VCU 系統功能安全概念階段的開發

樓志江

（比亞迪汽車工業有限公司，廣東 深圳 518118）

引言

隨著汽車智能化的快速推進以及車載電子芯片行業的快速發展，現代汽車電子系統日趨復雜，因為汽車電子電氣系統失效引起的安全風險也隨之不斷提高。

為了防范這類風險引起的人身危害，2011 年11 月，汽車電子電氣系統功能安全的國際標準ISO 26262 發布生效[1]，第二版也于2018 年正式發布[2]。ISO 26262 提出安全生命周期的重要概念[1]，將功能安全的開發分為概念階段、開發階段（系統、軟件、硬件）、產品發布之后幾個階段。概念階段的主要工作是從整車層面出發，為各系統定義功能安全要求，在整個安全生命周期中起到整體規劃的重要作用。

整車控制單元（VCU），也稱為整車控制器，是實現整車控制決策的核心電子控制單元，現被廣泛應用于電動車和混動車。VCU 相當于整車的大腦，起著各功能和各系統之間調度的重要作用，其功能安全的實現與否對整車安全起著至關重要的作用。

雖然迄今為止，很多車載控制系統上都已經實現了功能安全（例如ECM 系統、MCU 系統、BMS 等）[3]，但是這些控制系統的功能安全開發經驗并不完全適用于VCU 系統。究其原因，在于VCU 在很多情況下只是一個功能調度單元，不直接參與大部分功能的具體實現。因此，和其他控制系統相比，VCU 系統涉及的安全目標數量較多，但是功能安全要求的等級卻相對較低。

本文的主要工作為針對VCU 系統在功能安全概念階段開發中涉及的幾點問題進行研究分析，主要包括以下內容：（a）危害分析和風險評估；（b）安全目標的定義； （c） 安全概念的定義，以及對應的ASIL 等級的分配問題。

1 VCU 系統的概念階段開發

由于VCU 系統在整車功能架構中的特殊地位，其功能安全概念開發存在自己的一些特點，具體如下：首先，VCU作為一個整車功能調度單元，會和很多其他的系統有功能交互（例如能量管理功能、發動機的扭矩控制功能、和ESP 的交互功能等），因此，VCU 系統包含的安全目標數目較多，且涉及面較廣；其次，對于很多例如扭矩控制、能量管理等的功能，VCU 系統僅僅只是做規劃調度，但是不直接參與這些功能的具體實現，所以VCU 系統并不對這些功能的安全負主要責任，分配的ASIL 等級不會很高；再者，對于有些功能，為了降低其他系統的ASIL 等級，VCU 系統會做相應的功能冗余，成為這些系統的外部措施。

本文僅僅針對VCU 系統的概念階段開發提出幾點供參考的觀點和例子，實際開發過程中可以根據具體情況做出調整。

1.1 危害分析和風險評估

由ISO 26262 第三部分可知，倘若需要定義VCU 系統的安全目標，需要先對VCU 系統進行危害分析和風險評估[4-5]，識別出系統的潛在危害，并為這些危害評定ASIL 等級。

如引言中所述，較之于傳統的車載控制系統（例如ECM系統、BMS 等），VCU 系統涉及的功能很多，包括扭矩控制、能量管理、上下電功能、防盜功能、整車熱管理等主要功能。因此，VCU 系統需要進行危害分析和風險評估的內容也比較多。

VCU 系統的潛在危害可以采用HAZOP、FMEA、頭腦風暴等方法針對VCU 系統涉及的功能逐一分析，通?？梢詮娜缦聨c對每個功能進行危害評估：該功能誤觸發是否會引起安全隱患、該功能失效是否會引起安全隱患、該功能本身是否存在安全漏洞。以檔位切換功能為例（倘若VCU 包含此功能），可以列出如下表1 所示潛在失效模式：

含鉛較高的銅锍在后續冶煉工序如不采取有效措施，會帶來陽極板電解過程鈍化、陰極銅中含鉛超標及陽極泥產率大等一系列問題。目前，業內均普遍認為銅閃速吹煉對雜質鉛的脫除能力很有限[10]，但學術上缺乏對鐵酸鈣渣型鉛脫除率較為系統、深入的研究，不能有效指導高鉛銅锍閃速吹煉的實際生產。

