一、VCU應用層監控方案的ISO26262背景
“軟件定義汽車”趨勢下,更多汽車軟件問題與消費者生命安全密切相關。而汽車行業ISO 26262《道路車輛功能安全》是一個國際安全標準,對安裝在量產道路車輛上的電氣、電子系統的功能安全進行了約束和規定,避免對人身的傷害。
ISO 26262標準將汽車“功能安全(FuSa)”定義為“不存在因電氣和電子系統故障所導致的不合理風險”。功能安全問題不是單純的硬件系統問題,也不是單純的軟件系統問題,它是一個系統性問題,涉及硬件系統和軟件系統兩方面的具體操作和流程。在功能安全的開發過程中,所有活動的目的都是為了實現概念階段經過HARA分析后導出的安全目標(SG),對原有的功能系統進行監控,避免由于E/E系統失效而違反安全目標。
VCU(整車控制器)的SG ,包括避免扭矩輸出過大、避免扭矩輸出反向等, 大多與扭矩相關。實現VCU的SG,在軟件中實現VCU應用層監控的核心,也聚焦在了輸出扭矩的監控。就此本文將通過VCU L2應用層監控方案,講解如何利用扭矩監控來實現功能安全要求。
二、基于E-Gas標準的監控方案參考
上世紀90年代,電子節氣門系統逐步在量產車上得到應用,成為汽油發動機控制系統的核心,由此掀起了汽車電氣化控制的浪潮。
與電控系統一并到來的,是人們對電子產品的可靠性的普遍擔心,因此幾大國際公司聯合起草制定了針對發動機的ECU軟件架構E-Gas,其中的三層軟件架構概念已經得到世界各大OEM和Tier1認可和廣泛應用。
E-Gas三層架構圖
· Level 1:功能層
計算并執行發動機扭矩、組件監控、輸入/輸出變量診斷及檢測到故障時控制系統反應
· Level 2:功能監控層
監控L1軟件功能故障,比如監控計算的扭矩值或車輛加速度;發生故障時,觸發系統響應
· Level 3:控制器監控層
功能控制的獨立部分,在問答過程中檢測程序執行的正確性
功能安全在L1功能層的基礎上,開發完成L2和L3部分工作,本文主要介紹L2應用層監控方案。
三、VCU L2應用層監控方案
在功能安全的整個流程中,包括概念階段、系統階段、硬件階段、軟件階段和支持過程,而L2應用層監控方案的開發主要在軟件階段實現。
功能安全開發流程
VCU在進行扭矩管理時,根據司機要求、車輛狀態等工況,合理控制電機的工作狀態及功率輸出,滿足駕駛工況要求。包括加減速、恒速、制動和后退的工況。具體的扭矩管理功能如下:
① 對駕駛員需求扭矩進行解析,識別工況和計算駕駛員扭矩
② 進行扭矩仲裁,協調其他ECU的請求扭矩
③ 進行扭矩限制,保證零部件安全
④ 進行扭矩濾波,提高駕駛舒適性
四、VCU L2應用層監控內容
· 輸入信號監控
L2監控安全相關輸入信號,并進行故障判斷和處理,包括踏板、開關硬線信號及電機轉速、車速、擋位、ESC請求等CAN信號。比如:加速踏板信號監控—
加速踏板信號監控與故障處理
· 扭矩監控
L2對各種模式下的扭矩進行解析,對L1計算的扭矩進行監控,并最終進行扭矩仲裁。L2層根據車輛狀態判斷當前駕駛工況,監控L1計算出的扭矩方向正確性。比如:方向性監控—
方向性監控流程示意圖
比如:絕對量監控-- L2通過扭矩的解析和計算,監控L1計算的MCU目標扭矩是否出現異常偏差,避免非預期加減速(比如:由SG/HARA分析得到的量化值減速度-2m/s2),絕對量監控分兩部分,分別是同步前扭矩監控和同步后濾波扭矩監控:
