VCU系统功能安全概念阶段的开发

1.概述整车控制器VCU（Vehicle control unit）作为新能源车中央控制单元，是整个控制系统的核心。

VCU 采集电机及电池状态、加速踏板信号、制动踏板信号及其它执行器传感器控制器信号，根据驾驶员的驾驶意图综合分析并做出相应判定后，监控下层的各部件控制器的动作，它负责汽车的正常行驶、制动能量回馈、整车发动机及动力电池的能量管理、网络管理、故障诊断及处理、车辆状态监控等，从而保证整车在较好的动力性、较高经济性及可靠性状态下正常稳定的工作。

可以说整车控制器性能的优劣直接决定了新能源汽车整车性能的好坏，起到了中流砥柱的作用。

2.发展过程整车控制器可谓是起源于传统汽车，落地于新能源汽车。

传统汽车包含发动机控制器、变速箱控制器、车身控制器、底盘控制器等，各控制器是由不同的Tier1 提供，为解决各自零部件的功能及性能指标而定制设计。

比如EMS 是解决发动机燃油经济性、排放法规及热处理等。

变速箱是解决操作杆与齿轮动作的相互协调及切换。

各自独立控制车辆某一部分，无法总体考虑整车性能与功能需求。

因此部分OEM 为了实现整车定制功能、个性化设计、摆脱国外Tier1高昂的开发费及开发周期，有了整车控制器最初的概念设想。

由于国内电控技术起步晚，OEM对国外Tier1的控制力不足，直到新能汽车快速发展，混合动力迫切需要解决燃油动力系统与电池动力系统之间的有效协调，纯电动车需要解决整车动力管理，因此明确了整车控制器的概念及功能定义，奠定了VCU 获得的高速发展的基础。

传统汽车E／E 架构传统汽车E／E 架构行业分析新能源起步阶段，大概在2012－2015年诞生了第一代VCU产品。

技术来源于传统汽车电控ECU，以发动机控制器及车身控制器为主要技术来源。

行业典型产品有德尔福的HCU－2、联电的VCU、大陆的H300及普华第一代VCU－1。

VCU－1 是普华软件与国内知名OEM 合作开发，采用主从的硬件解决方案，AUTOSAR3．1．5软件平台，是国内最早自主AUTOSAR 软硬一体化的VCU 解决方案。

