隨著軟件定義汽車的趨勢(shì)日益加強(qiáng)，道路車輛電子電器系統(tǒng)滿足功能安全已經(jīng)成為基本要求。近期，在歐盟車輛型式批準(zhǔn)(typeapproval依據(jù)部分UNECE法規(guī))和我國(guó)車輛的CCC認(rèn)證中，對(duì)采用電子控制的轉(zhuǎn)向、制動(dòng)、動(dòng)力電池管理系統(tǒng)等也引入了功能安全要求。高效的軟件架構(gòu)設(shè)計(jì)顯然對(duì)功能安全的實(shí)施和落地起著引導(dǎo)性作用，所以電子電器系統(tǒng)滿足功能安全要求已經(jīng)成為產(chǎn)品基本屬性。

針對(duì)軟件架構(gòu)如何滿足功能安全要求，業(yè)內(nèi)人士紛紛借鑒了E-Gas架構(gòu)，E-Gas最先被應(yīng)用于發(fā)動(dòng)機(jī)控制器EMS，由Level1功能層、Level2功能監(jiān)控層、Level3控制器監(jiān)控層三部分組成。國(guó)內(nèi)相關(guān)論文分別將E-Gas架構(gòu)應(yīng)用于各個(gè)控制功能中，其中專利、文獻(xiàn)、文獻(xiàn)、文獻(xiàn)、文獻(xiàn)都針對(duì)功能安全標(biāo)準(zhǔn)設(shè)計(jì)了整車控制器硬件和軟件，但并未涉及Level2軟件架構(gòu)。

因此，為了彌補(bǔ)E-Gas架構(gòu)未明確提出基于模型開(kāi)發(fā)MBD的Level2軟件架構(gòu)的缺陷，且架構(gòu)設(shè)計(jì)要滿足高內(nèi)聚低耦合、合適的分層等功能安全要求，本文針對(duì)整車控制器VCU設(shè)計(jì)了一種Level2功能監(jiān)控層軟件架構(gòu)，不但符合功能安全架構(gòu)設(shè)計(jì)要求，而且可應(yīng)用于其他ECU功能安全Level2設(shè)計(jì)中，有助于功能安全設(shè)計(jì)進(jìn)一步落地，降低實(shí)施難度。

一、VCU模型整體架構(gòu)

設(shè)計(jì)整車控制器VCU模型Level1、Level2架構(gòu)，如圖1所示，包括時(shí)序調(diào)度、輸入信號(hào)、Level1、Level2和輸出信號(hào)模塊，需滿足功能安全可理解性、一致性、簡(jiǎn)單性、可驗(yàn)證性、模塊化、抽象化、封裝性、可維修性等架構(gòu)設(shè)計(jì)原則和要求。

圖1 VCU控制模型架構(gòu)

Level1被稱為功能層，包含整車控制基本功能，如電機(jī)扭矩需求、能量回收等，整車高低壓電源管理，如高壓安全、低壓管理等，以及在檢測(cè)到故障時(shí)控制系統(tǒng)的反應(yīng)。Level2被稱為功能監(jiān)控層，檢測(cè)Level1功能軟件的缺陷過(guò)程。例如，通過(guò)監(jiān)測(cè)計(jì)算的需求扭矩值或車輛縱向加速度，當(dāng)系統(tǒng)發(fā)生故障時(shí)，會(huì)觸發(fā)系統(tǒng)反應(yīng)，進(jìn)入安全狀態(tài)。Level1和Level2獨(dú)立的開(kāi)發(fā)和各自生產(chǎn)代碼要運(yùn)行到不同的分區(qū)內(nèi)，避免共因失效和免于干擾，并且Level2監(jiān)控層代碼要運(yùn)行到硬件安全核內(nèi)。

二、Level1功能層軟件架構(gòu)

設(shè)計(jì)VCU模型Level1功能層架構(gòu)，如圖2所示，Level1進(jìn)行ECU基本功能實(shí)現(xiàn)和應(yīng)用時(shí)，ECU的基礎(chǔ)功能必須存在，包括時(shí)序調(diào)度、輸入信號(hào)匯總、輸出信號(hào)匯總、控制功能模塊(如整車運(yùn)行狀態(tài)控制、扭矩控制、能量管理、診斷處理、加速踏板控制、擋位控制、續(xù)駛里程、低壓電源控制、儀表顯示控制等模塊)，各模型庫(kù)均采用模型應(yīng)用(ModelRefercence)方法引用，方便各模塊庫(kù)維護(hù)、復(fù)用或移植。

圖2 VCU控制模型Level1功能層架

三、Level2功能監(jiān)控層架構(gòu)

VCU模型Level2功能監(jiān)控架構(gòu)，如圖3所示，包括信號(hào)校驗(yàn)、Level2過(guò)程監(jiān)控、輸出監(jiān)控三個(gè)模塊，其作用是對(duì)ECU的Level1功能層中實(shí)現(xiàn)的設(shè)計(jì)功能安全相關(guān)模塊進(jìn)行監(jiān)控，屬于監(jiān)控模塊，增加該模塊可以滿足功能安全要求，可以對(duì)功能安全進(jìn)行如下分解：Level1功能安全等級(jí)為QM(X)，Level2功能安全等級(jí)為X(X)，其中X可以根據(jù)具體功能分為ASILA/B/C/D。

1.Level2信號(hào)校驗(yàn)軟件架構(gòu)