表1 潛在失效模式列表

識別出VCU 系統的失效問題后，需要為這些失效問題設定ASIL 等級，ASIL 等級分為A、B、C、D 四個等級，等級越高表示該失效的安全問題越嚴重，倘若沒有安全問題，則為QM。ASIL 等級的評定，需要從三個方面進行考慮：嚴重度、暴露率和可控性。嚴重度表示故障發生的后果對駕駛員和行人等交通參與者的傷害程度，可控性代表駕駛員和行人控制和規避風險的能力。由于嚴重度和可控性與故障發生的場景息息相關（例如同樣的一個巡航車速控制失效的故障，在雨雪天發生的后果比晴天發生的后果更加嚴重），所以HARA 分析需要考慮場景發生的概率，即暴露率。之后，根據嚴重度、暴露率和可控性的評分，查詢下表2 獲得該失效場景的ASIL 等級。對于同一個失效問題，由于考慮的故障場景不同，得到的ASIL 等級也不同，應該選用最大的ASIL等級作為該失效的ASIL 等級，具體例子如表3 所示。

表2 ASIL 評級表

需要注意的是，在對VCU 系統進行危害分析和風險評估的時候不能考慮已有的或者即將實施的安全措施。以檔位切換功能為例，即便大部分的車都具有防止意外切換P 檔的處理措施，但是評估意該功能失效的ASIL 等級的時候，這些處理措施都是不做考慮，不能因為這些安全措施降低ASIL等級。

表3 HARA 分析列表

1.2 安全目標的定義

接下來需要為每個具有ASIL 等級的潛在失效模式設定安全目標。安全目標為最高層面的安全要求，通常情況下，安全目標的ASIL 等級即為潛在失效的ASIL 等級。為了便于在功能安全概念定義階段進行ASIL 分解降級操作，可以取整車層面的安全要求作為VCU 系統的安全目標，具體細節會在2.3 節詳細說明。

提出安全目標的同時，需要為該安全目標設定安全狀態以及故障容錯時間間隔（FTTI），安全狀態指的是檢測到失效以后應該進入的無風險的運行模式，而FTTI 指的是從發生失效到進入安全狀態的最大允許時間間隔，例如表4 所示：

表4 安全目標列表

由于涉及的功能數量繁多，VCU 系統相關的安全目標個數相比于其他整車控制系統要多很多，通常而言，ECM、BMS等系統的安全目標數量不超過5 個，但是VCU 的安全目標數量能多達十幾個甚至幾十個。

1.3 VCU 功能安全概念的定義

功能安全概念是將整車級別的功能安全目標分解到各個系統，提出系統級的功能安全要求，同時分配對應的ASIL等級。

以SG_2 為例，由圖1 的初始功能架構（不包含任何的安全機制）可知，VCU 系統僅僅負責給TCU 發送目標檔位信號，而具體的檔位切換操作由TCU 實現。

圖1 檔位功能架構圖

可以得到表6 的功能安全列表。

如表6 所示，由于不同系統間軟硬件是相互獨立的，因此檔位控制系統、VCU 系統可以和TCU 系統進行ASIL 等級的分解，但是FSR_2_3 和FSR_2_4 同時隸屬于TCU 系統，因此這兩個功能安全要求無法執行ASIL 分解。由圖中的結果可以看出，較之于TCU 系統，VCU 系統的ASIL 等級較低。

由于VCU 和很多系統均存在功能上的交互，有時候可以通過VCU 為其他系統設置安全機制，在不增加VCU 的ASIL 等級的前提下，降低其他系統的ASIL 等級。表7 中，對VCU 系統引入安全機制FSR_2_5，根據ASIL 分解公式：

可以將檔位控制系統降低為QM 等級。如此一來，雖然給VCU 增加了一個ASIL B 的功能安全要求，卻減少了一個系統的功能開發工作，為整車功能安全開發節省了工作量和開發成本。

表5 功能安全要求列表（不含安全機制）

表6 功能安全要求列表（含TCU 安全機制）

表7 功能安全要求列表（含VCU 安全機制）

2 總結

作為整車功能的調度中心，VCU 系統在功能安全概念階段的開發過程中擁有自己的特點，具體表現在相關的安全目標數量較多、分配的ASIL 等級較低。此外，由于和VCU 系統有交互的控制系統數目較多，有的時候可以通過為其他系統做功能冗余，在不增加VCU 系統ASIL 等級的前提下，降低其他系統的ASIL 等級，從而減少整體功能安全開發工作量和開發成本。

功能安全的實現方式并不唯一，本文針對VCU 系統在功能安全概念階段的開發的幾點問題進行了討論分析，本文的結論可為其他系統的功能安全開發提供參考。