节能与新能源汽车电控系统的功能安全_航盛

电池包及电池管理系统BMS
BMS
• PHEV插电电动大巴电池包的设计
• 完成了集中式、分布式BMS软硬件
设计，用于华晨、东风的HEV项目
• 按ISO26262安全等级ASIL-C设计
整车动力系统控制器VCU
• HEV/EV的动力系统控制的通 用软件及硬件平台
VCU • 按ISO26262最高安全等级 ASIL-D设计，双CPU架构
ISO 26262 明确规定凡是ECU系 统安全级别在ASIL B、C、D，
需要功能安全流程审计
• 设立专门的功能安全技术小 组
– 从事安全件ECU的功能安全的 分析、设计、管理
• 成立安全件专家小组
– 深入研究MISRA软件安全规范 及ISO26262标准
– 制定航盛安全件开发、工艺及 制造流程指导规范
汽车软件安全标准 起源于英国，没有IEC61508应用 得广泛，也作为技术报告ISO/TR 15497在国际上发 表 目前是汽车工业界最广泛使用的软件指导开发书
10
功能安全相关的标准
ISO 26262：
Road vehicles – Functional safety
最新的国际汽车界功能安全 标准
Concept phase
Product development: system level
Product development: hardware level
Product development: software level
Production and operation
Supporting processes
CMMI-3
危险分析及风险评估 (HA&RA)、FMEA
需要
软件开发需 HA&RA、FMEA、FTA 满足CMMI-3
+ISO26262
更严格
功能安全验证 需要
很严格
软件开发 MISRA-C
基于模型 设计
ECU结构 单ECU
双ECU 需独立安全监控 ECU或满足ASIL-C
的单ECU
ASIL-C/D系统开发需考虑功能安全的流程实施措施
汽车ECU系统及安全性考虑
• 现代汽车集成越来越多的汽 车电子系统，ECU系统的“安 全性”功能至关重要
• 新能源汽车ECU系统结构变 得更加复杂，确保整车系统 的安全性是首要任务
3
EV及传统汽车安全系统比较
传统汽车
驾驶人
电动汽车
驾驶人
加速
换档 减速
ASIL
ABS/TCS/DSC
ASIL
ASIL
• ISO26262标准的执行，将减少因为电子器件失效造 成的交通事故和降低潜在召回风险
• ISO26262大约于2005年开始发展，于 2011年发行 正式版本，于2015年将可能成为欧洲法规，未来 ISO26262对于汽车产业的影响程度将不亚于 ISO/TS16949
航盛对ISO26262的应对措施
IEC61508与其他安全 标准的关系：
9
功能安全相关的标准
MISRA-DEV：
Development guidelines for vehicle based software (1994) ISO/TR 15497:2000 Road vehicles – Development guidelines for vehicle based software
航盛在新能源汽车核心关键控制系统的突破
，包括整车控制器、电机控制器、电池管理 系统，DC‐DC变换器、BSG起停系统及新能源
汽车动力总成系统 ¾ 汇丰银行HSBC对Better Place Ltd 3.5亿美元风
险投资的技术竞业调查(Technical Due Diligence)的专家成员 (2009年)
1997年 1994年11月
2011年
硬件和软件
软件
硬件和软件
安全层级定义
SIL 1 – 4
SIL 1 – 4
ASIL A – D
12
提纲目录
¾EV与传统汽车安全系统比较 ¾功能安全相关的标准 ¾ISO 26262的影响及应对措施 ¾三大安全件的功能安全 ¾深圳航盛电子
ISO26262的影响
• 现代汽车集成越来越 多的汽车电子系统， ECU系统的“安全性”功 能至关重要
ASIL-oriented and safetyoriented analyses
