VCU 系統(tǒng)功能安全概念階段的開(kāi)發(fā)

樓志江

（比亞迪汽車工業(yè)有限公司，廣東 深圳 518118）

引言

隨著汽車智能化的快速推進(jìn)以及車載電子芯片行業(yè)的快速發(fā)展，現(xiàn)代汽車電子系統(tǒng)日趨復(fù)雜，因?yàn)槠囯娮与姎庀到y(tǒng)失效引起的安全風(fēng)險(xiǎn)也隨之不斷提高。

為了防范這類風(fēng)險(xiǎn)引起的人身危害，2011 年11 月，汽車電子電氣系統(tǒng)功能安全的國(guó)際標(biāo)準(zhǔn)ISO 26262 發(fā)布生效[1]，第二版也于2018 年正式發(fā)布[2]。ISO 26262 提出安全生命周期的重要概念[1]，將功能安全的開(kāi)發(fā)分為概念階段、開(kāi)發(fā)階段（系統(tǒng)、軟件、硬件）、產(chǎn)品發(fā)布之后幾個(gè)階段。概念階段的主要工作是從整車層面出發(fā)，為各系統(tǒng)定義功能安全要求，在整個(gè)安全生命周期中起到整體規(guī)劃的重要作用。

整車控制單元（VCU），也稱為整車控制器，是實(shí)現(xiàn)整車控制決策的核心電子控制單元，現(xiàn)被廣泛應(yīng)用于電動(dòng)車和混動(dòng)車。VCU 相當(dāng)于整車的大腦，起著各功能和各系統(tǒng)之間調(diào)度的重要作用，其功能安全的實(shí)現(xiàn)與否對(duì)整車安全起著至關(guān)重要的作用。

雖然迄今為止，很多車載控制系統(tǒng)上都已經(jīng)實(shí)現(xiàn)了功能安全（例如ECM 系統(tǒng)、MCU 系統(tǒng)、BMS 等）[3]，但是這些控制系統(tǒng)的功能安全開(kāi)發(fā)經(jīng)驗(yàn)并不完全適用于VCU 系統(tǒng)。究其原因，在于VCU 在很多情況下只是一個(gè)功能調(diào)度單元，不直接參與大部分功能的具體實(shí)現(xiàn)。因此，和其他控制系統(tǒng)相比，VCU 系統(tǒng)涉及的安全目標(biāo)數(shù)量較多，但是功能安全要求的等級(jí)卻相對(duì)較低。

本文的主要工作為針對(duì)VCU 系統(tǒng)在功能安全概念階段開(kāi)發(fā)中涉及的幾點(diǎn)問(wèn)題進(jìn)行研究分析，主要包括以下內(nèi)容：（a）危害分析和風(fēng)險(xiǎn)評(píng)估；（b）安全目標(biāo)的定義； （c） 安全概念的定義，以及對(duì)應(yīng)的ASIL 等級(jí)的分配問(wèn)題。

1 VCU 系統(tǒng)的概念階段開(kāi)發(fā)

由于VCU 系統(tǒng)在整車功能架構(gòu)中的特殊地位，其功能安全概念開(kāi)發(fā)存在自己的一些特點(diǎn)，具體如下：首先，VCU作為一個(gè)整車功能調(diào)度單元，會(huì)和很多其他的系統(tǒng)有功能交互（例如能量管理功能、發(fā)動(dòng)機(jī)的扭矩控制功能、和ESP 的交互功能等），因此，VCU 系統(tǒng)包含的安全目標(biāo)數(shù)目較多，且涉及面較廣；其次，對(duì)于很多例如扭矩控制、能量管理等的功能，VCU 系統(tǒng)僅僅只是做規(guī)劃調(diào)度，但是不直接參與這些功能的具體實(shí)現(xiàn)，所以VCU 系統(tǒng)并不對(duì)這些功能的安全負(fù)主要責(zé)任，分配的ASIL 等級(jí)不會(huì)很高；再者，對(duì)于有些功能，為了降低其他系統(tǒng)的ASIL 等級(jí)，VCU 系統(tǒng)會(huì)做相應(yīng)的功能冗余，成為這些系統(tǒng)的外部措施。

本文僅僅針對(duì)VCU 系統(tǒng)的概念階段開(kāi)發(fā)提出幾點(diǎn)供參考的觀點(diǎn)和例子，實(shí)際開(kāi)發(fā)過(guò)程中可以根據(jù)具體情況做出調(diào)整。

