覃艷 衛(wèi)文晉 紀(jì)小娟 叢聰

摘要：為將汽車電子、電氣系統(tǒng)失效的危害控制在可接受范圍內(nèi)，實(shí)現(xiàn)高壓共軌柴油發(fā)動(dòng)機(jī)控制器功能安全，按照ISO 26262的開發(fā)流程，圍繞發(fā)動(dòng)機(jī)控制器進(jìn)行相關(guān)項(xiàng)分析；通過危害分析和風(fēng)險(xiǎn)評估確定安全目標(biāo)預(yù)防非預(yù)期加速，其安全完整性等級(jí)為B級(jí)；通過功能安全概念分析確定功能安全需求為轉(zhuǎn)矩監(jiān)控；在技術(shù)安全概念階段，采用EGAS 3級(jí)監(jiān)控概念將轉(zhuǎn)矩監(jiān)控需求進(jìn)一步細(xì)化并實(shí)現(xiàn)安全完整性等級(jí)的分解；設(shè)計(jì)基于TC29x芯片的控制器功能安全實(shí)現(xiàn)方案。采用MATLAB/Simulink搭建策略模型，進(jìn)行故障注入測試。結(jié)果表明，該監(jiān)控策略能有效地識(shí)別輸入軸轉(zhuǎn)速過高的故障，并立即做出響應(yīng)，有效降低了人身傷害的風(fēng)險(xiǎn)。

關(guān)鍵詞：ISO 26262；高壓共軌柴油發(fā)動(dòng)機(jī)；轉(zhuǎn)矩監(jiān)控；TC29x

中圖分類號(hào)： U463.6文獻(xiàn)標(biāo)志碼：A文章編號(hào)：1673-6397（2023）01-0065-07

引用格式：覃艷，衛(wèi)文晉，紀(jì)小娟，等. 基于EGAS監(jiān)控概念的高壓共軌柴油機(jī)控制器功能安全實(shí)現(xiàn)［J］.內(nèi)燃機(jī)與動(dòng)力裝置，2023，40（1）：65-71.

QIN Yan，WEI Wenjin，JI Xiaojuan，et al. Functional safety implementation of highpressure common rail diesel engine control unit based on EGAS monitoring concept［J］.Internal Combustion Engine & Powerplant，2023，40（1）：65-71.

0引言

安全性是汽車研發(fā)過程的關(guān)鍵要素之一。由于高壓共軌柴油機(jī)電控系統(tǒng)的復(fù)雜性，各種傳感器和執(zhí)行器經(jīng)常處于高溫、強(qiáng)電磁干擾的惡劣工作環(huán)境中，可能出現(xiàn)由于控制器接收到錯(cuò)誤信號(hào)、軟件邏輯計(jì)算過程出現(xiàn)內(nèi)存崩潰或者指令執(zhí)行錯(cuò)誤而產(chǎn)生違背需求的控制信號(hào)等異常情況，這些異常情況在某些場景中會(huì)對人的生命安全造成危害[1]。為提高汽車電子、電氣產(chǎn)品功能安全，國際標(biāo)準(zhǔn)化組織（international organization for standardization，ISO）分別于2011年、2018年頒布了文獻(xiàn)[2-3]。文獻(xiàn)[3]主要定位于汽車的電氣器件、電子設(shè)備、可編程電子器件等部件，且不再僅限于文獻(xiàn)[2]規(guī)定的質(zhì)量為3.5 t以下的乘用車，將卡車、公共汽車、摩托車、重型乘用車、全掛車及半掛車也納入標(biāo)準(zhǔn)應(yīng)用范圍，新增摩托車危害分析和風(fēng)險(xiǎn)評估、半導(dǎo)體應(yīng)用指南等。

近年來，越來越多的整車廠開始重視功能安全，各大芯片廠商相繼為功能安全芯片推出了商業(yè)化的軟件包，如英飛凌公司為AURIX 系列單片機(jī)提供的功能安全測試庫SafeTlib，可簡化開發(fā)工作，加速功能安全產(chǎn)品化進(jìn)程[4-6]。

