基于純電動汽車整車控制器的功能安全分析與設計

茍毅彤

摘要：整車控制器（VCU）系統具有自動完成操作者的意圖解析、轉矩管理、電機電池協調控制管理、充電過程管理、故障診斷及CAN網絡控制等多項功能。隨著技術發展新能源汽車的VCU復雜程度不斷提高，整車功能安全的失效問題也隨之增加。基于在道路車輛功能安全標準ISO26262研究的成果基礎上，分析了道路車輛vcu的結構和功能失效安全性，設計了其相應的軟、硬件一體化架構和安全管理機制。

關鍵詞：整車控制器（VCU）;ISO26262;功能安全

0 ?引言

隨著技術的進步和更新迭代，世界汽車領域的產品越來越多元化（電動化、網聯化、智能化）。更多的汽車配備了電子電氣系統，例如電驅動系統（BMU）、電動轉向系統（EPS）、電池管理系統（BMS）輔助駕駛系統等，傳統的機械部件被先進的電子器件所替代。引入如此復雜的電子電氣系統對整車安全帶來了極大的風險，而ISO26262是第一個適用于量產車輛的功能安全標準，ISO26262的目標是篩選出所有會對駕駛員、乘客、路人、周邊車輛中人員造成傷害的不合理的風險，因此通過功能安全的開發要求來避免這些風險。

1 ?新能源汽車整車控制器（VCU）概述

整車控制器（VCU）作為一輛整車控制系統中的重要技術核心和系統組成部件，主要是負責和協調控制整車各子系統的重要功能和任務。為了更好地滿足提高整車系統的安全性、動力性、經濟性和舒適性的技術目標，第一，必須使整車具有一個智能化的人機和整車交互網絡接口。第二，各整車子系統還必須彼此緊密協作，優化功能匹配。第三，基于總線的整車分布式控制和交互網絡是目前使眾多整車子系統能夠實現協同運行和控制的理想解決途徑。VCU主要功能如下：

1.1 車輛的駕駛控制

VCU根據司機駕駛的加速踏板開度、制動力、擋位、轉向等駕駛意圖和動力電池的荷電狀態，經分析和處理，協調各動力系統的工作狀態及電機功率和扭矩輸出，滿足駕駛工況要求。包括啟動、加速、滑行、制動和倒退等工況，以實現車輛的正常行駛。

1.2 整車的網絡化管理

VCU在實現車輛駕駛控制的同時，通過CAN總線完成與眾多電子控制單元之間進行數據交換。其負責信息的組織與傳輸、網絡狀態的監控、網絡節點的管理以及網絡故障的診斷與處理。

1.3 整車能量優化管理

根據制動踏板和加速踏板信息、車輛行駛狀態信息、蓄電池狀態信息，判斷制動模式，計算制動力矩分配，向電機控制器發出制動指令，在不影響原車制動性能的前提下，考慮行駛狀態和電池狀態來回收部分能量。

1.4 故障診斷及保護

連續監視整車電控系統，進行故障診斷，并及時進行相應安全保護處理，故障碼的存儲和回調。通過故障指示燈指示出故障類別和部分故障碼。根據故障內容，及時進行相應安全保護處理。對于不太嚴重的故障，能做到“跛行回家”。

2 ?ISO26262功能安全標準概述

汽車是一個十分龐大復雜的系統，汽車上有上萬個零部件和上百個ECU。如何將這些零部件和ECU有序集成，并實現不斷增長的安全舒適駕駛的需求是行業亟待解決的問題。ISO26262是基于IEC61508標準衍生，以安全相關電子電氣系統的特點所制定的功能安全標準。功能安全要討論的對象是E/E架構設計，而機械、液壓、化學等設計都不在ISO26262的研究范圍。功能安全識別風險和危害的專業術語稱為危害分析和風險評估，這項工作通常是分為三步：

第一步：場景分析和危害識別。

①場景分析應對相關項的故障行為導致一個危害事件發生時所處的運行場景及運行模式進行描述，既要考慮正確使用車輛的情況，也要考慮可預見的不正確使用車輛的情況。

②危害識別應以能在整車層面觀察到的條件或行為來定義危害。

第二步：危害事件分類。

前面提到，ISO 26262針對能造成駕駛員或涉險人員人身傷害的不合理的危害，所以需要對識別出來的所有危害進行篩選。篩選指標又分為三個維度：

①S（severity 嚴重度）：危害發生對駕駛員或乘客或路人或周邊車輛中人員會造成的傷害等級。

②E（Exposure 曝光度）：運行場景在日常駕駛過程中發生的概率。

③C（controllability 可控度）：駕駛員或其他涉險人員控制危害以避免傷害的概率。

第三步：ASIL等級和安全目標確定。

①ASIL等級即汽車安全完整性等級共分為四個等級，D代表最高嚴格等級，A代表最低嚴格等級。

②還有一個等級QM（quality management），但是QM表示只要按照企業流程開發就可以滿足ISO 26262要求，所以在ASIL等級中不予包括。

系統安全風險評估的主要內容和手段之一是首先確定系統功能安全完整的風險等級ASIL，作為其后續執行各個階段安全管理流程的重要參考和標準，需要針對此款產品的主要功能進行詳細的改進設計。等級指標與每個產品ASIL的主要功能設計等級之間關系見表1。

3 ?VCU功能安全分析

為滿足VCU系統安全目標和安全要求，結合整車控制器的基本功能和某款車型產品的輸入要求我們用幾個典型事例進行風險分析和安全評估，并得到VCU對應的需求和目標，為系統設計提供輸入。

