依据功能安全标准ISO 26262的燃料电池电子控制单元的系统设计及分析，吴松，付宇卓，作为首个面向汽车电子电气系统的功能安全标准，ISO 26262涵盖了功能安全管理、安全生命周期以及依据ASIL（Automotive Safety Integrity Level）��
山国武论文在线 硬件发、软件发三个层面构成。由功能安全概念中的功能安全要求进·步得 岀产品的技术功能安全要求和安全机制,再分解得到硬件功能安全要求和软件功 能安全要求。并针对不同的等级,按照 的推荐要求采用不用的 验证方法和确认手法。 生产和运行阶段:由 第部分、第部分构成。开发人员应提供生产 规范、运行规范、包含所有安全要求的确认文件、生产规范、包装规范、生产后 服务的标准操作规程 概念阶段 在本节,以燃料电池电子控制单元为例来展示如何实施概念阶段的工作。燃料电池电子 控制单元的辶要功能是实现燃料电池工作状态的管理,包括喷射氢气量、压力、温度、湿度 等一系列参数的控制,为车辆的各种行驶状态提供足够电能ε概念阶段的主要章节如下文所 相关项定义 相关项在 中值实现整车层面功能的一个系统,在本文中指代燃料电池电子控 制单元。本章节中,系统开发人员应得出包括初步架构和基本功能在内的相关项定义。对于 燃料电池电子控制单元而言,其首要功能是根据车辆行驶状态以及当前的温庋和氢气压力等 状态来控制喷射出的氢气量,以产生合适的电能满足车辆行驶的要求。图给出了燃料电池 电子控制单元的初步架构。另外,还需要与其他电子控制单元办同工作,例如管理车辆行驶 状态的整车管理单元,用作能量缓冲的锂电池及相应电子控制单元,负贲将燃料电池输岀的 电能转化为动能的电机控制单儿和驱动电机等,这些电子控制单元之间通过总线实现 数据交互。在车辆启动时,首先由锂电池作为动力源提供电能,在燃料电池电子控制单元控 制温度湿度和压力达到适宜范围后,根据整车电了控制单元的要求燃料电池廾始输出电能 这是由于燃料电池中的质子父换膜对于工作温度和湿度有比较严格的要求,适宜的温度和湿 度能提高气体扩散率和膜的导电性,达到使用寿命和能量转换效率的最大化。在加速行驶 过程中,由于燃料电池的输出响应速庋比较慢,所以需要由锂电池来提供加速瞬间所需的能 量。当加速完成,车辆稳定的高速行驶过程中,需要提高氢气和空气的进气量,并加快系统 冷却和排水速度,以提高电能输出功率。在刹车时需要配合动能回收系统的工作,减少进 气量,降低输出功率。对于整车系统的电能控制需要涉及锂电池充放电策略管理,电机驱动 策略管理等,本文对此不作进一步的讨论。 山国武论文在线 整车CAN接 控制器 排水控制 进氢气控制与控制 l空气控制 进空气控制 氢气喷射控制混度检測压力检测其仙检测 氢气喷射 空气增湿 空气进气 燃料电池垤 氢气排气 空气排气 排水闯 水箱 热交换器 图燃料电池电子控制单元系统框图 相关项的定义总结如下 系统目的:按照整车控制单元通过总线发送的命令,控制燃料电池工作,输岀 需要的电能。 ()系统功能: 根据总线命令,计算并控制氢气喷射量。 根据总线命令,计算并控制空气进气量。 根据总线命令,计算并控制氢气排气量 根据总线命令,计算并控制空气排气量 根据总线命令,计算并控制冷却风扇,管理燃料电池温度。 根据 总线命令,计算并控制排水量。 ()其他运行条件 满足汽车内的温度、湿度、震动、防尘防水等物理坯境要求 满足汽车电了电磁兼容和电磁干扰等电磁环境要求 ()系统用户:·般驾驶人员 启动安全生命周期 中的功能安全生命周期如下图所示。它包括概念阶段,产品开发,以及生 产发布之后。所有的计划、开发工作和成果文档必须严格按照生命周期的各阶段执行。贯穿 整个安全生命周期的安全管理工作包括:()危害分析与风险评估;()系统架构设计和 确认;()产品的硬件廾发和软件开发;()开发流程的设计和验证;()生产规范和 维护规范的制作。所有与相关项系统的产品开发、生产、运行相关的组织都是安全管理的 部分。本文着重与概念阶段、系统开发阶段和硬件开发阶段,生产和运行都是面向大规模量 产的,在本文不予考虑。软件开发也不在本文范围之内,因此 的第、第、第 部分不再本文讨论范围之内。 山国武论文在线 2-52-7 功能安全管埋 3-5 相关项定 36安全生命周期启动 3-7危害分析和风险评估 3-8功能安全概念 产品开发:系统层面 7-6运行计划 75生产计划 硬件层百件层面其它技术可控性|外措施/然 分配给 4-9 安全确认 410功能安全评估 4-11 生产发布 7.5 生产 发生修改的情况,返回 到恰当的生命周期阶段 7-6运行、维护和报废 安全生命周期 危害分析与风险评估 本节介绍如何依照 实施安仝生命周期中的危害分析与风险评估阶段。