VCU 系统功能安全概念阶段的开发

楼志江

（比亚迪汽车工业有限公司，广东 深圳 518118）

引言

随着汽车智能化的快速推进以及车载电子芯片行业的快速发展，现代汽车电子系统日趋复杂，因为汽车电子电气系统失效引起的安全风险也随之不断提高。

为了防范这类风险引起的人身危害，2011 年11 月，汽车电子电气系统功能安全的国际标准ISO 26262 发布生效[1]，第二版也于2018 年正式发布[2]。ISO 26262 提出安全生命周期的重要概念[1]，将功能安全的开发分为概念阶段、开发阶段（系统、软件、硬件）、产品发布之后几个阶段。概念阶段的主要工作是从整车层面出发，为各系统定义功能安全要求，在整个安全生命周期中起到整体规划的重要作用。

整车控制单元（VCU），也称为整车控制器，是实现整车控制决策的核心电子控制单元，现被广泛应用于电动车和混动车。VCU 相当于整车的大脑，起着各功能和各系统之间调度的重要作用，其功能安全的实现与否对整车安全起着至关重要的作用。

虽然迄今为止，很多车载控制系统上都已经实现了功能安全（例如ECM 系统、MCU 系统、BMS 等）[3]，但是这些控制系统的功能安全开发经验并不完全适用于VCU 系统。究其原因，在于VCU 在很多情况下只是一个功能调度单元，不直接参与大部分功能的具体实现。因此，和其他控制系统相比，VCU 系统涉及的安全目标数量较多，但是功能安全要求的等级却相对较低。

本文的主要工作为针对VCU 系统在功能安全概念阶段开发中涉及的几点问题进行研究分析，主要包括以下内容：（a）危害分析和风险评估；（b）安全目标的定义； （c） 安全概念的定义，以及对应的ASIL 等级的分配问题。

1 VCU 系统的概念阶段开发

由于VCU 系统在整车功能架构中的特殊地位，其功能安全概念开发存在自己的一些特点，具体如下：首先，VCU作为一个整车功能调度单元，会和很多其他的系统有功能交互（例如能量管理功能、发动机的扭矩控制功能、和ESP 的交互功能等），因此，VCU 系统包含的安全目标数目较多，且涉及面较广；其次，对于很多例如扭矩控制、能量管理等的功能，VCU 系统仅仅只是做规划调度，但是不直接参与这些功能的具体实现，所以VCU 系统并不对这些功能的安全负主要责任，分配的ASIL 等级不会很高；再者，对于有些功能，为了降低其他系统的ASIL 等级，VCU 系统会做相应的功能冗余，成为这些系统的外部措施。

本文仅仅针对VCU 系统的概念阶段开发提出几点供参考的观点和例子，实际开发过程中可以根据具体情况做出调整。

1.1 危害分析和风险评估

由ISO 26262 第三部分可知，倘若需要定义VCU 系统的安全目标，需要先对VCU 系统进行危害分析和风险评估[4-5]，识别出系统的潜在危害，并为这些危害评定ASIL 等级。

如引言中所述，较之于传统的车载控制系统（例如ECM系统、BMS 等），VCU 系统涉及的功能很多，包括扭矩控制、能量管理、上下电功能、防盗功能、整车热管理等主要功能。因此，VCU 系统需要进行危害分析和风险评估的内容也比较多。

VCU 系统的潜在危害可以采用HAZOP、FMEA、头脑风暴等方法针对VCU 系统涉及的功能逐一分析，通常可以从如下几点对每个功能进行危害评估：该功能误触发是否会引起安全隐患、该功能失效是否会引起安全隐患、该功能本身是否存在安全漏洞。以档位切换功能为例（倘若VCU 包含此功能），可以列出如下表1 所示潜在失效模式：

含铅较高的铜锍在后续冶炼工序如不采取有效措施，会带来阳极板电解过程钝化、阴极铜中含铅超标及阳极泥产率大等一系列问题。目前，业内均普遍认为铜闪速吹炼对杂质铅的脱除能力很有限[10]，但学术上缺乏对铁酸钙渣型铅脱除率较为系统、深入的研究，不能有效指导高铅铜锍闪速吹炼的实际生产。

