日本无码免费高清在线|成人日本在线观看高清|A级片免费视频操逼欧美|全裸美女搞黄色大片网站|免费成人a片视频|久久无码福利成人激情久久|国产视频一二国产在线v|av女主播在线观看|五月激情影音先锋|亚洲一区天堂av

  • 手機(jī)站
  • 小程序

    汽車測試網(wǎng)

  • 公眾號(hào)

    • 汽車測試網(wǎng)

    • 在線課堂

    • 電車測試

基于硬件在環(huán)的整車控制器功能安全測試技術(shù)研究

2020-01-22 21:29:28·  來源:??W(wǎng)  作者:孫德明 劉全周 等  
 
摘要:基于功能安全的 ECU 開發(fā)理念已逐漸成為主流,但對(duì)于符合功能安全要求的ECU測試技術(shù)的研究還較少。參考 ISO26262 中汽車電子系統(tǒng)的開發(fā)和測試標(biāo)準(zhǔn),闡述了
摘要:基于功能安全的 ECU 開發(fā)理念已逐漸成為主流,但對(duì)于符合功能安全要求的 ECU 測試技術(shù)的研究還較少。參考 ISO26262 中汽車電子系統(tǒng)的開發(fā)和測試標(biāo)準(zhǔn),闡述了符合功能安全要求的純電動(dòng)汽車整車控制器硬件在環(huán)測試方法??紤]整車控制器的功能和實(shí)際工作場景,以其關(guān)鍵功能模塊為例進(jìn)行了功能安全分析,確定了汽車安全完整性等級(jí)(ASIL)并提出了具體的安全需求,依照標(biāo)準(zhǔn)要求設(shè)計(jì)了對(duì)應(yīng)的測試用例?;?dSPAC 設(shè)備設(shè)計(jì)了整車控制器硬件在環(huán)測試方案,搭建了測試環(huán)境,并對(duì)某車型整車控制器進(jìn)行了硬件在環(huán)測試。該方法以滿足汽車控制器功能安全需求為目標(biāo),建立了系統(tǒng)的測試  流程,可應(yīng)用于對(duì)基于功能安全設(shè)計(jì)的  ECU 的測試驗(yàn)證。

0 引言
汽車的電氣化和智能化使其功能越來越多,電控單元 也不斷增加,整個(gè)車輛構(gòu)成了一個(gè)復(fù)雜的電子電氣系統(tǒng), 隨之而來的是更多潛在的安全問題[1]。對(duì)此國際標(biāo)準(zhǔn)組織經(jīng) 過 6 年 時(shí) 間 于 2011 年 發(fā) 布 了 功 能 安 全 標(biāo) 準(zhǔn) ISO26262,旨在為車輛功能安全的設(shè)計(jì)提供參考標(biāo)準(zhǔn),并且根據(jù)發(fā)展情況在 2018 年發(fā)布了第二版 ISO26262 規(guī)范[2]。我國也于 2017 年發(fā)布了基于 ISO26262 的國家標(biāo) 準(zhǔn) GB/T34590《道路車輛 功能安全》[3]。目前,基于功能安全的開發(fā)理念愈來愈受到企業(yè)重視,在 電控單元如 EPS、TCU 和 MCU 等開發(fā)上已經(jīng)得到了很多研究和應(yīng)用[4-8]。

 
隨著全球環(huán)境和能源問題的日益嚴(yán)峻,從傳統(tǒng)的燃油車轉(zhuǎn)向發(fā)展新能源汽車已成為人們的共識(shí)。整車控制器(VCU)作為電動(dòng)汽車的「大腦」是協(xié)調(diào)、控制整車運(yùn)行的中樞,同電機(jī)控制器和電池管理系統(tǒng)共同構(gòu)成電動(dòng)汽車 3 大核心零部件,我國規(guī)定整車企業(yè)必須掌握整車控制技術(shù)的開發(fā)能力。硬件在環(huán)測試(HIL)是「V」開發(fā)流程中的重要一環(huán),在各種 ECU 的開發(fā)中得到了廣泛的應(yīng)用,HIL 測試也基本成為 VCU 在量產(chǎn)前必要的驗(yàn)證過程。
 
VCU 在電動(dòng)汽車上的重要作用使安全性成為最重要的考慮,所以功能安全上的要求對(duì) VCU 的開發(fā)有非常重要的意義。很多的上下游廠商已經(jīng)在提供符合功能安全要求的產(chǎn)品,有 很多文獻(xiàn)也對(duì) VCU 的設(shè)計(jì)進(jìn)行了研究。但是大多數(shù)的研究重點(diǎn)是在 VCU 的失效分析和對(duì)應(yīng)的功能設(shè)計(jì)上,對(duì)符合功能安全要求的測試驗(yàn)證的應(yīng)用研究較少。本文結(jié)合 ISO26262 中對(duì)軟件集成測試相關(guān)的要求,通過純電動(dòng)汽車整車控制器來研究符合功能安全要求的硬件在環(huán)測試方法。
 
