基于功能安全的整车控制器转矩监控策略研究

doi:10.19562/j.chinasae.qcgc.2024.03.007

摘要/Abstract

摘要：

转矩控制作为整车控制器（VCU）的核心功能，保证其安全性至关重要。为此，本文针对VCU非预期的转矩输出异常的问题，参考ISO 26262标准开展功能安全分析，并提出一种基于EGAS架构的转矩控制3层监控策略。首先，以VCU相关项定义为基础，通过危害分析与风险评估确定汽车安全完整性等级以及安全目标。其次，采用故障树分析方法导出功能安全要求以及技术安全要求。再次，针对安全目标，设计了基于AURIX TC275三核主控芯片与TLF35584电源监控芯片的功能安全机制。此外，通过3层监控策略分配CPU资源，实现转矩控制基本功能与监控功能的分离。最后，进行处理器在环测试，包括UDE调试、UDS诊断以及TLF35584安全状态控制测试。结果表明：该3层监控策略能够实现VCU转矩控制的基本功能并在出现故障时及时进入安全状态，从而达到安全目标。

关键词: 功能安全, 整车控制器, 转矩控制, 3层监控

Abstract:

Torque control is the core function of the vehicle control unit （VCU）， which is crucial to ensure its safety. Therefore， for the problem of unexpected torque output anomalies in VCU， functional safety analysis is conducted in this paper based on the ISO 26262 standards， and a torque control three-layer monitoring strategy is proposed based on the EGAS architecture. Firstly， based on the definition of VCU items， the level of automotive safety integrity and safety objectives are determined through hazard analysis and risk assessment. Secondly， the fault tree analysis method is used to derive functional safety requirements and technical safety requirements. Once again， a functional safety mechanism based on the AURIX TC275 three-core main control chip and TLF35584 power monitoring chip is designed for safety objectives. In addition， CPU resources are allocated through a three-layer monitoring strategy to achieve the separation of basic torque control functions and monitoring functions. Finally， processor in loop testing is conducted， including UDE debugging， UDS diagnosis， and TLF35584 security state control testing. The results indicate that this three-layer monitoring strategy can achieve the basic function of VCU torque control and enter a safe state in a timely manner in case of faults， thereby achieving safety goals.

Key words: functional safety, vehicle control unit, torque control, three level monitoring

朱仲文,陆阳,王维志,李丞,江维海. 基于功能安全的整车控制器转矩监控策略研究[J]. 汽车工程, 2024, 46(3): 438-447.

Zhongwen Zhu,Yang Lu,Weizhi Wang,Cheng Li,Weihai Jiang. Research on Torque Monitoring Strategy of Vehicle Control Unit Based on Functional Safety[J]. Automotive Engineering, 2024, 46(3): 438-447.

图/表 16

图1

图2

表1

图3

表2

表3

图4

表4

表5

图5

图6

图7

图8

图9

图10

图11

参考文献 16

1	邵文博，李骏，张玉新，等. 智能汽车预期功能安全保障关键技术［J］. 汽车工程， 2022， 44（9）： 1289-1304.
	SHAO Wenbo， LI Jun， ZHANG Yuxin，et al. Key technologies to ensure the safety of the intended functionality for intelligent vehicles［J］. Automotive Engineering， 2022， 44（9）： 1289-1304.
2	Road vehicles-functional safety： ISO 26262：2011［S］. International Organization for Standardization， first edition. 2011.
3	Road vehicles-functional safety： ISO 26262：2018［S］. International Organization for Standardization， second edition. 2018.
4	EGAS Workgroup. Standardized EGAS monitoring concept for gasoline and diesel engine control units. version 6.0［S］.2015.
5	SASETECH. 汽车功能安全白皮书［M］. 2023.
	SASETECH.White paper on automobile functional safety［M］.2013.
6	熊再辉. 基于功能安全的插混汽车整车控制器开发与实现［D］.合肥：合肥工业大学， 2021.
	XIONG Zaihui. Development and implementation of a plug in hybrid vehicle controller based on functional safety ［D］. Hefei ：Hefei University of Technology， 2021.
7	吴凯. 面向功能安全ECU监控系统的设计与实现［D］.成都：电子科技大学，2015.
	WU Kai. Design and implementation of functional safety ecu monitoring system ［D］. Chengdu：University of Electronic Science and Technology， 2015.
8	吴静波，卢耀真，李明明，等.基于ISO26262的新能源汽车转矩监控策略研究［J］.现代电子技术，2021，44（11）：87-92.
	WU Jingbo， LU Yaozhen， LI Mingming， et al. Research on torque monitoring strategy for new energy vehicles based on ISO26262［J］.Modern Electronic Technology， 2021，44（11）：87-92.
9	SAE J2980.Considerations for ISO 26262 ASIL hazard classification［S］. SAE International， 2018.
10	王炜. 基于功能安全的电动汽车整车控制器开发与实现［D］. 长沙：湖南大学，2018.
	WANG Wei.Development and implementation of electric vehicle controller based on functional safety［D］.Changsha：Hunan University，2018.
11	GROßMANN M， HIRZ M， FABIAN J. Efficient application of multi-core processors as substitute of the EGAS （Etc） monitoring concept ［C］.2016 SAI Computing Conference （SAI）. IEEE， 2016： 913-918.
12	Infineon Technologies. AURIX TC27x D-Step 32-bit single-chip microcontroller user’s manual ［Datasheet］［M］.V2.2， 2014.12.
13	Infineon Technologies.TLF35584 multi voltage safety micro processor supply［Datasheet］［M］. V2.0， 2017.03.16.
14	张佳骥，李强，王彦波，等.基于ISO 26262的纯电动公交车VCU安全分析与设计［J］.汽车电器，2019（10）：13-16.
	ZHANG Jiaji， LI Qiang， WANG Yanbo， et al. Safety analysis and design of pure electric bus VCU based on ISO 26262［J］.Auto Electric Parts， 2019（10）：13-16.
15	Road vehicles-unified diagnostic services （UDS）-part 1： application layer：ISO14229-1［S］.2020.
16	Road vehicle-communication between vehicle and external equipment for emissions-related diagnostics-part6： diagnostic trouble code definitions：ISO15031-6［S］.2015.