雖然文獻(xiàn)[3]為道路車輛功能安全的實(shí)現(xiàn)提供了一套完整的流程、方法論及技術(shù)指導(dǎo)，但由于該標(biāo)準(zhǔn)體系龐大、復(fù)雜，難以實(shí)施落地。奧迪、寶馬、戴姆勒、保時(shí)捷、大眾等公司共同撰寫發(fā)布了文獻(xiàn)[7]（簡稱為EGAS監(jiān)控概念），為發(fā)動(dòng)機(jī)電子控制單元（electronic control unit，ECU）等控制器的開發(fā)明確基本原則，提出開發(fā)指南。EGAS監(jiān)控概念涵蓋文獻(xiàn)[3]的相關(guān)項(xiàng)定義、危害分析和風(fēng)險(xiǎn)評估、功能安全概念及技術(shù)安全概念（technical safety concept，TSC），TSC中提出的3級(jí)監(jiān)控架構(gòu)已得到廣泛的認(rèn)可和應(yīng)用，是一種符合文獻(xiàn)[3]要求的功能安全技術(shù)解決方案，可用于發(fā)動(dòng)機(jī)控制器軟、硬件的設(shè)計(jì)開發(fā)。本文中依照文獻(xiàn)[3]的開發(fā)流程，探討EGAS監(jiān)控概念在高壓共軌柴油發(fā)動(dòng)機(jī)控制器多核芯片功能安全實(shí)現(xiàn)中的應(yīng)用。

1概念階段

1.1相關(guān)項(xiàng)定義

概念階段是后續(xù)功能安全開發(fā)活動(dòng)的基礎(chǔ)。功能安全概念設(shè)計(jì)的第一階段為相關(guān)項(xiàng)定義，該階段應(yīng)對整車層面的相關(guān)項(xiàng)進(jìn)行定義并描述其功能，圖1柴油機(jī)電控系統(tǒng)基本框圖此外還需描述某相關(guān)項(xiàng)與駕駛員、環(huán)境及其他相關(guān)項(xiàng)之間的依賴和交互接口[8]。對于配有高壓共軌柴油發(fā)動(dòng)機(jī)的乘用車，發(fā)動(dòng)機(jī)是車輛轉(zhuǎn)矩的唯一來源，直接與驅(qū)動(dòng)輪相連并由ECU控制，ECU結(jié)合當(dāng)前工況的發(fā)動(dòng)機(jī)轉(zhuǎn)速、共軌管壓力、燃油溫度等，將駕駛員的駕駛需求即加速踏板傳感器信號(hào)，經(jīng)過轉(zhuǎn)矩計(jì)算轉(zhuǎn)換為噴油量，ECU通過噴油器的加電時(shí)間控制噴油量。除加速踏板傳感器信號(hào)外，剎車、巡航控制開關(guān)、來自其他控制器的轉(zhuǎn)矩請求都影響最終需求的轉(zhuǎn)矩。柴油機(jī)電控系統(tǒng)基本框圖如圖1所示。

1.2危害分析和風(fēng)險(xiǎn)評估

相關(guān)項(xiàng)定義完成后，應(yīng)對引起相關(guān)項(xiàng)故障的危害事件進(jìn)行識(shí)別與分類，制定預(yù)防危害事件發(fā)生或減輕危害程度的安全目標(biāo)及其安全完整性等級(jí)（automotive safety integrity level，ASIL），這一過程稱為危害分析和風(fēng)險(xiǎn)評估[9]。

文獻(xiàn)[3]將ASIL分為QM、A、B、C、D 5個(gè)等級(jí)，QM指只需遵循標(biāo)準(zhǔn)的質(zhì)量管理（quality manage）流程，無需額外的安全措施。決定ASIL的3個(gè)要素分別為嚴(yán)重度SX、暴露率EY和可控性CZ，其中：X=0、1、2、3，S0為無傷害，S3為傷害程度最嚴(yán)重；Y=0、1、2、3、4，E0為幾乎不可能暴露于危險(xiǎn)中，E4為暴露于危險(xiǎn)的可能性極高；Z=0、1、2、3，C0為完全可控，C3為幾乎不可控。X、Y、Z中有一個(gè)為0或X+Y+Z＜7，則AISL為QM；X+Y+Z = 7、8、9、10時(shí)，ASIL分別為A、B、C、D。對于某一安全目標(biāo)，系統(tǒng)達(dá)到的ASIL等級(jí)越高，避免不合理風(fēng)險(xiǎn)的能力就越高。