1 功能安全標(biāo)準(zhǔn)ISO26262 
ISO26262 是從電子電氣系統(tǒng)功能安全基本標(biāo)準(zhǔn) IEC61508 上派生而來,專門為道路車輛功能安全所制定,適用于汽車整個(gè)生命周期內(nèi)的所有活動(dòng)。2018 年發(fā)布的第二版 ISO26262 標(biāo)準(zhǔn)主要是取消了 2011 版中的車重限制,將標(biāo)準(zhǔn)適用范圍拓展到了所有車輛,并且增加了半導(dǎo)體功能安全的指南。ISO26262 定義了一整套功能安全管理體系,稱之為安全生命周期,如圖1 所示,安全生命周期可分為概念階段、產(chǎn)品開發(fā)階段和開始生產(chǎn)后階段。
對(duì)于電控單元的開發(fā)來說,安全生命周期中的概念階 段和產(chǎn)品開發(fā)階段尤其重要。概念階段對(duì)應(yīng)產(chǎn)品開發(fā)初期,需要對(duì)目標(biāo)系統(tǒng)進(jìn)行危險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估(HARA),以此確定汽車安全完整性等級(jí)(ASIL),并根據(jù) ASIL 設(shè)定對(duì)應(yīng)部件或功能的安全目標(biāo)。ASIL等級(jí)的確認(rèn)是通過嚴(yán)重度、暴露率和可控性這 3 個(gè)獨(dú)立的因素來確定,3 個(gè)因素不同等級(jí)間的組合對(duì)應(yīng)不同的 ASIL,具體對(duì)應(yīng)關(guān)系如表 1 所示,其中 ASIL 的 A~D 對(duì)功能安全的要求依次增高,質(zhì)量管理(QM)對(duì)功能安全無要求。
 
在產(chǎn)品開發(fā)階段,ISO26262 標(biāo)準(zhǔn)中同樣對(duì)產(chǎn)品的測試流程提供了要求和建議,包括硬件級(jí)測試、軟件級(jí)測試、系統(tǒng)集成測試及車輛集成測試,并為不同級(jí)別的測試方法 提供了參考。本文主要研究驗(yàn)證完整的 VCU 軟件功能即
軟件集成測試,其他級(jí)別測試不做深入分析。在 ISO26262 中對(duì)軟件集成測試的測試案例設(shè)計(jì)方法、覆蓋率的衡量方法和測試環(huán)境(表2)均提出了要求。由表2可知,對(duì)于 HIL 測試環(huán)境,ASILC 和 ASILD 等級(jí)安全目標(biāo)的測試需求是強(qiáng)烈推薦,ASILC 和 ASILD 則為建議使用。
綜上可知,符合功能安全要求的軟件集成測試也要參考對(duì)應(yīng)的功能安全目標(biāo),概念階段的 ASIL 等級(jí)決定了測試階段的具體方式。
2 VCU 功能安全分析
VCU 是電動(dòng)汽車的控制中樞,它通過傳感器接收駕駛員指令,綜合分析后向其他控制器發(fā)送命令,同時(shí)也要監(jiān)控整車的運(yùn)行狀態(tài),及時(shí)處理一些故障,保證整車各部件安全穩(wěn)定的運(yùn)行。因此 VCU 的可靠性同行車安全息息相關(guān),一個(gè)傳感器的失效或是 VCU 某個(gè)功能邏輯的錯(cuò)誤就可能會(huì)帶來很大的安全風(fēng)險(xiǎn)。通常 VCU 按功能可分為以下幾個(gè)模塊:高壓上下電、檔位管理、扭矩控制、模式切換、能量管理、附件管理和故障診斷等。會(huì)嚴(yán)重影響到安全的功能模塊主要是高壓上下電、扭矩管理和故障診斷, 下面以此為例做 HARA 分析并設(shè)計(jì)對(duì)應(yīng)的測試用例。
2.1 危險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估
高壓上下電功能里,會(huì)引起安全問題的主要是無法正常高壓上電和下電,最常見的原因是高壓繼電器粘連,這 個(gè)問題很多設(shè)計(jì)都能考慮到。此外,還有一種危險(xiǎn)場景:在充電時(shí)仍可以鑰匙高壓上電,該中情況下駕駛?cè)藛T的誤操作可能使得車輛移動(dòng),造成充電裝置損壞,引發(fā)觸電危險(xiǎn),對(duì)此評(píng)估結(jié)果如表3所示,其最高 ASIL 等級(jí)為 C。
同樣,扭矩控制中非期望的加速可能會(huì)造成車輛失控,人員傷亡,該情境下的 ASIL 等級(jí)為最高 D 級(jí)。非期望的減速可能會(huì)造成追尾,但相比非期望加速危害較輕, 該情境下 ASIL 等級(jí)為C 級(jí)。引起加速異常的常見原因是加速踏板電氣故障如傳感器短地、短電或是校驗(yàn)錯(cuò)誤, 其次是 VCU 軟件踏板解析出現(xiàn)異常。
故障診斷是 VCU 非常重要的功能,該功能確保在遇到故障時(shí),VCU 會(huì)控制車輛工作在限定狀態(tài),可以保護(hù)乘員安全。如大部分 VCU 通過 ABS 報(bào)文識(shí)別當(dāng)前車速進(jìn)而調(diào)節(jié)扭矩輸出,若 ABS 報(bào)文丟失或是傳輸異常,無法反映當(dāng)前真實(shí)車速,在定速巡航控制時(shí)可能會(huì)造成車輛一直加速,引發(fā)事故,對(duì)此評(píng)估結(jié)果如表 4 所示,其最高 ASIL 等級(jí)為D 級(jí)。
2.2 安全需求分析
本文以 VCU 常見的3 個(gè)危險(xiǎn)事件為例介紹了 ASIL 等級(jí)確定方法,每一個(gè)危險(xiǎn)事件都要有對(duì)應(yīng)的安全目標(biāo), 并應(yīng)建立相應(yīng)的功能安全需求。需要說明的是,在確認(rèn)安全需求后,通常會(huì)使用 FTA 等方法對(duì) ASIL 等級(jí)進(jìn)行分解,將安全需求分配到具體的系統(tǒng)要素上,具體到 VCU, 主要關(guān)注軟件功能設(shè)計(jì)和故障處理。
 