整车层面危害	运行场景	危害后果	S	E	C	ASIL
非预期的车辆加速	城市道路、低速、前方有行人	车辆突然加速后与前方行人碰撞	2	4	3	C
非预期的车辆加速	高速公路、高速、前方有车辆	车辆突然加速后与前方车辆碰撞	3	3	3	C
非预期的车辆加速丢失	高速公路、超车、周围有车辆	车辆突然加速丢失，与被超车辆侧面碰撞	3	3	3	C
非预期的车辆加速丢失	城市道路、低速、后方有车辆	车辆突然加速丢失，与后方车辆追尾	1	4	3	B
非预期的车辆减速	城市道路、中速、后方有车辆	车辆突然减速后与后方车辆追尾	2	4	2	B
非预期的车辆减速	高速公路、高速、后方有车辆	车辆突然减速后与后方车辆追尾	3	3	3	C
非预期的车辆减速丢失	城市道路、低速、前方有行人	车辆无法制动导致与前方行人碰撞	2	4	3	C
非预期的车辆减速丢失	高速公路、高速、前方有车辆	车辆无法制动导致与前方车辆碰撞	3	3	3	C

FSR编号	安全目标	功能安全要求	分配组件	ASIL
FSR-01	避免VCU非预期的转矩输出异常	能检测加速踏板传感器信号的准确性与合理性	加速踏板传感器	C
FSR-02		能检测制动踏板传感器信号的准确性与合理性	制动踏板传感器	C
FSR-03		能检测微控制器的内核和内存情况，当存在异常状态时做出反应	VCU	C
FSR-04		可诊断输入踏板信号的准确性与合理性		C
FSR-05		可诊断发送给电机控制器的目标转矩的准确性与合理性		C
FSR-06		可诊断电机反馈的实际转矩的准确性与合理性		C
FSR-07		实施独立并且带有监控功能的电源芯片来监控主芯片的功能	电源芯片	C

FSR编号	TSR编号	技术安全要求	ASIL 等级	类型分配
FSR-01	TSR-01	设计两路加速踏板传感器信号	C	硬件
FSR-02	TSR-02	设计两路制动踏板传感器信号	C	硬件
FSR-03	TSR-03	实施程序流检查和内存测试	C	软件
FSR-04	TSR-04	VCU采集两路加速踏板信号得到的ADC值应分配在两个ADC通道中	C	硬件/软件
FSR-04	TSR-05	VCU采集两路制动踏板信号得到的ADC值应分配在两个ADC通道中	C	硬件/软件
FSR-05、FSR-06	TSR-06	应确保实际输出转矩与目标转矩的差值在5%以内	C	软件
FSR-07	TSR-07	监控VCU的供电电压	C	软件
FSR-07	TSR-08	监控看门狗运行情况，VCU应在规定的时间内喂狗	C	软件

差值	故障等级与限速	故障响应
<5%	无故障（限速140 km/h）	正常运行
5%-10%	3级故障（限速80 km/h）	发出警报通知驾驶员，对车辆限速并且VCU尝试复位
10%-20%	2级故障（限速30 km/h）	发出警报通知驾驶员，对车辆限速并且VCU尝试复位
≥20%	1级故障（限速0 km/h）	发出警报通知驾驶员，VCU中断转矩输出并且控制车辆停车

Alarm编号	层级与模块	Alarm	安全机制	触发模块
Alarm-01	Level 1	冗余的加速或制动信号不可信	软件监控	软件
Alarm-02	Level 2（关断路径测试）	当Level 2向外部控制模块输出关断信号时没有成功关断		软件
Alarm-03	Level 2（转矩对比校验）	电机实际输出转矩与VCU发送的目标转矩的差值超过5%		软件
Alarm-04	Level 2（程序流检查）	Level 2中有软件模块没有按照程序逻辑正确运行		软件
Alarm-05	Level 3（关断路径测试）	当Level 3向外部控制模块输出关断信号时没有成功关断		软件
Alarm-06	Level 3（A/D转换测试）	踏板传感器输入的模拟信号值转换为数字信号值误差过大		软件
Alarm-07	Level 3（内存测试）	SRAM寻址错误	SRAM监控	硬件
Alarm-08		SRAM地址缓存区溢出		硬件
Alarm-09		SRAM单个位错误		硬件
Alarm-10		PFLASH寻址错误	PLASH监控	硬件
Alarm-11		PFLASH地址缓存区溢出		硬件
Alarm-12		PFLASH单个位错误		硬件