基于ISO26262的車輛電子電氣系統(tǒng)故障注入測(cè)試方法

尚世亮 王雷雷 趙向東

（泛亞汽車技術(shù)中心有限公司）

基于ISO26262的車輛電子電氣系統(tǒng)故障注入測(cè)試方法

尚世亮 王雷雷 趙向東

（泛亞汽車技術(shù)中心有限公司）

基于ISO26262《道路車輛功能安全》標(biāo)準(zhǔn)，以車輛電子穩(wěn)定性控制系統(tǒng)（ESC）的故障注入測(cè)試為例，依據(jù)車輛安全完整性等級(jí)（ASIL），定義了診斷覆蓋率要求及相應(yīng)的傳感器典型失效模式，設(shè)計(jì)出適用于菊花鏈?zhǔn)紺AN總線架構(gòu)的故障注入電路，編寫測(cè)試案例及評(píng)估準(zhǔn)則并進(jìn)行了實(shí)車測(cè)試。結(jié)果表明，所設(shè)計(jì)的測(cè)試方法能夠?qū)囕v電子電氣系統(tǒng)相關(guān)安全機(jī)制進(jìn)行有效驗(yàn)證，且可對(duì)系統(tǒng)進(jìn)行功能安全評(píng)估。

1 前言

隨著汽車電控技術(shù)的發(fā)展，車載電子電氣系統(tǒng)應(yīng)用日益廣泛，但車載電子電氣系統(tǒng)在為乘員提供極大便利的同時(shí)，因系統(tǒng)潛在失效導(dǎo)致的危害風(fēng)險(xiǎn)也大大增加。2011年ISO26262《道路車輛功能安全》標(biāo)準(zhǔn)發(fā)布實(shí)施，該標(biāo)準(zhǔn)基于危害分析和風(fēng)險(xiǎn)評(píng)估定義了汽車安全完整性等級(jí)（ASIL），用其表征車輛系統(tǒng)潛在失效所導(dǎo)致的危害程度。但在該標(biāo)準(zhǔn)中僅列舉了推薦的驗(yàn)證測(cè)試方法名稱，未提供具體的測(cè)試案例或評(píng)估準(zhǔn)則，這給汽車企業(yè)特別是國(guó)內(nèi)整車企業(yè)執(zhí)行該標(biāo)準(zhǔn)造成了困難。為此，本文以車輛電子穩(wěn)定性控制系統(tǒng)（ESC）為例，介紹一種基于總線的故障注入測(cè)試方法，為如何依照標(biāo)準(zhǔn)進(jìn)行功能安全驗(yàn)證測(cè)試和評(píng)估提供借鑒。

2 功能安全驗(yàn)證標(biāo)準(zhǔn)要求和準(zhǔn)則

ISO26262《道路車輛功能安全》標(biāo)準(zhǔn)中的ASIL共分為A、B、C、D 4個(gè)等級(jí)，其中ASIL D為最高等級(jí)。依照ASIL等級(jí)，該標(biāo)準(zhǔn)定義了貫穿車輛系統(tǒng)全生命周期的一系列要求，同時(shí)強(qiáng)調(diào)將功能安全驗(yàn)證測(cè)試作為檢驗(yàn)系統(tǒng)是否滿足既定安全要求的重要手段。

該標(biāo)準(zhǔn)對(duì)功能安全驗(yàn)證測(cè)試的要求涉及流程和技術(shù)兩方面。其中流程定義了驗(yàn)證測(cè)試的幾個(gè)典型階段，包括測(cè)試計(jì)劃的制定、測(cè)試案例的定義、測(cè)試執(zhí)行及結(jié)果評(píng)估[1～4]等。而為了達(dá)到功能安全驗(yàn)證測(cè)試的技術(shù)要求，首先需要分析待測(cè)系統(tǒng)的功能及組成（傳感器、控制器和執(zhí)行器）[5]，然后考慮系統(tǒng)及各組成部分需要達(dá)到的ASIL等級(jí)，對(duì)最關(guān)鍵的單點(diǎn)故障（即該故障的發(fā)生將直接導(dǎo)致違背安全目標(biāo)）進(jìn)行針對(duì)性測(cè)試，即故障注入測(cè)試。

該標(biāo)準(zhǔn)定義了不同ASIL等級(jí)的系統(tǒng)單點(diǎn)故障指標(biāo)應(yīng)達(dá)到的診斷覆蓋率，如表1所列。