1.1 危害分析和風(fēng)險(xiǎn)評(píng)估

由ISO 26262 第三部分可知，倘若需要定義VCU 系統(tǒng)的安全目標(biāo)，需要先對(duì)VCU 系統(tǒng)進(jìn)行危害分析和風(fēng)險(xiǎn)評(píng)估[4-5]，識(shí)別出系統(tǒng)的潛在危害，并為這些危害評(píng)定ASIL 等級(jí)。

如引言中所述，較之于傳統(tǒng)的車載控制系統(tǒng)（例如ECM系統(tǒng)、BMS 等），VCU 系統(tǒng)涉及的功能很多，包括扭矩控制、能量管理、上下電功能、防盜功能、整車熱管理等主要功能。因此，VCU 系統(tǒng)需要進(jìn)行危害分析和風(fēng)險(xiǎn)評(píng)估的內(nèi)容也比較多。

VCU 系統(tǒng)的潛在危害可以采用HAZOP、FMEA、頭腦風(fēng)暴等方法針對(duì)VCU 系統(tǒng)涉及的功能逐一分析，通?？梢詮娜缦聨c(diǎn)對(duì)每個(gè)功能進(jìn)行危害評(píng)估：該功能誤觸發(fā)是否會(huì)引起安全隱患、該功能失效是否會(huì)引起安全隱患、該功能本身是否存在安全漏洞。以檔位切換功能為例（倘若VCU 包含此功能），可以列出如下表1 所示潛在失效模式：

含鉛較高的銅锍在后續(xù)冶煉工序如不采取有效措施，會(huì)帶來(lái)陽(yáng)極板電解過(guò)程鈍化、陰極銅中含鉛超標(biāo)及陽(yáng)極泥產(chǎn)率大等一系列問(wèn)題。目前，業(yè)內(nèi)均普遍認(rèn)為銅閃速吹煉對(duì)雜質(zhì)鉛的脫除能力很有限[10]，但學(xué)術(shù)上缺乏對(duì)鐵酸鈣渣型鉛脫除率較為系統(tǒng)、深入的研究，不能有效指導(dǎo)高鉛銅锍閃速吹煉的實(shí)際生產(chǎn)。

表1 潛在失效模式列表

識(shí)別出VCU 系統(tǒng)的失效問(wèn)題后，需要為這些失效問(wèn)題設(shè)定ASIL 等級(jí)，ASIL 等級(jí)分為A、B、C、D 四個(gè)等級(jí)，等級(jí)越高表示該失效的安全問(wèn)題越嚴(yán)重，倘若沒(méi)有安全問(wèn)題，則為QM。ASIL 等級(jí)的評(píng)定，需要從三個(gè)方面進(jìn)行考慮：嚴(yán)重度、暴露率和可控性。嚴(yán)重度表示故障發(fā)生的后果對(duì)駕駛員和行人等交通參與者的傷害程度，可控性代表駕駛員和行人控制和規(guī)避風(fēng)險(xiǎn)的能力。由于嚴(yán)重度和可控性與故障發(fā)生的場(chǎng)景息息相關(guān)（例如同樣的一個(gè)巡航車速控制失效的故障，在雨雪天發(fā)生的后果比晴天發(fā)生的后果更加嚴(yán)重），所以HARA 分析需要考慮場(chǎng)景發(fā)生的概率，即暴露率。之后，根據(jù)嚴(yán)重度、暴露率和可控性的評(píng)分，查詢下表2 獲得該失效場(chǎng)景的ASIL 等級(jí)。對(duì)于同一個(gè)失效問(wèn)題，由于考慮的故障場(chǎng)景不同，得到的ASIL 等級(jí)也不同，應(yīng)該選用最大的ASIL等級(jí)作為該失效的ASIL 等級(jí)，具體例子如表3 所示。

表2 ASIL 評(píng)級(jí)表

需要注意的是，在對(duì)VCU 系統(tǒng)進(jìn)行危害分析和風(fēng)險(xiǎn)評(píng)估的時(shí)候不能考慮已有的或者即將實(shí)施的安全措施。以檔位切換功能為例，即便大部分的車都具有防止意外切換P 檔的處理措施，但是評(píng)估意該功能失效的ASIL 等級(jí)的時(shí)候，這些處理措施都是不做考慮，不能因?yàn)檫@些安全措施降低ASIL等級(jí)。

表3 HARA 分析列表

1.2 安全目標(biāo)的定義

接下來(lái)需要為每個(gè)具有ASIL 等級(jí)的潛在失效模式設(shè)定安全目標(biāo)。安全目標(biāo)為最高層面的安全要求，通常情況下，安全目標(biāo)的ASIL 等級(jí)即為潛在失效的ASIL 等級(jí)。為了便于在功能安全概念定義階段進(jìn)行ASIL 分解降級(jí)操作，可以取整車層面的安全要求作為VCU 系統(tǒng)的安全目標(biāo)，具體細(xì)節(jié)會(huì)在2.3 節(jié)詳細(xì)說(shuō)明。