基于相關(guān)項(xiàng)定義，采用EGAS監(jiān)控概念分析典型駕駛情景下的系統(tǒng)行為及其風(fēng)險(xiǎn)，確定系統(tǒng)安全目標(biāo)是：預(yù)防非預(yù)期加速，安全完整性等級(jí)為ASIL B。根據(jù)安全目標(biāo)，應(yīng)對非預(yù)期加速行為進(jìn)行檢測，并在適當(dāng)?shù)墓收先蒎e(cuò)時(shí)間內(nèi)使車輛進(jìn)入安全可控的狀態(tài)。

1.3功能安全概念

文獻(xiàn)[3]中從概念到軟件的安全需求分解過程如圖2所示。由圖2可知：安全目標(biāo)、功能安全需求、技術(shù)安全需求、系統(tǒng)級(jí)安全需求及軟/硬件安全需求共5個(gè)層級(jí)的需求共同確保安全需求的完整性、追溯性及可實(shí)現(xiàn)性。安全目標(biāo)是最頂層的安全需求。安全目標(biāo)確定后，需要在功能安全概念階段，結(jié)合初步的系統(tǒng)架構(gòu)設(shè)計(jì)，從安全目標(biāo)提取功能安全需求并分配給相關(guān)的子系統(tǒng)。功能安全需求是符合安全目標(biāo)的功能行為或降級(jí)的功能行為，包含相關(guān)故障的檢測和控制、為達(dá)到所需的故障容錯(cuò)時(shí)間或減輕故障的影響而采取的系統(tǒng)級(jí)策略或措施。

由于非預(yù)期加速只能由轉(zhuǎn)矩定義或?qū)崿F(xiàn)過程中的故障引起，即監(jiān)控駕駛轉(zhuǎn)矩，或者監(jiān)控車輛加速度，本文中選擇對駕駛轉(zhuǎn)矩進(jìn)行監(jiān)控[10]，為此，將安全需求分配給傳感器、執(zhí)行器和ECU。EGAS監(jiān)控概念中的安全框圖如圖3所示。采用雙踏板傳感器設(shè)計(jì)并對其信號(hào)路徑進(jìn)行物理隔離，利用兩路冗余的傳感器信號(hào)實(shí)現(xiàn)可信性校驗(yàn)；對執(zhí)行器執(zhí)行狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控；ECU檢測傳感器和執(zhí)行器的故障，并對基本功能進(jìn)行監(jiān)控。

1.4技術(shù)安全概念

技術(shù)安全概念階段將功能安全需求細(xì)化為具體的技術(shù)安全需求，即安全機(jī)制，并基于具體的系統(tǒng)架構(gòu)實(shí)現(xiàn)對技術(shù)安全需求的軟硬件分配[10]。

ASIL自上而下繼承，若不對其進(jìn)行分解，傳感器、執(zhí)行器、ECU都要按照ASIL B來開發(fā)。與基本功能相比，安全機(jī)制規(guī)模更小、復(fù)雜度更低，ASIL等級(jí)的分解有利于降低開發(fā)難度。ASIL分解應(yīng)遵循免干擾的原則（freedom from interference，F(xiàn)FI），安全機(jī)制與基本功能應(yīng)相互獨(dú)立，確保不存在共因失效；另外，ASIL的分解使得不同ASIL的功能并存于ECU中，應(yīng)確保不存在級(jí)聯(lián)失效，即基本功能和ECU硬件的錯(cuò)誤不影響安全機(jī)制。加入轉(zhuǎn)矩監(jiān)控這一安全機(jī)制后，安全機(jī)制和基本功能構(gòu)成冗余設(shè)計(jì)，共同滿足安全目標(biāo)，因此，“預(yù)防非預(yù)期加速”這一安全目標(biāo)等級(jí)ASIL B可分解為兩部分：原轉(zhuǎn)矩計(jì)算策略按照QM開發(fā)，記為QM（B）；轉(zhuǎn)矩監(jiān)控策略按照ASIL B開發(fā)，記為ASIL B（B）。