C语言中的安全开发生命周期和安全测试流程随着信息技术的发展，软件应用程序的安全性日益受到重视。

在软件开发过程中，保证软件的安全性是至关重要的。

特别是对于使用C语言编写的软件来说，由于其底层操作和内存管理的特性，更需要进行安全开发生命周期和安全测试流程的规范。

一、安全开发生命周期1.需求分析阶段在需求分析阶段，开发人员应该明确软件的安全性需求和功能需求，并将其作为核心考虑因素。

需求分析人员需要明确软件的安全目标、威胁模型和风险评估。

2.设计阶段在设计阶段，开发人员应该采用安全设计原则，例如最小权限原则、分层原则和防御性编程等。

同时，开发人员应该确定安全功能的设计策略，如认证、授权和加密等。

3.编码阶段在编码阶段，开发人员应该编写结构合理、安全可靠的代码。

正确认识和使用C语言提供的安全特性和API，如内存管理函数、安全字符串函数等。

避免使用不安全的函数和操作符，如strcpy和无符号数溢出等。

在测试阶段，开发人员应该进行安全代码审查和静态代码分析，以发现和修复潜在的安全问题。

同时，进行功能性测试和安全性测试，验证软件在各种情况下的安全性和可靠性。

5.部署阶段在部署阶段，开发人员应该采用安全的软件部署策略，如使用数字签名、文件完整性校验等手段，确保软件在传输和安装过程中的安全性。

6.维护阶段在维护阶段，持续对软件进行安全漏洞修复和补丁更新。

及时响应用户的安全反馈和问题报告，确保软件的安全性和稳定性。

二、安全测试流程1.静态分析测试静态分析测试是通过对源代码进行审查、分析和测试，检测出潜在的安全问题。

例如，使用静态代码分析工具对程序进行扫描，查找不安全的代码和漏洞。

2.黑盒测试黑盒测试是在不了解内部实现的情况下，通过输入各种恶意数据和非预期情况，来测试软件的安全性。

例如，输入SQL注入、缓冲区溢出等恶意数据，验证软件的安全性和鲁棒性。

白盒测试是在了解内部实现的情况下，通过对软件的代码、变量和逻辑进行测试，检查潜在的安全漏洞和隐患。

新能源汽车VCU诊断软件系统开发【摘要】新能源汽车不断发展，逐渐改变了汽车电子领域，汽车电子系统也越来越复杂，日益增加了电控元器件。

改革创新汽车电子之后，逐渐实现汽车软件开发平台化和标准化。

通过开发汽车VCU（整车控制器），需要诊断监控更多的电子控制单元，提高车辆运行过程的舒适性和安全性。

本文主要研究了新能源汽车VCU诊断软件系统，深入研究了汽车诊断功能软件和平台化软件开放式架构等。

关键词：新能源汽车；VCU；功能安全；诊断我国不断发展智能化新能源汽车技术，显著改变了汽车电子领域，在汽车电子系统中开始广泛利用各种电控元器件。

为了降低开发成本，开发整车控制器软件平台化的过程中，需要遵循标准化的体系结构。

很多电控元器件的总线负载率比较高，而且会增大功能安全失效性。

在汽车行业发展过程中，逐渐提高了整车功能安全需求。

在汽车系统中，整车控制器发挥着重要的作用，需要遵循相关规范设计诊断系统，避免发生车辆失效问题，保障工作功能的安全性和可靠性。

一、分析新能源汽车整车控制系统（一）整车控制系统的结构组成对比传统的汽车，新能源汽车整车控制系统结构相对复杂，可以规避传统汽车的不足，同时可以发挥出较多的优势。

新能源汽车整车控制系统是汽车整车控制系统核心开发的电控结构，可以保障汽车各项功能，同时对比传统汽车，新能源汽车整车控制系统改变了传统动力来源，利用动力电池组替换原本的发动机，同时增设了电力控制和电源系统，可以控制废气排放，因此可以保护环境，新能源汽车整车控制系统包括整车控制器和控制器具有网络以及信息显示系统等，通过相互配合和协调各个系统和构件，可以实现整车驱动和制动，同时可以回收能量【1】。

（二）新能源汽车整车控制系统的实现目标近些年不断扩大私家车保有量之后，因为停车设施建设具有滞后性，所以停车难度也越来越严重，再加上传统的石化能量和电池供电等，引发严重汽车废气问题。

针对这种问题，通过开发研究新能源汽车整车控制系统可以有效规避，不仅可以提高新能源汽车的灵活性，而且符合环保理念。

功能安全开发流程详解功能安全开发的流程是一个系统性的工程，包含了需求分析、设计、实现、测试、验证等多个环节，下面将详细介绍功能安全开发的流程及各个环节的重点细节。

