主持人(孙立清):感谢宁博士,回头大家有问题再私下交流。
接下来有请安徽巨一自动化装备有限公司新能源电机及控制器事业部副总经理孙纯哲,介绍新能源汽车和控制器开发,安徽巨一公司专业从事汽车制造成套设备国家首批高新技术体验,以及国家创新形式的企业,公司主要产品包括自动化装备与测试,系列自动成套设备,产业达到国内领先水平,商用车、乘用车成套设备企业,提供成套设备使用,下面有请孙纯哲先生介绍“ISO26262功能安全标准在电驱动系统开发中的应用。”大家欢迎!
孙纯哲:在座各位专家,还有同行的朋友们,我今天代表安徽巨一自动化公司,汇报一下我们新能源与电动汽车控制系统结合工作,主要讲解ISO26262方面。汇报四个方面,简单介绍一下JEE公司情况,介绍一下ISO26262功能安全标准的简要情况,汇报一下公司电驱动状态如何具体应用标准的,介绍一下标准成果。
合肥大学林教授带着团队做装备业务,2009年的时候,我们公司切入到新能源电气系统研究和制造工作。2013年,纯电动乘用车产品供货量全行业第一,今年有很好的结果。JEE公司总部在合肥,三个生产车间,还有一个研发大楼,同时设立了上海分公司,业务分三个模块,新能源汽车电机和控制系统,汽车装备和测试系统,白车车身焊接系统。
汇报一下ISO26262功能安全主要情况,首先相关标准产生背景,现在随着汽车电子飞速发展,越来越多的电子产品应用到汽车上,特别是新能源汽车,有很多大功率器件,甚至涉及到主驱动系统。这样的话,大量的电子器件使用,对车辆的安全造成很大危险,如果电子器件出现失效,导致整个系统不安全。传统的汽车质量控制这一块,使用主要是一些产品控制体系,后来随着电子汽车增加,我们提出了很多CMMI基于软件流程控制方法,控制汽车电子软件。现在提出功能安全相关标准,起源于欧洲,国内做了很多能源供应商和主机厂响应。主要是安全产品开发流程的国际标准,用于3.5L以下乘用车,对于大巴车、重型卡车没有明确的说法,包括残疾人用车。这个标准其实在欧洲,仍然也是有一个初步模型,应用于工业领域,针对于电器、电子系统通用技术标准,在这个标准上,逐步演化为ISO26262道路车辆安全。2011年10月份发布了1到9九个部分,2012年8月份,发布了第10部分。现在两个版本应该是最新的情况。
我们为什么要用功能安全在新能源汽车系统上,传统的汽车本质上如果很早之前,发明汽车的时候,那个时候汽车其实是机械车,现在无论从发动技术,新能源汽车电子控制技术,汽车演变一个趋势化产品,汽车发展是一个趋势。大量电子应用导致安全隐患。传统质量控制流程,现在需要进行功能安全分析,导入功能安全以后,做产品开发,分析整个产品,确定SL等级,提出安全概念、开发结果,过程当中匹配相关资源,完成安全的提前识别和规避。
功能安全主要架构,总共分十个部分,第一部分是术语和缩写,最后部分是应用指导。其他部分覆盖了产品从研发流程管理到风险评估,以及开发过程当中的从系统级、硬件级、软件级三个方面开发流程管理、目标管理,以及后面涉及到非技术部分的量产,以及我们的售后、质量保证等都有详细规定,过程当中规定详细动作和要求的产生。
总结一下,功能安全标准是一套完整的系统化方法,提出一种特定基于风险分析方法,提出汽车安全完整性的等级方法,同时提出汽车安全生命周期定义,同时提出整个生命周期的所有活动,包括管理、开发、生产、运营、维护报废全过程,提出汽车安全等级要求,避免不合理的风险,确认和认可措施标准,确认达到充分、可确认安全等级,同时确认协同开发的安全等级和交互安全标准。
我们公司具体的电驱动系统操作的事情,ISO26262需要企业建立完整安全团队,需要加入安全团队,同时还要明确企业的安全文化,在安全文化和安全团队的共同沟通以及对项目团队指导过程当中,完成整个产品的开发,主要三个层面,公司层面有专职安全管理员,得到相关的我认证资质,部门团队,抽调项目组部分员工,担任相关成员,可靠性分析,同时帮助我们测试和认证。这是我们公司的架构情况,每个公司有不同的情况,架构可以调整。
JEE公司安全产品开发流程,通过这个图可以看到,上面这一行是传统的开发流程,首先肯定会进行一些概念设计,然后进行需求的分析,然后是产品价格设计和一些细节的设计、回顾,最后产品设计出来进行引证。但是导入功能安全安全产品开发过程当中,这些远远不够,需要融入功能安全活动,比如说初期概念设计的时候,我们就要输出产品安全计划,有明确规定,同时进行安全等级定义,安全目标的设定。设定好这些目标以后,还会拆分出来安全概念和安全需求,以及后面技术安全需求。完成这些以后针对安全功能的实验和验证。融入整个产品实验验证过程当中。还需要输入报告,用于生产过程、售后过程指导。