將冗余的安全機(jī)制分配給足夠獨(dú)立的系統(tǒng)，是滿足FFI要求的效率最高的分配方式。EGAS提出3級(jí)監(jiān)控概念，將不同ASIL的功能分解到3個(gè)不同的軟、硬件層級(jí)：Level2對Level1進(jìn)行監(jiān)控，確保Level1的基本功能正常；Level3對Level2的監(jiān)控確保Level2的監(jiān)控功能正常，另外，Level3還監(jiān)控芯片級(jí)的硬件故障并提供獨(dú)立的故障響應(yīng)。

至此，概念階段的活動(dòng)都得以有效實(shí)施，高壓共軌柴油機(jī)ECU的3級(jí)功能安全架構(gòu)得以確定：相關(guān)項(xiàng)定義識(shí)別出高壓共軌柴油機(jī)控制器的功能安全相關(guān)因素及其邊界；危害分析與風(fēng)險(xiǎn)評估得出了最頂層的安全需求，即安全目標(biāo)——預(yù)防非預(yù)期加速（ASIL B）；功能安全概念由安全目標(biāo)派生出轉(zhuǎn)矩監(jiān)控需求——對功能安全相關(guān)的核心控制功能轉(zhuǎn)矩計(jì)算進(jìn)行監(jiān)控；在技術(shù)安全概念階段，轉(zhuǎn)矩監(jiān)控需求進(jìn)一步細(xì)化并通過ASIL的分解來降低開發(fā)成本，提高需求的可實(shí)現(xiàn)性。轉(zhuǎn)矩監(jiān)控需求派生并細(xì)化自安全目標(biāo)，因此，實(shí)現(xiàn)了轉(zhuǎn)矩監(jiān)控需求，就實(shí)現(xiàn)了整個(gè)ECU的安全目標(biāo)。

2高壓共軌柴油機(jī)控制器轉(zhuǎn)矩監(jiān)控設(shè)計(jì)

2.1基于TC29x的EGAS 3級(jí)監(jiān)控概念

英飛凌的AURIX系列32位單片機(jī)專用于滿足汽車行業(yè)對ECU功能安全的要求。TC29x單片機(jī)共3個(gè)Tricore內(nèi)核，其中，主芯片CPU1帶鎖步核，且單片機(jī)自帶的硬件安全機(jī)制可以檢測不同的單點(diǎn)故障，極大減少工作量[6]。

基于TC29x的高壓共軌柴油機(jī)ECU轉(zhuǎn)矩監(jiān)控設(shè)計(jì)EGAS 3級(jí)監(jiān)控概念如圖4所示。

2.2功能級(jí)

Level1實(shí)現(xiàn)基本功能[QM（B）]，稱為功能級(jí)，位于主芯片CPU0上，包含需求轉(zhuǎn)矩的實(shí)現(xiàn)、傳感器信號(hào)的診斷和校驗(yàn)、傳感器故障反應(yīng)等發(fā)動(dòng)機(jī)控制功能。

對與安全相關(guān)的傳感器信號(hào)進(jìn)行診斷和信號(hào)范圍校驗(yàn)是最基本的要求。對軌壓信號(hào)進(jìn)行信號(hào)范圍校驗(yàn)及梯度診斷，若檢測到故障則使用設(shè)定值作為當(dāng)前軌壓信號(hào)的替代值跛行回家。而對雙路踏板傳感器信號(hào)，應(yīng)分別對其進(jìn)行信號(hào)范圍校驗(yàn)，當(dāng)其中一路信號(hào)范圍超上、下限時(shí)，采用另一路信號(hào)跛行回家；當(dāng)兩路信號(hào)的差值超限時(shí)，取兩路信號(hào)中的最小值跛行回家；當(dāng)已使用其中一路信號(hào)跛行回家而之后該路信號(hào)也檢測到超上、下限故障時(shí)，發(fā)動(dòng)機(jī)進(jìn)入怠速工況，檢測到傳感器供電故障也會(huì)觸發(fā)發(fā)動(dòng)機(jī)進(jìn)入怠速工況。

