文档介绍:VCU功能安全架构研究
 
   
 
 
 
 
 
 
 
     
 
 
 
 
 
【摘要】整车控制器VCU作为整车功能的交互节点及调度模块,是新能源汽车的重要控制器之一。本文基于功能安全相关标准,介绍危害分析和风险评估的分析方法,并根据此方法确定VCU的安全目标及功能安全等级。在确定整车层面的需求后进行功能安全概念的分解和分配,并通过对EGAS架构的应用,提出对其功能实现层进行监控的系统架构,为其他控制器的功能安全分析提供参考的示例。
关键词:功能安全;VCU;概念阶段;EGAS架构
引言
伴随着汽车智能化及新能源汽车产业的发展,车载电气电子系统的功能也日益增多,作为整车功能重要组成部分,VCU承担了极为复杂的功能,因其失效而导致的安全风险也不断升高。
如何预防此类风险对人身造成伤害,已成为行业关注的重点研究内容[1-3]。国际标准化组织(ISO)于2011年发布的ISO 26262标准,就是为了解决这类风险,其第二版也于2018年正式发布[4-5]。尽管该标准对于功能安全的开发给出了较为完整的流程,但是其仅作为规范类标准,涉及到的具体开发实例较少,且目前国内关于这部分的开发也处于起步阶段,所以如何实现实际产品的功能安全对开发人员来说还有一定的困难。
整车控制器(VCU)是实现整车扭矩控制的核心控制单元,而且还涉及到整车上下电、模式控制、能量回收控制等众多关键功能,负责系统模块间的交互和调度,故此其是否实现功能安全对整车安全来说意义重大。本文将从混合动力汽车整车控制器出发,详细阐述如何实现概念及系统阶段的功能安全。
1 VCU概念阶段的开发
由于VCU在整车电子电气架构中的特殊性,其在功能安全概念阶段的开发也呈现出自身的特点,具体表现为:VCU作为整车交互单元,会跟整车大部分的系统有功能间的交互,所以VCU系统最终得到的安全目标在数量上会较多;而且VCU只是负责功能的调度,不直接进行功能的执行,所以分配的ASIL等级也不会过高。
安全目标作为系统最高层级的需求,需要由危害分析和风险评估得到,并为安全目标定义ASIL等级。由于VCU功能众多,故在进行危害分析和风险评估时,需考虑的失效及失效场景也更为复杂,最终的分析内容相对于其他系统也较多。
对于系统潜在危害的分析,目前主要的分析方法是HAZOP分析,下表以这种方法为例,列举VCU能量回收功能的潜在失效模式。
表1潜在失效模式表
系统功能
功能丧失
多于预期
少于预期
方向相反
非预期的功能
输出卡滞在固定值上
能量回收功能
回收能力丧失
回收扭矩过大
回收扭矩过小
回收扭矩反向
非预期的回收扭矩
回收扭矩卡滞
识别出VCU的潜在失效模式后,需要评定其ASIL等级。ASIL等级分为A、B、C、D四级,等级越高表示风险越大,如果分析得出的结果为QM,则表示此失效安全无关。ASIL等级的确定需要考虑严重度(S)、暴露率(E)、可控性(C)三个因素,其中S表示失效发生的后果对交通参与者的伤害程度,C表示交通参与者控制或规避风险的能力,E代表危害事件发生时对应的场景的出现概率。在确定S、E、C三个指标后,根据其值查询下表2得到该失效不同场景下的ASIL等级。
表