基于ISO 26262 的纯电动公交车VCU 安全分析与设计
1 道路车辆功能安全标准ISO 26262
ISO 26262功能安全标准于2011年发布第一版,2018年发布第二版,是针对汽车电子电气系统,为减少安全风险,提高车辆安全性而制定。ISO 26262提供了车辆电子电气系统的功能安全开发流程,并规定了汽车电子电气系统的安全生命周期:概念阶段、产品开发阶段-系统层、产品开发阶段-硬件层、产品开发阶段-软件层、生产发布之后。安全生命周期如图1所示。
2.1 相关项定义
相关项定义要给出详细的项目定义,明确相关项的要求,从而对相关项有足够的理解,能够指导后续工作。内容包括相关项的功能性需求、非功能性需求、法规要求等。
纯电动汽车VCU作为整车控制的核心,通过CAN总线与电池管理系统(BMS)、电机控制器(MCU)进行信息交互。通过采集加速踏板油门信号、制动踏板制动信号、换挡器挡位信号,进行相应的车辆驱动、再生制动、挡位控制、坡道辅助等功能。系统结构如图2所示。
2.2 危害分析与风险评估(HARA)
危害分析与风险评估(HARA)给出一种功能失效的危害及风险的评估方法,需要对系统的风险进行评估分析,识别及分类,最终确定相关项的汽车安全完整性等级。HARA要求对于每个危害事件从严重度(S)、暴露度(E)、可控度(C)3个维度进行分析。严重度S是指危害事件对驾驶员、乘客或行人造成的人身伤害的程度,分为S0、S1、S2、S3四个等级;暴露度E是指危害事件在运行场景中的暴露概率,分为E0、E1、E2、E3、E4五个等级;可控度C是指危害事件发生时驾驶员、乘客或行人能够充分控制危害事件以避免伤害的可能性,分为C0、C1、C2、C3四个等级。然后依据风险矩阵确定汽车安全完整性等级(ASIL),如表1所示。ASIL等级越高,表示危害事件的风险越高。
受篇幅限制,本文仅对车辆驱动及再生制动功能进行了HARA分析,如表2所示,分析得到了的4个危害事件,分别分析每个危害事件的严重度S、暴露度E、可控度C,得出每个危害事件的ASIL等级。
2.3 安全目标
安全目标是相关项最高层面的安全要求,应为每一个危害事件确定一个安全目标,并继承危害事件的ASIL等级。安全目标表述为功能目的,而不表述为技术解决方案。通过以上危害分析与风险评估,导出危害事件相应的安全目标,表3给出车辆驱动和再生制动功能的安全目标。
功能安全需求(FSR)由安全目标导出,以避免每个危害事件的不合理风险。功能安全需求应包含运行模式、故障容错时间间隔(FTTI)、安全状态、功能冗余(故障容错)、报警和降级、驾驶员的控制方法等内容。根据2.3中的安全目标导出功能安全需求,表4给出了功能安全需求定义,对于每个安全目标给出了2~4个功能安全需求。
3.1 安全分析与技术安全要求
按照ISO 26262的要求,需要在系统设计时进行安全分析,常用的安全分析方法有:故障树分析(FTA)、失效模式与影响分析(FMEA)等。本文采用故障树FTA方法进行安全分析。分别以车辆非预期的加速、再生制动效能降低作为顶事件,将其向下依次分解到传感器、控制器和执行器中,再继续向下进行分解至最底层,如图3、图4所示。
根据技术安全需求,进行系统架构设计。对VCU系统架构设计采用了E-GAS架构的设计理念,即如图4给出的3层安全监控设计:第1层为基本功能层,实现驱动、再生制动、故障诊断等基本功能。第2层为功能监控层,监控第1层与安全相关的功能是否正常运行,通过冗余的信号处理监控信号处理是否正确,并采用扭矩监控模块,监控第1层的扭矩输出是否正常。第3层为处理器监控层,独立于功能控制器(采用ASIC或微处理器),通过问、答的形式监控功能处理器的程序是否正常运行;当检测到故障后,独立于功能处理器触发相应的故障响应。
本文介绍了基于ISO 26262标准的功能安全开发流程,并对纯电动公交车VCU进行了安全分析和设计。通过HARA分析确定了纯电动公交车VCU的安全目标以及ASIL等级,根据安全目标导出了功能安全需求和技术安全需求,并完成了VCU系统架构设计。本文论述的方法对于纯电动汽车VCU的功能安全开发具有一定的可行性及实用价值,为纯电动汽车VCU功能安全开发提供一种思路。
-
汽车测试网V课堂
-
微信公众号
-
汽车测试网手机站
编辑推荐
最新资讯
-
直播|中汽中心 工程院:汽车智驾技术主题
2024-11-24 11:43
-
直播|中汽中心 工程院:无人驾驶车路云一
2024-11-24 11:42
-
直播|中汽中心 工程院:基于无人驾驶矿卡
2024-11-24 11:41
-
直播|中汽中心 工程院:超声波雷达测试系
2024-11-24 11:40
-
直播|中汽中心 工程院:基于车路云图的无
2024-11-24 11:40