來自其他控制器的轉(zhuǎn)矩請求通常通過CAN線傳輸，應(yīng)加入循環(huán)冗余校驗(yàn)碼校驗(yàn)進(jìn)行數(shù)據(jù)保護(hù)，同時(shí)，ECU也應(yīng)對解析后的信號(hào)進(jìn)行可信性校驗(yàn)。

2.3功能監(jiān)控級(jí)

Level2為功能監(jiān)控級(jí)[ASIL B（B）]，位于主芯片CPU1上，對Level1的轉(zhuǎn)矩計(jì)算進(jìn)行監(jiān)控并在故障狀況下觸發(fā)系統(tǒng)反應(yīng)。轉(zhuǎn)矩監(jiān)控策略如圖5所示。Level1轉(zhuǎn)矩計(jì)算使用的輸入信號(hào)也是Level2的輸入，進(jìn)行需求轉(zhuǎn)矩冗余計(jì)算，計(jì)算結(jié)果與實(shí)際的發(fā)動(dòng)機(jī)轉(zhuǎn)矩進(jìn)行比較。實(shí)際發(fā)動(dòng)機(jī)轉(zhuǎn)矩采用測量所得的噴油提前角、噴油器加電時(shí)間、噴油次數(shù)，結(jié)合軌壓、發(fā)動(dòng)機(jī)轉(zhuǎn)速反向計(jì)算得到。若兩者不同，觸發(fā)獨(dú)立于Level1的故障反應(yīng)。如果Level2無法觸發(fā)獨(dú)立的故障反應(yīng)，則觸發(fā)Level1的故障反應(yīng)并對Level1的故障反應(yīng)進(jìn)行監(jiān)控，例如監(jiān)控發(fā)動(dòng)機(jī)轉(zhuǎn)速是否降至合理范圍等。

除轉(zhuǎn)矩監(jiān)控外，Level2還應(yīng)對Level1計(jì)算的噴油相關(guān)輸出參數(shù)進(jìn)行監(jiān)控，包括噴油提前角、噴油缸號(hào)及最大噴油次數(shù)，當(dāng)有參數(shù)不在有效范圍之內(nèi)時(shí)，說明Level1發(fā)生了故障。

當(dāng)前主流高壓共軌柴油機(jī)ECU大多采用智能電磁閥驅(qū)動(dòng)芯片來驅(qū)動(dòng)噴油器：主芯片控制噴油觸發(fā)信號(hào)，驅(qū)動(dòng)芯片根據(jù)配置參數(shù)調(diào)制驅(qū)動(dòng)電流并通過串行外圍設(shè)備接口（serial peripheral interface，SPI） 向主芯片實(shí)時(shí)報(bào)告診斷信息。Level1應(yīng)對診斷信息進(jìn)行處理，Level2應(yīng)測量噴油器的實(shí)際加電時(shí)間并與Level1設(shè)定值進(jìn)行比較，防止Level1中存放噴油驅(qū)動(dòng)參數(shù)的隨機(jī)存取存儲(chǔ)器（random access memory， RAM）發(fā)生位翻轉(zhuǎn)等錯(cuò)誤，或者參數(shù)向驅(qū)動(dòng)芯片傳遞過程中發(fā)生SPI傳輸錯(cuò)誤而導(dǎo)致噴油實(shí)際執(zhí)行與設(shè)定出現(xiàn)偏差。

2.4控制器監(jiān)控級(jí)

