摘要:基于功能安全的 ECU 开发理念已逐渐成为主流,但对于符合功能安全要求的 ECU 测试技术的研究还较少。参考 ISO26262 中汽车电子系统的开发和测试标准,阐述了符合功能安全要求的纯电动汽车整车控制器硬件在环测试方法。考虑整车控制器的功能和实际工作场景,以其关键功能模块为例进行了功能安全分析,确定了汽车安全完整性等级(ASIL)并提出了具体的安全需求,依照标准要求设计了对应的测试用例。基于 dSPAC 设备设计了整车控制器硬件在环测试方案,搭建了测试环境,并对某车型整车控制器进行了硬件在环测试。该方法以满足汽车控制器功能安全需求为目标,建立了系统的测试 流程,可应用于对基于功能安全设计的 ECU 的测试验证。
0 引言
汽车的电气化和智能化使其功能越来越多,电控单元 也不断增加,整个车辆构成了一个复杂的电子电气系统, 随之而来的是更多潜在的安全问题[1]。对此国际标准组织经 过 6 年 时 间 于 2011 年 发 布 了 功 能 安 全 标 准 ISO26262,旨在为车辆功能安全的设计提供参考标准,并且根据发展情况在 2018 年发布了第二版 ISO26262 规范[2]。我国也于 2017 年发布了基于 ISO26262 的国家标 准 GB/T34590《道路车辆 功能安全》[3]。目前,基于功能安全的开发理念愈来愈受到企业重视,在 电控单元如 EPS、TCU 和 MCU 等开发上已经得到了很多研究和应用[4-8]。
随着全球环境和能源问题的日益严峻,从传统的燃油车转向发展新能源汽车已成为人们的共识。整车控制器(VCU)作为电动汽车的「大脑」是协调、控制整车运行的中枢,同电机控制器和电池管理系统共同构成电动汽车 3 大核心零部件,我国规定整车企业必须掌握整车控制技术的开发能力。硬件在环测试(HIL)是「V」开发流程中的重要一环,在各种 ECU 的开发中得到了广泛的应用,HIL 测试也基本成为 VCU 在量产前必要的验证过程。
VCU 在电动汽车上的重要作用使安全性成为最重要的考虑,所以功能安全上的要求对 VCU 的开发有非常重要的意义。很多的上下游厂商已经在提供符合功能安全要求的产品,有 很多文献也对 VCU 的设计进行了研究。但是大多数的研究重点是在 VCU 的失效分析和对应的功能设计上,对符合功能安全要求的测试验证的应用研究较少。本文结合 ISO26262 中对软件集成测试相关的要求,通过纯电动汽车整车控制器来研究符合功能安全要求的硬件在环测试方法。
1 功能安全标准ISO26262
ISO26262 是从电子电气系统功能安全基本标准 IEC61508 上派生而来,专门为道路车辆功能安全所制定,适用于汽车整个生命周期内的所有活动。2018 年发布的第二版 ISO26262 标准主要是取消了 2011 版中的车重限制,将标准适用范围拓展到了所有车辆,并且增加了半导体功能安全的指南。ISO26262 定义了一整套功能安全管理体系,称之为安全生命周期,如图1 所示,安全生命周期可分为概念阶段、产品开发阶段和开始生产后阶段。
对于电控单元的开发来说,安全生命周期中的概念阶 段和产品开发阶段尤其重要。概念阶段对应产品开发初期,需要对目标系统进行危险分析和风险评估(HARA),以此确定汽车安全完整性等级(ASIL),并根据 ASIL 设定对应部件或功能的安全目标。ASIL等级的确认是通过严重度、暴露率和可控性这 3 个独立的因素来确定,3 个因素不同等级间的组合对应不同的 ASIL,具体对应关系如表 1 所示,其中 ASIL 的 A~D 对功能安全的要求依次增高,质量管理(QM)对功能安全无要求。
