作者单位:比亚迪汽车工业有限公司
DOI:10.16638/j.cnki.1671-7988.2019.16.025
引言
随着汽车智能化的快速推进以及车载电子芯片行业的快速发展,现代汽车电子系统日趋复杂,因为汽车电子电气系统失效引起的安全风险也随之不断提高。
为了防范这类风险引起的人身危害,2011 年11 月,汽车电子电气系统功能安全的国际标准ISO 26262发布生效,第二版也于2018 年正式发布。ISO 26262 提出安全生命周期的重要概念,将功能安全的开发分为概念阶段、开发阶段(系统、软件、硬件)、产品发布之后几个阶段。概念阶段的主要工作是从整车层面出发,为各系统定义功能安全要求,在整个安全生命周期中起到整体规划的重要作用。
整车控制单元(VCU),也称为整车控制器,是实现整车控制决策的核心电子控制单元,现被广泛应用于电动车和混动车。VCU 相当于整车的大脑,起着各功能和各系统之间调度的重要作用,其功能安全的实现与否对整车安全起着至关重要的作用。
虽然迄今为止,很多车载控制系统上都已经实现了功能安全(例如ECM 系统、MCU系统、BMS 等),但是这些控制系统的功能安全开发经验并不完全适用于VCU 系统。究其原因,在于VCU 在很多情况下只是一个功能调度单元,不直接参与大部分功能的具体实现。因此,和其他控制系统相比,VCU 系统涉及的安全目标数量较多,但是功能安全要求的等级却相对较低。
本文的主要工作为针对VCU 系统在功能安全概念阶段开发中涉及的几点问题进行研究分析,主要包括以下内容:
(a)危害分析和风险评估;
(b)安全目标的定义;
(c)安全概念的定义,以及对应的ASIL等级的分配问题。
1 VCU 系统的概念阶段开发
由于VCU 系统在整车功能架构中的特殊地位,其功能安全概念开发存在自己的一些特点,具体如下:首先,VCU作为一个整车功能调度单元,会和很多其他的系统有功能交互(例如能量管理功能、发动机的扭矩控制功能、和ESP 的交互功能等),因此,VCU 系统包含的安全目标数目较多,且涉及面较广;其次,对于很多例如扭矩控制、能量管理等的功能,VCU 系统仅仅只是做规划调度,但是不直接参与这些功能的具体实现,所以VCU 系统并不对这些功能的安全负主要责任,分配的ASIL 等级不会很高;再者,对于有些功能,为了降低其他系统的ASIL等级,VCU 系统会做相应的功能冗余,成为这些系统的外部措施。
本文仅仅针对VCU 系统的概念阶段开发提出几点供参考的观点和例子,实际开发过程中可以根据具体情况做出调整。
1.1 危害分析和风险评估
由ISO 26262 第三部分可知,倘若需要定义VCU 系统的安全目标,需要先对VCU 系统进行危害分析和风险评估,识别出系统的潜在危害,并为这些危害评定ASIL等级。
如引言中所述,较之于传统的车载控制系统(例如ECM系统、BMS 等),VCU 系统涉及的功能很多,包括扭矩控制、能量管理、上下电功能、防盗功能、整车热管理等主要功能。因此,VCU 系统需要进行危害分析和风险评估的内容也比较多。
VCU 系统的潜在危害可以采用HAZOP、FMEA、头脑风暴等方法针对VCU 系统涉及的功能逐一分析,通常可以从如下几点对每个功能进行危害评估:该功能误触发是否会引起安全隐患、该功能失效是否会引起安全隐患、该功能本身是否存在安全漏洞。以档位切换功能为例(倘若VCU 包含此功能),可以列出如下表1 所示潜在失效模式:
识别出VCU 系统的失效问题后,需要为这些失效问题设定ASIL等级,ASIL等级分为A、B、C、D四个等级,等级越高表示该失效的安全问题越严重,倘若没有安全问题,则为QM。ASIL等级的评定,需要从三个方面进行考虑:严重度、暴露率和可控性。严重度表示故障发生的后果对驾驶员和行人等交通参与者的伤害程度,可控性代表驾驶员和行人控制和规避风险的能力。由于严重度和可控性与故障发生的场景息息相关(例如同样的一个巡航车速控制失效的故障,在雨雪天发生的后果比晴天发生的后果更加严重),所以HARA分析需要考虑场景发生的概率,即暴露率。之后,根据严重度、暴露率和可控性的评分,查询下表2 获得该失效场景的ASIL 等级。对于同一个失效问题,由于考虑的故障场景不同,得到的ASIL等级也不同,应该选用最大的ASIL等级作为该失效的ASIL等级,具体例子如表3 所示。