Level3為控制器監(jiān)控級(jí)（ASIL B（B）），位于主芯片CPU1和監(jiān)控芯片上，監(jiān)控芯片獨(dú)立于主芯片，通過與主芯片的問答通信測試控制器程序執(zhí)行的正確性，發(fā)生錯(cuò)誤以后，觸發(fā)獨(dú)立于主控制器的監(jiān)控系統(tǒng)反應(yīng)。

為檢測單點(diǎn)故障，主芯片TC29x需要激活并配置鎖步核、內(nèi)存測試、內(nèi)存保護(hù)等功能[4]。

1）鎖步核功能。根據(jù)EGAS監(jiān)控概念，鎖步核功能可替代指令集測試，對于帶有鎖步核功能的主芯片CPU1，校驗(yàn)核在物理上與主核獨(dú)立，較主核延遲2個(gè)時(shí)鐘周期且與主核執(zhí)行完全相同的指令，通過比較兩核的輸出檢查軟件錯(cuò)誤或其他瞬時(shí)錯(cuò)誤。

2）內(nèi)存測試功能。EGAS監(jiān)控概念要求在每個(gè)駕駛循環(huán)發(fā)動(dòng)機(jī)起動(dòng)前對整個(gè)只讀存儲(chǔ)器（readonly memory，ROM）進(jìn)行一次校驗(yàn)，而對Level2和Level3相關(guān)的ROM和RAM進(jìn)行周期性循環(huán)校驗(yàn)；TC29x的存儲(chǔ)器測試模塊配置內(nèi)存測試功能，自帶的錯(cuò)誤檢測和糾正模塊能自動(dòng)糾正1位的錯(cuò)誤并檢測2位的錯(cuò)誤。

3）內(nèi)存保護(hù)功能。由于不同ASIL的軟件模塊并存于ECU中，為實(shí)現(xiàn)FFI，為QM和ASIL B軟件模塊劃分不同的內(nèi)存空間，并通過內(nèi)存保護(hù)單元進(jìn)行配置，使不同ASIL的軟件模塊對各內(nèi)存空間具備不同的訪問權(quán)限，QM軟件模塊無法改變ASIL B軟件模塊的代碼和數(shù)據(jù)，而ASIL B模塊可訪問QM模塊，實(shí)現(xiàn)不同ASIL的軟件模塊的協(xié)同工作，降低故障級(jí)聯(lián)的概率。

4）時(shí)鐘監(jiān)控功能。時(shí)鐘監(jiān)控的目的是檢測并通知時(shí)鐘異常，TC29x的時(shí)鐘控制模塊最多可監(jiān)控6個(gè)時(shí)鐘源。

5）供電監(jiān)控功能。單片機(jī)內(nèi)部不同功能模塊的供電電壓源不同，TC29x的電源控制模塊提供對外部5 V、內(nèi)部3.3 V、內(nèi)部1.3 V供電等的過壓和欠壓監(jiān)控，供電監(jiān)控與時(shí)鐘監(jiān)控都是為了避免出現(xiàn)共因失效。

單片機(jī)所支持的監(jiān)控功能將檢測到的錯(cuò)誤傳輸給錯(cuò)誤收集和處理模塊SMU，SMU模塊將錯(cuò)誤通知ERR信號(hào)發(fā)送給外部監(jiān)控芯片，外部監(jiān)控芯片觸發(fā)獨(dú)立于主芯片的故障反應(yīng)，從而實(shí)現(xiàn)外部監(jiān)控芯片對主芯片的監(jiān)控。監(jiān)控芯片采用功能安全電源芯片TLF35xxx，除可實(shí)現(xiàn)對芯片自身供電輸入、供電輸出（單片機(jī)供電、通訊專用供電、2路5 V傳感器供電）的過壓、欠壓、對地短路故障監(jiān)控外，內(nèi)嵌的窗口狗和功能狗可實(shí)現(xiàn)對主芯片的實(shí)時(shí)監(jiān)控和程序流監(jiān)控（AUTOSAR中稱之為邏輯監(jiān)控）。