1. 需求分析需求分析是功能安全开发的第一步，也是最为关键的一步。

在这个阶段，需要对系统的功能安全需求进行详细的分析和定义。

需求分析的工作内容包括：（1）确定安全功能需要确定系统中哪些功能是需要进行安全性设计和实现的，这些功能可能包括紧急制动、碰撞预防、电气系统保护等。

（2）确定安全要求需要对每个安全功能确定相应的安全要求，包括安全性能指标、安全性性能要求等。

（3）制定安全策略需要根据系统的整体安全需求，制定相应的安全策略，包括硬件设计安全策略、软件开发安全策略等。

2. 设计阶段在设计阶段，需要根据需求分析的结果，进行系统的功能安全设计。

主要包括以下几个方面：（1）架构设计需要根据需求分析的结果，设计系统的功能安全架构。

这包括如何进行故障检测和故障处理、如何实现冗余和容错等。

（2）人机交互设计需要在设计过程中考虑人机交互的安全性，如如何对系统的功能进行明确的描述和显示，如何实现紧急制动、紧急终止等功能。

（3）界面设计需要考虑系统的界面设计是否符合人体工程学的要求，以及如何通过界面设计来实现安全提示、报警等功能。

3. 实现阶段在实现阶段，需要根据设计文档进行软硬件的开发和实现，并进行相应的安全性验证和测试。

（1）软件开发在软件开发中，需要严格按照需求分析和设计文档进行开发，同时需要进行相应的静态代码分析、安全性代码审查等活动，确保软件的安全性。

（2）硬件开发在硬件开发中，需要严格按照设计文档进行开发，并进行相应的电路和元器件的安全性分析、测试等活动。

（3）集成测试需要对系统的整体进行集成测试，包括功能安全性能测试、安全性能测试、安全通信测试等。

4. 验证阶段在验证阶段，需要对已经实现的系统进行全面的功能安全验证和测试。

（1）静态检查需要对需求分析、设计和实现文档进行静态检查，确保其中的安全性问题得到充分考虑和处理。

功能安全是一个完全正向开发的过程。

基于系统的最高安全需求-安全目标，功能安全的开发是一个从上至下，从顶部系统架构设计，逐层细化，最后到分解到软硬件具体设计的逐渐递进过程。

这就可以看出所有设计都源于起点的系统级的架构设计，一个好的系统架构设计才能保证整个产品设计走在正确的方向上。

对于什么是好的系统设计，标准给出了一些参考原则，比如模块化、适度的颗粒度、简洁度等。

对于具体设计工作，这些抽象的原则很难给我们直接的参考意义。

我们希望以业界比较常用的系统架构来形象具体的讨论一下功能安全的架构设计。

VCU的功能可以抽象成一个标准定义的完整功能的模型。

标准定义的一个完整功能至少包括传感器，控制器和执行器。

在ECU层级展开，还包括了围绕微控制器的输入、输出处理硬件部分、通信硬件和微控制器及其上运行的软件。

图1 ECU功能模型我们可以将VCU的功能套用上面定义的ECU功能模型。

VCU采集的钥匙信号、档位信号、充电信号、制动信号、加速踏板开度、制动踏板开度信号等，都属于sensor范围。

另外还包括VCU通过CAN总线与发动机、变速器、车身控制器、BMS和MCU等通信，监测的车辆状态信息。

控制器部分负责对输入和采集信息的处理、计算和对相关执行器驱动的输出。

这里VCU的主要功能是根据其采集的信息，计算需求的扭矩和检测实际扭矩。

还包括实际电流需求的计算、制动回馈管理等功能。

有些车型上需要VCU控制主继电器和预充继电器，VCU 更多对执行部分的控制是通过根据车辆状态CAN总线，向制动系统、BMS、MCU、OBC/DCDC等系统发送控制指令来实现的。

图2 VCU功能模型考虑功能安全架构设计时，可以从三个组成部分分别考虑。

对于Senor相关部分，可以采取冗余传感器以及传感器信号真实性、合理性的检查。

对于信号的检查，一般要通过控制器上的软件实现。

对于执行器，需要关注的是执行器实际状态与预期是否一致，关键的是在不一致或出现故障时，控制器可以检测到，并能将系统导入到安全状态。

整车控制器（VCU）策略及开发流程一、VCU的作用与功能在电动汽车中，VCU是核心控制部件，它根据加速踏板位置、档位、制动踏板力等驾驶员的操作意图和蓄电池的荷电状态计算出运行所需要的电机输出转矩等参数，从而协调各个动力部件的运动，保障电动汽车的正常行驶。

此外，可通过行车充电和制动能量的回收等实现较高的能量效率。

在完成能量和动力控制部分控制的同时，VCU还可以与智能化的车身系统一起控制车上的用电设备，以保证驾驶的及时性和安全性。

因此，VCU的设计直接影响着汽车的动力性、经济性、可靠性和其他性能。

1、VCU主要功能1）整车能量分配及优化管理；根据驾驶员的具体操作和实际工况对车辆进行管理、优化及调整，以实现优化能量供给，延长车辆使用寿命，提高车辆运行经济性。

2）故障处理及诊断功能；对出现的异常情况进行诊断、提示和主动修复工作。

3）系统状态仪表显示；4）整车设备管理监控各设备运行状态，及时进行动态调整。

5）系统控制根据既定的操控程序对驾驶员的各项操作进行及时响应，实时与数据库进行比对，对各节点进行动态控制。

二、VCU的结构VCU为纯电动汽车的调度控制中心，负责与车辆其他部件进行通信，协调整车的运行。

VCU系统结构，如下图所示。

其主要包含电源电路、开关量输入/输出模块、模拟量输入模块及CAN通讯模块。

1）电源模块从车载12V蓄电池取电，开关量输入模块接收的信号主要有钥匙信号、挡位信号、制动开关信号等；2）开关量输出信号主要是控制继电器，其在不同整车系统中意义略有不同，一般情况下控制如水泵继电器及PTC继电器等；3）模拟量输入模块采集加速踏板和制动踏板开度信号及蓄电池电压信号等；4）CAN模块负责与整车其他设备通信，主要设备有电机控制器（MCU）、电池管理系统（BMS）及充电机等。

三、整车通信网络管理整车系统通过CAN通信网络将各个子控制系统连接在一起。

整车系统通讯网络结构如下图所示。

VCU起到协调管理整个通信网络的功能，是各个子设备的通信服务端。

基于ISO 26262的纯电动公交车VCU安全分析与设计张佳骥; 李强; 王彦波; 吴学强【期刊名称】《《汽车电器》》【年(卷),期】2019(000)010【总页数】4页(P13-16)【关键词】ISO 26262; 功能安全; 纯电动公交车; VCU【作者】张佳骥; 李强; 王彦波; 吴学强【作者单位】潍柴动力股份有限公司新科技研究院山东潍坊261000【正文语种】中文【中图分类】U469.7随着汽车电气化、智能化趋势的发展，现代汽车上的电子设备、控制器等电子电气系统数量越来越多，功能也越来越复杂，因电子电气系统失效而导致的安全风险问题日益严峻。

