电动汽车动力域控制系统VBS 的功能安全概念阶段设计

刘木林 卜凡涛 林辉 孙洋

东软睿驰汽车技术（沈阳）有限公司 辽宁省沈阳市 110172

随着无人驾驶和电动汽车技术的发展,传统汽车架构已经不能满足智能驾驶的要求,对智能电动汽车电子电气架构设计的科学性和高效性提出了更新,更高的标准要求.智能电动汽车电子电气架构设计与优化的最终目标是对汽车电子电器元件进行合理的排布,降低总线负载率,降低成本和质量.通过分析智能电动汽车电子电气架构设计的系统需求,基于域控制器的EE 架构是下一代智能电动汽车电子电气架构设计关注的重点。电动汽车控制系统的核心是动力域，而动力域中最关键的两个控制单元为整车控制器（VCU）和电池管理系统（BMS）。我们将这两个控制单元整合到一起，组成了一种电动汽车的动力域控制系统VBS，而VBS 设计的关键部分在功能安全的设计。

本文着重介绍了VBS 功能安全中概念阶段的设计，其中包括相关项定义、危害分析和风险评估、功能安全目标确定等内容。

1 VBS 的相关项定义

根据ISO 26262 第三部分，功能安全概念阶段设计的第一项任务是进行相关项定义（item definition）。对于VBS 的相关项定义，需要做的包括：（1）VBS 边界以及与其它部件的交互关系。（2）功能需求定义。

对于VBS 边界以及与其他部件的交互关系可见图1 所示。VBS 系统包括VBU（vehicle and battery unit）、HVM（high voltage manager）、BIC（battery information collector）三个部分组成。VBU 主要负责中央运算处理，与整车信号交互等功能。接口包括动力总成CAN、电子电器CAN、直流充电CAN 及与加速、制动踏板等器件的硬线连接。HVM 是高压管理单元，接口包括高压的电压、电流，绝缘检测传感器，高压接触器等，还包括动力总成CAN 及与BIC 的菊花链通信。BIC 主要采集电池的电压、温度等信息。BIC 之间以及BIC 和HVM 之间采用菊花链通信。

图1 VBS 边界以及与其它部件的交互关系图

对于VBS 的功能需求定义，分为15个部分：（1）系统工作模式识别及状态转换。（2）行车/ 驻车功能。（3）充电管理。（4）整车及电池热管理（5）车辆状态显示及交互。（6）车辆附件管理。（7）车辆故障报警及处理。（8）电池状态监控及估算。（9）电芯间电量均衡管理。（10）电池保护。（11）电池异常处理。（12）热失控报警。（13）碰撞检测及处理。（14）维修与服务。（15）VBS 失效检测和处理。

最后对这15 个功能再进行详细的分解。包含功能框图，输入、功能描述及输出。以第（6）条功能，车辆附件管理功能为例。功能框图如图2。输入为：铅酸电池电压信号；DCDC 状态及故障信号；真空度信号。输出为：DCDC 控制开关指令；功率限制命令；真空泵控制信号。部分功能需求描述: VBU 采集12V 蓄电池的电压；将DCDC 故障纳入整车故障判断中，按故障等级进行处理。DCDC 采集和判定电压过压、欠压、过温、短路等故障，并同时发送汇总的故障等级,VBU 只需检测故障等级；通过控制DCDC 以及蓄电池控制继电器对蓄电池进行充电。根据蓄电池电压或外设要求判定是否需要启动DCDC,当检测到蓄电池电压过低时，需要吸合蓄电池控制继电器；蓄电池电压恢复后不在需要DCDC 工作时（需要考虑其他外设要求是否需要停止DCDC 工作），断开补电继电器；BCM 故障状态要结合到整车故障中，参与扭矩控制；VBU 实时检测真空容器压力传感器的信号，查表计算出压力值；VBU 控制真空泵的输出功率，使真空容器中的压强维持在一定范围内，保证可为整车制动系统提供足够的制动力。

图2 车辆附件管理功能框图

2 VBS 的危害分析和风险评估

由ISO26262第三部分可知，倘若需要定义VBS 系统的安全目标，需要先对VBS 系统进行危害分析和风险评估，识别出系统的潜在危害。表1 是VBS 的危害分析及风险评估（HARA）文档。表中列出了HARA 中需要分析的项目，同时给出一个失效模式的例子进行说明。首先，功能故障项是由相关项定义而得出的。相关项定义中给出了15 个功能项，每个功能项又会分解出许多的独立功能项，针对每个功能项可能出现的失效模式（例如功能失效、反向、过高、过低等）进行分解。大约可分解为几百个故障模式。然后，针对每个故障模式又有不同的情景描述（包括车速、工况、路面情况、驾驶员情况等）。最后对每个故障模式及对应的情景描述进行三个维度的评分。这三个评估维度分别为：S 严重程度等级、E 暴露概率等级、C可靠性等级。三个等级的评估标准节选自ISO 26262，可参照表2 进行。

表1 HARA 分析示例

表2 S/E/C 等级评估标准

3 VBS 的功能安全目标及ASIL 等级的确定

通过HARA 分析会得到各个故障的S、E、C 的值。而功能安全目标是基于这三个值的和进行判定的。如果三个值的和小于7为QM 等级，不列为功能安全目标，按正常产品的质量管理即可。和等于7 为ASIL A 等级；和等于8为ASIL B 等级；和等于9为ASILC等级；和等于10为ASIL D 等级。表3 汇总了VBS 的功能安全目标，同时列出安全状态，进入安全状态的时间（FTTI）、ASIL等级。至此完成VBS的功能安全概念阶段设计。

表3 VBS 功能安全目标汇总