表1 潜在失效模式列表

识别出VCU 系统的失效问题后，需要为这些失效问题设定ASIL 等级，ASIL 等级分为A、B、C、D 四个等级，等级越高表示该失效的安全问题越严重，倘若没有安全问题，则为QM。ASIL 等级的评定，需要从三个方面进行考虑：严重度、暴露率和可控性。严重度表示故障发生的后果对驾驶员和行人等交通参与者的伤害程度，可控性代表驾驶员和行人控制和规避风险的能力。由于严重度和可控性与故障发生的场景息息相关（例如同样的一个巡航车速控制失效的故障，在雨雪天发生的后果比晴天发生的后果更加严重），所以HARA 分析需要考虑场景发生的概率，即暴露率。之后，根据严重度、暴露率和可控性的评分，查询下表2 获得该失效场景的ASIL 等级。对于同一个失效问题，由于考虑的故障场景不同，得到的ASIL 等级也不同，应该选用最大的ASIL等级作为该失效的ASIL 等级，具体例子如表3 所示。

表2 ASIL 评级表

需要注意的是，在对VCU 系统进行危害分析和风险评估的时候不能考虑已有的或者即将实施的安全措施。以档位切换功能为例，即便大部分的车都具有防止意外切换P 档的处理措施，但是评估意该功能失效的ASIL 等级的时候，这些处理措施都是不做考虑，不能因为这些安全措施降低ASIL等级。

表3 HARA 分析列表

1.2 安全目标的定义

接下来需要为每个具有ASIL 等级的潜在失效模式设定安全目标。安全目标为最高层面的安全要求，通常情况下，安全目标的ASIL 等级即为潜在失效的ASIL 等级。为了便于在功能安全概念定义阶段进行ASIL 分解降级操作，可以取整车层面的安全要求作为VCU 系统的安全目标，具体细节会在2.3 节详细说明。

提出安全目标的同时，需要为该安全目标设定安全状态以及故障容错时间间隔（FTTI），安全状态指的是检测到失效以后应该进入的无风险的运行模式，而FTTI 指的是从发生失效到进入安全状态的最大允许时间间隔，例如表4 所示：

表4 安全目标列表

由于涉及的功能数量繁多，VCU 系统相关的安全目标个数相比于其他整车控制系统要多很多，通常而言，ECM、BMS等系统的安全目标数量不超过5 个，但是VCU 的安全目标数量能多达十几个甚至几十个。

1.3 VCU 功能安全概念的定义

功能安全概念是将整车级别的功能安全目标分解到各个系统，提出系统级的功能安全要求，同时分配对应的ASIL等级。

以SG_2 为例，由图1 的初始功能架构（不包含任何的安全机制）可知，VCU 系统仅仅负责给TCU 发送目标档位信号，而具体的档位切换操作由TCU 实现。

图1 档位功能架构图

可以得到表6 的功能安全列表。

如表6 所示，由于不同系统间软硬件是相互独立的，因此档位控制系统、VCU 系统可以和TCU 系统进行ASIL 等级的分解，但是FSR_2_3 和FSR_2_4 同时隶属于TCU 系统，因此这两个功能安全要求无法执行ASIL 分解。由图中的结果可以看出，较之于TCU 系统，VCU 系统的ASIL 等级较低。

由于VCU 和很多系统均存在功能上的交互，有时候可以通过VCU 为其他系统设置安全机制，在不增加VCU 的ASIL 等级的前提下，降低其他系统的ASIL 等级。表7 中，对VCU 系统引入安全机制FSR_2_5，根据ASIL 分解公式：

可以将档位控制系统降低为QM 等级。如此一来，虽然给VCU 增加了一个ASIL B 的功能安全要求，却减少了一个系统的功能开发工作，为整车功能安全开发节省了工作量和开发成本。

表5 功能安全要求列表（不含安全机制）

表6 功能安全要求列表（含TCU 安全机制）

表7 功能安全要求列表（含VCU 安全机制）

2 总结

作为整车功能的调度中心，VCU 系统在功能安全概念阶段的开发过程中拥有自己的特点，具体表现在相关的安全目标数量较多、分配的ASIL 等级较低。此外，由于和VCU 系统有交互的控制系统数目较多，有的时候可以通过为其他系统做功能冗余，在不增加VCU 系统ASIL 等级的前提下，降低其他系统的ASIL 等级，从而减少整体功能安全开发工作量和开发成本。

功能安全的实现方式并不唯一，本文针对VCU 系统在功能安全概念阶段的开发的几点问题进行了讨论分析，本文的结论可为其他系统的功能安全开发提供参考。