① L2通過輸入計算駕駛員需求扭矩Tor_L2,若L1計算的駕駛員需求扭矩Tor_L1在Tor_L2加一個安全范圍內,則同步前扭矩監控無異常;通過同步前的比較實現較為寬泛的監控,這時只要L2的誤差不是特別大,那么L1違背安全目標的非預期加速都能在此時的比較中被監測到
② 在同步前的比較無故障的前提下,對扭矩進行同步,消除L2扭矩計算的容差,提高監控的精度和準確性、魯棒性。再通過濾波對扭矩變化趨勢做了限定,此時去監控L1的濾波扭矩,可以實現更精準的監控
具體濾波同步的解決方案,可聯系經緯恒潤進一步溝通。
絕對量監控流程示意圖
· 扭矩仲裁
通過仲裁條件,決定VCU扭矩監控模塊的輸出。若監控無故障,則L1扭矩正常輸出;若監控有故障,則進入對應的跛行模式,對輸出扭矩進行限制:
① 根據雙路加速踏板信號和車速信號監控結果判斷進入何種模式,再根據對應的跛行模式的故障處理方式,判定L2計算的扭矩結果
② 得到L2計算的扭矩結果后,對L1輸出的扭矩進行監控,若出現方向性故障,則直接進入安全模式,關斷扭矩輸出,若出現絕對量監控故障,則根據差值閾值進入相應的跛行模式,對扭矩輸出進行降級處理
信號監控對應模式
扭矩監控對應模式
不同模式(Mode)下的故障處理方式
根據以上結果,L2進行扭矩仲裁,若無故障則輸出L1請求扭矩,若有故障則按對應方式進行故障處理。
L2扭矩仲裁
采用L2應用層監控方案收益:
① 對功能開發維護:通過E-Gas架構實現在L1功能層的基礎上增加L2功能監控層,實現功能安全功能與原有預期功能的解耦,避免對原預期功能的全生命周期破壞介入式的影響、所有功能的全新開發測試。只需要開發獨立的L2功能補丁,并進行補丁部分的安全功能驗證,減少大量全功能的開發修改及功能安全測試工作量
② 對功能平臺化拓展:方便L1層、L2層功能的移植和拓展,以及平臺化和模塊化建設。采用L2監控并設計相應的降級策略,在不降低用戶使用體驗和可用性的基礎上,提高安全性,并且可以再持續維護優化降級策略
五、項目實施應用
在某自主動力域控制器項目中,經緯恒潤助力用戶實現ASILC等級的VCU產品功能安全開發并且拿到認證公司的認證。
· 用戶現狀
① 已實現自主動力域控制器的所有功能(QM),完成實車測試。前期開發、測試投入大量的人力、物力、時間等
② 為滿足市場、OEM要求,對產品升級達到 ISO26262產品認證要求
· 項目要求
① 經緯恒潤需提供ISO26262功能安全方案,負責軟件中安全相關部分開發驗證,盡量避免軟件做大量調整,減少原有功能的修改、測試工作;在滿足功能安全的情況,選擇可以縮短工期的實施方案
② 該項目為量產項目,因此功能安全的實現需考量軟件的可用性和用戶的使用體驗;經緯恒潤需支持從監控組件開發到整車測試階段安全相關閾值標定的工作
· 項目成果
該項目參考E-Gas標準、符合AUTOSAR架構規范,采用L2應用層監控策略及解決方案,對其原有功能(L1)的監控,實現了對應的安全目標(ASILC)。
經緯恒潤幫助用戶提出恰當的安全監控策略、完成L2相關功能的開發、單元與集成測試,同時,在安全監控方案中考慮合理降級策略,平衡可用性&安全性。
L1-L2總體架構圖
L2監控層
如需獲取更新方案信息,可在經緯恒潤官網觀看8月8日在線研討會《如何快速開發量產級別功能安全應用軟件》和相關主題《智能汽車域控中間件功能安全方案設計及應用》研討會回放。
了解更多:請致電 010-64840808轉6117或發送郵件至market_dept@hirain.com(聯系時請說明來自控制工程網)