ISO 26262功能安全标准是由ISO国际标准化组织联合IEC国际电工协会共同制定的，目标是最大程度上减少安全风险，提高车辆电子电气系统的安全性。

整车控制器（VCU）是整车控制的核心，通过CAN总线与电池管理系统（BMS），电机控制器（MCU）等控制器进行信息交互，来进行多系统协调控制。

因此VCU的功能与整车的功能安全十分相关。

为提高整车的功能安全，本文基于ISO 26262标准，对纯电动公交车VCU进行安全分析与设计。

1 道路车辆功能安全标准ISO 26262ISO 26262功能安全标准于2011年发布第一版，2018年发布第二版，是针对汽车电子电气系统，为减少安全风险，提高车辆安全性而制定。

ISO 26262提供了车辆电子电气系统的功能安全开发流程，并规定了汽车电子电气系统的安全生命周期：概念阶段、产品开发阶段-系统层、产品开发阶段-硬件层、产品开发阶段-软件层、生产发布之后。

安全生命周期如图1所示。

2 概念阶段2.1 相关项定义相关项定义要给出详细的项目定义，明确相关项的要求，从而对相关项有足够的理解，能够指导后续工作。

内容包括相关项的功能性需求、非功能性需求、法规要求等。

纯电动汽车VCU作为整车控制的核心，通过CAN总线与电池管理系统（BMS）、电机控制器（MCU）进行信息交互。

电动汽车整车控制器（VCU）技术及开发流程深度剖析整车控制器（VCU），电动汽车的大脑，相当于电脑的Windows，手机的Andrio。

作为电动汽车上全部电气的运行平台，它的性能优劣，直接影响其他电气性能的发挥，是整车性能好坏的决定性因素之一。

1 组成结构组成VCU，结构上，由金属壳体和一组PCB线路板组成。

硬件组成功能上由主控芯片及其周边的时钟电路、复位电路、预留接口电路和电源模块组成最小系统。

在最小系统以外，一般还配备数字信号处理电路，模拟信号处理电路，频率信号处理电路，通讯接口电路（包括CAN通讯接口和RS232通讯接口）2 各电气与VCU之间是怎样工作的一些用于监测车体自身状态的信号或者车载部件中比较重要的开关信号、模拟信号和频率信号，由传感器直接传递给VCU，而不通过CAN总线。

电动汽车上的其他具有独立系统的电气，一般通过共用CAN总线的方式进行信息传递。

2.1 直接传递的信号们这里所说的开关信号包括：钥匙信号，档位信号，充电开关，制动信号等；模拟信号一般有：加速踏板信号，制动踏板信号，电池电压信号等；频率信号，比如车速传感器的电磁信号。

