快速符合ISO26262产品认证——动力域L2监控方案精华分享

一、VCU应用层监控方案的ISO26262背景

“软件定义汽车”趋势下，更多汽车软件问题与消费者生命安全密切相关。而汽车行业ISO 26262《道路车辆功能安全》是一个国际安全标准，对安装在量产道路车辆上的电气、电子系统的功能安全进行了约束和规定，避免对人身的伤害。

ISO 26262标准将汽车“功能安全（FuSa）”定义为“不存在因电气和电子系统故障所导致的不合理风险”。功能安全问题不是单纯的硬件系统问题，也不是单纯的软件系统问题，它是一个系统性问题，涉及硬件系统和软件系统两方面的具体操作和流程。在功能安全的开发过程中，所有活动的目的都是为了实现概念阶段经过HARA分析后导出的安全目标（SG），对原有的功能系统进行监控，避免由于E/E系统失效而违反安全目标。

VCU（整车控制器）的SG ，包括避免扭矩输出过大、避免扭矩输出反向等, 大多与扭矩相关。实现VCU的SG，在软件中实现VCU应用层监控的核心，也聚焦在了输出扭矩的监控。就此本文将通过VCU L2应用层监控方案，讲解如何利用扭矩监控来实现功能安全要求。

二、基于E-Gas标准的监控方案参考

上世纪90年代，电子节气门系统逐步在量产车上得到应用，成为汽油发动机控制系统的核心，由此掀起了汽车电气化控制的浪潮。

与电控系统一并到来的，是人们对电子产品的可靠性的普遍担心，因此几大国际公司联合起草制定了针对发动机的ECU软件架构E-Gas，其中的三层软件架构概念已经得到世界各大OEM和Tier1认可和广泛应用。

E-Gas三层架构图

• Level 1：功能层

计算并执行发动机扭矩、组件监控、输入/输出变量诊断及检测到故障时控制系统反应

• Level 2：功能监控层

监控L1软件功能故障，比如监控计算的扭矩值或车辆加速度；发生故障时，触发系统响应

• Level 3：控制器监控层

功能控制的独立部分，在问答过程中检测程序执行的正确性

功能安全在L1功能层的基础上，开发完成L2和L3部分工作，本文主要介绍L2应用层监控方案。

三、VCU L2应用层监控方案

在功能安全的整个流程中，包括概念阶段、系统阶段、硬件阶段、软件阶段和支持过程，而L2应用层监控方案的开发主要在软件阶段实现。

功能安全开发流程

VCU在进行扭矩管理时，根据司机要求、车辆状态等工况，合理控制电机的工作状态及功率输出，满足驾驶工况要求。包括加减速、恒速、制动和后退的工况。具体的扭矩管理功能如下：

① 对驾驶员需求扭矩进行解析，识别工况和计算驾驶员扭矩

② 进行扭矩仲裁，协调其他ECU的请求扭矩

③ 进行扭矩限制，保证零部件安全

④ 进行扭矩滤波，提高驾驶舒适性

四、VCU L2应用层监控内容

• 输入信号监控

L2监控安全相关输入信号，并进行故障判断和处理，包括踏板、开关硬线信号及电机转速、车速、挡位、ESC请求等CAN信号。比如：加速踏板信号监控—

加速踏板信号监控与故障处理

• 扭矩监控

L2对各种模式下的扭矩进行解析，对L1计算的扭矩进行监控，并最终进行扭矩仲裁。L2层根据车辆状态判断当前驾驶工况，监控L1计算出的扭矩方向正确性。比如：方向性监控—

方向性监控流程示意图

比如：绝对量监控-- L2通过扭矩的解析和计算，监控L1计算的MCU目标扭矩是否出现异常偏差，避免非预期加减速(比如：由SG/HARA分析得到的量化值减速度-2m/s²)，绝对量监控分两部分，分别是同步前扭矩监控和同步后滤波扭矩监控：

① L2通过输入计算驾驶员需求扭矩Tor_L2，若L1计算的驾驶员需求扭矩Tor_L1在Tor_L2加一个安全范围内，则同步前扭矩监控无异常；通过同步前的比较实现较为宽泛的监控，这时只要L2的误差不是特别大，那么L1违背安全目标的非预期加速都能在此时的比较中被监测到

② 在同步前的比较无故障的前提下，对扭矩进行同步，消除L2扭矩计算的容差，提高监控的精度和准确性、鲁棒性。再通过滤波对扭矩变化趋势做了限定，此时去监控L1的滤波扭矩，可以实现更精准的监控

具体滤波同步的解决方案，可联系经纬恒润进一步沟通。

绝对量监控流程示意图

• 扭矩仲裁

通过仲裁条件，决定VCU扭矩监控模块的输出。若监控无故障，则L1扭矩正常输出；若监控有故障，则进入对应的跛行模式，对输出扭矩进行限制：

① 根据双路加速踏板信号和车速信号监控结果判断进入何种模式，再根据对应的跛行模式的故障处理方式，判定L2计算的扭矩结果

② 得到L2计算的扭矩结果后，对L1输出的扭矩进行监控，若出现方向性故障，则直接进入安全模式，关断扭矩输出，若出现绝对量监控故障，则根据差值阈值进入相应的跛行模式，对扭矩输出进行降级处理

信号监控对应模式

扭矩监控对应模式

不同模式（Mode）下的故障处理方式

根据以上结果，L2进行扭矩仲裁，若无故障则输出L1请求扭矩，若有故障则按对应方式进行故障处理。

L2扭矩仲裁

采用L2应用层监控方案收益：

① 对功能开发维护：通过E-Gas架构实现在L1功能层的基础上增加L2功能监控层，实现功能安全功能与原有预期功能的解耦，避免对原预期功能的全生命周期破坏介入式的影响、所有功能的全新开发测试。只需要开发独立的L2功能补丁，并进行补丁部分的安全功能验证，减少大量全功能的开发修改及功能安全测试工作量

② 对功能平台化拓展：方便L1层、L2层功能的移植和拓展，以及平台化和模块化建设。采用L2监控并设计相应的降级策略，在不降低用户使用体验和可用性的基础上，提高安全性，并且可以再持续维护优化降级策略

五、项目实施应用

在某自主动力域控制器项目中，经纬恒润助力用户实现ASILC等级的VCU产品功能安全开发并且拿到认证公司的认证。

• 用户现状

① 已实现自主动力域控制器的所有功能（QM），完成实车测试。前期开发、测试投入大量的人力、物力、时间等

② 为满足市场、OEM要求，对产品升级达到 ISO26262产品认证要求

• 项目要求

① 经纬恒润需提供ISO26262功能安全方案，负责软件中安全相关部分开发验证，尽量避免软件做大量调整，减少原有功能的修改、测试工作；在满足功能安全的情况，选择可以缩短工期的实施方案

② 该项目为量产项目，因此功能安全的实现需考量软件的可用性和用户的使用体验；经纬恒润需支持从监控组件开发到整车测试阶段安全相关阈值标定的工作

• 项目成果

该项目参考E-Gas标准、符合AUTOSAR架构规范，采用L2应用层监控策略及解决方案，对其原有功能（L1）的监控，实现了对应的安全目标（ASILC）。

经纬恒润帮助用户提出恰当的安全监控策略、完成L2相关功能的开发、单元与集成测试，同时，在安全监控方案中考虑合理降级策略，平衡可用性&安全性。

L1-L2总体架构图

L2监控层