Internal Combustion Engine&Parts
0引言
随着技术的进步和更新迭代,世界汽车领域的产品越来越多元化(电动化、网联化、智能化)。更多的汽车配备了电子电气系统,例如电驱动系统(BMU)、电动转向系统(EPS)、电池管理系统(BMS)辅助驾驶系统等,传统的机械部件被先进的电子器件所替代。引入如此复杂的电子电气系统对整车安全带来了极大的风险,而ISO26262是第一个适用于量产车辆的功能安全标准,ISO26262的目标是筛选出所有会对驾驶员、乘客、路人、周边车辆中人员造成伤害的不合理的风险,因此通过功能安全的开发要求来避免这些风险。
1新能源汽车整车控制器(VCU)概述
整车控制器(VCU)作为一辆整车控制系统中的重要技术核心和系统组成部件,主要是负责和协调控制整车各子系统的重要功能和任务。为了更好地满足提高整车系统的安全性、动力性、经济性和舒适性的技术目标,第一,必须使整车具有一个智能化的人机和整车交互网络接口。第二,各整车子系统还必须彼此紧密协作,优化功能匹配。第三,基于总线的整车分布式控制和交互网络是目前使众多整车子系统能够实现协同运行和控制的理想解决途径。VCU主要功能如下:
1.1车辆的驾驶控制
VCU根据司机驾驶的加速踏板开度、制动力、挡位、转向等驾驶意图和动力电池的荷电状态,经分析和处理,协调各动力系统的工作状态及电机功率和扭矩输出,满足驾驶工况要求。包括启动、加速、滑行、制动和倒退等工况,以实现车辆的正常行驶。
1.2整车的网络化管理
VCU在实现车辆驾驶控制的同时,通过CAN总线完成与众多电子控制单元之间进行数据交换。其负责信息的组织与传输、网络状态的监控、网络节点的管理以及网络故障的诊断与处理。
1.3整车能量优化管理
根据制动踏板和加速踏板信息、车辆行驶状态信息、蓄电池状态信息,判断制动模式,计算制动力矩分配,向电机控制器发出制动指令,在不影响原车制动性能的前提下,考虑行驶状态和电池状态来回收部分能量。
1.4故障诊断及保护
连续监视整车电控系统,进行故障诊断,并及时进行相应安全保护处理,故障码的存储和回调。通过故障指示灯指示出故障类别和部分故障码。根据故障内容,及时进行相应安全保护处理。对于不太严重的故障,能做到“跛行回家”。
2ISO26262功能安全标准概述
汽车是一个十分庞大复杂的系统,汽车上有上万个零部件和上百个ECU。如何将这些零部件和ECU有序集成,并实现不断增长的安全舒适驾驶的需求是行业亟待解决的问题。ISO26262是基于IEC61508标准衍生,以安全相关电子电气系统的特点所制定的功能安全标准。功能安全要讨论的对象是E/E架构设计,而机械、液压、化学等设计都不在ISO26262的研究范围。功能安全识别风险和危害的专业术语称为危害分析和风险评估,这项工作通常是分为三步:
第一步:场景分析和危害识别。
①场景分析应对相关项的故障行为导致一个危害事件发生时所处的运行场景及运行模式进行描述,既要考虑正确使用车辆的情况,也要考虑可预见的不正确使用车辆的情况。
②危害识别应以能在整车层面观察到的条件或行为来定义危害。
第二步:危害事件分类。
前面提到,ISO26262针对能造成驾驶员或涉险人员人身伤害的不合理的危害,所以需要对识别出来的所有危害进行筛选。筛选指标又分为三个维度:
①S(severity严重度):危害发生对驾驶员或乘客或路人或周边车辆中人员会造成的伤害等级。
②E(Exposure曝光度):运行场景在日常驾驶过程中发生的概率。
③C(controllability可控度):驾驶员或其他涉险人员控制危害以避免伤害的概率。
第三步:ASIL等级和安全目标确定。
①ASIL等级即汽车安全完整性等级共分为四个等级,D代表最高严格等级,A代表最低严格等级。
②还有一个等级QM(quality management),但是QM 表示只要按照企业流程开发就可以满足ISO26262要求,所以在ASIL等级中不予包括。
系统安全风险评估的主要内容和手段之一是首先确定系统功能安全完整的风险等级ASIL,作为其后续执行各个阶段安全管理流程的重要参考和标准,需要针对此款产品的主要功能进行详细的改进设计。等级指标与每个产品ASIL的主要功能设计等级之间关系见表1。
基于纯电动汽车整车控制器的功能安全分析与设计
苟毅彤
(中汽研汽车试验场股份有限公司,盐城224100)
摘要:整车控制器(VCU)系统具有自动完成操作者的意图解析、转矩管理、电机电池协调控制管理、充电过程管理、故障诊断及CAN网络控制等多项功能。随着技术发展新能源汽车的VCU复杂程度不断提高,整车功能安全的失效问题也随之增加。基于在道路车辆功能安全标准ISO26262研究的成果基础上,分析了道路车辆vcu的结构和功能失效安全性,设计了其相应的软、硬件一体化架构和安全管理机制。
关键词:整车控制器(VCU);ISO26262;功能安全
·47·
内燃机与配件表1ASIL等级表
严重度等级暴露概率等级
可控性等级
C1(简单
控制)
C2(一般
控制)
C3(难以控制
或不可控)
S1(轻度和中度伤害)E1(非常低概率)
E2(低概率)
E3(中等概率)
E4(高概率)
QM
QM
QM
QM
QM
QM
QM
A
QM
QM
QM
A
S2(严重伤害和危机生命的
伤害)E1(非常低概率)
