节能与新能源汽车电控系统的功能安全-航盛

节能与新能源汽车电控系统的功能安全陈小江深圳航盛电子股份有限公司Self introduction•主要贡献¾组建航盛新能源及汽车控制电子事业部，为航盛建立了系统化、规范化的安全电控系统的开发流程体系¾在中国率先推行ISO26262，并建立了航盛安全关键系统的功能安全实施体系¾指导并参与新能源汽车核心技术研发，实现航盛在新能源汽车核心关键控制系统的突破，包括整车控制器、电机控制器、电池管理系统，DC‐DC变换器、BSG起停系统及新能源汽车动力总成系统¾汇丰银行HSBC对Better Place Ltd 3.5亿美元风险投资的技术竞业调查(Technical Due Diligence)的专家成员(2009年)¾奇瑞中混ISG及微混BSG汽车动力系统核心技术专家，使奇瑞在中国新能源汽车技术领域确立了领先地位，成为开发其他新能源汽车的核心技术基础及模板，获国家科技进步一等奖(2005～2007年)¾参与超过十多项的国际范围内的新能源汽车混合动力系统研发、咨询及技术领导等工作，包括上汽集团中混BSG及插电混合动力系统、一汽集团全混动力汽车动力系统、McLaren F1 动能回收系统(KERS)混合传动系统等(2005～2010年)¾尼桑(NMLT)中型卡车(Cabstar& Atleon)全混动力系统的技术总指导(2008年)现就职于：深圳航盛电子有限公司职位:常务副总、总工程师•教育经历¾英国萨瑞大学(University of Surrey)获工学博士学位, 开发的飞轮电机控制电路及卫星姿态优化控制算法被广泛用于萨瑞卫星技术公司的商用卫星中, 如地面目标跟踪控制算法¾哈尔滨工业大学获电力电子专业工学硕士学位, 电气工程系¾哈尔滨科技大学获检测技术及仪器专业学士学位日提纲目录¾EV与传统汽车安全系统比较¾功能安全相关的标准¾ISO26262的影响及应对措施¾三大安全件的功能安全¾深圳航盛电子3汽车ECU系统及安全性考虑•现代汽车集成越来越多的汽车电子系统，ECU系统的“安全性”功能至关重要•新能源汽车ECU系统结构变得更加复杂，确保整车系统的安全性是首要任务EV及传统汽车安全系统比较驾驶人加速换档减速ABS/TCS/DSCEMSTCU发动机变速箱制动闸ASILASILASIL传统汽车电动汽车驾驶人力矩方向减速整车控制器BMS电池包电机制动闸ASILASILASILASILASILMCUABSASILASIL由于电动汽车ECU系统的增加，EV电子系统结构愈加复杂，EV整车的功能安全的设计和实施是实现EV安全控制的重要因素5EV的安全系统EV安全需求碰撞安全Crashsafety电气安全Electricsafety功能性安全Functionalsafety救援恢复Rescue&recovery高压保护High-voltageprotectionEV安全要求ISO6469-2基于软件的控制系统Software-basedcontrolsystemIEC61508ISO26262ECE，MISRAEMC考虑ISO7637ISO11452电磁兼容EMC汽车电控系统应用毫米波雷达防撞系统散热温度传感器变速箱控制悬架阻尼控制线控刹车系统防锁制动系统电动助力转向系统安全气囊控制安全气囊混合动力控制门控电池及管理系统悬架阻尼控制后视监控后座监控前视监控车身稳定系统内视镜遥控无钥匙门禁镜控仪表盘空调控制器转向发动机控制灯光控制新的汽车控制电子ECU系统大多与整车安全息息相关7安全关键嵌入式系统要求及标准•汽车工业在解决安全关键嵌入式系统面临的挑战–它必须满足类似的鲁棒性要求而不增加车辆的成本–这就要求供应商及其配套厂家要推出创新且新型的解决方案，从而以有竞争力的价格解决严格的安全性要求所面临的难题–航空一直采用线控飞行控制系统，为满足安全性要求，通常采用冗余设计，某些特定系统甚至最多有四冗余系统，但由于汽车行业所面临的成本压力，多冗余设计在实践中无法采用。