廣告
首頁(yè) > 電子系統(tǒng)測(cè)試 > 正文
比亞迪|VCU 系統(tǒng)功能安全概念階段的開發(fā)
2020-04-05 23:21:34· 來(lái)源:電動(dòng)學(xué)堂
作者單位:比亞迪汽車工業(yè)有限公司DOI:10.16638/j.cnki.1671-7988.2019.16.025引言隨著汽車智能化的快速推進(jìn)以及車載電子芯片行業(yè)的快速發(fā)展,現(xiàn)代汽車電子系統(tǒng)
作者單位:比亞迪汽車工業(yè)有限公司
DOI:10.16638/j.cnki.1671-7988.2019.16.025
引言
隨著汽車智能化的快速推進(jìn)以及車載電子芯片行業(yè)的快速發(fā)展,現(xiàn)代汽車電子系統(tǒng)日趨復(fù)雜,因?yàn)槠囯娮与姎庀到y(tǒng)失效引起的安全風(fēng)險(xiǎn)也隨之不斷提高。
為了防范這類風(fēng)險(xiǎn)引起的人身危害,2011 年11 月,汽車電子電氣系統(tǒng)功能安全的國(guó)際標(biāo)準(zhǔn)ISO 26262發(fā)布生效,第二版也于2018 年正式發(fā)布。ISO 26262 提出安全生命周期的重要概念,將功能安全的開發(fā)分為概念階段、開發(fā)階段(系統(tǒng)、軟件、硬件)、產(chǎn)品發(fā)布之后幾個(gè)階段。概念階段的主要工作是從整車層面出發(fā),為各系統(tǒng)定義功能安全要求,在整個(gè)安全生命周期中起到整體規(guī)劃的重要作用。
整車控制單元(VCU),也稱為整車控制器,是實(shí)現(xiàn)整車控制決策的核心電子控制單元,現(xiàn)被廣泛應(yīng)用于電動(dòng)車和混動(dòng)車。VCU 相當(dāng)于整車的大腦,起著各功能和各系統(tǒng)之間調(diào)度的重要作用,其功能安全的實(shí)現(xiàn)與否對(duì)整車安全起著至關(guān)重要的作用。
雖然迄今為止,很多車載控制系統(tǒng)上都已經(jīng)實(shí)現(xiàn)了功能安全(例如ECM 系統(tǒng)、MCU系統(tǒng)、BMS 等),但是這些控制系統(tǒng)的功能安全開發(fā)經(jīng)驗(yàn)并不完全適用于VCU 系統(tǒng)。究其原因,在于VCU 在很多情況下只是一個(gè)功能調(diào)度單元,不直接參與大部分功能的具體實(shí)現(xiàn)。因此,和其他控制系統(tǒng)相比,VCU 系統(tǒng)涉及的安全目標(biāo)數(shù)量較多,但是功能安全要求的等級(jí)卻相對(duì)較低。
本文的主要工作為針對(duì)VCU 系統(tǒng)在功能安全概念階段開發(fā)中涉及的幾點(diǎn)問(wèn)題進(jìn)行研究分析,主要包括以下內(nèi)容:
(a)危害分析和風(fēng)險(xiǎn)評(píng)估;
(b)安全目標(biāo)的定義;
(c)安全概念的定義,以及對(duì)應(yīng)的ASIL等級(jí)的分配問(wèn)題。
1 VCU 系統(tǒng)的概念階段開發(fā)
由于VCU 系統(tǒng)在整車功能架構(gòu)中的特殊地位,其功能安全概念開發(fā)存在自己的一些特點(diǎn),具體如下:首先,VCU作為一個(gè)整車功能調(diào)度單元,會(huì)和很多其他的系統(tǒng)有功能交互(例如能量管理功能、發(fā)動(dòng)機(jī)的扭矩控制功能、和ESP 的交互功能等),因此,VCU 系統(tǒng)包含的安全目標(biāo)數(shù)目較多,且涉及面較廣;其次,對(duì)于很多例如扭矩控制、能量管理等的功能,VCU 系統(tǒng)僅僅只是做規(guī)劃調(diào)度,但是不直接參與這些功能的具體實(shí)現(xiàn),所以VCU 系統(tǒng)并不對(duì)這些功能的安全負(fù)主要責(zé)任,分配的ASIL 等級(jí)不會(huì)很高;再者,對(duì)于有些功能,為了降低其他系統(tǒng)的ASIL等級(jí),VCU 系統(tǒng)會(huì)做相應(yīng)的功能冗余,成為這些系統(tǒng)的外部措施。
本文僅僅針對(duì)VCU 系統(tǒng)的概念階段開發(fā)提出幾點(diǎn)供參考的觀點(diǎn)和例子,實(shí)際開發(fā)過(guò)程中可以根據(jù)具體情況做出調(diào)整。
1.1 危害分析和風(fēng)險(xiǎn)評(píng)估