输出的开关量，动力电池供电回路上的接触器和预充继电器，在一些车型上，由VCU负责控制。

2.2 通过CAN交互的电气单元CAN总线上的通讯参与者地位不分主从，随时随地向总线发动信息。

信息之间的先后顺序由发出信息者的优先级确定。

优先级在通讯协议中已经做出规定，每条信息里都有发信者的地址编码；通讯中的信息编码，都有相应的通讯协议予以明确规定。

谁发出什么样的代码提供哪些类型的信息，主要依据是供需双方的约定。

比如下面表格中的电气单元地址编码，就是来自一份整车厂与VCU供应商的技术协议。

CAN故障记录，是维修调试人员最好的小帮手。

下图是通讯协议中对故障代码的规定，常见的故障类型都位列其中，只要对照协议表格，大家都可以读懂故障记录了。

比较例外的是充换电相关的系统，由于通用性的强烈需求，通讯协议需要统一，有国家标准予以统一编码（下文列举了相关国标）。

vcu功能安全评估VCU（Vehicle Control Unit）是车辆的控制单元，负责控制车辆的各种功能，如制动系统、转向系统、油门系统等。

功能安全评估是对VCU的功能安全性进行评估和验证，以确保车辆在各种情况下的安全性能。

VCU功能安全评估通常包括以下几个方面：1. 风险分析：通过对车辆运行过程中可能出现的风险进行分析和评估，确定潜在的风险源和危险情景。

这些风险可能包括刹车失灵、转向失控、油门卡死等。

2. 安全要求：根据风险分析的结果，制定相应的安全要求，包括功能安全的目标、性能指标和安全要求等。

例如，制定刹车系统应具有抗失灵能力，转向系统应具有防失控能力等。

3. 安全设计：在VCU的设计阶段，根据安全要求进行安全设计，包括硬件架构设计、软件设计和通信设计。

确保VCU在发生故障时能够正确识别故障并采取相应的安全措施，以保证车辆的安全性。

4. 安全验证：通过各种实验和测试手段，对VCU的功能安全性进行验证。

例如，进行公路试验、仿真分析和环境试验，模拟不同的故障情景，验证VCU在各种异常情况下的安全性能。

如刹车系统的反应时间是否符合要求，转向系统的灵敏度是否符合要求等。

在VCU功能安全评估的过程中，需要综合考虑硬件和软件的安全性能。

对于硬件部分，需要确保电路的稳定性和可靠性，防止单点故障和故障传播。

对于软件部分，需要保证软件的正确性和可靠性，防止软件系统的错误和故障。

综上所述，VCU功能安全评估是对车辆控制单元功能安全性进行评估和验证的过程。

通过风险分析、安全要求、安全设计和安全验证等步骤，有效保证VCU在各种情况下的安全性能，确保车辆的安全行驶。

纯电动汽车整车控制器（VCU）详细介绍纯电动汽车整车控制器(VCU)是电动汽车的核心部件之一，它负责控制和管理整个车辆的电气系统。

VCU的主要功能包括电池管理、电机控制、能量回收和驾驶辅助等。

本文将详细介绍VCU的基本原理、结构和工作原理，以及其在实际应用中的问题和挑战。

一、1.1 纯电动汽车整车控制器的基本原理纯电动汽车整车控制器(VCU)的基本原理是将来自传感器的信息与预设的参数进行比较和计算，然后通过执行器对电动汽车的电气系统进行控制。

其中，传感器可以检测到车辆的位置、速度、加速度等信息，而执行器则可以控制电动机的转速和扭矩。

通过对这些信息的实时处理和分析，VCU可以实现对电动汽车的精确控制和优化。

二、1.2 纯电动汽车整车控制器的结构纯电动汽车整车控制器通常由多个模块组成，包括处理器、存储器、通信接口和各种输入输出接口等。

其中，处理器是整个控制器的核心部件，它负责处理来自传感器的信息和执行器的指令；存储器用于存储车辆的状态和参数；通信接口用于连接其他设备和网络；输入输出接口则用于与电动汽车的各种部件进行交互。

三、2.1 纯电动汽车整车控制器的工作原理纯电动汽车整车控制器的工作原理可以分为三个主要阶段：感知、决策和控制。

在感知阶段，VCU通过传感器收集车辆的状态信息，如位置、速度、加速度等；在决策阶段，VCU根据这些信息和预设的参数进行计算和分析，制定出合适的控制策略；在控制阶段，VCU通过执行器对电动汽车的电气系统进行控制，实现对车辆的精确控制和优化。

四、2.2 纯电动汽车整车控制器的问题和挑战尽管纯电动汽车整车控制器具有很多优点，但在实际应用中也存在一些问题和挑战。

例如，由于电动汽车的特殊性质，VCU需要具备更高的精度和可靠性；为了提高能源利用效率和减少排放量，VCU还需要具备更好的能量管理和回收能力。

随着技术的不断发展和创新，VCU也需要不断地进行升级和完善。

K行+,焦Industry Focus新能源电动汽车PCU系统功能安全开发及测试方法研究付越，王斌，李波，张茨，余才青(1.中国汽车技术研究中心有限公司，天津300300；2.合肥巨一动力系统有限公司，安徽合肥230000)摘要：PCU系统作为电动汽车整车上的关键电控系统，其功能安全技术水平直接影响整车安全%本文基于某款混动车型搭载的PCU系统的功能安全7模型开发过程，从整车层面给出了相关项定义、危害分析和风险评估、安全目标、功能安全要求、技术安全要求，并在7模型开发右侧以故障注入测试为例给出了功能安全验证和示例，为开展PCU系统功能安全正向开发供借鉴和参考％关键词：电动汽车；PCU；功能安全；功能安全要求；技术安全要求；测试方法中图分类号：U469.7文献标志码：A文章编号：1003-8639(2021)03-0005-05Research on Functional Safety Development and Test Method of PCU System in Electric VehicleFU Yue,WANG Bin,LI Bo,ZHANG Ci,SHE Cai-qing(1.China Automotive Technology&Research Center Co.&Ltd.&Tianjin3OO3OO；2.Hefei JEE Power System Co.&Ltd.&Hefei230000&China)Abstract：As the key E/E system in electric vehicle&the power control unit(PCU)system has a direct impact on the safety of the vehicle.This paper is based on the functional safty7model development process of the PCU system in a HE7,describes the item definition&hazard analysis and risk assessment,safety goal&functional safety requirement and technical safety requirement.And introduces the fault injection test method as the example of functional safety verification and validation on the right side of7model.This paper provides reference for PCU system functional safety development.Key words：electric vehicles；PCU；functional safety；FSR；TSR；test method付越，硕士，工程师，研究方向为汽车标准化；王斌，博士，教授级高级工程师，研究方向为新能源电控测试开发;李波，博士，高级工程师，研究方向为汽车标准化；张茨，硕士，工程师，研究方向为驱动电机系统技术开发;余才青，硕士，工程师，研究方向为驱动电机系统技术开发。