窗口狗將時(shí)間窗口分為開啟（open window，OW）和關(guān)閉（closed window，CW）2個(gè)階段，CW內(nèi)不允許喂狗，喂狗必須在OW結(jié)束前；喂狗使OW結(jié)束，CW開啟；若在OW內(nèi)無喂狗或在CW內(nèi)喂狗，則窗口狗錯(cuò)誤計(jì)數(shù)器會(huì)加2，并開啟一個(gè)新的OW；當(dāng)錯(cuò)誤計(jì)數(shù)器大于0時(shí)，正確的喂狗會(huì)使計(jì)數(shù)器減1。窗口狗不僅可以檢測實(shí)時(shí)任務(wù)是否超時(shí)，還可檢測任務(wù)執(zhí)行間隔是否過快或過慢。

功能狗即問答通信。TLF35xxx向主芯片提出一個(gè)4位的問題，同時(shí)啟動(dòng)一個(gè)從0開始計(jì)數(shù)的心跳計(jì)數(shù)器，主芯片的答案應(yīng)包含4個(gè)響應(yīng)，根據(jù)獲得的問題編號(hào)和響應(yīng)編號(hào)采用偽隨機(jī)算法實(shí)時(shí)計(jì)算所得，于心跳周期結(jié)束（EGAS認(rèn)為不能超過80 ms）前按順序?qū)?個(gè)響應(yīng)回復(fù)給TLF35xxx，即最后一個(gè)響應(yīng)復(fù)位心跳計(jì)數(shù)器。響應(yīng)錯(cuò)誤或心跳計(jì)數(shù)器超時(shí)，則功能狗錯(cuò)誤計(jì)數(shù)器加2。Level3對Level2的監(jiān)控程序進(jìn)行監(jiān)控，確保程序按照正確的時(shí)序執(zhí)行，監(jiān)控結(jié)果作為答案的一部分回復(fù)給監(jiān)控芯片，出現(xiàn)問題后監(jiān)控芯片可發(fā)起獨(dú)立于主芯片的故障反應(yīng)。

ERR信號(hào)、窗口狗和功能狗錯(cuò)誤都會(huì)觸發(fā)監(jiān)控芯片的安全狀態(tài)控制功能，TLF35xxx的安全狀態(tài)信號(hào)SS1/SS2拉低，與其關(guān)聯(lián)的安全相關(guān)驅(qū)動(dòng)隨之關(guān)閉，以保護(hù)系統(tǒng)。

基于EGAS監(jiān)控概念的高壓共軌柴油機(jī)控制器功能安全監(jiān)控為包含功能級(jí)、功能監(jiān)控級(jí)和控制器監(jiān)控級(jí)在內(nèi)的3級(jí)安全架構(gòu)，其每層級(jí)均涉及到硬件設(shè)計(jì)（包含芯片選型）和軟件邏輯，軟硬件共同配合滿足需求。該安全架構(gòu)合理精巧，具有較高的學(xué)習(xí)和應(yīng)用價(jià)值，其中硬件-Level3（控制器監(jiān)控級(jí)）可作為獨(dú)立于環(huán)境的安全要素應(yīng)用于其他場景中，如電機(jī)驅(qū)動(dòng)控制器等。

依照文獻(xiàn)[3]描述的各環(huán)節(jié)過程來評估產(chǎn)品的功能安全完善程度，評估交付產(chǎn)品的技術(shù)水平和工程化能力。采用MATLAB/Simulink搭建策略模型，進(jìn)行故障注入測試，驗(yàn)證系統(tǒng)設(shè)計(jì)、軟件設(shè)計(jì)與硬件設(shè)計(jì)有效性。測試結(jié)果表明，該監(jiān)控策略能有效地識(shí)別輸入軸轉(zhuǎn)速過高的故障，并在故障發(fā)生時(shí)立即做出響應(yīng)，有效降低了人身傷害的風(fēng)險(xiǎn)。