•与安全设计相关的法规及指导书–IEC61508、ISO26262–MISRA安全规范指导•这些法规及指导有不同的目的、方法及适用领域–IEC61508为工业界通用安全标准–ISO26262是面向汽车工业提纲目录¾EV与传统汽车安全系统比较¾功能安全相关的标准¾ISO26262的影响及应对措施¾三大安全件的功能安全¾深圳航盛电子功能安全相关的标准IEC61508：•国际上目前最广泛应用的、针对电子控制系统的安全工业标准•工业界通用标准，并非特异针对汽车工业，所以有局限•对于汽车安全关键嵌入式系统软件开发,该标准不适宜汽车特定环境9IEC61508与其他安全标准的关系：汽车软件安全标准起源于英国，没有IEC61508应用得广泛，也作为技术报告ISO/TR15497在国际上发表目前是汽车工业界最广泛使用的软件指导开发书10MISRA-DEV：Developmentguidelinesforvehiclebasedsoftware(1994)ISO/TR15497:2000Roadvehicles–Developmentguidelinesforvehiclebasedsoftware功能安全相关的标准最新的国际汽车界功能安全标准–将对与安全有关的汽车ECU系统开发产生巨大影响涵盖电子系统设计,电子硬件、软件开发及管理、流程指导11ISO26262：Roadvehicles–FunctionalsafetyPart1VocabularyPart2ManagementoffunctionalsafetyPart3ConceptphasePart4Productdevelopment:systemlevelPart5Productdevelopment:hardwarelevelPart6Productdevelopment:softwarelevelPart7ProductionandoperationPart8SupportingprocessesPart9ASIL-orientedandsafety-orientedanalysesPart10GuidelineonISO26262功能安全相关的标准12影响汽车电控系统功能安全的规范及标准IEC61508MISRA-DEVISO26262适用的业界工业界通用针对汽车工业针对汽车工业发表时间1997年1994年11月2011年范围硬件和软件软件硬件和软件安全层级定义SIL1–4SIL1–4ASILA–D功能安全标准的对比提纲目录¾EV与传统汽车安全系统比较¾功能安全相关的标准¾ISO26262的影响及应对措施¾三大安全件的功能安全¾深圳航盛电子•ISO26262标准的执行，将减少因为电子器件失效造成的交通事故和降低潜在召回风险•ISO26262大约于2005年开始发展，于2011年发行正式版本，于2015年将可能成为欧洲法规，未来ISO26262对于汽车产业的影响程度将不亚于ISO/TS16949ISO26262的影响•现代汽车集成越来越多的汽车电子系统，ECU系统的“安全性”功能至关重要航盛对ISO26262的应对措施ISO26262明确规定凡是ECU系统安全级别在ASILB、C、D，需要功能安全流程审计15•设立专门的功能安全技术小组–从事安全件ECU的功能安全的分析、设计、管理•成立安全件专家小组–深入研究MISRA软件安全规范及ISO26262标准–制定航盛安全件开发、工艺及制造流程指导规范•需详细阐述功能安全设计、验证及管理对安全件开发流程的影响16汽车电控安全件流程体系建设•中国汽车电控关键系统的薄弱及缺乏主要是企业对流程体系的忽略而造成•新能源汽车动力电控系统BMS/MCU/PCU是安全关键ECU子系统•安全关键ECU系统的开发必须遵循严格的开发流程–系统功能安全的实现必须作为首要任务，否则因安全不能确保的安全件产品导致的召回损失将是无法估量的•结合CMMI、SPICE、IEC61508、ISO26262标准及MISRA标准规范，航盛新能源事业部率先在国内建立安全关键系统开发流程管理体系及评估审核机制•国际功能安全新标准ISO26262对功能安全的要求更加严格•航盛率先实施ISO26262的功能安全流程，以确保所有安全件的可靠性、安全性–安全件开发严格按航盛安全件管理流程–V字型开发流程，功能安全设计与验证贯穿整个流程–建立文档标准模板、建立方案评审机制•我们坚信只有流程体系的保障才能实现航盛国际化的宏伟愿景、中国在安全件的突破航盛新能源电控部流程考虑系统硬件软件V字研发流程ISO26262IEC61508CMMISPICEMISRA软件规范、及功能安全分析指导书航盛项目开发流程结合软件成熟度审核标准CMMI、SPICE及功能安全标准IEC61508、ISO26262及MISRA指导书的要求，深化航盛电控部的V字研发细化流程体系丰富航盛目前的项目开发流程，对研发V字流程做细化调整突出安全关键系统开发流程管理体系及评估审核机制提纲目录¾EV与传统汽车安全系统比较¾功能安全相关的标准¾ISO26262的影响及应对措施¾三大安全件的功能安全¾深圳航盛电子整车动力系统控制器VCU•HEV/EV的动力系统控制的通用软件及硬件平台•按ISO26262最高安全等级ASIL-D设计，双CPU架构•软件通用化、模块化、平台化•提供OBD、在线标定、程序刷新功能电池包及电池管理系统BMS牵引电机控制器MCUVCUMCU•PHEV插电电动大巴电池包的设计•完成了集中式、分布式BMS软硬件设计，用于华晨、东风的HEV项目•按ISO26262安全等级ASIL-C设计电池包BMS电池模组•永磁及交流异步电机的通用化、模块化控制平台•按ISO26262安全等级ASIL-C设计•将用于东风中卡HEV项目新组建的团队从2010年下半年开始进行新能源汽车核心三大件的开发，团队主体是近年毕业的本科、硕士生，及少数有经验的工程师参与。目前已基本完成VCU、BMS及MCU的主体开发工作，并得到东风汽车等公司的认可，三大件已逐步运用到实际HEV/EV项目中。所有项目严格按ISO26262中的V-字安全件开发流程，提供CAN诊断、标定、刷新功能。BATEMGearboxENG并联P2航盛新能源汽车电控系统BMS/MCU/VCU功能安全基本要求-ISO2626220BMSMCUVCU中混ASIL–BASIL–BASIL–B+全混ASIL–B→CASIL–BASIL–C-PHEV/EVASIL–CASIL–B→CASIL–CCMMI安全分析安全审计功能安全验证软件开发ECU结构ASIL-BCMMI-3危险分析及风险评估(HA&RA)、FMEA需要需要MISRA-C单ECUASIL-C软件开发需满足CMMI-3+ISO26262HA&RA、FMEA、FTA更严格很严格基于模型设计双ECU需独立安全监控ECU或满足ASIL-C的单ECU刹车制动系统一部分：刹车子系统ASIL-C/D系统开发需考虑功能安全的流程实施措施提纲目录¾EV与传统汽车安全系统比较¾功能安全相关的标准¾ISO26262的影响及应对措施¾三大安全件的功能安全¾深圳航盛电子公司简介正在建设的航盛汽车电子研发大厦深圳航盛工业园全景图成立时间：1993年12月6日注册资本：2.10亿元公司性质：股份有限公司（2001年）主营业务：汽车电子、铁路电子总资产：19亿元净资产：10亿元经营产值：25亿元集团人数：4130人航盛产品方向■AM/FM/RDS车载收音机■CD/MP3/USB/SD车载CD播放器■虚拟六碟播放器■DAB数字音频广播■DigitalAmp数字功放■蓝牙音频■视频播放器■导航■数字电视■多功能显示器■后座娱乐系统音视频导航■车身控制模块■胎压监测系统■无钥匙门禁系统■倒车后视■倒车雷达■空调控制器■逆变器控制电子■整车控制器■电机控制系统■电池包系统■DC-DC变换器■车载充电器新能源汽