電池電壓或外設(shè)要求判定是否需要啟動DCDC,當(dāng)檢測到蓄電池電壓過低時,需要吸合蓄電池控制繼電器;蓄電池電壓恢復(fù)后不在需要DCDC 工作時(需要考慮其他外設(shè)要求是否需要停止DCDC 工作),斷開補電繼電器;BCM 故障狀態(tài)要結(jié)合到整車故障中,參與扭矩控制;VBU 實時檢測真空容器壓力傳感器的信號,查表計算出壓力值;VBU 控制真空泵的輸出功率,使真空容器中的壓強維持在一定范圍內(nèi),保證可為整車制動系統(tǒng)提供足夠的制動力。
圖2 車輛附件管理功能框圖
由ISO26262第三部分可知,倘若需要定義VBS 系統(tǒng)的安全目標(biāo),需要先對VBS 系統(tǒng)進行危害分析和風(fēng)險評估,識別出系統(tǒng)的潛在危害。表1 是VBS 的危害分析及風(fēng)險評估(HARA)文檔。表中列出了HARA 中需要分析的項目,同時給出一個失效模式的例子進行說明。首先,功能故障項是由相關(guān)項定義而得出的。相關(guān)項定義中給出了15 個功能項,每個功能項又會分解出許多的獨立功能項,針對每個功能項可能出現(xiàn)的失效模式(例如功能失效、反向、過高、過低等)進行分解。大約可分解為幾百個故障模式。然后,針對每個故障模式又有不同的情景描述(包括車速、工況、路面情況、駕駛員情況等)。最后對每個故障模式及對應(yīng)的情景描述進行三個維度的評分。這三個評估維度分別為:S 嚴重程度等級、E 暴露概率等級、C可靠性等級。三個等級的評估標(biāo)準節(jié)選自ISO 26262,可參照表2 進行。
表1 HARA 分析示例
表2 S/E/C 等級評估標(biāo)準
通過HARA 分析會得到各個故障的S、E、C 的值。而功能安全目標(biāo)是基于這三個值的和進行判定的。如果三個值的和小于7為QM 等級,不列為功能安全目標(biāo),按正常產(chǎn)品的質(zhì)量管理即可。和等于7 為ASIL A 等級;和等于8為ASIL B 等級;和等于9為ASILC等級;和等于10為ASIL D 等級。表3 匯總了VBS 的功能安全目標(biāo),同時列出安全狀態(tài),進入安全狀態(tài)的時間(FTTI)、ASIL等級。至此完成VBS的功能安全概念階段設(shè)計。
表3 VBS 功能安全目標(biāo)匯總