需要注意的是,在对VCU 系统进行危害分析和风险评估的时候不能考虑已有的或者即将实施的安全措施。以档位切换功能为例,即便大部分的车都具有防止意外切换P 档的处理措施,但是评估意该功能失效的ASIL 等级的时候,这些处理措施都是不做考虑,不能因为这些安全措施降低ASIL等级。
1.2 安全目标的定义
接下来需要为每个具有ASIL 等级的潜在失效模式设定安全目标。安全目标为最高层面的安全要求,通常情况下,安全目标的ASIL等级即为潜在失效的ASIL等级。为了便于在功能安全概念定义阶段进行ASIL 分解降级操作,可以取整车层面的安全要求作为VCU 系统的安全目标,具体细节会在2.3 节详细说明。
提出安全目标的同时,需要为该安全目标设定安全状态以及故障容错时间间隔(FTTI),安全状态指的是检测到失效以后应该进入的无风险的运行模式,而FTTI 指的是从发生失效到进入安全状态的最大允许时间间隔,例如表4 所示:
由于涉及的功能数量繁多,VCU 系统相关的安全目标个数相比于其他整车控制系统要多很多,通常而言,ECM、BMS等系统的安全目标数量不超过5 个,但是VCU 的安全目标数量能多达十几个甚至几十个。
1.3 VCU 功能安全概念的定义
功能安全概念是将整车级别的功能安全目标分解到各个系统,提出系统级的功能安全要求,同时分配对应的ASIL等级。
以 SG_2 为例,由图1 的初始功能架构(不包含任何的安全机制)可知,VCU 系统仅仅负责给TCU 发送目标档位信号,而具体的档位切换操作由TCU 实现。
根据图1,可以为档位控制系统、VCU 系统、TCU 系统分别提出如表5 所示的的功能安全要求。由于没有考虑各个系统之间的功能冗余,表5 中档位控制系统、VCU 系统、TCU系统会直接继承安全目标的ASIL等级。但是TCU 系统作为一个功能的实际执行单元,会对该功能的安全性负主要责任,因此,TCU 系统会采取一系列额外的安全措施,防止事故的发生。通常,TCU 系统会根据车速判断能否切换P 档,倘若当前时刻检测到车速,即便VCU 错误发送切换P 档命令或者档位控制器错误发送切换P 档信号,TCU 系统也不会执行换档操作。假设该安全机制的ASIL等级为B,根据ASIL分解公式:
可以得到表6 的功能安全列表。
如表6 所示,由于不同系统间软硬件是相互独立的,因此档位控制系统、VCU 系统可以和TCU 系统进行ASIL 等级的分解,但是FSR_2_3和FSR_2_4同时隶属于TCU系统,因此这两个功能安全要求无法执行ASIL 分解。由图中的结果可以看出,较之于TCU 系统,VCU 系统的ASIL 等级较低。
由于VCU 和很多系统均存在功能上的交互,有时候可以通过VCU 为其他系统设置安全机制,在不增加VCU 的ASIL等级的前提下,降低其他系统的ASIL等级。表7 中,对VCU 系统引入安全机制FSR_2_5,根据ASIL分解公式:
可以将档位控制系统降低为QM 等级。如此一来,虽然给VCU 增加了一个ASIL B 的功能安全要求,却减少了一个系统的功能开发工作,为整车功能安全开发节省了工作量和开发成本。
2 总结
作为整车功能的调度中心,VCU 系统在功能安全概念阶段的开发过程中拥有自己的特点,具体表现在相关的安全目标数量较多、分配的ASIL等级较低。此外,由于和VCU 系统有交互的控制系统数目较多,有的时候可以通过为其他系统做功能冗余,在不增加VCU系统ASIL等级的前提下,降低其他系统的ASIL 等级,从而减少整体功能安全开发工作量和开发成本。
功能安全的实现方式并不唯一,本文针对VCU 系统在功能安全概念阶段的开发的几点问题进行了讨论分析,本文的结论可为其他系统的功能安全开发提供参考。