VCU架构的功能安全设计

随着软件定义汽车的趋势日益加强，道路车辆电子电器系统满足功能安全已经成为基本要求。近期，在欧盟车辆型式批准（typeapproval依据部分UNECE法规）和我国车辆的CCC认证中，对采用电子控制的转向、制动、动力电池管理系统等也引入了功能安全要求。高效的软件架构设计显然对功能安全的实施和落地起着引导性作用，所以电子电器系统满足功能安全要求已经成为产品基本属性。

针对软件架构如何满足功能安全要求，业内人士纷纷借鉴了E-Gas架构，E-Gas最先被应用于发动机控制器EMS，由Level1功能层、Level2功能监控层、Level3控制器监控层三部分组成。国内相关论文分别将E-Gas架构应用于各个控制功能中，其中专利、文献、文献、文献、文献都针对功能安全标准设计了整车控制器硬件和软件，但并未涉及Level2软件架构。

因此，为了弥补E-Gas架构未明确提出基于模型开发MBD的Level2软件架构的缺陷，且架构设计要满足高内聚低耦合、合适的分层等功能安全要求，本文针对整车控制器VCU设计了一种Level2功能监控层软件架构，不但符合功能安全架构设计要求，而且可应用于其他ECU功能安全Level2设计中，有助于功能安全设计进一步落地，降低实施难度。

一、VCU模型整体架构

设计整车控制器VCU模型Level1、Level2架构，如图1所示，包括时序调度、输入信号、Level1、Level2和输出信号模块，需满足功能安全可理解性、一致性、简单性、可验证性、模块化、抽象化、封装性、可维修性等架构设计原则和要求。

图1 VCU控制模型架构

Level1被称为功能层，包含整车控制基本功能，如电机扭矩需求、能量回收等，整车高低压电源管理，如高压安全、低压管理等，以及在检测到故障时控制系统的反应。Level2被称为功能监控层，检测Level1功能软件的缺陷过程。例如，通过监测计算的需求扭矩值或车辆纵向加速度，当系统发生故障时，会触发系统反应，进入安全状态。Level1和Level2独立的开发和各自生产代码要运行到不同的分区内，避免共因失效和免于干扰，并且Level2监控层代码要运行到硬件安全核内。

二、Level1功能层软件架构

设计VCU模型Level1功能层架构，如图2所示，Level1进行ECU基本功能实现和应用时，ECU的基础功能必须存在，包括时序调度、输入信号汇总、输出信号汇总、控制功能模块（如整车运行状态控制、扭矩控制、能量管理、诊断处理、加速踏板控制、挡位控制、续驶里程、低压电源控制、仪表显示控制等模块），各模型库均采用模型应用（ModelRefercence）方法引用，方便各模块库维护、复用或移植。

图2 VCU控制模型Level1功能层架

三、Level2功能监控层架构

VCU模型Level2功能监控架构，如图3所示，包括信号校验、Level2过程监控、输出监控三个模块，其作用是对ECU的Level1功能层中实现的设计功能安全相关模块进行监控，属于监控模块，增加该模块可以满足功能安全要求，可以对功能安全进行如下分解：Level1功能安全等级为QM（X），Level2功能安全等级为X（X），其中X可以根据具体功能分为ASILA/B/C/D。

1.Level2信号校验软件架构

（1）输入输出接口

信号校验模块输入输出接口，如表1所示。

表1 Level2信号校验模块接口

（2）安全机制

Level2输入模块对相应的安全相关的信号进行完整性、有效范围、合理性等校验，然后分别输出给Level1和Level2过程监控和输出监控用，具体校验机制和时序图，如图4所示。

图4 信号校验模块架

假设每隔TBDms接收接口1信号，首先对信号进行timeout超时检测，当超过TBD信号周期内没有接收到，判定信号丢失；然后进行CRC检测，当校验没有通过时，判定这帧信号CRC错误；再进行alivecounter检测，当校验没有通过时，判定信号alivecounter错误；最后进行valid和范围检测，当校验没有通过时，判定信号为invalid；检测到以上任意错误时，发送接口3为无效且发送接口2为默认值或上一周期信号给其他模块。

2.Level2过程监控软件架构

（1）输入输出接口

Level2过程监控模块输入输出接口，如表2所示。

（2）安全机制

根据Level1功能层中安全相关功能，其安全信号输出作为Level2监控层的输入，由Level2监控层对Level1进行监控，架构图如图5所示：无论Level1功能层如何，被监控的功能应在Level2监控层中采取冗余异构算法对接口4进行校验，并在出现错误或异常时触发系统反应，将其带入可控状态，即输出接口6、接口7、接口8、接口9。

3.Level2输出监控软件架构

（1）输入输出接口

Level2输出监控模块输入输出接口，如表3所示。

（2）安全机制

Level2对level1的最终的输出结果、CAN收发器或硬线驱动输出，以及执行器最终的执行情况进行闭环实时监控，架构图如图6所示，具体策略分为三个层次，一是模型输出信号监控：Level2采用独立于Level1控制策略对接口10进行监控，避免逻辑错误或输出未连线；二是驱动输出监控：接口10输出给输出驱动，Level2需Debounce一定时间后监控驱动是否正确输出；三是执行器监控：执行器响应接口11信号后，执行动作并反馈接口12，Level2监控其执行状态是否满足预期结果，以上若出现一个或多个监控故障，则需通过接口14发送仪表提醒驾驶员，且通过接口15或16使系统进入安全状态。

四、分析和测试验证

通过在软件架构级别应用安全分析（FMEA和FTA）和DFA相关失效分析，找出失效原因（Fault)，以及分析失效影响（Effect）。结果表明Level2软件架构提供监控功能、行为和ASIL等级满足设计要求。