ST VCU Solution----Part 3

火辣西米秀

ST VCU Solution----Part 3 [复制链接]

     ST VCU Solution--Part 1 描述了ST针对整车控制器的整体方案；Part 2 介绍了IDH基于ST VCU solution能够支持整个系统方案的开发；本文Part 3主要介绍IDH针对ST方案所做的功能安全方面的支持。

 

    相对于传统燃油车辆，电动汽车的动力系统大幅度向电子电气转换，电子电气系统出现失效的安全风险将进一步增加，其中VCU作为电动汽车的整车控制器，协调动力系统的各种功能和管理，以及和车身和其他部分交互，功能安全尤为重要。

 

Figure1 典型电动车动力系统组成图

 

01.VCU功能

 

    VCU的主要功能包括工作模式控制，高压电管理，驱动控制，系统器件控制，热管理，仪表信息显示，驾驶员辅助，故障管理，安全监控，防盗等：

• VCU工作模式控制：控制器唤醒控制（通过CAN或者硬线PIN）；充电和行车模式控制。

• 高压电管理：高压上下电管理；整车电力部件模式管理；交流充电和直流充电控制；高压附件管理与能量协调；高压系统故障管理与故障响应。

• 驱动控制：电子换挡杆处理与行驶方向控制；驾驶员需求解析和驱动力控制；制动能量回收；滑行控制；爬行控制；驾驶性滤波功能；跛行控制；驾驶模式控制。

• 系统器件控制：电子真空泵/加速踏板/制动踏板/车速信号解析与故障诊断。

• 热管理：风扇控制；冷却水泵控制；空调控制；PTC控制。

• 仪表信息显示：续驶里程估计；故障灯控制；档位；驾驶模式。

• 驾驶员辅助：定速巡航控制；自适应巡航控制；车速限制功能。

• 故障管理：故障记录、故障调度、故障响应；冻结帧；UDS功能。

• 安全监控：安全监控功能。

• 防盗功能

 

02.VCU安全风险和安全目标

 

对应上述VCU的功能并结合行业经验，举例列举部分安全风险：

• 车辆非期望的加速，减速；

• 车辆非期望的运动；

• 车辆减速失效；

• 高压电击；

• 燃烧爆炸。 

•  

根据上述的一些危险分析以及ASIL等级评估，VCU的一部分安全目标如下：

• VCU应该避免输出非期望的扭矩驱动，安全等级ASIL C；

• VCU在碰撞或其他条件下，要求其他部件高压下电，安全等级ASIL B；

• VCU在制动能量回收的过程中，应避免减速失效，安全等级ASIL C。

•  

03.VCU功能安全架构设计

 

    Figure2为VCU功能安全架构，包括了实现上述安全目标的设计要点：

Figure2 VCU功能安全架构

• 硬件设计整体满足ASIL C，核心IC按照ASIL D规格选择；

• 软件设计按照Autosar架构设计， 应用层、主要部件和协议中间件等运行在Core0Main中。安全架构分层设计，应用层一般由车厂设计（Level1功能层）；设计独立的安全层（Level2安全监控层）作为应用的安全调用接口，包括了功能监控和程序流检查；Level3处理器检查层，主要包括通过与外部看门狗验证MCU处于安全运行模式，进行监控；

• 外设输入输出信号的处理，单独由Core1外设核进行，相应处理满足ASIL C要求；

• MCU与位于U-Chip L9788中的外部智能看门狗，两者独立工作，且基于提问和应答的方式相互通信，当应答错误或超时，外部智能看门狗（L9788）的错误计数器会递增，当错误计数超过一定值，根据配置可以复位MCU；

• Analog BIST：针对各种监控的前置模拟自检机制，可以确保U-Chip L9788的各种诊断机制和监控机制有效运行；

• 针对关键的加速踏板，刹车踏板等部件的供电输出，信号采集和软件处理采用冗余的方法处理；具备供电失效检测机制，该功能在U-Chip L9788中集成，满足ASIL C要求；

• 针对输出控制，U-Chip L9788的HSD/LSD具备独立的诊断以及过流保护等功能，满足ASILC要求；

• 针对扭矩计算等关键模型，需要在应用层采用异构多模型的方式，进行互相验证Check，满足ASIL C要求；

• 针对安全输出关断机制，能够确保准确关闭输出级信号输出，并能够检测关断机制有效性；

• 针对存储器加入安全措施，包括完整的RAM/ROM检测，周期RAM/ROM检测，关键数据多重备份等。

04.VCU功能安全开发流程

 

    针对功能安全的诉求，结合VCU整车控制器的需求，功能安全的设计因素应该在VCU开发的每个流程进行体现。

Figure3 VCU功能开发流程

   

在确定功能安全目标后，可以开展自上而下的分析（FTA故障树分析），可以将FMEDA作为最底层的分析。

 

05.功能安全服务.

 

    ST意法半导体结合代理商文晔科技（WT Microelectronics）及第三方IDH上海革路电子科技有限公司（GELU），向客户提供VCU系统解决方案，包括功能安全的解决方案。功能安全部分输出物包括如下：

• 针对VCU的通用对象定义和危害分析；

• 针对VCU的功能安全风险分析和安全目标分解；

• 针对VCU的安全状态迁移和安全机制设计；

• 针对VCU的符合功能安全ASIL C的硬件参考设计；

• 针对硬件参考设计的ASIL C设计目标分解；

• 符合功能安全的U-Chip L9788的安全CDD驱动和Safety Component软件模块；

• 针对U-Chip L9788的CDD驱动的安全目标和安全分解；

• 针对U-Chip L9788的CDD驱动的安全验证方法和工具软件验证报告输出。

freebsder

vcu这行里好像st的不太常见啊。