電動汽車動力域控制系統VBS 的功能安全概念階段設計

劉木林 卜凡濤 林輝 孫洋

東軟睿馳汽車技術（沈陽）有限公司 遼寧省沈陽市 110172

隨著無人駕駛和電動汽車技術的發展,傳統汽車架構已經不能滿足智能駕駛的要求,對智能電動汽車電子電氣架構設計的科學性和高效性提出了更新,更高的標準要求.智能電動汽車電子電氣架構設計與優化的最終目標是對汽車電子電器元件進行合理的排布,降低總線負載率,降低成本和質量.通過分析智能電動汽車電子電氣架構設計的系統需求,基于域控制器的EE 架構是下一代智能電動汽車電子電氣架構設計關注的重點。電動汽車控制系統的核心是動力域，而動力域中最關鍵的兩個控制單元為整車控制器（VCU）和電池管理系統（BMS）。我們將這兩個控制單元整合到一起，組成了一種電動汽車的動力域控制系統VBS，而VBS 設計的關鍵部分在功能安全的設計。

本文著重介紹了VBS 功能安全中概念階段的設計，其中包括相關項定義、危害分析和風險評估、功能安全目標確定等內容。

1 VBS 的相關項定義

根據ISO 26262 第三部分，功能安全概念階段設計的第一項任務是進行相關項定義（item definition）。對于VBS 的相關項定義，需要做的包括：（1）VBS 邊界以及與其它部件的交互關系。（2）功能需求定義。

對于VBS 邊界以及與其他部件的交互關系可見圖1 所示。VBS 系統包括VBU（vehicle and battery unit）、HVM（high voltage manager）、BIC（battery information collector）三個部分組成。VBU 主要負責中央運算處理，與整車信號交互等功能。接口包括動力總成CAN、電子電器CAN、直流充電CAN 及與加速、制動踏板等器件的硬線連接。HVM 是高壓管理單元，接口包括高壓的電壓、電流，絕緣檢測傳感器，高壓接觸器等，還包括動力總成CAN 及與BIC 的菊花鏈通信。BIC 主要采集電池的電壓、溫度等信息。BIC 之間以及BIC 和HVM 之間采用菊花鏈通信。

圖1 VBS 邊界以及與其它部件的交互關系圖

對于VBS 的功能需求定義，分為15個部分：（1）系統工作模式識別及狀態轉換。（2）行車/ 駐車功能。（3）充電管理。（4）整車及電池熱管理（5）車輛狀態顯示及交互。（6）車輛附件管理。（7）車輛故障報警及處理。（8）電池狀態監控及估算。（9）電芯間電量均衡管理。（10）電池保護。（11）電池異常處理。（12）熱失控報警。（13）碰撞檢測及處理。（14）維修與服務。（15）VBS 失效檢測和處理。

最后對這15 個功能再進行詳細的分解。包含功能框圖，輸入、功能描述及輸出。以第（6）條功能，車輛附件管理功能為例。功能框圖如圖2。輸入為：鉛酸電池電壓信號；DCDC 狀態及故障信號；真空度信號。輸出為：DCDC 控制開關指令；功率限制命令；真空泵控制信號。部分功能需求描述: VBU 采集12V 蓄電池的電壓；將DCDC 故障納入整車故障判斷中，按故障等級進行處理。DCDC 采集和判定電壓過壓、欠壓、過溫、短路等故障，并同時發送匯總的故障等級,VBU 只需檢測故障等級；通過控制DCDC 以及蓄電池控制繼電器對蓄電池進行充電。根據蓄電池電壓或外設要求判定是否需要啟動DCDC,當檢測到蓄電池電壓過低時，需要吸合蓄電池控制繼電器；蓄電池電壓恢復后不在需要DCDC 工作時（需要考慮其他外設要求是否需要停止DCDC 工作），斷開補電繼電器；BCM 故障狀態要結合到整車故障中，參與扭矩控制；VBU 實時檢測真空容器壓力傳感器的信號，查表計算出壓力值；VBU 控制真空泵的輸出功率，使真空容器中的壓強維持在一定范圍內，保證可為整車制動系統提供足夠的制動力。

圖2 車輛附件管理功能框圖

2 VBS 的危害分析和風險評估

由ISO26262第三部分可知，倘若需要定義VBS 系統的安全目標，需要先對VBS 系統進行危害分析和風險評估，識別出系統的潛在危害。表1 是VBS 的危害分析及風險評估（HARA）文檔。表中列出了HARA 中需要分析的項目，同時給出一個失效模式的例子進行說明。首先，功能故障項是由相關項定義而得出的。相關項定義中給出了15 個功能項，每個功能項又會分解出許多的獨立功能項，針對每個功能項可能出現的失效模式（例如功能失效、反向、過高、過低等）進行分解。大約可分解為幾百個故障模式。然后，針對每個故障模式又有不同的情景描述（包括車速、工況、路面情況、駕駛員情況等）。最后對每個故障模式及對應的情景描述進行三個維度的評分。這三個評估維度分別為：S 嚴重程度等級、E 暴露概率等級、C可靠性等級。三個等級的評估標準節選自ISO 26262，可參照表2 進行。

表1 HARA 分析示例

表2 S/E/C 等級評估標準

3 VBS 的功能安全目標及ASIL 等級的確定

通過HARA 分析會得到各個故障的S、E、C 的值。而功能安全目標是基于這三個值的和進行判定的。如果三個值的和小于7為QM 等級，不列為功能安全目標，按正常產品的質量管理即可。和等于7 為ASIL A 等級；和等于8為ASIL B 等級；和等于9為ASILC等級；和等于10為ASIL D 等級。表3 匯總了VBS 的功能安全目標，同時列出安全狀態，進入安全狀態的時間（FTTI）、ASIL等級。至此完成VBS的功能安全概念階段設計。

表3 VBS 功能安全目標匯總