一、VCU應(yīng)用層監(jiān)控方案的ISO26262背景

“軟件定義汽車”趨勢(shì)下，更多汽車軟件問題與消費(fèi)者生命安全密切相關(guān)。而汽車行業(yè)ISO 26262《道路車輛功能安全》是一個(gè)國(guó)際安全標(biāo)準(zhǔn)，對(duì)安裝在量產(chǎn)道路車輛上的電氣、電子系統(tǒng)的功能安全進(jìn)行了約束和規(guī)定，避免對(duì)人身的傷害。

ISO 26262標(biāo)準(zhǔn)將汽車“功能安全（FuSa）”定義為“不存在因電氣和電子系統(tǒng)故障所導(dǎo)致的不合理風(fēng)險(xiǎn)”。功能安全問題不是單純的硬件系統(tǒng)問題，也不是單純的軟件系統(tǒng)問題，它是一個(gè)系統(tǒng)性問題，涉及硬件系統(tǒng)和軟件系統(tǒng)兩方面的具體操作和流程。在功能安全的開發(fā)過程中，所有活動(dòng)的目的都是為了實(shí)現(xiàn)概念階段經(jīng)過HARA分析后導(dǎo)出的安全目標(biāo)（SG），對(duì)原有的功能系統(tǒng)進(jìn)行監(jiān)控，避免由于E/E系統(tǒng)失效而違反安全目標(biāo)。

VCU（整車控制器）的SG ，包括避免扭矩輸出過大、避免扭矩輸出反向等, 大多與扭矩相關(guān)。實(shí)現(xiàn)VCU的SG，在軟件中實(shí)現(xiàn)VCU應(yīng)用層監(jiān)控的核心，也聚焦在了輸出扭矩的監(jiān)控。就此本文將通過VCU L2應(yīng)用層監(jiān)控方案，講解如何利用扭矩監(jiān)控來實(shí)現(xiàn)功能安全要求。

二、基于E-Gas標(biāo)準(zhǔn)的監(jiān)控方案參考

上世紀(jì)90年代，電子節(jié)氣門系統(tǒng)逐步在量產(chǎn)車上得到應(yīng)用，成為汽油發(fā)動(dòng)機(jī)控制系統(tǒng)的核心，由此掀起了汽車電氣化控制的浪潮。

與電控系統(tǒng)一并到來的，是人們對(duì)電子產(chǎn)品的可靠性的普遍擔(dān)心，因此幾大國(guó)際公司聯(lián)合起草制定了針對(duì)發(fā)動(dòng)機(jī)的ECU軟件架構(gòu)E-Gas，其中的三層軟件架構(gòu)概念已經(jīng)得到世界各大OEM和Tier1認(rèn)可和廣泛應(yīng)用。

E-Gas三層架構(gòu)圖

• Level 1：功能層

計(jì)算并執(zhí)行發(fā)動(dòng)機(jī)扭矩、組件監(jiān)控、輸入/輸出變量診斷及檢測(cè)到故障時(shí)控制系統(tǒng)反應(yīng)

• Level 2：功能監(jiān)控層

監(jiān)控L1軟件功能故障，比如監(jiān)控計(jì)算的扭矩值或車輛加速度；發(fā)生故障時(shí)，觸發(fā)系統(tǒng)響應(yīng)

• Level 3：控制器監(jiān)控層

功能控制的獨(dú)立部分，在問答過程中檢測(cè)程序執(zhí)行的正確性

功能安全在L1功能層的基礎(chǔ)上，開發(fā)完成L2和L3部分工作，本文主要介紹L2應(yīng)用層監(jiān)控方案。

三、VCU L2應(yīng)用層監(jiān)控方案

在功能安全的整個(gè)流程中，包括概念階段、系統(tǒng)階段、硬件階段、軟件階段和支持過程，而L2應(yīng)用層監(jiān)控方案的開發(fā)主要在軟件階段實(shí)現(xiàn)。

功能安全開發(fā)流程

VCU在進(jìn)行扭矩管理時(shí)，根據(jù)司機(jī)要求、車輛狀態(tài)等工況，合理控制電機(jī)的工作狀態(tài)及功率輸出，滿足駕駛工況要求。包括加減速、恒速、制動(dòng)和后退的工況。具體的扭矩管理功能如下：