首先应 进行场景分析,描述故障导致危害事件发生时所处的运行场景和运行模式。然后识别危害事 件及其后果,之后对所有识别到的危害进行分类,并从严重度、暴露概率和可控性三个方面 评级,并由此得出各个危害的等级。最后为有等纵的危害事件确定安全目标, 以及对应的安全状态 场景分析及危害识别 对危害发生时车辆所处的运行场景和模式进行分析,同时识别出燃料电池电子控制单元 故障所造成的整车层面危害,这两者的组合才能确定一个危害事件,并进一步识别危害事件 的后果。 对于燃料电池电子控制单元而言,整车的运行场景如下 停车时怠速运行 低速行驶 加速行驶 高速行驶 减速行驶 对于系统的各个功能,其可能的故障和后果如下: 山国武论文在线 表燃料电池电子控制单元功能一览 系统功能 相关项层血故障 整车层面后果 降低系统最人输出功率 氢气喷射过多 氢气喷射功能 续航里程缩短 氢气泄露而导致起火或爆炸 氢气喷射过少 电能不足导致减速或停车 空气进气过多 降低系统最大输出功率 空气进气控制功能 续航里程缩短 空气进气过少 电能不足导致减速或停车 氢气排气过多 氢气排气功能 续航里程缩短 氢气排气过少 降低系统最大输出功率 空气排气过多 续航里程缩短 空气排气功能 空气排气过少 降低系统最人输出功率 燃料电池温度过高 续航里程缩短 温度控制功能 燃料电池温度过低 电能不足导致减速或停车 排水过多 降低系统最大输出功率 减少燃料电氾使用寿命 排水控制功能 电能不足导致减速或停车 排水过少 减少燃料电泡使用寿命 危害事件的分类 针对上节得出的危害事件,分别得出各自的严重度( )、暴露概率( 和可控性( )三个参数。下面分别对三个参数的概念进行介绍,并得出评级结 果 暴露概窣指车辆在每个运行场景下的暴露概率。从到分为个等级,表示几 乎不可能发生或不可抗力发生的风险情况,无需指定等级。表示非常低的概率, 表示低概率,表示中等概率,表示高概率,相邻等级间的概率差异是一个数量级。 通常认为每次使用车辆时会有短时间的停车怠速运行,定乂为。短时间的加速与减 速驾驶同样认为。在起步之后或偶尔遭遇交通堵塞时会低速( 以下)行驶,认为 是。通常的在一般城市道路或高速道路上认为是高速( 以上)行驶,评级为 表运行场景的暴露概率 项日 暴露概率 停车时怠速运行 低速行驶 加速行驶 高速行驶 减速行驶 严重度是指危害事件对驾驶员、乘客等受风险影响人员的潜在受伤害严重程度。由 到分为四个等级,其中表示不涉及对人员的伤害,不用为的危害事件分配 等级。表示轻度和中度的伤害,表示严重的伤害,表示致命的伤害。 对于表中除氢气泄露之外的危害,因为不会影响人身安全,所以在组合中不予考虑。 而高速行驶时考虑到风速的影响,泔露的氢气无法在在发动机室或汽车周围积累,不会引发 山国武论文在线 起火或爆炸。加速和减速是与氢气的积累并没有必然联系,所以也不予考虑。综合考虑得到 下表中两个危害事件,由于氢气的起火或爆炸都极有可能导致乘员受到致命伤害,甚至于对 车辆周围的其他车辆或人员造成伤害,所以将严重度定义为,即最严重的等级。 表危害事件的严重度 项目 严重度 停车怠速运行时因氢气泄露而导致起火或爆炸 低速行驶时因氢气泄露而导致起火或爆炸 可控性用来评价驾驶员或其他潜在处于风险的人员能够充分控制危害事件以避免特定 伤害的概率。由到分为四个等级,其中表示完全不景响车辆运行或者有法律法规 指定了针对一个危害事件的功能表现,不需要为的危害事件分配等级。表示简 单的可以控制,则表示很难控制或不可控制相邻等级间的概率差异同栟是一个数量级。 对于气气泄露而造成的起火,一般情况下可以及时作出反应并顺利逃生。但是在发生爆 炸的情况下,一般人很难对氢气泄露作出反应,所以分配可控性为等级,机很难控制。 表危害事件的可控性 项日 可控性 停车怠速运行时因氢气泄露而导致起火或爆炸 低速行驶时因氢气泄露而导致起火戌爆炸 得出等级和安全目标 由上一节得出的严重度、暴露概率和可控性三个参数,依据下表等级确定矩阵得出各自 的等级。按照 的规定,在所有得出的等级之中最高的一个,将被指 定为整个相关项的等级。其中是最低的等级,最高的为。则表示 对其不作要求,有企业内部的质量管理标准来保证即可。下表中加粗的部分即为实际得到的 参数。 