电动汽车整车控制系统电力驱动车辆是以电力作为能源、由电动机驱动的机动车辆。

在外形上, 电动车与传统的汽车并无显著差异, 它们的主要区别在于动力和驱动系统。

如图1 所示, 电动车的基本结构系统[2 ]可分为3 个子系统, 即电力驱动子系统(如图2 所示)、主能源子系统和辅助控制子系统。

其中, 电力驱动子系统由电控系统、电机、机械传动系统和驱动车轮等部分组成; 主能源子系统由主电源和能量管理系统构成, 能量管理系统是实现能源监控、能量再生、协调控制等功能的关键部件; 而辅助控制子系统主要是为电动车提供控制电源, 具有辅助电源的控制、动力转向、充电控制及空气调节等功能。

整车控制系统由整车控制器、通信系统、零部件控制器以及驾驶员操纵系统构成，其主要功能是根据驾驶员的操作和当前的整车和零部件工作状况，在保证安全和动力性的前提下，选择尽可能优化的工作模式和能量分配比例，以达到最佳的燃料经济性和排放标准。

（1）整车控制系统及功能分析1）控制对象：电动汽车驱动系统包括几种不同的能量好饿储能元件（燃料电池，内燃机或其他热机，动力电池和/或超级电容），在实际工作过程中包括了化学能、电能和机械能之间的转化。

电动汽车动力系统能流图如下：能量流信息流3）整车控制系统对车辆性能的影响主要有三个方面：①动力性和经济性②安全性③驾驶舒适性及整车的协调控制电动汽车整车控制系统如下：（2）整车控制器1）整车控制器功能：整车控制器是控制系统的核心，承担了数据交换、安全管理和能量分配的任务。

根据重要程度和实现次序，其功能划分如下。

①数据交互管理层②安全故障管理层③驾驶员意图层④能量流管理层2）整车控制器硬件：ControlBase_VT for AT/AMT/DCT/HEV/EV模块图环境试验电性能试验订购信息3）整车控制器的开发现在的ECU开发多采用V模式开发流程。

V模型开发流程如下：第一步，功能定义和离线仿真第二步，快速控制器原型和硬件开发第三步，目标代码生成第四步，硬件在环仿真第五步，调试和标定控制器开发采用国际流行的V流程开发模式，V流程开发模式示意图如下：控制器开发V流程V流程包含五个基本步骤：(1)图形化建模和离线仿真：在这个阶段，我们将控制器的开发需求转换为SIMULINK模型算法设计，将控制器的算法和被控对象的算法共同在MATLAB/SIMULINK环境下搭建。