Guideline on ISO 26262
11
功能安全标准的对比
适用的业界 发表时间
范围
影响汽车电控系统功能安全的规范及标准 IEC 61508 MISRA-DEV ISO 26262 工业界通用 针对汽车工业 针对汽车工业
中混 全混 PHEV/EV
BMS ASIL – B ASIL – B → C ASIL – C
MCU ASIL – B ASIL – B ASIL – B → C
VCU ASIL – B+ ASIL – CASIL – C
刹车制动系统一部分：刹车子系统
ASIL-B ASIL-C
CMMI
安全分析
安全审计
7
提纲目录
¾EV与传统汽车安全系统比较 ¾功能安全相关的标准 ¾ISO 26262的影响及应对措施 ¾三大安全件的功能安全 ¾深圳航盛电子
功能安全相关的标准
IEC61508：
•国际上目前最广泛应用的、针对电子控制系统的安全工业 标准 •工业界通用标准，并非特异针对汽车工业，所以有局限 •对于汽车安全关键嵌入式系统软件开发, 该标准不适宜汽 车特定环境
• 软件通用化、模块化、平台化 • 提供OBD、在线标定、程序刷
新功能
电池包
电池模组
并联P2
牵引电机控制器MCU
• 永磁及交流异步电机的通用化、模 块化控制平台
• 按ISO26262安全等级ASIL-C设计 • 将用于东风中卡HEV项目
MCU
ENG
EM Gearbox BAT
BMS/MCU/VCU功能安全基本要求-ISO26262
¾ 哈尔滨工业大学获电力电子专业工学硕士学位, 电气工程系
¾ 哈尔滨科技大学获检测技术及仪器专业学士学位
• 主要贡献
¾ 组建航盛新能源及汽车控制电子事业部，为 航盛建立了系统化、规范化的安全电控系统
的开发流程体系 ¾ 在中国率先推行ISO26262，并建立了航盛安
全关键系统的功能安全实施体系 ¾ 指导并参与新能源汽车核心技术研发，实现
20
提纲目录
¾EV与传统汽车安全系统比较 ¾功能安全相关的标准 ¾ISO 26262的影响及应对措施 ¾三大安全件的功能安全 ¾深圳航盛电子
CMMI SPICE
ISO26262 IEC61508
MISRA软件规范、 及功能安全分析指
导书
航盛项目开发流程
丰富航盛目前的项目 开发流程，对研发V
字流程做细化调整
V字研发流程
系统
硬件
软件
突出安全关键系统 开发流程管理体系 及评估审核机制
提纲目录
¾EV与传统汽车安全系统比较 ¾功能安全相关的标准 ¾ISO 26262的影响及应对措施 ¾三大安全件的功能安全 ¾深圳航盛电子
• 结合CMMI、SPICE、IEC61508、 ISO26262标准及MISRA标准规范， 航盛新能源事业部率先在国内建立安 全关键系统开发流程管理体系及评估 审核机制
• 国际功能安全新标准ISO26262对功 能安全的要求更加严格
• 航盛率先实施ISO26262的功能安全流程， 以确保所有安全件的可靠性、安全性
ASIL
力矩
方向
减速
整车控制器 ASIL
EMS
ASIL
TCU
ASIL
BMS
ASIL
MCU
ASIL
ABS
ASIL
发动 机
变速 箱
制动 闸
电池 包
电机
制动 闸
由于电动汽车ECU系统的增加，EV电子系统结构愈加复杂，EV整车 的功能安全的设计和实施是实现EV安全控制的重要因素
EV的安全系统
EV安全需求
碰撞安全
• 需详细阐述功能安全设计、 验证及管理对安全件开发流
程的影响
15
汽车电控安全件流程体系建设
• 中国汽车电控关键系统的薄弱及缺乏 主要是企业对流程体系的忽略而造成
• 新能源汽车动力电控系统 BMS/MCU/PCU是安全关键ECU子 系统
• 安全关键ECU系统的开发必须遵循严 格的开发流程
– 系统功能安全的实现必须作为首要任 务，否则因安全不能确保的安全件产 品导致的召回损失将是无法估量的
EMC考虑 ISO7637 ISO11452
5
汽车电控系统应用
遥控无钥匙门禁 仪表盘
空调控制器 转向
发动机控制
灯光控制
内视镜 镜控
安全气囊
前视监控 Βιβλιοθήκη Baidu视监控
后座监控
电池及管理系统 悬架阻尼控制
毫米波雷达防撞系统
门控
