隨著整車(chē)電子電氣架構(gòu)的發(fā)展，功能域控架構(gòu)向整車(chē)集中式區(qū)域控制演進(jìn)。新的區(qū)域控制架構(gòu)下，車(chē)身控制模塊(BCM)，整車(chē)控制單元（VCU），熱管理系統(tǒng)（TMS）和動(dòng)力底盤(pán)等功能等原本獨(dú)立的功能域整合到新的區(qū)域控制器。同時(shí)，區(qū)域控制器也集成了二級(jí)智能配電功能，真正形成了Power HUB, IO HUB, Data HUB。

整車(chē)區(qū)域架構(gòu)

新EEA架構(gòu)下，功能安全也隨之有了新的變化。原來(lái)多個(gè)不同的控制器來(lái)實(shí)現(xiàn)整車(chē)功能，功能安全目標(biāo)也是以獨(dú)立的控制器為主體，結(jié)合控制器間的信號(hào)交互來(lái)共同實(shí)現(xiàn)。整車(chē)區(qū)域架構(gòu)下，同一個(gè)區(qū)域控制器中集成車(chē)身，動(dòng)力，底盤(pán)控制等功能，有ASIL A/B/C/D四種安全等級(jí)安全目標(biāo)同時(shí)出現(xiàn)的情況。這些不同安全目標(biāo)的實(shí)現(xiàn)模塊共享控制器的內(nèi)部軟硬件資源，如電源模塊，MCU模塊和安全關(guān)斷路徑等。

不同功能域?qū)τ诠收蠒r(shí)的響應(yīng)各有差異。車(chē)身類(lèi)功能安全考慮到系統(tǒng)的魯棒性，控制器故障后一般進(jìn)入limphome（跛行）模式；而EPB功能安全等級(jí)高，當(dāng)外部獨(dú)立看門(mén)狗檢測(cè)到MCU故障，或MCU內(nèi)部安全監(jiān)控模塊檢測(cè)到故障，即進(jìn)入安全狀態(tài)。

以近光燈和EPB功能為例淺談區(qū)域控制器功能安全設(shè)計(jì)的一些思考。

從整車(chē)安全目標(biāo)來(lái)看，近光燈應(yīng)避免在行車(chē)過(guò)程中非預(yù)期熄滅，當(dāng)控制器內(nèi)部失效后，需要在故障容忍時(shí)間間隔（FTTI）內(nèi)點(diǎn)亮近光燈；EPB最高等級(jí)的安全目標(biāo)應(yīng)避免在行車(chē)過(guò)程中非預(yù)期的鎖死制動(dòng)卡鉗，當(dāng)控制器內(nèi)部失效后，需要在FTTI內(nèi)釋放制動(dòng)卡鉗。

系統(tǒng)層面

一方面為了整車(chē)的安全性，兼顧系統(tǒng)的魯棒性，需要收集整車(chē)端不同功能和ASIL等級(jí)的安全目標(biāo)，需要考慮不同ASIL等級(jí)對(duì)于故障的響應(yīng)，以及對(duì)于故障后進(jìn)入安全狀態(tài)的可接受度；另一方面從系統(tǒng)架構(gòu)上進(jìn)行安全分析，確認(rèn)安全目標(biāo)是否可進(jìn)行ASIL等級(jí)分解。

通過(guò)合理的功能分配，將左右近光燈布置在兩個(gè)相互獨(dú)立的區(qū)域控制器中。當(dāng)某一個(gè)控制器內(nèi)部MCU故障，進(jìn)入limp home模式點(diǎn)亮近光燈；且當(dāng)某一個(gè)控制器完全失效，另外一個(gè)控制器還可以保證其近光燈可以正常點(diǎn)亮，這樣近光燈的安全等級(jí)分解為ASIL A(B)。

EPB比較特殊，一般分配在兩個(gè)相互獨(dú)立的區(qū)域控制器中，由于任意一個(gè)控制模塊鎖死了制動(dòng)卡鉗都會(huì)違反安全目標(biāo)，故其最高ASIL D的安全等級(jí)不可分解。當(dāng)控制器出現(xiàn)故障時(shí)，通過(guò)安全關(guān)斷路徑來(lái)釋放卡鉗驅(qū)動(dòng)電機(jī)，進(jìn)入安全狀態(tài)。

近光燈和EPB功能安全等級(jí)

硬件層面

為了保證區(qū)域控制器可以實(shí)現(xiàn)最高等級(jí)的安全目標(biāo)，內(nèi)部共用的硬件模塊需要按最高安全等級(jí)去開(kāi)發(fā)，如MCU模塊，邏輯電源供電模塊等?？刂破鲀?nèi)部低安全等級(jí)的功能模塊不能影響高安全等級(jí)的硬件模塊，需要進(jìn)行相關(guān)失效分析，分析不同安全目標(biāo)共用的電路模塊，是否存在共因和級(jí)聯(lián)失效。

當(dāng)MCU失效后，近光燈和EPB功能不受控。此時(shí)，需要安全機(jī)制limphome模塊點(diǎn)亮近光燈，安全關(guān)斷路徑來(lái)關(guān)斷EPB制動(dòng)卡鉗驅(qū)動(dòng)電路，進(jìn)入安全狀態(tài)。且limphome電路不能干擾關(guān)斷EPB制動(dòng)卡鉗的驅(qū)動(dòng)電路。因此，需要設(shè)計(jì)獨(dú)立的limphome電路和安全關(guān)斷路徑電路，這兩個(gè)硬件電路失效亦不能引起近光燈和EPB功能失效。

軟件層面

需要從軟件架構(gòu)層面考慮不同ASIL等級(jí)的軟件共存問(wèn)題。近光燈軟件模塊是ASIL A(B)，EPB軟件模塊是ASIL D。

為了實(shí)現(xiàn)ASIL共存，可將近光燈和EPB軟件放在兩個(gè)獨(dú)立的鎖步核運(yùn)行，從時(shí)序和執(zhí)行 (Timing and execution)，內(nèi)存 (Memory)和信息交換 (Exchange of information)三個(gè)方面做到免于干擾。

同時(shí)，程序的時(shí)間和邏輯監(jiān)控是必要的，用于探測(cè)有缺陷的程序，監(jiān)控程序的表現(xiàn)和合理性。一般通過(guò)外部獨(dú)立的看門(mén)狗進(jìn)行程序流監(jiān)控，監(jiān)控軟件是否正確執(zhí)行，如程序未在指定的時(shí)間內(nèi)執(zhí)行，或者時(shí)鐘發(fā)生故障。

綜上，在區(qū)域架構(gòu)下，功能安全面臨更加復(fù)雜的架構(gòu)和多功能融合的挑戰(zhàn)，區(qū)域控制器需要相互協(xié)同，共同實(shí)現(xiàn)整車(chē)的功能安全目標(biāo)，提高功能安全開(kāi)發(fā)效率，從而降低功能安全開(kāi)發(fā)的成本。

歡迎轉(zhuǎn)載！

轉(zhuǎn)載須署名聯(lián)合電子并注明來(lái)自聯(lián)合電子微信??！

分享給朋友或朋友圈請(qǐng)隨意??！