E2(低概率)
E3(中等概率)
E4(高概率)
QM
QM
QM新能源汽车起火
A
QM
QM
A
B
QM
A
B
C
S3(致命伤害)E1(非常低概率)
E2(低概率)
E3(中等概率)
E4(高概率)
QM
QM
A
B
QM
QM
A
B
A
B
C
D
3VCU功能安全分析
为满足VCU系统安全目标和安全要求,结合整车控制器的基本功能和某款车型产品的输入要求我们用几个典型事例进行风险分析和安全评估,并得到VCU对应的需求和目标,为系统设计提供输入。
3.1行驶过程中无法减速
车辆行驶过程中制动系统因制动力不足出现减速异常时,可能导致碰撞事故会危及人身致命伤害,严重程度等级S取值为3。此类危害事件会发生在驾驶员或乘员当中,暴漏概率等级E取值为4。出现此危害事件后,驾驶员会出现对车辆的难以操控或不可控,因此可控性等级C取值为3。依据ASIL等级表,得到该危害事件的等级为ASIL D。
3.2行驶过程中EPS系统异常
车辆在高速行驶过程中EPS出现异常扭矩或锁死扭矩,这种异常情况会出现高速行驶的车辆突然转向或转向被锁死的失控危险,给司机、乘客和行人带来人身致命伤害。严重程度等级S取值为3、E取值为4、C取值为3,查询表得该危害等级为ASIL D。
3.3车辆充电过程中电池系统热失控
纯电动汽车在充电过程时,因电池过充的热失控产生起火、爆燃异常情况的危险,会给司机、乘客和行人带来人身致命伤害。严重程度等级S取值为3、E取值为4、C取值为2,查询表得该危害等级为ASIL C。
基于以上三种典型的危害事件分析,需求设计输入目标如下:
①我们这里分析的制动系统异常是指非制动系统的机械故障,VCU应避免行车减速过程中电动真空泵系
统出现真空度不足的异常情况。针对电动真空泵系统设计安全目标要有相应的真空传感器安全监控机制,确保VCU 采集真空泵压力信号及时准确。如果出现该异常情况,必须具备记录故障码、仪表报警提示和E-ABS系统响应机制,并上报为整车严重故障等级。
②VCU应避免行驶过程中EPS系统车辆突然转向或转向被锁死的异常情况。针对EPS系统设计安全目标要有相应的扭矩转角传感器和车速传感器安全监控机制,确保VCU采集扭矩转角传感器和车速传感器及时准确。如果出现异常情况,具备记录故障码、仪表报警提示和“跛行回家”响应机制,并上报为整车严重故障等级。
③VCU应避免车辆在充电过程中电池系统过充出现电池起火或爆炸的热失控异常情况。针对BMS系统设计安全目标要有相应的电池单体电压、总电压和充电电流安全监控机制,确保VCU采集到BMS系统的数据及时准确。如果出现热失控情况,具备记录故障码、仪表报警提示和切断充电继电器的相应机制,并上报整车较严重故障等级。
4VCU系统架构分析与设计
基于前面几种典型安全事件的分析,VCU功能安全在产品设计上的实现对整车安全具有至关重要的作用。因此要在VCU系统架构上就要设计监控架构方式的合理性,要在软、硬件层面均满足失效安全的要求。下面我们分别从软、硬件两个层面对安全架构进行分析。
4.1VCU系统硬件安全架构
VCU硬件主要包含电源模块、主MCU模块(控制通道)、从MCU模块(监控通道)、信号调理模块、CAN通信模块和驱动输出模块。系统采用双电源芯片设计,各自使用独立的电源芯片给其供电。为了实现系统的安全目标,控制通道和监控通道所用的传感器信号必须独立,都能获取集成于车辆接口的传感器信号。控制通道根据传感器输入和其它来自CAN总线的相关输入信息来执行相关动作指令。监控通道根据单独的传感器输入和其它来自CAN总线的相关输入信息,校验控制通道是否准确执行相关指令。
4.2VCU系统软件安全架构
VCU系统软件构架必须考虑避免、检测或处理随机硬件故障和软件系统故障。设计软件构架分为功能层、监控层和应用层。功能层是完成VCU基本功能的执行,包括车辆运行、能量管理、充放电管理等功能。监控层实现对功能层软件的监控,包括加速踏板信号、制动踏板信号、电池SOC、充放电电压电流的分析和处理。应用层是利用双MCU模块通过芯片锁步机制和纠错码机制来监控软硬件动作和逻辑的完整性。
5结语
我国纯电动汽车推广应用已步入快速发展阶段,用户对纯电动汽车的要求也从关注功能、性能、价格、
续驶里程等因素,逐步提升为对整车系统安全性问题的重视。本文主要基于ISO26262《道路车辆功能安全标准》,并结合VCU整车控制器的安全性特点,进行了汽车功能系统安全性的分析,进而对VCU产品的系统架构进行软硬件优化设计。该方案不仅大大提升了纯电汽车产品的安全技术水平,而且还利用CRUISE和Matlab技术建立了纯电动汽车的整车及控制策略的仿真平台,突破了以往仅利用仿真做理论分析的指导作用。该仿真平台可以通过简单的参数设置便可对整车的性能进行预测,进行先进的控制策略开发及调试等,为VCU整车控制系统进一步优化和系统匹配奠定了坚实的技术基础。
参考文献:
[1]黄万友,等.电动汽车整车控制器控制策略研究综述,内燃机与动力装置,2018,35(1):35-39.
[2]刘佳熙,等.汽车电子电气系统的功能安全标准ISO26262 [J].上海汽车,2011,10:57-61.
[3]张戟,万祥,朱翔宇.整车控制器功能安全设计和研究[J].佳木斯大学学报,2016,9:34-5.
·48·
发布评论