散热温度传感器 变速箱控制
混合动力控制
悬架阻尼控制
线控刹车系统
安全气囊控制
电动助力转向系统 防锁制动系统
– 将对与安全有关的汽车 ECU系统开发产生巨大影 响
涵盖电子系统设计, 电子硬 件、软件开发及管理、流程 指导
Part 1 Part 2
Part 3 Part 4
Part 5
Part 6
Part 7 Part 8 Part 9
Part 10
Vocabulary
Management of functional safety
航盛新能源汽车电控系统
新组建的团队从2010年下半年开始进行新能源汽车核心三大件的开发，团队主体是近年毕业 的本科、硕士生，及少数有经验的工程师参与。目前已基本完成VCU、BMS及MCU的主 体开发工作，并得到东风汽车等公司的认可，三大件已逐步运用到实际HEV/EV项目中。 所有项目严格按ISO26262中的V-字安全件开发流程，提供CAN诊断、标定、刷新功能。
¾ 奇瑞中混ISG及微混BSG汽车动力系统核心技术 专家，使奇瑞在中国新能源汽车技术领域确 立了领先地位，成为开发其他新能源汽车的 核心技术基础及模板，获国家科技进步一等 奖 (2005～2007年)
¾ 参与超过十多项的国际范围内的新能源汽车 混合动力系统研发、咨询及技术领导等工作 ，包括上汽集团中混BSG及插电混合动力系统 、一汽集团全混动力汽车动力系统、McLaren F1 动能回收系统(KERS)混合传动系统等 (2005 ～2010年)
– 安全件开发严格按航盛安全件管理流程 – V字型开发流程，功能安全设计与验证贯穿整
个流程 – 建立文档标准模板、建立方案评审机制
• 我们坚信只有流程体系的保障才能实现航盛 国际化的宏伟愿景、中国在安全件的突破
16
航盛新能源电控部流程考虑
结合软件成熟度审核标准CMMI、SPICE及功能安全标准 IEC61508、ISO26262及MISRA指导书的要求，深化航盛电 控部的V字研发细化流程体系
节能与新能源汽车 电控系统的功能安全
陈小江 深圳航盛电子股份有限公司
Self introduction
现就职于：深圳航盛电子有限公司 职 位: 常务副总、总工程师
•教育经历
¾英国萨瑞大学(University of Surrey)获工学博士学位, 开发的飞轮电机控制电路 及卫星姿态优化控制算法被广泛用于萨瑞卫星技术公司的商用卫星中, 如地面目 标跟踪控制算法
冗余设计，某些特定系统甚至最多有四冗余系统，但由于汽车行 业所面临的成本压力，多冗余设计在实践中无法采用。
• 与安全设计相关的法规及指导书
– IEC61508、 ISO26262 – MISRA 安全规范指导
• 这些法规及指导有不同的目的、方法及适用领域
– IEC61508为工业界通用安全标准 – ISO26262是面向汽车工业
车身稳定系统
新的汽车控制电子ECU系统大多与整车安全息息相关
安全关键嵌入式系统要求及标准
• 汽车工业在解决安全关键嵌入式系统面临的挑战
– 它必须满足类似的鲁棒性要求而不增加车辆的成本 – 这就要求供应商及其配套厂家要推出创新且新型的解决方案，从
而以有竞争力的价格解决严格的安全性要求所面临的难题 – 航空一直采用线控飞行控制系统，为满足安全性要求，通常采用
¾ 尼桑(NMLT)中型卡车(Cabstar & Atleon)全混动 力系统的技术总指导 (2008年)
节能与新能源汽车电控系统的 功能安全
航盛电子有限公司 陈小江
2012年9月19日
www.hangsheng.com.cn
提纲目录
¾EV与传统汽车安全系统比较 ¾功能安全相关的标准 ¾ISO 26262的影响及应对措施 ¾三大安全件的功能安全 ¾深圳航盛电子
电气安全
Crash safety Electric safety
功能性安全 Functional safety
电磁兼容 EMC
救援恢复 Rescue & recovery
高压保护 High-voltage
protection
EV安全要求 ISO6469-2
基于软件的控制系统 Software-based control system IEC61508 ISO26262 ECE，MISRA