在产品开发阶段,ISO26262 标准中同样对产品的测试流程提供了要求和建议,包括硬件级测试、软件级测试、系统集成测试及车辆集成测试,并为不同级别的测试方法 提供了参考。本文主要研究验证完整的 VCU 软件功能即
软件集成测试,其他级别测试不做深入分析。在 ISO26262 中对软件集成测试的测试案例设计方法、覆盖率的衡量方法和测试环境(表2)均提出了要求。由表2可知,对于 HIL 测试环境,ASILC 和 ASILD 等级安全目标的测试需求是强烈推荐,ASILC 和 ASILD 则为建议使用。
综上可知,符合功能安全要求的软件集成测试也要参考对应的功能安全目标,概念阶段的 ASIL 等级决定了测试阶段的具体方式。
2 VCU 功能安全分析
VCU 是电动汽车的控制中枢,它通过传感器接收驾驶员指令,综合分析后向其他控制器发送命令,同时也要监控整车的运行状态,及时处理一些故障,保证整车各部件安全稳定的运行。因此 VCU 的可靠性同行车安全息息相关,一个传感器的失效或是 VCU 某个功能逻辑的错误就可能会带来很大的安全风险。通常 VCU 按功能可分为以下几个模块:高压上下电、档位管理、扭矩控制、模式切换、能量管理、附件管理和故障诊断等。会严重影响到安全的功能模块主要是高压上下电、扭矩管理和故障诊断, 下面以此为例做 HARA 分析并设计对应的测试用例。
2.1 危险分析和风险评估
高压上下电功能里,会引起安全问题的主要是无法正常高压上电和下电,最常见的原因是高压继电器粘连,这 个问题很多设计都能考虑到。此外,还有一种危险场景:在充电时仍可以钥匙高压上电,该中情况下驾驶人员的误操作可能使得车辆移动,造成充电装置损坏,引发触电危险,对此评估结果如表3所示,其最高 ASIL 等级为 C。
同样,扭矩控制中非期望的加速可能会造成车辆失控,人员伤亡,该情境下的 ASIL 等级为最高 D 级。非期望的减速可能会造成追尾,但相比非期望加速危害较轻, 该情境下 ASIL 等级为C 级。引起加速异常的常见原因是加速踏板电气故障如传感器短地、短电或是校验错误, 其次是 VCU 软件踏板解析出现异常。
故障诊断是 VCU 非常重要的功能,该功能确保在遇到故障时,VCU 会控制车辆工作在限定状态,可以保护乘员安全。如大部分 VCU 通过 ABS 报文识别当前车速进而调节扭矩输出,若 ABS 报文丢失或是传输异常,无法反映当前真实车速,在定速巡航控制时可能会造成车辆一直加速,引发事故,对此评估结果如表 4 所示,其最高 ASIL 等级为D 级。
2.2 安全需求分析
本文以 VCU 常见的3 个危险事件为例介绍了 ASIL 等级确定方法,每一个危险事件都要有对应的安全目标, 并应建立相应的功能安全需求。需要说明的是,在确认安全需求后,通常会使用 FTA 等方法对 ASIL 等级进行分解,将安全需求分配到具体的系统要素上,具体到 VCU, 主要关注软件功能设计和故障处理。
在充电时钥匙高压未下电这一危险事件中,安全目标 应为充电时禁止钥匙高压上电,对应的功能安全需求可以是「VCU 应能监控充电枪连接信号,当有充电枪信号时, VCU 应能在适当时间内完成钥匙高压下电」。另一方面, 如果将充电时钥匙高压下电的安全目标定位「避免车辆移动」的话,可以增加一条安全需求「充电时 VCU 应控制 EPB 夹紧并进入自动 P 档」,这样在功能上就做到了冗余控制。
2.3 基于功能安全分析的测试用例设计
ISO26262 标准中对集成测试的过程提出了具体要求,包括测试计划、测试规格、测试执行和测试报告等。好的测试用例应该是描述正确、便于理解且易于执行,本文介绍的测试用例设计方法主要适用于 HIL 测试环境,其他环境下也可参考使用。
