车辆控制器的 Fail Safe功能介绍

1. Fail Safe概要
   在漆黑的夜路上，一辆开着头灯的汽车经过。 如果控制前照灯的控制器在这种情况下发生故障怎么办？ 大灯会熄灭，造成危险吗？ 不。 在这种情况下，控制器的“Fail Safe”被激活，前照灯保持其先前的状态。
   那么什么是“Fail Safe”？ 让我们看一下术语和示例。
   
   <图1>汽车前照灯
2. Fail Safe是什么？
   “工业安全词典”将Fail Safe定义如下。 “Fail的含义仅限于【机器不能正常工作】，即【故障】。 Fail Safe 是指[在机器发生故障时通过逃跑来确保安全而不引起事故和灾难的机制]”（参考：工业安全词典，2004.05.10. 图书出版Gold）
   此外，在汽车术语中，它被称为自校正装置（Fail Safe Function），它被定义为“在车辆行驶过程中，当部件的一部分发生缺陷或故障时，通过操作其他安全装置来防止决定性事故或破坏的装置。” （参考：http://korea-autonews.com/automobile 行业专业网站——汽车术语）
   
   <表1>三个阶段的Fail Safe
   通过这两个术语的共性，“Fail Safe”的含义可以概括为“在发生故障时确保安全以防止事故或灾难的装置或机制”。 并且如 [表 1] 中所示，它在功能方面分为 3 个阶段。

在[表2]中，Fail Safe的结构/功能性分类的目的和例子可以作为参考。

<表2> Fail Safe的区分
3.适用于车辆控制器的Fail Safe
这一次，让我们看一个在概述中被简要带过的车辆控制器应用 Fail Safe 的示例。
​
3.1 ICU(Integrated central Control Unit), SJB(Smart Junction Box/Block)
ICU 的 Fail Safe 的目的是防止在驾驶车辆时由于 MCU/CAN 故障而导致车灯意外关闭。 当发生电池/信号输入/CAN Fail/MCU Fail等故障时，通过Fail Safe模块执行Fail Safe功能，如图2所示。
它通过比较 IBU 前照灯近光灯开关状态信息与备用开关输入值来确定前照灯是否打开。 此外，通过为左右灯提供不同的电源，可以设计成灯不会一次全部熄灭。
​
这样，在前照灯打开的情况下行驶时，即使控制器发生故障，也会通过前照灯备用开关保持点亮状态来应用故障保护。

<图2>SJB的故障安全模块 (来源:http://www.hemanual.org/ Hyundai-Elantra Manual )

3.2 电控自动变速器的TCU ( Transmission Control Unit)
配备电控自动变速器的车辆通过发动机和车辆行驶状态的各种传感器（输入传感器：转速，输出传感器：车速等）的输出来控制变速器。
TCU 的 Fail Safe 旨在通过在输入传感器发生故障时维持车辆的发动机和驾驶条件来最大限度地减少事故的发生。 当传感器发生故障时，将应用故障保护，将其固定为存储在存储器中的第 2 级或第 3 级值并行驶。
​
正如我们在上面看到的，“Fail Safe”功能是一种通过提高用户安全性来提前预防事故的装置。应用于ICU和TCU的Fail Safe功能也是一种驾驶员安全功能。因此，为了检查功能是否正确反映，需要在量产前通过人为地应用故障来确定功能是否运行，对功能进行一定的验证。
​
针对这一需求，SureSofttech正在通过第三方验证和HILs验证来验证控制器的功能，以提高车辆的安全性。 我们将根据我们在各种开发和验证项目中的经验，尽最大努力提供令客户满意的服务。