① 對(duì)駕駛員需求扭矩進(jìn)行解析，識(shí)別工況和計(jì)算駕駛員扭矩

② 進(jìn)行扭矩仲裁，協(xié)調(diào)其他ECU的請(qǐng)求扭矩

③ 進(jìn)行扭矩限制，保證零部件安全

④ 進(jìn)行扭矩濾波，提高駕駛舒適性

四、VCU L2應(yīng)用層監(jiān)控內(nèi)容

• 輸入信號(hào)監(jiān)控

L2監(jiān)控安全相關(guān)輸入信號(hào)，并進(jìn)行故障判斷和處理，包括踏板、開關(guān)硬線信號(hào)及電機(jī)轉(zhuǎn)速、車速、擋位、ESC請(qǐng)求等CAN信號(hào)。比如：加速踏板信號(hào)監(jiān)控—

加速踏板信號(hào)監(jiān)控與故障處理

• 扭矩監(jiān)控

L2對(duì)各種模式下的扭矩進(jìn)行解析，對(duì)L1計(jì)算的扭矩進(jìn)行監(jiān)控，并最終進(jìn)行扭矩仲裁。L2層根據(jù)車輛狀態(tài)判斷當(dāng)前駕駛工況，監(jiān)控L1計(jì)算出的扭矩方向正確性。比如：方向性監(jiān)控—

方向性監(jiān)控流程示意圖

比如：絕對(duì)量監(jiān)控-- L2通過扭矩的解析和計(jì)算，監(jiān)控L1計(jì)算的MCU目標(biāo)扭矩是否出現(xiàn)異常偏差，避免非預(yù)期加減速(比如：由SG/HARA分析得到的量化值減速度-2m/s2)，絕對(duì)量監(jiān)控分兩部分，分別是同步前扭矩監(jiān)控和同步后濾波扭矩監(jiān)控：

① L2通過輸入計(jì)算駕駛員需求扭矩Tor_L2，若L1計(jì)算的駕駛員需求扭矩Tor_L1在Tor_L2加一個(gè)安全范圍內(nèi)，則同步前扭矩監(jiān)控?zé)o異常；通過同步前的比較實(shí)現(xiàn)較為寬泛的監(jiān)控，這時(shí)只要L2的誤差不是特別大，那么L1違背安全目標(biāo)的非預(yù)期加速都能在此時(shí)的比較中被監(jiān)測(cè)到

② 在同步前的比較無故障的前提下，對(duì)扭矩進(jìn)行同步，消除L2扭矩計(jì)算的容差，提高監(jiān)控的精度和準(zhǔn)確性、魯棒性。再通過濾波對(duì)扭矩變化趨勢(shì)做了限定，此時(shí)去監(jiān)控L1的濾波扭矩，可以實(shí)現(xiàn)更精準(zhǔn)的監(jiān)控

具體濾波同步的解決方案，可聯(lián)系經(jīng)緯恒潤(rùn)進(jìn)一步溝通。

絕對(duì)量監(jiān)控流程示意圖

• 扭矩仲裁

通過仲裁條件，決定VCU扭矩監(jiān)控模塊的輸出。若監(jiān)控?zé)o故障，則L1扭矩正常輸出；若監(jiān)控有故障，則進(jìn)入對(duì)應(yīng)的跛行模式，對(duì)輸出扭矩進(jìn)行限制：

① 根據(jù)雙路加速踏板信號(hào)和車速信號(hào)監(jiān)控結(jié)果判斷進(jìn)入何種模式，再根據(jù)對(duì)應(yīng)的跛行模式的故障處理方式，判定L2計(jì)算的扭矩結(jié)果

② 得到L2計(jì)算的扭矩結(jié)果后，對(duì)L1輸出的扭矩進(jìn)行監(jiān)控，若出現(xiàn)方向性故障，則直接進(jìn)入安全模式，關(guān)斷扭矩輸出，若出現(xiàn)絕對(duì)量監(jiān)控故障，則根據(jù)差值閾值進(jìn)入相應(yīng)的跛行模式，對(duì)扭矩輸出進(jìn)行降級(jí)處理