在充電時(shí)鑰匙高壓未下電這一危險(xiǎn)事件中,安全目標(biāo) 應(yīng)為充電時(shí)禁止鑰匙高壓上電,對(duì)應(yīng)的功能安全需求可以是「VCU 應(yīng)能監(jiān)控充電槍連接信號(hào),當(dāng)有充電槍信號(hào)時(shí), VCU 應(yīng)能在適當(dāng)時(shí)間內(nèi)完成鑰匙高壓下電」。另一方面, 如果將充電時(shí)鑰匙高壓下電的安全目標(biāo)定位「避免車輛移動(dòng)」的話,可以增加一條安全需求「充電時(shí) VCU 應(yīng)控制 EPB 夾緊并進(jìn)入自動(dòng) P 檔」,這樣在功能上就做到了冗余控制。 
 
2.3 基于功能安全分析的測試用例設(shè)計(jì)
ISO26262 標(biāo)準(zhǔn)中對(duì)集成測試的過程提出了具體要求,包括測試計(jì)劃、測試規(guī)格、測試執(zhí)行和測試報(bào)告等。好的測試用例應(yīng)該是描述正確、便于理解且易于執(zhí)行,本文介紹的測試用例設(shè)計(jì)方法主要適用于 HIL 測試環(huán)境,其他環(huán)境下也可參考使用。
以某車型 VCU 故障處理部分的功能設(shè)計(jì)「當(dāng) ABS 信號(hào)無效超過2000ms 時(shí),VCU 通過電機(jī)轉(zhuǎn)速計(jì)算車速,上報(bào)二級(jí)故障,車速在 10s 內(nèi)限制在 60km/h,且禁止巡航功能」為例進(jìn)行分析。
1)在 ABS 通信正常時(shí),VCU 通過 ABS 發(fā)送的車速信號(hào)來識(shí)別當(dāng)前車速;
2)當(dāng)發(fā)生 ABS 報(bào)文校驗(yàn)和錯(cuò)誤時(shí),VCU 認(rèn)為 ABS 信號(hào)無效,時(shí)間超過3000ms 后確認(rèn)故障發(fā)生,上報(bào)二級(jí)故障;
3)VCU 通過電機(jī)速度來自己計(jì)算車速,并通過調(diào)節(jié)扭矩請(qǐng)求在 10s 內(nèi)使車速不大于 60km/h;
4)若在巡航狀態(tài)時(shí)發(fā)生故障,退出巡航狀態(tài)。
 
通過上述分析,可以將測試點(diǎn)分解為 ABS 通信無效識(shí)別方式、故障確認(rèn)時(shí)間閾值、車速識(shí)別轉(zhuǎn)換、車速限制閾值、車速限制時(shí)間閾值和巡航禁止等。每一個(gè)測試點(diǎn)至少需編寫一條測試用例,用例編號(hào)唯一,故障確認(rèn)時(shí)間閾值測試用例如表5所示,根據(jù) 2.1 節(jié)的分析,該用例 ASIL 等級(jí)為 D。
 
