隨著整車電子電氣架構的發展，功能域控架構向整車集中式區域控制演進。新的區域控制架構下，車身控制模塊(BCM)，整車控制單元（VCU），熱管理系統（TMS）和動力底盤等功能等原本獨立的功能域整合到新的區域控制器。同時，區域控制器也集成了二級智能配電功能，真正形成了Power HUB, IO HUB, Data HUB。

整車區域架構

新EEA架構下，功能安全也隨之有了新的變化。原來多個不同的控制器來實現整車功能，功能安全目標也是以獨立的控制器為主體，結合控制器間的信號交互來共同實現。整車區域架構下，同一個區域控制器中集成車身，動力，底盤控制等功能，有ASIL A/B/C/D四種安全等級安全目標同時出現的情況。這些不同安全目標的實現模塊共享控制器的內部軟硬件資源，如電源模塊，MCU模塊和安全關斷路徑等。

不同功能域對于故障時的響應各有差異。車身類功能安全考慮到系統的魯棒性，控制器故障后一般進入limphome（跛行）模式；而EPB功能安全等級高，當外部獨立看門狗檢測到MCU故障，或MCU內部安全監控模塊檢測到故障，即進入安全狀態。

以近光燈和EPB功能為例淺談區域控制器功能安全設計的一些思考。

從整車安全目標來看，近光燈應避免在行車過程中非預期熄滅，當控制器內部失效后，需要在故障容忍時間間隔（FTTI）內點亮近光燈；EPB最高等級的安全目標應避免在行車過程中非預期的鎖死制動卡鉗，當控制器內部失效后，需要在FTTI內釋放制動卡鉗。

系統層面

一方面為了整車的安全性，兼顧系統的魯棒性，需要收集整車端不同功能和ASIL等級的安全目標，需要考慮不同ASIL等級對于故障的響應，以及對于故障后進入安全狀態的可接受度；另一方面從系統架構上進行安全分析，確認安全目標是否可進行ASIL等級分解。

通過合理的功能分配，將左右近光燈布置在兩個相互獨立的區域控制器中。當某一個控制器內部MCU故障，進入limp home模式點亮近光燈；且當某一個控制器完全失效，另外一個控制器還可以保證其近光燈可以正常點亮，這樣近光燈的安全等級分解為ASIL A(B)。

EPB比較特殊，一般分配在兩個相互獨立的區域控制器中，由于任意一個控制模塊鎖死了制動卡鉗都會違反安全目標，故其最高ASIL D的安全等級不可分解。當控制器出現故障時，通過安全關斷路徑來釋放卡鉗驅動電機，進入安全狀態。

近光燈和EPB功能安全等級

硬件層面

為了保證區域控制器可以實現最高等級的安全目標，內部共用的硬件模塊需要按最高安全等級去開發，如MCU模塊，邏輯電源供電模塊等。控制器內部低安全等級的功能模塊不能影響高安全等級的硬件模塊，需要進行相關失效分析，分析不同安全目標共用的電路模塊，是否存在共因和級聯失效。

當MCU失效后，近光燈和EPB功能不受控。此時，需要安全機制limphome模塊點亮近光燈，安全關斷路徑來關斷EPB制動卡鉗驅動電路，進入安全狀態。且limphome電路不能干擾關斷EPB制動卡鉗的驅動電路。因此，需要設計獨立的limphome電路和安全關斷路徑電路，這兩個硬件電路失效亦不能引起近光燈和EPB功能失效。

軟件層面

需要從軟件架構層面考慮不同ASIL等級的軟件共存問題。近光燈軟件模塊是ASIL A(B)，EPB軟件模塊是ASIL D。

為了實現ASIL共存，可將近光燈和EPB軟件放在兩個獨立的鎖步核運行，從時序和執行 (Timing and execution)，內存 (Memory)和信息交換 (Exchange of information)三個方面做到免于干擾。

同時，程序的時間和邏輯監控是必要的，用于探測有缺陷的程序，監控程序的表現和合理性。一般通過外部獨立的看門狗進行程序流監控，監控軟件是否正確執行，如程序未在指定的時間內執行，或者時鐘發生故障。

綜上，在區域架構下，功能安全面臨更加復雜的架構和多功能融合的挑戰，區域控制器需要相互協同，共同實現整車的功能安全目標，提高功能安全開發效率，從而降低功能安全開發的成本。

歡迎轉載！

轉載須署名聯合電子并注明來自聯合電子微信！！

分享給朋友或朋友圈請隨意！！