vcu控制器开发流程VCU控制器（Vehicle Control Unit）是一种用于控制汽车行驶和各种功能的电子控制装置。

本文将介绍VCU控制器的开发流程，包括需求分析、软硬件设计、系统集成和测试等环节。

一、需求分析VCU控制器的开发首先需要明确需求。

根据车辆的类型和用途，确定VCU需要控制的功能和性能要求。

例如，对于电动汽车，VCU 需要实现电池管理、驱动系统控制、充电管理等功能。

而对于燃油汽车，则需要实现燃油供给、发动机控制、排放控制等功能。

二、软硬件设计在需求分析的基础上，进行VCU控制器的软硬件设计。

软件设计包括编写控制算法和开发相应的软件程序。

硬件设计则包括选择适当的处理器、传感器和执行器，并设计相应的电路板和接口电路。

在软件设计中，需要根据需求编写相应的控制算法，例如PID控制算法、状态机等。

然后将算法转化为相应的程序代码，并进行调试和优化。

在硬件设计中，需要根据需求选择适当的处理器，如ARM、Freescale等。

同时，选择合适的传感器用于采集车辆的状态信息，如车速、转向角度、电池电量等。

还需要选择合适的执行器用于控制车辆的各种功能，如电机控制器、制动器等。

三、系统集成在软硬件设计完成后，需要进行系统集成。

将软件程序烧录到处理器中，并将硬件电路连接起来。

同时，需要编写相应的接口程序，实现软硬件之间的通信和数据交换。

在系统集成中，需要进行各种功能的调试和测试。

通过连接相应的仿真器或调试工具，对VCU控制器进行功能验证和性能测试，确保其符合设计要求。

四、测试和验证在系统集成完成后，需要对VCU控制器进行全面的测试和验证。

通过连接真实的车辆或使用模拟器，对VCU控制器进行实际的道路测试。

测试过程中需要验证各种功能的正确性和稳定性，包括加速、制动、转向、能耗等。

还需要进行可靠性测试和故障分析，确保VCU控制器在各种异常情况下能够正常工作，如电池电量过低、传感器故障等。

五、产品发布和维护在测试和验证通过后，可以将VCU控制器投入到实际使用中。

VCU功能安全架构研究【摘要】整车控制器VCU作为整车功能的交互节点及调度模块，是新能源汽车的重要控制器之一。

本文基于功能安全相关标准，介绍危害分析和风险评估的分析方法，并根据此方法确定VCU的安全目标及功能安全等级。

在确定整车层面的需求后进行功能安全概念的分解和分配，并通过对EGAS架构的应用，提出对其功能实现层进行监控的系统架构，为其他控制器的功能安全分析提供参考的示例。

关键词：功能安全；VCU；概念阶段；EGAS架构引言伴随着汽车智能化及新能源汽车产业的发展，车载电气电子系统的功能也日益增多，作为整车功能重要组成部分，VCU承担了极为复杂的功能，因其失效而导致的安全风险也不断升高。

如何预防此类风险对人身造成伤害，已成为行业关注的重点研究内容[1-3]。

国际标准化组织（ISO）于2011年发布的ISO 26262标准，就是为了解决这类风险，其第二版也于2018年正式发布[4-5]。

尽管该标准对于功能安全的开发给出了较为完整的流程，但是其仅作为规范类标准，涉及到的具体开发实例较少，且目前国内关于这部分的开发也处于起步阶段，所以如何实现实际产品的功能安全对开发人员来说还有一定的困难。

整车控制器（VCU）是实现整车扭矩控制的核心控制单元，而且还涉及到整车上下电、模式控制、能量回收控制等众多关键功能，负责系统模块间的交互和调度，故此其是否实现功能安全对整车安全来说意义重大。

本文将从混合动力汽车整车控制器出发，详细阐述如何实现概念及系统阶段的功能安全。

1 VCU概念阶段的开发由于VCU在整车电子电气架构中的特殊性，其在功能安全概念阶段的开发也呈现出自身的特点，具体表现为：VCU作为整车交互单元，会跟整车大部分的系统有功能间的交互，所以VCU系统最终得到的安全目标在数量上会较多；而且VCU只是负责功能的调度，不直接进行功能的执行，所以分配的ASIL等级也不会过高。

1.1安全目标及ASIL等级的定义安全目标作为系统最高层级的需求，需要由危害分析和风险评估得到，并为安全目标定义ASIL等级。

10.16638/ki.1671-7988.2019.10.020新能源汽车VCU诊断软件系统开发*周亚芬，钟日敏，黄祖朋（上汽通用五菱汽车股份有限公司技术中心，广西柳州545007）摘要：近年来，随着新能源汽车技术特别是智能化汽车技术的发展，汽车电子领域发生了重大的变革—汽车电子系统日趋复杂，电控元器件日益增加。

汽车电子的变革导致了汽车软件开发平台化及标准流程化占据了更重要地位。

对汽车整车控制器（VCU）软件开发，功能安全及诊断模块的开发需要对更多的电子控制单元进行诊断监控，保证车辆的安全与舒适性。

基于此，文章对汽车诊断功能软件、平台化的软件开放式架构、功能安全评估手段进行了深入的研究。

关键词：新能源汽车；整车控制器；功能安全；诊断；AUTOSAR中图分类号：U472.9 文献标识码：A 文章编号：1671-7988(2019)10-55-03A Developing Method of New Energy vehicle Diagnostic System*Zhou Yafen, Zhong Rimin, Huang Zupeng( SAIC GM Wuling Automobile Co., Ltd., Guangxi Liuzhou 545007 )Abstract: In recent years, with the development of new energy vehicle technology, especially intelligent vehicle technology, great changes have taken place in the field of automotive electronics. The reform of automotive electronics has led to the automobile software development platform and process standards occupy a more important position. In order to ensure the safety and comfort of the vehicle, more electronic control units should be used for the development of the software of the vehicle controller, functional safety and diagnostic module. Based on this, this paper makes an in-depth study of the automo -tive diagnostic software, the open architecture of the platform software, and the means of functional safety assessment. Keywords: New-energy vehicle; VCU; Functional safety; Diagnosis; AUTOSARCLC NO.: U472.9 Document Code: A Article ID: 1671-7988(2019)10-55-03前言近年来，随着智能化新能源汽车技术的发展，汽车电子领域发生了巨大的变化，汽车电子系统日趋复杂，采用的电控元器件也日益增加。

书山有路勤为径；学海无涯苦作舟
需求多周期长，详解新能源整车控制器VCU开发过
程
一款合适的整车控制器需要正确的输入，一般车型不一样整车控制器
的接口需求也不一样，因为整车控制器开发周期比较长，所以在整车控制
器的研发起始阶段要考虑，所研发的整车控制器要有一定的兼容性，能适
应较多车型。