3結(jié)語

以工程項(xiàng)目為基礎(chǔ)，探討EGAS監(jiān)控概念在高壓共軌柴油發(fā)動(dòng)機(jī)控制器多核芯片功能安全實(shí)現(xiàn)中的應(yīng)用。針對避免輸入軸轉(zhuǎn)速過高的“預(yù)防非預(yù)期加速”安全目標(biāo)，采用3級(jí)監(jiān)控方法，通過危害分析和風(fēng)險(xiǎn)評估確定安全目標(biāo)預(yù)防非預(yù)期加速，其安全完整性等級(jí)為ASIL B；經(jīng)過功能安全概念分析確定功能安全需求為轉(zhuǎn)矩監(jiān)控；在技術(shù)安全概念階段，采用EGAS 3級(jí)監(jiān)控概念將轉(zhuǎn)矩監(jiān)控需求進(jìn)一步細(xì)化并實(shí)現(xiàn)ASIL等級(jí)的分解；設(shè)計(jì)基于TC29x芯片的實(shí)現(xiàn)控制器功能安全實(shí)現(xiàn)方案。該設(shè)計(jì)解決了系統(tǒng)復(fù)雜化帶來的由電氣、電子系統(tǒng)故障導(dǎo)致的風(fēng)險(xiǎn)越來越高這一問題，提高了電控系統(tǒng)的安全性和可靠性。

隨著汽車行業(yè)智能駕駛技術(shù)的爆炸式發(fā)展，人們發(fā)現(xiàn)危害通常源自復(fù)雜系統(tǒng)和場景導(dǎo)致的非預(yù)期安全問題，因此在功能安全之外又出現(xiàn)了預(yù)期功能安全，另外，智能駕駛帶來的信息安全問題也日益凸顯。功能安全、預(yù)期功能安全與信息安全不是相互獨(dú)立的，三者融合必然會(huì)成為新的趨勢，整車廠和供應(yīng)商需要建立起一套完整的安全體系，才能提供給用戶安全可靠的產(chǎn)品。

參考文獻(xiàn)：

[1]榮芩，吳曉東，許敏.基于ISO標(biāo)準(zhǔn)的道路車輛線控轉(zhuǎn)向系統(tǒng)的功能安全概念設(shè)計(jì)[J].汽車安全與節(jié)能學(xué)報(bào)，2018，9（3）： 250-257.

[2]International Organization for Standardization. Road vehicles： Functional safety：ISO 26262—2011[S].Geneva， Switzerland： ISO， 2011.

[3]International Organization for Standardization. Road vehicles： Functional safety： ISO 26262—2018[S].2nd ed. Geneva， Switzerland： ISO， 2018.

[4]王俊明，周宏偉.基于ISO 26262的車道保持輔助的功能安全概念設(shè)計(jì)[J].重慶交通大學(xué)學(xué)報(bào)（自然科學(xué)版），2019，38（3）： 135-142.

[5]MISHRA A， BAUMEISTER M.MCU實(shí)現(xiàn)汽車功能安全合規(guī)性[J].電子產(chǎn)品世界，2013，20（3）：22-24.

[6]Infineon Technologies AG. User′s Manual of TC29x Bstep 32bit Singlechip Microcontroller[M].V1.2. Munich， Germany： Infineon Technologies AG， 2014.

[7]EGAS Workgroup. Standardized EGAS Monitoring Concept for Gasoline and Diesel Engine Control Units[S].Version 6.0. Frankfurt， Germany： EGAS Workgroup， 2015.

[8]董濤，朱元，吳志紅，等.基于AURIX SafeTlib的功能安全軟件實(shí)現(xiàn)[J].信息通信，2017，177（9）：57-59.

[9]劉法旺，李艷文.自動(dòng)駕駛系統(tǒng)功能安全與預(yù)期功能安全研究[J].工業(yè)技術(shù)創(chuàng)新，2021，8（3）：62-68.

[10]吳靜波，盧耀真，李明明，等.基于ISO 26262的新能源汽車轉(zhuǎn)矩監(jiān)控策略研究[J].現(xiàn)代電子技術(shù)，2021，44（11）：87-92.

[11]李俊杰. EM-CVT的功能安全性分析與控制軟件實(shí)現(xiàn)[D].重慶：重慶理工大學(xué)，2020.