山国武论文在线 表 等级分配矩阵 :严重度( )从低到高 暴露概率( )从低到高 可控性( )从高到低 对于燃料电池电子控制单元的危害事件,分别得出如下的等级 表 级确定 危害事件 等级 停车怠速运行时因氢气泄露而导致起火或爆炸 低速行驶时因氢气泄露而导致起火或爆炸 之后则需要为每个具有等级的危害事什分配安全目标,并将类似的安全日标进行 合)。然后将最高的等级分配给合并之后的安全目标。因此得到下表中的合并为 等级的一个安全目标。然后按照 的要求,如果安全目标可以通过转换或保持 个安仝状态来灾现,安全状态指关闭车辆、锁定车辆等没有不合理的风险的一种运行状态, 并在某种失效发生时规定的时间内可以保持此功能。 因此将燃料电池电子控制单元的安全目标和安全状态如卜表所示 表安全目标及文全状态 风险内容 安全日标 安全状态 起火或爆炸检测到氢气泄露之 氢气不喷射 后立刻停止氢气喷 射 功能安全概念 功能安仝概念是指从安仝日标中得出功能安仝要求( ),并 进一步分配到相关项的初步架构要素或外部安全措施。包括故障检测和失效减轻的安全措 施,过度到安全状态,驾驶员警告以及仲裁逻辑。对于燃料电池电子控制单元而言,其功能 安全要求如下,在功能安全要求的分配过程中,木文仅讨论硬件元素相关的部分。具体的功 能安全要求及其分配如下表所示 表功能安全要求 内容 相关项元素 能椅测到氢气泄露 各种传感器信号输入电路和 山国武论文在线 能检测到各种传感器的故障 各种传感器信号输入电路和 能检測到氢气喷射量的计算故障 能检测到氢气喷射控制电路的故障 氢气喷射控制电路和 能够在检测到故障之后停止喷射氢气 氢气喷射控制电路和 产品开发阶段 品开发可以进一步细分为系统层面开发、硬件层面廾发和软件层面开发。在此系统廾 发层面,廾发者需要由功能安全概念和根据整车系统的初步架构来制定技术安全要求,以使 于在系统开发层面具体展开安全要求,并确定安全机制。相应的在硬件开发层面需要进一步 得出硬件安全要求以指导硬件设计。在软件开发层面也需要软件安全要求。然后按照系统 硬件和软件各层面的字开发模型,在开发完成之后,还需要针对安全要求完成验证工作 安全分析是完善相关项安全设计以及验证产品安全设计的重要手段。其目的在于检查相 关项及要素的功能、表现及设计的故障和失效后果。安全分析也提供了关于导致违背安全目 标及安全要求的条件和原因的信息。此外,安全分析也有助于识别出在先前危害分析和风险 评估过程中未被发现的新功能性危害或非功能性危害。 在本研究中针对燃料电池电」控制单元的系统和硬件架构,使用来定性的分杌, 以识别系统设计中比较簿弱的部分,之后使用 来验证等纵。卜文展示如何使 用安全分析来辅助系统的安全设计。 系统层开发 燃料电池电子控制单元的系统构成图如下图所示。包括一个主控制芯片,温度压力等传 慼器信号,空气和氢气的进气排气控制等功能,以及与外部通信的接口电路。氡气 泄露主要通过氢气压力异常、氢气流量异常或氢气喷射器驱动电路异常来识屴到。 整车控制 CAN信号输 MCI ECU 入电路 温度信号 故隆检测1 输入电路 需求 电路 各种温 量及 度压 体 氢气 力、气 压力信号 放障 喷射 体流量 输入电路 检测 功能 量计 紧急 传感器 算 停止 流量信号 电路 1L输入电路 电路 氢气喷射 氢气喷射 输出 器驱动电 器 计算 路 电子控制单元 图燃料电池电子控制单元系构成图 山国武论文在线 分析由顶到底分析 可以用于识别出潜在的关联失效。使用割集分析的方法,或者识别出中重复 的基本事件,都可以得出相关联的失效。并使用逻辑门的方式表达出来。对于燃料电池电子 控制单元,及定性的故障树分析结果如下。从结果来看,各种传感器信号的异常并不会直接 导致违反安全目标(即氢气泄露)的发生,仅在对应的故障检测没有检测到(故障检测功能 没有覆盖到的故障模式或者故障检测功能自身的故障)的情况下才会导致氢气泄露。 氢气泄露1 喷射氢气过多 温度值偏低][压力值偏低]匚流量值偏低]「氢气量计算丨「氢气喷资射功 值偏大 能故障 偷入/1检测/信号/流量 信号/障/压力 温度 电路/能/输入/检测信号/d障, 故障/氢气 故障失效|电路//功能/输入检测MCU|检喷射/障 故障|失效电路//功能故障功能您动//检测 故障失效 失效电路|失效 图燃料电池电子控制单元的故障树 分析由底到顶分析 使用 分析系统失效时,可以识别出系统中最脆弱,即对系统故障率贡献最大的 系统元素。对于燃料电池电子控制单元进行 分析的结果如下。其中的数字仅用作计 算过程的示范,不代表实际的数据。可以从计算结果得到总的残余或单点故障率为