信號(hào)監(jiān)控對(duì)應(yīng)模式

扭矩監(jiān)控對(duì)應(yīng)模式

不同模式（Mode）下的故障處理方式

根據(jù)以上結(jié)果，L2進(jìn)行扭矩仲裁，若無故障則輸出L1請(qǐng)求扭矩，若有故障則按對(duì)應(yīng)方式進(jìn)行故障處理。

L2扭矩仲裁

采用L2應(yīng)用層監(jiān)控方案收益：

① 對(duì)功能開發(fā)維護(hù)：通過E-Gas架構(gòu)實(shí)現(xiàn)在L1功能層的基礎(chǔ)上增加L2功能監(jiān)控層，實(shí)現(xiàn)功能安全功能與原有預(yù)期功能的解耦，避免對(duì)原預(yù)期功能的全生命周期破壞介入式的影響、所有功能的全新開發(fā)測(cè)試。只需要開發(fā)獨(dú)立的L2功能補(bǔ)丁，并進(jìn)行補(bǔ)丁部分的安全功能驗(yàn)證，減少大量全功能的開發(fā)修改及功能安全測(cè)試工作量

② 對(duì)功能平臺(tái)化拓展：方便L1層、L2層功能的移植和拓展，以及平臺(tái)化和模塊化建設(shè)。采用L2監(jiān)控并設(shè)計(jì)相應(yīng)的降級(jí)策略，在不降低用戶使用體驗(yàn)和可用性的基礎(chǔ)上，提高安全性，并且可以再持續(xù)維護(hù)優(yōu)化降級(jí)策略

五、項(xiàng)目實(shí)施應(yīng)用

在某自主動(dòng)力域控制器項(xiàng)目中，經(jīng)緯恒潤(rùn)助力用戶實(shí)現(xiàn)ASILC等級(jí)的VCU產(chǎn)品功能安全開發(fā)并且拿到認(rèn)證公司的認(rèn)證。

• 用戶現(xiàn)狀

① 已實(shí)現(xiàn)自主動(dòng)力域控制器的所有功能（QM），完成實(shí)車測(cè)試。前期開發(fā)、測(cè)試投入大量的人力、物力、時(shí)間等

② 為滿足市場(chǎng)、OEM要求，對(duì)產(chǎn)品升級(jí)達(dá)到 ISO26262產(chǎn)品認(rèn)證要求

• 項(xiàng)目要求

① 經(jīng)緯恒潤(rùn)需提供ISO26262功能安全方案，負(fù)責(zé)軟件中安全相關(guān)部分開發(fā)驗(yàn)證，盡量避免軟件做大量調(diào)整，減少原有功能的修改、測(cè)試工作；在滿足功能安全的情況，選擇可以縮短工期的實(shí)施方案

② 該項(xiàng)目為量產(chǎn)項(xiàng)目，因此功能安全的實(shí)現(xiàn)需考量軟件的可用性和用戶的使用體驗(yàn)；經(jīng)緯恒潤(rùn)需支持從監(jiān)控組件開發(fā)到整車測(cè)試階段安全相關(guān)閾值標(biāo)定的工作

• 項(xiàng)目成果

該項(xiàng)目參考E-Gas標(biāo)準(zhǔn)、符合AUTOSAR架構(gòu)規(guī)范，采用L2應(yīng)用層監(jiān)控策略及解決方案，對(duì)其原有功能（L1）的監(jiān)控，實(shí)現(xiàn)了對(duì)應(yīng)的安全目標(biāo)（ASILC）。

經(jīng)緯恒潤(rùn)幫助用戶提出恰當(dāng)?shù)陌踩O(jiān)控策略、完成L2相關(guān)功能的開發(fā)、單元與集成測(cè)試，同時(shí)，在安全監(jiān)控方案中考慮合理降級(jí)策略，平衡可用性&安全性。

L1-L2總體架構(gòu)圖

L2監(jiān)控層

如需獲取更新方案信息，可在經(jīng)緯恒潤(rùn)官網(wǎng)觀看8月8日在線研討會(huì)《如何快速開發(fā)量產(chǎn)級(jí)別功能安全應(yīng)用軟件》和相關(guān)主題《智能汽車域控中間件功能安全方案設(shè)計(jì)及應(yīng)用》研討會(huì)回放。