(1)輸入輸出接口

信號(hào)校驗(yàn)?zāi)K輸入輸出接口，如表1所示。

表1 Level2信號(hào)校驗(yàn)?zāi)K接口

(2)安全機(jī)制

Level2輸入模塊對(duì)相應(yīng)的安全相關(guān)的信號(hào)進(jìn)行完整性、有效范圍、合理性等校驗(yàn)，然后分別輸出給Level1和Level2過(guò)程監(jiān)控和輸出監(jiān)控用，具體校驗(yàn)機(jī)制和時(shí)序圖，如圖4所示。

圖4 信號(hào)校驗(yàn)?zāi)K架

假設(shè)每隔TBDms接收接口1信號(hào)，首先對(duì)信號(hào)進(jìn)行timeout超時(shí)檢測(cè)，當(dāng)超過(guò)TBD信號(hào)周期內(nèi)沒(méi)有接收到，判定信號(hào)丟失;然后進(jìn)行CRC檢測(cè)，當(dāng)校驗(yàn)沒(méi)有通過(guò)時(shí)，判定這幀信號(hào)CRC錯(cuò)誤;再進(jìn)行alivecounter檢測(cè)，當(dāng)校驗(yàn)沒(méi)有通過(guò)時(shí)，判定信號(hào)alivecounter錯(cuò)誤;最后進(jìn)行valid和范圍檢測(cè)，當(dāng)校驗(yàn)沒(méi)有通過(guò)時(shí)，判定信號(hào)為invalid;檢測(cè)到以上任意錯(cuò)誤時(shí)，發(fā)送接口3為無(wú)效且發(fā)送接口2為默認(rèn)值或上一周期信號(hào)給其他模塊。

2.Level2過(guò)程監(jiān)控軟件架構(gòu)

(1)輸入輸出接口

Level2過(guò)程監(jiān)控模塊輸入輸出接口，如表2所示。

(2)安全機(jī)制

根據(jù)Level1功能層中安全相關(guān)功能，其安全信號(hào)輸出作為L(zhǎng)evel2監(jiān)控層的輸入，由Level2監(jiān)控層對(duì)Level1進(jìn)行監(jiān)控，架構(gòu)圖如圖5所示：無(wú)論Level1功能層如何，被監(jiān)控的功能應(yīng)在Level2監(jiān)控層中采取冗余異構(gòu)算法對(duì)接口4進(jìn)行校驗(yàn)，并在出現(xiàn)錯(cuò)誤或異常時(shí)觸發(fā)系統(tǒng)反應(yīng)，將其帶入可控狀態(tài)，即輸出接口6、接口7、接口8、接口9。

3.Level2輸出監(jiān)控軟件架構(gòu)

(1)輸入輸出接口

Level2輸出監(jiān)控模塊輸入輸出接口，如表3所示。

(2)安全機(jī)制

Level2對(duì)level1的最終的輸出結(jié)果、CAN收發(fā)器或硬線驅(qū)動(dòng)輸出，以及執(zhí)行器最終的執(zhí)行情況進(jìn)行閉環(huán)實(shí)時(shí)監(jiān)控，架構(gòu)圖如圖6所示，具體策略分為三個(gè)層次，一是模型輸出信號(hào)監(jiān)控：Level2采用獨(dú)立于Level1控制策略對(duì)接口10進(jìn)行監(jiān)控，避免邏輯錯(cuò)誤或輸出未連線;二是驅(qū)動(dòng)輸出監(jiān)控：接口10輸出給輸出驅(qū)動(dòng)，Level2需Debounce一定時(shí)間后監(jiān)控驅(qū)動(dòng)是否正確輸出;三是執(zhí)行器監(jiān)控：執(zhí)行器響應(yīng)接口11信號(hào)后，執(zhí)行動(dòng)作并反饋接口12，Level2監(jiān)控其執(zhí)行狀態(tài)是否滿足預(yù)期結(jié)果，以上若出現(xiàn)一個(gè)或多個(gè)監(jiān)控故障，則需通過(guò)接口14發(fā)送儀表提醒駕駛員，且通過(guò)接口15或16使系統(tǒng)進(jìn)入安全狀態(tài)。

四、分析和測(cè)試驗(yàn)證

通過(guò)在軟件架構(gòu)級(jí)別應(yīng)用安全分析(FMEA和FTA)和DFA相關(guān)失效分析，找出失效原因(Fault)，以及分析失效影響(Effect)。結(jié)果表明Level2軟件架構(gòu)提供監(jiān)控功能、行為和ASIL等級(jí)滿足設(shè)計(jì)要求。

利用靜態(tài)測(cè)試工具M(jìn)ODELINSPECTOR選擇功能安全標(biāo)準(zhǔn)和MAB標(biāo)準(zhǔn)進(jìn)行模型集成靜態(tài)語(yǔ)句掃描、語(yǔ)義分析、識(shí)別軟件行為，無(wú)需人工設(shè)計(jì)測(cè)試用例，無(wú)需運(yùn)行代碼的自動(dòng)分析過(guò)程，直至結(jié)果表明滿足功能安全架構(gòu)設(shè)計(jì)要求;利用動(dòng)態(tài)測(cè)試工具M(jìn)ODELVERIFIER，針對(duì)Level2模型要素之間特有的集成層次和接口進(jìn)行測(cè)試，人工設(shè)計(jì)“打樁”代碼，在原始碼中植入“檢測(cè)代碼”，需要人工設(shè)計(jì)測(cè)試用例，運(yùn)行代碼或測(cè)試用例，獲取軟件運(yùn)行過(guò)程產(chǎn)生的數(shù)據(jù)，對(duì)數(shù)據(jù)進(jìn)行安全分析迭代修正，直至測(cè)試結(jié)果表明集成的軟件組件滿足其功能安全軟件架構(gòu)設(shè)計(jì)需求。

審核編輯：湯梓紅