基于ISO26262的混合動力汽車TMS系統功能安全設計

韓宜偉 劉福聚 崔福軍 劉志勇 張元

（北京中機車輛司法鑒定中心 北京市 100176）

隨著國家和社會的強力支持，科學技術的突飛猛進，汽車與能源、交通、信息通信等領域相關技術加速融合，電動化、網聯化、智能化成為汽車產業發展的潮流和趨勢。日益增多的電子設備給汽車的性能帶來大幅度的提升，但也帶來了比以往更復雜的整車安全性問題。2011年ISO 國際標準化組織聯合IEC 國際電工協會共同制定了ISO26262 功能安全標準，旨在減少因電子電氣系統失效而導致的安全風險，提高整車的安全性。

近些年來國內的企業和高校也加強了電子電氣系統功能安全方面的研究，濰柴動力的張佳驥[1]提出基于ISO26262 的純電動公交車VCU 的設計；上海捷能汽車李相華[2]結合功能安全概念對混合動力汽車駐車系統進行了分析；同濟大學黃代富[3]運用功能安全方法設計了電池管理系統等，但是作為新能源汽車重要的輔助系統，關于TMS系統在此方面的研究較少。本文將以某重型混合動力商用車TMS系統為例，重點闡述功能安全階段的設計與開發，旨在為后續基于功能安全的TMS系統軟硬件開發提供借鑒。

1 概念階段設計

1.1 TMS系統邊界與相關項定義

一般混合動力車輛會同時配備幾套冷卻系統分別給發動機、動力電機及動力電池等部件進行冷卻，本文介紹的TMS系統專門為動力電機和動力電池及高壓附件進行冷卻，熱管理系統的示意圖如圖1所示。對于TMS系統的結構此時強調幾點：

圖1：混合動力汽車TMS系統示意圖

（1）電動壓縮機和機械壓縮機共用一套冷凝器、儲液罐及冷凝劑管路，冷卻液與冷凝劑熱交換后通過閥通管路串并聯的流經電機、電池等部件。

（2）電動壓縮機與機械壓縮機互為冗余，兩者都可以單獨工作，也可以聯合起來運行。

（3）電動壓縮機相比機械壓縮機更加經濟、平穩，且NVH 表現更好，因此電動壓縮機作為冷卻系統的主執行機構。

（4）TMS 控制器控制冷卻系統常規的功能，在TMS 控制器出現故障時整車控制器會接管部分冷卻系統的功能。

（5）TMS系統除了具有冷卻電池電機功能，還具備駕駛室內空調冷卻及電池加熱功能，但本文主要考慮電池和電機冷卻功能，在此不過多闡述討論。TMS系統由機械結構、電氣部件、高低壓線束以及眾多軟硬件組成的控制器組成，在此之中TMS 控制器屬于TMS系統控制的核心，通過CAN 總線與電池管理系統（BMS）、電機控制器（MCU）等進行信息交互。通過采集管道內溫度信號、壓縮機轉速信號、冷媒壓力值信號等，進行相應的水泵驅動、風扇調速、壓縮機控制等功能。TMS 控制器的功能概括如下：

（1）根據車輛部件狀態控制TMS系統部件工作；

（2）響應外部ECU 制冷請求；

（3）故障報警。

功能1：根據車輛部件狀態控制TMS系統部件工作。根據車輛部件狀態控制TMS系統部件進行工作，這是TMS 控制器最基本的功能。當車輛當前充放電狀態活躍，電池或電機等部件溫度處于較高水平時，TMS 控制器對接受的信號進行處理，根據車輛目前的需求及自身的工作狀態，控制TMS系統中的部件進行制冷工作。

功能2：響應外部ECU 制冷請求。對于預見性巡航控制（Predictive Cruise Control，PCC）系統而言，車輛可以預知接下來幾公里甚至幾十公里的道路，由此車輛的工作模式對制冷系統要求更加靈活多樣，以此來應對更高級別的輔助駕駛工況，高級輔助駕駛（Advanced Driver Assistance Systems，ADAS）ECU 通過與TMS控制器的請求接口實現制冷控制。

功能3：故障報警。TMS系統應該能夠按照設定的工作模式控制電池、電機等部件工作在一定的溫度值范圍內，當部件溫度范圍無法滿足時，TMS系統需要將故障狀態發送給HMI，在儀表盤上點亮黃燈提醒駕駛員系統故障。

1.2 功能失效模式與整車危害

ISO 26262 中推薦了一種系統性分析相關項危害的方法——HAZOP(危害和可操作性分析，Hazard and Operability Analysis)，HAZOP 給開發人員提供了一種分析功能失效的思維方式，被車輛設計研發人員廣泛地運用到了功能安全開發中，因此本文也借助HAZOP 對TMS系統進行分析。如表1、表2 和表3所示，HAZOP主要從以下幾個方面分析功能失效的模式，從而識別出功能失效導致的整車危害。