由ISO 26262 第三部分可知,倘若需要定義VCU 系統(tǒng)的安全目標(biāo),需要先對(duì)VCU 系統(tǒng)進(jìn)行危害分析和風(fēng)險(xiǎn)評(píng)估,識(shí)別出系統(tǒng)的潛在危害,并為這些危害評(píng)定ASIL等級(jí)。
如引言中所述,較之于傳統(tǒng)的車載控制系統(tǒng)(例如ECM系統(tǒng)、BMS 等),VCU 系統(tǒng)涉及的功能很多,包括扭矩控制、能量管理、上下電功能、防盜功能、整車熱管理等主要功能。因此,VCU 系統(tǒng)需要進(jìn)行危害分析和風(fēng)險(xiǎn)評(píng)估的內(nèi)容也比較多。
VCU 系統(tǒng)的潛在危害可以采用HAZOP、FMEA、頭腦風(fēng)暴等方法針對(duì)VCU 系統(tǒng)涉及的功能逐一分析,通常可以從如下幾點(diǎn)對(duì)每個(gè)功能進(jìn)行危害評(píng)估:該功能誤觸發(fā)是否會(huì)引起安全隱患、該功能失效是否會(huì)引起安全隱患、該功能本身是否存在安全漏洞。以檔位切換功能為例(倘若VCU 包含此功能),可以列出如下表1 所示潛在失效模式:
識(shí)別出VCU 系統(tǒng)的失效問(wèn)題后,需要為這些失效問(wèn)題設(shè)定ASIL等級(jí),ASIL等級(jí)分為A、B、C、D四個(gè)等級(jí),等級(jí)越高表示該失效的安全問(wèn)題越嚴(yán)重,倘若沒有安全問(wèn)題,則為QM。ASIL等級(jí)的評(píng)定,需要從三個(gè)方面進(jìn)行考慮:嚴(yán)重度、暴露率和可控性。嚴(yán)重度表示故障發(fā)生的后果對(duì)駕駛員和行人等交通參與者的傷害程度,可控性代表駕駛員和行人控制和規(guī)避風(fēng)險(xiǎn)的能力。由于嚴(yán)重度和可控性與故障發(fā)生的場(chǎng)景息息相關(guān)(例如同樣的一個(gè)巡航車速控制失效的故障,在雨雪天發(fā)生的后果比晴天發(fā)生的后果更加嚴(yán)重),所以HARA分析需要考慮場(chǎng)景發(fā)生的概率,即暴露率。之后,根據(jù)嚴(yán)重度、暴露率和可控性的評(píng)分,查詢下表2 獲得該失效場(chǎng)景的ASIL 等級(jí)。對(duì)于同一個(gè)失效問(wèn)題,由于考慮的故障場(chǎng)景不同,得到的ASIL等級(jí)也不同,應(yīng)該選用最大的ASIL等級(jí)作為該失效的ASIL等級(jí),具體例子如表3 所示。
需要注意的是,在對(duì)VCU 系統(tǒng)進(jìn)行危害分析和風(fēng)險(xiǎn)評(píng)估的時(shí)候不能考慮已有的或者即將實(shí)施的安全措施。以檔位切換功能為例,即便大部分的車都具有防止意外切換P 檔的處理措施,但是評(píng)估意該功能失效的ASIL 等級(jí)的時(shí)候,這些處理措施都是不做考慮,不能因?yàn)檫@些安全措施降低ASIL等級(jí)。
1.2 安全目標(biāo)的定義
接下來(lái)需要為每個(gè)具有ASIL 等級(jí)的潛在失效模式設(shè)定安全目標(biāo)。安全目標(biāo)為最高層面的安全要求,通常情況下,安全目標(biāo)的ASIL等級(jí)即為潛在失效的ASIL等級(jí)。為了便于在功能安全概念定義階段進(jìn)行ASIL 分解降級(jí)操作,可以取整車層面的安全要求作為VCU 系統(tǒng)的安全目標(biāo),具體細(xì)節(jié)會(huì)在2.3 節(jié)詳細(xì)說(shuō)明。
提出安全目標(biāo)的同時(shí),需要為該安全目標(biāo)設(shè)定安全狀態(tài)以及故障容錯(cuò)時(shí)間間隔(FTTI),安全狀態(tài)指的是檢測(cè)到失效以后應(yīng)該進(jìn)入的無(wú)風(fēng)險(xiǎn)的運(yùn)行模式,而FTTI 指的是從發(fā)生失效到進(jìn)入安全狀態(tài)的最大允許時(shí)間間隔,例如表4 所示:
由于涉及的功能數(shù)量繁多,VCU 系統(tǒng)相關(guān)的安全目標(biāo)個(gè)數(shù)相比于其他整車控制系統(tǒng)要多很多,通常而言,ECM、BMS等系統(tǒng)的安全目標(biāo)數(shù)量不超過(guò)5 個(gè),但是VCU 的安全目標(biāo)數(shù)量能多達(dá)十幾個(gè)甚至幾十個(gè)。
1.3 VCU 功能安全概念的定義
功能安全概念是將整車級(jí)別的功能安全目標(biāo)分解到各個(gè)系統(tǒng),提出系統(tǒng)級(jí)的功能安全要求,同時(shí)分配對(duì)應(yīng)的ASIL等級(jí)。