功能安全是整车厂贯穿到零部件的大标准协议,规定了很多东西。实际开发过程当中,需要与主机厂密切配合,两种模式依赖于主机厂能力,主机厂做隐患分析和风险识别,提出安全等级和目标,剩下事情全部由零部件厂商完成。但是有的主机厂还是采取另外模式,功能比较强大,刚才技术以外,还去做一些安全目标,甚至讨论到技术的安全目标、需求。供应商按照安全目标的要求,技术安全目标,以及后续的软件安全目标,进行设计、整合,完成产品校核。功能安全指导下开发,产品还需要进行安全寿命、功能验证,最终交付给整车,然后进行量产。
JEE公司在P2电驱动控制器开发简介,项目定义,HARA分析,FSC,TSC,功能安全实验,技术安全实验验证。一定要和主机厂签定协议,作为零部件负责什么,作为主机厂负责哪些内容。明确之后,项目进行开发,这个过程当中会描述清楚,这样一个混力动力系统,我们的产品在整个系统架构当中的接口是什么样,以及对别的部件和功能假设。当获得这些信息以后,我们可以一起去开展下一步的HARA分析,在HARA分析过程当中,根据标准要求,进行各种长期分析,通过对SEC暴露度、控制度确定等级,取得了这些等级,开发就有明确目标,照着C级还是D级来做非常清楚。我们做了SOC等级,在项目开发过程当中,SOC什么概念,绝大部分系统都能做到,涉及到更安全的功能,要做到SOD。
安全目标是什么样?举一个例子,不能出现非预期的转矩,如果出现,说明整车有故障,有故障情况下,如果进行处理,这也是功能安全里需要讨论的。这样一个产品,放在自动变速箱和发动机之前,它如果出现故障,导致非常严重后果。允许发生故障,发生故障以后措施必须得当,不能造成系统安全影响,不能对人员、车辆安全造成伤害。
高效区分布问题,如何进行高效区规划,提高系统效率,如果要考虑功能安全的话,还需要考虑在一些极端情况下,设计方案会不会对系统造成危害。出现安全问题能不能很好地出来,需要增加多一个约束。不准出现非预期的电压,这也是比较难驾驭地方。有优点,也有缺点。这种情况下如果需要进行处理,需要研究和很好的实践。做完HARA分析,做文档工作,完成FSR,详细规定要求什么样,有了明确目标要求,还会拆分出来,技术层面探讨,我的控制器如何进行设计,软件架构怎么样,硬件应该如何进行设计,采取冗余系统,哪些地方进行冗余,需要进行仔细和计算,涉及到概率问题。一个功能安全目标可能拆分到十几项技术安全目标,还会拆分软件、硬件功能安全进行设计。比如说我们软件这一块,采取三核软件、硬件架构,软件要采取多套校核机制,现在采取三层软件架构,完成产品设计。这样产品经过系统、有计划安全目标设立以后,还需要进行相关验证和确认。JEE公司建立了整车模拟系统验证能力,这一块也开展了很多工作。
功能安全是安全流程,标准是开放性,需要对标准理解和消化,内化成自己流程。我们在这个过程当中,加入JEE安全文化,提出JEE安全管理流程,加上JEE具体的软件技术,完成自动化安全开发流程,通过安全开发流程和巨一措施,文档、产品进行审核,最终做出符合安全标准的安全产品,主要是电机控制器产品。一年多两年多时间,导入相关标准,和外部公司合作,取得了一些成果。
巨一四大类产品成果当中有所应用。纯电动汽车的电驱动系统,也是我们现在细分领域出活量最大,分成两类风冷和水冷,功率20到150千瓦。增程式电动汽车电驱动系统,峰值35到90千瓦,应用乘用车、商用车、大巴、公交系统。最完整项目,针对P2混合动力的电驱动系统,功能安全得到大量的应用,包括P控制单元,包括电机,巨一公司不光做电机和控制器,我们有一个部门做装配和测试,还负责整个结构模块的制造、测试和装配。
巨一公司商业化路线,结合行业特点,开发风冷、电驱动,电机和参数系统做成一个整体,节约空间,做一个整体成本。
主持人(孙立清):感谢孙经理就ISO26262和自己企业的文化和技术结合,做了具体介绍,下面看看大家有什么问题。
提问:ISO26262在应用标准过程当中,失效概率、故障数概率怎么计算?
孙纯哲:工作量最大是硬件电路这一块,我们有成百上千元器件,任何元器件失效都会导致电路失效,首先要相信这个失效永远可能存在,第二要做冗余设计,失效概率能不能测算出来,通过西门子的数据库计算出来,有一套很复杂的计算方法。
提问:我们自己没有数据积累过程。
孙纯哲:我们自己也尝试去做,其实非常困难,这么大量的电子元器件,不是一个公司一手能做得到。西门子这个库是开放的,有一定渠道资料获得,做的标准还是可信的。