表1：功能1 HAZOP 分析

表2：功能2 HAZOP 分析

表3：功能3 HAZOP 分析

（1）功能缺失-在有需求時無法提供相應的功能。

（2）功能非預期激活-在沒有需求時功能激活。

（3）輸出卡在某一固定值-功能沒有按照預期進行更新。

（4）有需求時提供非預期的功能。

綜上分析，雖然TMS系統不同功能對應的功能失效不同，但是引起的整車危害是有重疊部分的，根據整車危害篩選整理匯總如表4所示。

表4：功能失效模式及整車危害匯總

1.3 危害事件風險評估和安全目標導出

在概念設計階段，研發設計人員需要將TMS 控制器當作一個“黑盒”看待，分析系統失效功能時不能考慮已有的安全機制。將車輛運行狀態、地理位置、天氣狀況、道路場景、危害事件中涉及的人員等等相結合便可以得到車輛場景的模型庫，利用分析得到的系統失效模式結合車輛場景模型庫可以得到較為豐富的危害事件，并根據系統實際工作狀況剔除不合理的危害事件，接下來對危害事件進行汽車安全完整性等級（Automotive Safety Integrity Level,ASIL）打分，危害事件主要是從S（severity 嚴重度）、E（Exposure暴露度）和C（controllability 可控度）三個維度對風險進行評級得出對應的ASIL 等級，其中嚴重度S 指危害發生時對駕駛員、乘客、路人或周邊車輛中人員會造成的傷害等級，包含S0-S3，S0 為無傷害，S3 為危及生命的傷害；暴露度指運行場景在日常駕駛過程中發生的概率，包含E0-E4，E0 為不可能，E4 為高概率；可控度指危害發生時駕駛員或其他涉險人員能夠控制危害或者避免傷害的概率，包含C0-C3，C0 為原則可控，C3 為難以控制。ASIL 等級的評定遵循以下公式：

如表5所示為TMS系統功能風險評估表，ISO 26262 要求，應為具有ASIL 等級的每個危害事件確定一個安全目標。因此，基于前面的分析結果，我們可以得到TMS系統的安全目標并匯總如下：

表5：TMS 功能風險評估

SG01：TMS系統在車輛充放電過程中應避免制冷量過小→ASIL B

SG02：TMS 在響應外部ECU 的制冷請求時應避免制冷量過小→ ASIL A

1.4 功能安全概念

根據前面相關項定義、危害事件風險評估與分析導出了TMS系統的安全目標，ISO26262 中規定每一個安全目標都需要有至少一個功能安全需求 （Functional Safety Requirement，FSR）來承接，而一項FSR 可以對應多個安全目標，通過導出的FSR 可以指導后續系統、軟硬件等的設計。作為功能安全中一個重要的屬性，FSR的ASIL 等級是繼承自該需求所屬的安全目標的，如果該FSR 屬于多個安全目標，那么FSR 的ASIL 等級取多個安全目標的ASIL 等級的最高值。如果說某一 FSR 可以分解為兩個獨立的需求，那么相應的 ASIL 等級也會進行分解，從而可以降低后續活動中該條需求的開發與驗證難度進行推導設計。

1.4.1 FTA 分析

按照ISO 26262 的要求，需要在系統設計時進行安全分析，常用的安全分析方法有：故障樹分析 （FTA） 、失效模式與影響分析 （FMEA） 等。本文采用故障樹FTA 方法進行安全分析。以TMS 制冷量過小作為頂事件，將其向下依次分解到傳感器、控制器和執行器中，再繼續向下進行分解至最底層，如圖2所示以SG01 安全目標為例。

圖2：TMS 安全目標SG01 故障樹分析

1.4.2 功能安全需求（FSR）分析

結合前面導出的安全目標需求和故障樹分析，表6 給出了功能安全需求定義，每一項安全目標對應不止一項功能安全需求。

表6：SG01 功能安全需求分析

由功能安全需求和故障樹分析結果，將功能安全需求分配到相關子系統中，作為各子系統開發的需求輸入，分配結果如圖3所示。

圖3：TMS系統SG01 功能安全需求分配

1.4.3 技術安全需求（TSR）分析

技術安全需求（TSR）是實現功能安全需求的必要的技術要求，目的是將相關項層面的功能安全需求細化到系統層面的技術安全需求。技術安全需求應包含系統故障的探測、指示和控制措施；使系統實現或維持在安全狀態的措施；對于功能安全需求中的警告和降級細化等。結合FTA 安全分析結果和功能安全需求導出的技術安全需求如表7所示。

表7：SG01 技術安全需求分析

2 系統架構設計

根據前面功能安全需求及技術安全需求，進行TMS 控制器系統架構的設計。系統架構借鑒采用E-Gas 三層架構模式，包含兩個控制單元如圖4所示，第1 層是基本功能層，包含TMS 控制器軟件中所有的控制算法、標定參數和基本的驅動及故障診斷功能。第2 層是功能監控層，主要是對第一層進行監控，通過冗余的信號檢測處理是否正確，監控第一層輸出數據是否正常。第3 層為處理器監控層，獨立于功能控制單元（一般采用ASIC 或微處理器），通過問、答的形式監控功能控制單元工作是否正常。

圖4：TMS 控制器系統架構設計

3 結論

本文介紹了基于ISO26262 標準的功能安全的開發流程，并對混合動力重卡TMS系統TMS 進行功能安全設計分析。定義了TMS系統相關項，通過HAZOP 分析確定了TMS系統的功能失效模式及對應整車危害，通過危害事件風險評估對TMS 進行了安全目標導出；結合功能安全和技術安全需求進行了系統概念的設計。本文論述的方法對混合動力TMS 的功能安全開發具有一定的可行性及實用價值，為下一步系統開發及軟硬件設計提供了依據。