1、从输入来看：需要整车设计需求+整车控制原理图
2、整车电气原理确定后，就确定了整车的控制方案，这时就可以确定
整车控制器的接口功能：
3、整车控制接口定义确定后，内部功能也就确定
我们需用飞思卡尔16位双核单片机Mc9s12xep100 112脚作为主处理器，
将CAN通讯收发发在协处理器XGATE中，主CPU只经行与控制策略有关的处理，这样就大大提高了控制的实时性。

原理图如下：
PCB图如下：
外观如图：
4、整车硬件部分完成后，接着进行软件的设计，主要包括：
专注下一代成长，为了孩子。

功能安全开发（三）系统开发经过概念阶段，最终得到了FSR。

FSR是item级的功能安全要求，进行系统阶段的开发，需要将FSR细化为system级的TSR，然后进行系统设计。

系统阶段的安全活动可以组成一个小的V模型的。

系统阶段在V模型的左侧主要是细化TSR和进行产品的系统设计，左侧的开发活动通过右侧的集成和测试、安全确认和功能安全评估进行对应的验证。

最终完成系统阶段的所有开发和验证，可以进行生产发布。

图1 系统阶段功能安全活动系统开发位于概念开发和软硬件开发之间，系统的TSR承接的是概念阶段的FSR，是FSR在技术层级的具体实现。

分析得到的所有TSR最终需要分配到系统架构中的具体软硬件元素上图2 系统开发TSR进行TSR分析时，需要基于FSR和系统初始架构。

对于初始架构，需要在概念开发的基础上进一步细化。

首先要细化系统的外部接口（通信接口）、环境约束和系统配置要求等。

然后系统内部各子系统的设计需要细化。

子系统内各功能模块需要明确，并且互相之间的关系需明确。

下图是部分细化的初始架构，在实际开发中需在此基础上根据具体设计要求，增加更多细节，以便于理解功能模块间的相互关系和进行相应的功能安全分析。

图3 细化初始架构对于每一个SG，其针对的是防止功能失效的危害。

对于一个完整的功能，其实现可分为三部分：传感器、控制器和执行器。

在分析TSR时，需要考虑安全机制和安全措施，用以检测功能失效。

安全措施需要有效避免单点和潜伏故障。

这个设计方法之一可以分别考虑功能中各部分的预期功能和对应的安全措施。

图4 安全措施的考虑对于SG001，以Sensor部分，即CMU为例。

对于其功能要求的FSR001，可以导出如下TSR，并分配到CMU上的元素上。

图5 FSR001导出的TSR在概念开发阶段，对SG进行安全分析后还会得到故障诊断要求相关的FSR。

这些FSR可以导出safety measure相对应的TSR。

这里假设概念阶段的FSR为FSR10，导出对应的TSR（仅限硬件架构要求）如下。

域控制器功能安全概念阶段开发学习经过几年的发展，各主机厂的域控制器已经排上开发日程表了，或者是有些已经量产上车了。

那基于域控制器的功能安全开发也必须开展了。

今天主要来学习一下动力域控制器功能安全概念阶段需要做哪些？首先整体来讲，概念阶段的工作主要包括三项：相关项定义，危害分析和分享评估，功能安全概念设计。

01.相关项定义首先来说说相关项定义，那啥是相关项呢？相关项主要包括控制器功能需求，非功能需求，法律法规要求，环境要求和控制器接口等内容，那相关项定义就很好理解了，就是要理清控制器上述列举的内容。

为了更好并且直观的理解这些内容，通常要绘制域控制器的系统框图，如下图所示。

▲图1 动力域控制器系统框图(来源知网)在相关项定义时，也有一些注意项，首先对于外部接口，应该全面覆盖，功能和非功能需求也要梳理全，另外对功能需求的描述，不能将整车功能功能定义为相关项功能，比如整车功能“定速巡航”，定义是“根据用户设定的速度巡航”，但是对于动力域控制器而言，实现的功能仅仅是“提供驱动扭矩”。

02.危害分析和风险评估危害分析和风险评估主要包括失效模式识别、危害识别、场景分析、危害事件分析、ASIL 评估、确定安全目标和描述安全状态，然后再推导出相关项的安全目标及对应ASIL等级。

1.失效模式识别失效模式识别的工作主要是对识别相关项可能存在哪些的异常表现，目前比较常用的方法是HAZOP，通过 HAZOP 中给出的引导词的启发，思考功能可能的异常表现，需要注意的是，HAZOP 中的引导词只是参考与启发的作用，若实际功能存在更多的或其他类型的失效模式，则都应在危害分析和风险评估过程中考虑，因此在HAZOP 分析基础上，仍是需要通过头脑风暴或专家评审等方式进行验证，确保失效模式识别全面。

2.危害识别基于上述的分析结果，开始分析失效模式对整车级别的危害，比如“驱动力输出大于预期”，对整车的表现就是“加速度过大”。

3.场景识别和危害事件分析在上述流程完成后，要开始场景分析了。