3 VCU 硬件在環(huán)測試
3.1 VCU 硬件在環(huán)測試方案
在待測 VCU 軟硬件比較完整且穩(wěn)定后可將其連接至虛擬整車環(huán)境中進(jìn)行 HIL 測試。HIL 測試能最大程度上模擬實(shí)車運(yùn)行環(huán)境,更重要的是能方便、精確的向  VCU 注入各種故障,滿足功能安全設(shè)計(jì)的驗(yàn)證需求。本文基于 dSPACE 平臺(tái)搭建 VCU HIL 測試系統(tǒng),測試方案如圖
 
dSPACE 仿真器可為 HIL 系統(tǒng)提供電氣環(huán)境,整車模型(ASM)包括整車運(yùn)行必要的部件,并按照實(shí)車結(jié)構(gòu)形成閉環(huán)環(huán)境,通過高性能處理器實(shí)時(shí)運(yùn)算。通過故障注入單元(FIU)可以注入短電、短地和開路故障等。通過上位機(jī)可執(zhí)行測試操作并能實(shí)現(xiàn)自動(dòng)化測試。
 
3.2 測試驗(yàn)證
VCU HIL 測試軟硬件環(huán)境搭建完畢后,首先對(duì) VCU 進(jìn)行開環(huán)測試,確認(rèn)電氣接口特性符合設(shè)計(jì)要求、總線通信報(bào)文收發(fā)正確。然后按照 ISO26262 要求,進(jìn)行功能需求測試和故障注入測試,使用 ControlDesk 搭建的測試界面如圖3所示。
以 ABS 通信無效故障處理為例對(duì)某車型 VCU 進(jìn)行測試,測試用例參考表5,測試結(jié)果如圖 4 和 5 所示。通過設(shè)置 ABS_Enable 信號(hào)來注入通信丟失故障,ABS_Enable 信號(hào)值為 1 時(shí)通信正常,為 0 時(shí)通信停止。為確定 ABS 通信無效故障確認(rèn)時(shí)間,可以設(shè)置通信停止時(shí)間,并通過觀測故障報(bào)警信號(hào)和車輛巡航狀態(tài)來確定故障確認(rèn)時(shí)間閾值和故障處理的準(zhǔn)確性。
使整車以 80km/h 的速度進(jìn)行定速巡航,在24.1s 時(shí)設(shè)置 ABS_Enable 無效并且持續(xù)時(shí)間為 2990ms 后 VCU 仍然保持 80km/h的速度巡航,電機(jī)扭矩請(qǐng)求無任何變化,VCU 故障等級(jí)報(bào)警信號(hào)為無故障(圖4)。同樣使整車巡航在 80km/h,在 24.9s 時(shí)設(shè)置 ABS_Enable 無效且持續(xù) 3000ms,VCU 請(qǐng)求扭矩先降至零然后為負(fù),此時(shí)車輛退出巡航且進(jìn)入了滑行能量回收模式,但 VCU 故障報(bào)警信號(hào)仍然為無故障(圖5)。測試結(jié)果表明,ABS 通信無效故障確認(rèn)時(shí)間為 3000ms,且故障發(fā)生后會(huì)禁止巡航功能,符合 ABS 通信功能安全設(shè)計(jì)要求;發(fā)生故障時(shí)未能正確處理故障報(bào)警信號(hào),不符合設(shè)計(jì)規(guī)范,需進(jìn)行修改。

4 結(jié)論
功能安全標(biāo)準(zhǔn) ISO26262 為道路車輛的開發(fā)、測試、生產(chǎn)和維護(hù)提供了規(guī)范,本文參考標(biāo)準(zhǔn)要求闡述了符合功能 安全要求的純電動(dòng)汽車整車控制器的硬件在環(huán)測試技術(shù), 包括對(duì)功能安全分析、ASIL 等級(jí)的確認(rèn)和具體的功能安全需求的分解,并以 ABS 通信無效故障為例詳細(xì)介紹了測試用例設(shè)計(jì)。最后使用 dSPACE 軟硬件系統(tǒng)搭建 VCU 硬件在環(huán)測試平臺(tái),對(duì)某車型的 VCU 進(jìn)行了HIL 測試。結(jié)果表明,該方法能為功能安全設(shè)計(jì)驗(yàn)證提供系統(tǒng)的流程 和便利的條件。
 
 
分享到:
 
反對(duì) 0 舉報(bào) 0 收藏 0 評(píng)論 0
滬ICP備11026917號(hào)-25