VCU功能安全开发之危险分析与风险评估

根据 ISO 26262 标准要求， 并针对目标开发的整车控制器， 本文以扭矩安全为例制定了如图所示的开发流程（下文中的VCU为大学生方程式赛车VCU）。

本文主要根据 ISO 26262 标准第 3 部分功能安全概念设计的要求， 从相关项定 义出发， 对 VCU 完成 HARA 分析。

功能安全概念设计流程（以扭矩安全为例）

首先需要对 VCU 进行相关项的定义

相关项定义具有两个 目 的：其一是定义并描述 VCU 概念， 以及该系统与环境和其他相关系统的依赖 性和相互影响；其二是为充分理解 VCU 提供支持， 以便执行后续阶段的设计工 作。在定义 VCU 时， 可参考与其相关的已有信息， 如产品理念、 项目 梗概、 相 关专利、 预试验结果和来自 前代 VCU 的文档等相关信息。

根据 ISO 26262 相关项定义的要求， VCU 的主要功能包括车辆运行模式管 理、 高压上下电管理、 整车扭矩需求管理、 能量管理、 充电监控和故障诊断等。其工作环境包括在不同天气情况下（ 晴天、 雨天等）、 不同路面状况下（ 高速道 路、 停车场等）， 车辆运行时的各状态（ 驱动、 制动、 转弯、 停车等）。相关项架 构如下图所示。

危险分析与风险评估

危险分析与风险评估的 目 的是识别 VCU 中因故障而引 起的危害并对危害进行归类， 制定防止危害事件 发生或减轻危害程度的安全目 标， 以避免不合理的风险。

我们将以驾驶员 意图识别及扭矩管理功能、 高压上下电管理功能和充电监控 功能等在安全方面有重要影响的功能为例作为展开。因此， 危险事件将以上述功 能作 为分类依 据进行后 续的 汽车安 全完整性等级分析。在进行具体的 HARA 前， 通过查阅历史记录、 现场研究和头脑风暴等技术提取 VCU 功能失效可能导 致的危害。

驾驶员 意图识别及扭矩管理功能失效 可能导致的危险事件主要包括：

（ 1） 非期望的车辆加速；

（ 2） 非期望的车辆减速；

（ 3） 非期望的车辆起步。

扭矩管理功能 HARA 分析：

驾驶员 意图识别及扭矩管理功能作为 VCU 最为重要的功能 之一， 其功能的失效将直接关系到驾驶人员 或者行人的人身安全。赛车车速较快， 因此非期望的车辆加速是最为严重的故障形式。从暴露率等级、 严重度等级和可控性等级这三个重要指标进行分析评估。

高压上下电管理功能失效可能导致的危险事件主要包括：

（ 1） 高压电闭合失效；

（ 2） 高压电断开失效。

高压上下电功能 HARA 分析：

新能源汽车的另 一个重要安全问 题是高压安全 ， 而在高压安全中 起到重 要作用 的则是高压继电器的控制。为了 保证高压系统能正常且安全的上下电， 应 按照正确的顺序闭合或者断开高压继电器 。

高压继电器的闭合失效或者断开 失效都可能对驾驶员 或者维修人员 的生命安全造成伤害， 因此应该对其进行功能 安全设计。以高压继电器粘连为例， 分析如下。

充电监控功能失效可能导致的危险事件主要包括：

（ 1） 电池充电电压过大；

（ 2） 电池充电电流过大。

充电管理功能 HARA 分析：

VCU 在充电过程中 主要负 责和电池管理系统进行信息交互并控制各部件按 照既定策略进行工作。充电过程中 ， VCU 保持监控电池管理系统及充电机的状 态信息， 过程中 若发生故障， VCU 及时控制继电器断开高压系统以防止危险事 故的发生。

|注：本文内容摘录自2018论文集，作者王玮，仅供学习参考！

关键词： 高压继电器 风险评估