VCU功能安全解决方案

相对于传统燃油车辆，电动汽车的动力系统大幅度向电子电气转换，电子电气系统出现失效的安全风险将进一步增加，其中VCU作为电动汽车的整车控制器，协调动力系统的各种功能和管理，以及和车身和其他部分交互，功能安全尤为重要。

Figure1 典型电动车动力系统组成图

一 VCU功能

VCU的主要包括工作模式控制，高压电管理，驱动控制，系统器件控制，热管理，仪表信息显示，驾驶员辅助，故障管理，安全监控，防盗等功能：

• VCU工作模式控制：控制器唤醒控制（通过CAN或者硬线PIN）；充电和行车模式控制。
• 高压电管理：高压上下电管理；整车电力部件模式管理；交流充电和直流充电控制；高压附件管理与能量协调；高压系统故障管理与故障响应。
• 驱动控制：电子换挡杆处理与行驶方向控制；驾驶员需求解析和驱动力控制；制动能量回收；滑行控制；爬行控制；驾驶性滤波功能；跛行控制；驾驶模式控制。
• 系统器件控制：电子真空泵/加速踏板/制动踏板/车速信号解析与故障诊断。
• 热管理：风扇控制；冷却水泵控制；空调控制；PTC控制。
• 仪表信息显示：续驶里程估计；故障灯控制；档位；驾驶模式。
• 驾驶员辅助：定速巡航控制；自适应巡航控制；车速限制功能。
• 故障管理：故障记录、故障调度、故障响应；冻结帧；UDS功能。
• 安全监控：安全监控功能。
• 防盗功能

二 VCU安全风险和安全目标

对应上述VCU的功能并结合行业经验，举例列举部分安全风险。

1. 车辆非期望的加速，减速，
2. 车辆非期望的运动，
3. 车辆减速失效，
4. 高压电击，
5. 燃烧爆炸。

根据上述的一些危险分析以及ASIL等级评估，VCU的一部分安全目标如下：

1. VCU应该避免输出非期望的扭矩驱动，安全等级ASIL C
2. VCU在碰撞或其他条件下，要求其他部件高压下电，安全等级ASIL B
3. VCU在制动能量回收的过程中，应避免减速失效，安全等级ASIL C

三 VCU功能安全架构设计

Figure2为VCU功能安全架构，包括了实现上述安全目标的设计要点：

Figure2 VCU功能安全架构

1. 硬件设计整体满足ASIL C，核心IC按照ASIL D规格选择。
2. 软件设计按照Autosar架构设计， 应用层、主要部件和协议中间件等运行在Core0Main中。安全架构分层设计，应用层一般由车厂设计（Level1功能层）；设计独立的安全层（Level2安全监控层）作为应用的安全调用接口，包括了功能监控和程序流检查；Level3处理器检查层，主要包括通过与外部看门狗验证MCU处于安全运行模式，进行监控。
3. 外设输入输出信号的处理，单独由Core1外设核进行，相应处理满足ASIL C要求。
4. MCU与位于U-Chip L9788中的外部智能看门狗，两者独立工作，且基于提问和应答的方式相互通信，当应答错误或超时，外部智能看门狗（L9788）的错误计数器会递增，当错误计数超过一定值，根据配置可以复位MCU。
5. Analog BIST：针对各种监控的前置模拟自检机制，可以确保U-Chip L9788的各种诊断机制和监控机制有效运行。
6. 针对关键的加速踏板，刹车踏板等部件的供电输出，信号采集和软件处理采用冗余的方法处理；具备供电失效检测机制，该功能在U-Chip L9788中集成，满足ASIL C要求。
7. 针对输出控制，U-Chip L9788的HSD/LSD具备独立的诊断以及过流保护等功能，满足ASILC要求。
8. 针对扭矩计算等关键模型，需要在应用层采用异构多模型的方式，进行互相验证Check，满足ASIL C要求。
9. 针对安全输出关断机制，能够确保准确关闭输出级信号输出，并能够检测关断机制有效性。
10. 针对存储器加入安全措施，包括完整的RAM/ROM检测，周期RAM/ROM检测，关键数据多重备份等。

四 VCU功能安全开发流程

针对功能安全的诉求，结合VCU整车控制器的需求，功能安全的设计因素应该在VCU开发的每个流程进行体现。

Figure3 VCU功能开发流程

在确定功能安全目标后，可以开展自上而下的分析（FTA故障树分析），可以将FMEDA作为最底层的分析。

五 功能安全服务

ST意法半导体结合代理商文晔科技（WT Microelectronics）及第三方IDH上海革路电子科技有限公司（GELU），向客户提供VCU系统解决方案，包括功能安全的解决方案。功能安全部分输出物包括如下：

1. 针对VCU的通用对象定义和危害分析；
2. 针对VCU的功能安全风险分析和安全目标分解；
3. 针对VCU的安全状态迁移和安全机制设计；
4. 针对VCU的符合功能安全ASIL C的硬件参考设计；
5. 针对硬件参考设计的ASIL C设计目标分解；
6. 符合功能安全的U-Chip L9788的安全CDD驱动和Safety Component软件模块；
7. 针对U-Chip L9788的CDD驱动的安全目标和安全分解；
8. 针对U-Chip L9788的CDD驱动的安全验证方法和工具软件验证报告输出；

GELU 联合上海控安、TUV北德、德国DEKRA等，一起向客户提供功能安全ISO26262咨询服务和审计认证服务。

需要了解更多VCU安全设计详情，也可联系第三方IDH 上海革路电子科技有限公司，Email：sales@shesi.org