提出安全目標(biāo)的同時(shí)，需要為該安全目標(biāo)設(shè)定安全狀態(tài)以及故障容錯(cuò)時(shí)間間隔（FTTI），安全狀態(tài)指的是檢測(cè)到失效以后應(yīng)該進(jìn)入的無(wú)風(fēng)險(xiǎn)的運(yùn)行模式，而FTTI 指的是從發(fā)生失效到進(jìn)入安全狀態(tài)的最大允許時(shí)間間隔，例如表4 所示：

表4 安全目標(biāo)列表

由于涉及的功能數(shù)量繁多，VCU 系統(tǒng)相關(guān)的安全目標(biāo)個(gè)數(shù)相比于其他整車控制系統(tǒng)要多很多，通常而言，ECM、BMS等系統(tǒng)的安全目標(biāo)數(shù)量不超過(guò)5 個(gè)，但是VCU 的安全目標(biāo)數(shù)量能多達(dá)十幾個(gè)甚至幾十個(gè)。

1.3 VCU 功能安全概念的定義

功能安全概念是將整車級(jí)別的功能安全目標(biāo)分解到各個(gè)系統(tǒng)，提出系統(tǒng)級(jí)的功能安全要求，同時(shí)分配對(duì)應(yīng)的ASIL等級(jí)。

以SG_2 為例，由圖1 的初始功能架構(gòu)（不包含任何的安全機(jī)制）可知，VCU 系統(tǒng)僅僅負(fù)責(zé)給TCU 發(fā)送目標(biāo)檔位信號(hào)，而具體的檔位切換操作由TCU 實(shí)現(xiàn)。

圖1 檔位功能架構(gòu)圖

可以得到表6 的功能安全列表。

如表6 所示，由于不同系統(tǒng)間軟硬件是相互獨(dú)立的，因此檔位控制系統(tǒng)、VCU 系統(tǒng)可以和TCU 系統(tǒng)進(jìn)行ASIL 等級(jí)的分解，但是FSR_2_3 和FSR_2_4 同時(shí)隸屬于TCU 系統(tǒng)，因此這兩個(gè)功能安全要求無(wú)法執(zhí)行ASIL 分解。由圖中的結(jié)果可以看出，較之于TCU 系統(tǒng)，VCU 系統(tǒng)的ASIL 等級(jí)較低。

由于VCU 和很多系統(tǒng)均存在功能上的交互，有時(shí)候可以通過(guò)VCU 為其他系統(tǒng)設(shè)置安全機(jī)制，在不增加VCU 的ASIL 等級(jí)的前提下，降低其他系統(tǒng)的ASIL 等級(jí)。表7 中，對(duì)VCU 系統(tǒng)引入安全機(jī)制FSR_2_5，根據(jù)ASIL 分解公式：

可以將檔位控制系統(tǒng)降低為QM 等級(jí)。如此一來(lái)，雖然給VCU 增加了一個(gè)ASIL B 的功能安全要求，卻減少了一個(gè)系統(tǒng)的功能開(kāi)發(fā)工作，為整車功能安全開(kāi)發(fā)節(jié)省了工作量和開(kāi)發(fā)成本。

表5 功能安全要求列表（不含安全機(jī)制）

表6 功能安全要求列表（含TCU 安全機(jī)制）

表7 功能安全要求列表（含VCU 安全機(jī)制）

2 總結(jié)

作為整車功能的調(diào)度中心，VCU 系統(tǒng)在功能安全概念階段的開(kāi)發(fā)過(guò)程中擁有自己的特點(diǎn)，具體表現(xiàn)在相關(guān)的安全目標(biāo)數(shù)量較多、分配的ASIL 等級(jí)較低。此外，由于和VCU 系統(tǒng)有交互的控制系統(tǒng)數(shù)目較多，有的時(shí)候可以通過(guò)為其他系統(tǒng)做功能冗余，在不增加VCU 系統(tǒng)ASIL 等級(jí)的前提下，降低其他系統(tǒng)的ASIL 等級(jí)，從而減少整體功能安全開(kāi)發(fā)工作量和開(kāi)發(fā)成本。

功能安全的實(shí)現(xiàn)方式并不唯一，本文針對(duì)VCU 系統(tǒng)在功能安全概念階段的開(kāi)發(fā)的幾點(diǎn)問(wèn)題進(jìn)行了討論分析，本文的結(jié)論可為其他系統(tǒng)的功能安全開(kāi)發(fā)提供參考。