以 SG_2 為例,由圖1 的初始功能架構(gòu)(不包含任何的安全機(jī)制)可知,VCU 系統(tǒng)僅僅負(fù)責(zé)給TCU 發(fā)送目標(biāo)檔位信號(hào),而具體的檔位切換操作由TCU 實(shí)現(xiàn)。
根據(jù)圖1,可以為檔位控制系統(tǒng)、VCU 系統(tǒng)、TCU 系統(tǒng)分別提出如表5 所示的的功能安全要求。由于沒有考慮各個(gè)系統(tǒng)之間的功能冗余,表5 中檔位控制系統(tǒng)、VCU 系統(tǒng)、TCU系統(tǒng)會(huì)直接繼承安全目標(biāo)的ASIL等級(jí)。但是TCU 系統(tǒng)作為一個(gè)功能的實(shí)際執(zhí)行單元,會(huì)對(duì)該功能的安全性負(fù)主要責(zé)任,因此,TCU 系統(tǒng)會(huì)采取一系列額外的安全措施,防止事故的發(fā)生。通常,TCU 系統(tǒng)會(huì)根據(jù)車速判斷能否切換P 檔,倘若當(dāng)前時(shí)刻檢測(cè)到車速,即便VCU 錯(cuò)誤發(fā)送切換P 檔命令或者檔位控制器錯(cuò)誤發(fā)送切換P 檔信號(hào),TCU 系統(tǒng)也不會(huì)執(zhí)行換檔操作。假設(shè)該安全機(jī)制的ASIL等級(jí)為B,根據(jù)ASIL分解公式:
可以得到表6 的功能安全列表。
如表6 所示,由于不同系統(tǒng)間軟硬件是相互獨(dú)立的,因此檔位控制系統(tǒng)、VCU 系統(tǒng)可以和TCU 系統(tǒng)進(jìn)行ASIL 等級(jí)的分解,但是FSR_2_3和FSR_2_4同時(shí)隸屬于TCU系統(tǒng),因此這兩個(gè)功能安全要求無(wú)法執(zhí)行ASIL 分解。由圖中的結(jié)果可以看出,較之于TCU 系統(tǒng),VCU 系統(tǒng)的ASIL 等級(jí)較低。
由于VCU 和很多系統(tǒng)均存在功能上的交互,有時(shí)候可以通過(guò)VCU 為其他系統(tǒng)設(shè)置安全機(jī)制,在不增加VCU 的ASIL等級(jí)的前提下,降低其他系統(tǒng)的ASIL等級(jí)。表7 中,對(duì)VCU 系統(tǒng)引入安全機(jī)制FSR_2_5,根據(jù)ASIL分解公式:
可以將檔位控制系統(tǒng)降低為QM 等級(jí)。如此一來(lái),雖然給VCU 增加了一個(gè)ASIL B 的功能安全要求,卻減少了一個(gè)系統(tǒng)的功能開發(fā)工作,為整車功能安全開發(fā)節(jié)省了工作量和開發(fā)成本。
2 總結(jié)
作為整車功能的調(diào)度中心,VCU 系統(tǒng)在功能安全概念階段的開發(fā)過(guò)程中擁有自己的特點(diǎn),具體表現(xiàn)在相關(guān)的安全目標(biāo)數(shù)量較多、分配的ASIL等級(jí)較低。此外,由于和VCU 系統(tǒng)有交互的控制系統(tǒng)數(shù)目較多,有的時(shí)候可以通過(guò)為其他系統(tǒng)做功能冗余,在不增加VCU系統(tǒng)ASIL等級(jí)的前提下,降低其他系統(tǒng)的ASIL 等級(jí),從而減少整體功能安全開發(fā)工作量和開發(fā)成本。
功能安全的實(shí)現(xiàn)方式并不唯一,本文針對(duì)VCU 系統(tǒng)在功能安全概念階段的開發(fā)的幾點(diǎn)問(wèn)題進(jìn)行了討論分析,本文的結(jié)論可為其他系統(tǒng)的功能安全開發(fā)提供參考。
點(diǎn)贊 0 反對(duì) 0 舉報(bào) 0
收藏 0
評(píng)論 0 分享 208
廣告 編輯推薦
最新資訊
-
“汽車爬坡試驗(yàn)方法”將有國(guó)家標(biāo)準(zhǔn)
2026-03-03 12:44
-
十年耐久監(jiān)管時(shí)代:電池系統(tǒng)開發(fā)策略將如何
2026-03-03 12:44
-
聯(lián)合國(guó)法規(guī)R59對(duì)機(jī)動(dòng)車備用消聲系統(tǒng)的工程
2026-03-03 12:08
-
聯(lián)合國(guó)法規(guī)R58對(duì)后下部防護(hù)裝置的工程化約
2026-03-03 12:07
-
聯(lián)合國(guó)法規(guī)R57對(duì)摩托車前照燈配光性能的工
2026-03-03 12:07