以某车型 VCU 故障处理部分的功能设计「当 ABS 信号无效超过2000ms 时,VCU 通过电机转速计算车速,上报二级故障,车速在 10s 内限制在 60km/h,且禁止巡航功能」为例进行分析。
1)在 ABS 通信正常时,VCU 通过 ABS 发送的车速信号来识别当前车速;
2)当发生 ABS 报文校验和错误时,VCU 认为 ABS 信号无效,时间超过3000ms 后确认故障发生,上报二级故障;
3)VCU 通过电机速度来自己计算车速,并通过调节扭矩请求在 10s 内使车速不大于 60km/h;
4)若在巡航状态时发生故障,退出巡航状态。
通过上述分析,可以将测试点分解为 ABS 通信无效识别方式、故障确认时间阈值、车速识别转换、车速限制阈值、车速限制时间阈值和巡航禁止等。每一个测试点至少需编写一条测试用例,用例编号唯一,故障确认时间阈值测试用例如表5所示,根据 2.1 节的分析,该用例 ASIL 等级为 D。
3 VCU 硬件在环测试
3.1 VCU 硬件在环测试方案
在待测 VCU 软硬件比较完整且稳定后可将其连接至虚拟整车环境中进行 HIL 测试。HIL 测试能最大程度上模拟实车运行环境,更重要的是能方便、精确的向 VCU 注入各种故障,满足功能安全设计的验证需求。本文基于 dSPACE 平台搭建 VCU HIL 测试系统,测试方案如图
dSPACE 仿真器可为 HIL 系统提供电气环境,整车模型(ASM)包括整车运行必要的部件,并按照实车结构形成闭环环境,通过高性能处理器实时运算。通过故障注入单元(FIU)可以注入短电、短地和开路故障等。通过上位机可执行测试操作并能实现自动化测试。
3.2 测试验证
VCU HIL 测试软硬件环境搭建完毕后,首先对 VCU 进行开环测试,确认电气接口特性符合设计要求、总线通信报文收发正确。然后按照 ISO26262 要求,进行功能需求测试和故障注入测试,使用 ControlDesk 搭建的测试界面如图3所示。
以 ABS 通信无效故障处理为例对某车型 VCU 进行测试,测试用例参考表5,测试结果如图 4 和 5 所示。通过设置 ABS_Enable 信号来注入通信丢失故障,ABS_Enable 信号值为 1 时通信正常,为 0 时通信停止。为确定 ABS 通信无效故障确认时间,可以设置通信停止时间,并通过观测故障报警信号和车辆巡航状态来确定故障确认时间阈值和故障处理的准确性。
使整车以 80km/h 的速度进行定速巡航,在24.1s 时设置 ABS_Enable 无效并且持续时间为 2990ms 后 VCU 仍然保持 80km/h的速度巡航,电机扭矩请求无任何变化,VCU 故障等级报警信号为无故障(图4)。同样使整车巡航在 80km/h,在 24.9s 时设置 ABS_Enable 无效且持续 3000ms,VCU 请求扭矩先降至零然后为负,此时车辆退出巡航且进入了滑行能量回收模式,但 VCU 故障报警信号仍然为无故障(图5)。测试结果表明,ABS 通信无效故障确认时间为 3000ms,且故障发生后会禁止巡航功能,符合 ABS 通信功能安全设计要求;发生故障时未能正确处理故障报警信号,不符合设计规范,需进行修改。
4 结论
功能安全标准 ISO26262 为道路车辆的开发、测试、生产和维护提供了规范,本文参考标准要求阐述了符合功能 安全要求的纯电动汽车整车控制器的硬件在环测试技术, 包括对功能安全分析、ASIL 等级的确认和具体的功能安全需求的分解,并以 ABS 通信无效故障为例详细介绍了测试用例设计。最后使用 dSPACE 软硬件系统搭建 VCU 硬件在环测试平台,对某车型的 VCU 进行了HIL 测试。结果表明,该方法能为功能安全设计验证提供系统的流程 和便利的条件。