3.1 行駛過程中無法減速

車輛行駛過程中制動系統因制動力不足出現減速異常時，可能導致碰撞事故會危及人身致命傷害，嚴重程度等級S取值為3。此類危害事件會發生在駕駛員或乘員當中，暴漏概率等級E取值為4。出現此危害事件后，駕駛員會出現對車輛的難以操控或不可控，因此可控性等級C取值為3。依據ASIL等級表，得到該危害事件的等級為ASIL D。

3.2 行駛過程中EPS系統異常

車輛在高速行駛過程中EPS出現異常扭矩或鎖死扭矩，這種異常情況會出現高速行駛的車輛突然轉向或轉向被鎖死的失控危險，給司機、乘客和行人帶來人身致命傷害。嚴重程度等級S取值為3、E取值為4、C取值為3，查詢表得該危害等級為ASIL D。

3.3 車輛充電過程中電池系統熱失控

純電動汽車在充電過程時，因電池過充的熱失控產生起火、爆燃異常情況的危險，會給司機、乘客和行人帶來人身致命傷害。嚴重程度等級S取值為3、E取值為4、C取值為2，查詢表得該危害等級為ASIL C。

基于以上三種典型的危害事件分析，需求設計輸入目標如下：

①我們這里分析的制動系統異常是指非制動系統的機械故障，VCU應避免行車減速過程中電動真空泵系統出現真空度不足的異常情況。針對電動真空泵系統設計安全目標要有相應的真空傳感器安全監控機制，確保VCU采集真空泵壓力信號及時準確。如果出現該異常情況，必須具備記錄故障碼、儀表報警提示和E-ABS系統響應機制，并上報為整車嚴重故障等級。

②VCU應避免行駛過程中EPS系統車輛突然轉向或轉向被鎖死的異常情況。針對EPS系統設計安全目標要有相應的扭矩轉角傳感器和車速傳感器安全監控機制，確保VCU采集扭矩轉角傳感器和車速傳感器及時準確。如果出現異常情況，具備記錄故障碼、儀表報警提示和“跛行回家”響應機制，并上報為整車嚴重故障等級。

③VCU應避免車輛在充電過程中電池系統過充出現電池起火或爆炸的熱失控異常情況。針對BMS系統設計安全目標要有相應的電池單體電壓、總電壓和充電電流安全監控機制，確保VCU采集到BMS系統的數據及時準確。如果出現熱失控情況，具備記錄故障碼、儀表報警提示和切斷充電繼電器的相應機制，并上報整車較嚴重故障等級。

4 ?VCU系統架構分析與設計

基于前面幾種典型安全事件的分析，VCU功能安全在產品設計上的實現對整車安全具有至關重要的作用。因此要在VCU系統架構上就要設計監控架構方式的合理性，要在軟、硬件層面均滿足失效安全的要求。下面我們分別從軟、硬件兩個層面對安全架構進行分析。

4.1 VCU系統硬件安全架構

VCU硬件主要包含電源模塊、主MCU模塊（控制通道）、從MCU模塊（監控通道）、信號調理模塊、CAN通信模塊和驅動輸出模塊。系統采用雙電源芯片設計，各自使用獨立的電源芯片給其供電。為了實現系統的安全目標，控制通道和監控通道所用的傳感器信號必須獨立，都能獲取集成于車輛接口的傳感器信號。控制通道根據傳感器輸入和其它來自CAN總線的相關輸入信息來執行相關動作指令。監控通道根據單獨的傳感器輸入和其它來自CAN總線的相關輸入信息，校驗控制通道是否準確執行相關指令。

4.2 VCU系統軟件安全架構

VCU系統軟件構架必須考慮避免、檢測或處理隨機硬件故障和軟件系統故障。設計軟件構架分為功能層、監控層和應用層。功能層是完成VCU基本功能的執行，包括車輛運行、能量管理、充放電管理等功能。監控層實現對功能層軟件的監控，包括加速踏板信號、制動踏板信號、電池SOC、充放電電壓電流的分析和處理。應用層是利用雙MCU模塊通過芯片鎖步機制和糾錯碼機制來監控軟硬件動作和邏輯的完整性。

5 ?結語

我國純電動汽車推廣應用已步入快速發展階段，用戶對純電動汽車的要求也從關注功能、性能、價格、續駛里程等因素，逐步提升為對整車系統安全性問題的重視。本文主要基于ISO26262《道路車輛功能安全標準》，并結合VCU整車控制器的安全性特點，進行了汽車功能系統安全性的分析，進而對VCU產品的系統架構進行軟硬件優化設計。該方案不僅大大提升了純電汽車產品的安全技術水平，而且還利用CRUISE和Matlab技術建立了純電動汽車的整車及控制策略的仿真平臺，突破了以往僅利用仿真做理論分析的指導作用。該仿真平臺可以通過簡單的參數設置便可對整車的性能進行預測，進行先進的控制策略開發及調試等，為VCU整車控制系統進一步優化和系統匹配奠定了堅實的技術基礎。

參考文獻：

[1]黃萬友，等.電動汽車整車控制器控制策略研究綜述，內燃機與動力裝置，2018，35（1）：35-39.

[2]劉佳熙，等.汽車電子電氣系統的功能安全標準ISO26262[J].上海汽車，2011，10：57-61.

[3]張戟，萬祥，朱翔宇.整車控制器功能安全設計和研究[J]. 佳木斯大學學報，2016，9：34-5.