表1 基于ASIL等級(jí)的單點(diǎn)故障指標(biāo)（診斷覆蓋率）

該標(biāo)準(zhǔn)將系統(tǒng)故障覆蓋能力分為低、中、高3類，分別對(duì)應(yīng)60%、90%和99%的診斷覆蓋率典型值，所以表1可轉(zhuǎn)化為表2。

以傳感器信號(hào)失效為例，根據(jù)不同的診斷覆蓋率水平，該標(biāo)準(zhǔn)要求系統(tǒng)能診斷如圖1所示的傳感器信號(hào)失效模式[6]，這些失效模式作為故障注入測(cè)試的考慮范圍。

測(cè)試時(shí)，注入典型故障后，系統(tǒng)應(yīng)能對(duì)這些故障進(jìn)行正確探測(cè)，并采取恰當(dāng)?shù)慕导?jí)響應(yīng)。對(duì)故障注入測(cè)試結(jié)果進(jìn)行評(píng)估應(yīng)遵循的最高準(zhǔn)則是，注入故障后系統(tǒng)不能產(chǎn)生任何違背車輛安全目標(biāo)的失效行為。

3 ESC系統(tǒng)CAN總線信號(hào)故障注入測(cè)試

3.1 測(cè)試方案定義

原車ESC系統(tǒng)的組成如圖2所示，包括傳感器、控制器和執(zhí)行器等三部分。傳感器用于檢測(cè)輪速傳感器信號(hào)、真空度傳感器信號(hào)和來(lái)自CAN總線的車身姿態(tài)信號(hào)（如轉(zhuǎn)向盤角度信號(hào)）；控制器接收并處理相關(guān)輸入信號(hào)，計(jì)算后生成對(duì)執(zhí)行器的控制指令；執(zhí)行器包括電磁閥、電子卡鉗和ESC泵。

因ESC系統(tǒng)的功能是確保車身穩(wěn)定，而來(lái)自CAN總線的車身姿態(tài)信號(hào)對(duì)ESC系統(tǒng)起到關(guān)鍵性作用，所以對(duì)該系統(tǒng)的功能安全驗(yàn)證需圍繞這些信號(hào)進(jìn)行故障注入測(cè)試。

ESC控制單元對(duì)信號(hào)的監(jiān)控機(jī)制如圖3所示，控制單元通過(guò)輪速信號(hào)、車身橫擺角速度信號(hào)和側(cè)向加速度信號(hào)對(duì)轉(zhuǎn)向盤角度信號(hào)進(jìn)行模型校驗(yàn)。

以原車ESC系統(tǒng)通過(guò)CAN總線接收的轉(zhuǎn)向盤角度信號(hào)為例，進(jìn)行典型信號(hào)失效模式的故障注入測(cè)試?；诠δ馨踩治觯珽SC系統(tǒng)對(duì)轉(zhuǎn)向盤角度信號(hào)的安全等級(jí)要求為ASIL B，即中等診斷覆蓋率要求，因此定義故障注入測(cè)試案例如表3所列。

對(duì)ESC系統(tǒng)整車級(jí)故障注入測(cè)試的評(píng)估準(zhǔn)則進(jìn)行定義，即系統(tǒng)注入上述故障后應(yīng)能及時(shí)探測(cè)出故障，采取如關(guān)閉功能、點(diǎn)亮故障警示燈等降級(jí)響應(yīng)，且在整個(gè)測(cè)試過(guò)程中不應(yīng)對(duì)車輛行駛產(chǎn)生非駕駛員預(yù)期的車輛制動(dòng)、車輛橫擺及車輛加速。

表3 故障注入測(cè)試案例

3.2 CAN總線故障注入

進(jìn)行CAN總線信號(hào)故障注入測(cè)試時(shí)，需使用上位機(jī)通過(guò)CAN信號(hào)故障注入設(shè)備對(duì)特定總線信號(hào)進(jìn)行故障信息編輯和注入，以檢驗(yàn)待測(cè)ESC系統(tǒng)收到該故障信號(hào)后的反應(yīng)。根據(jù)表3中的定義，對(duì)總線上的轉(zhuǎn)向盤角度信號(hào)進(jìn)行解析，對(duì)信號(hào)值進(jìn)行故障編輯后重新發(fā)送給待測(cè)的ESC系統(tǒng)。但因車輛CAN總線通信的特殊性，測(cè)試時(shí)需注意以下方面。

首先，車輛CAN總線信號(hào)可能采取了保護(hù)機(jī)制（如校驗(yàn)位），所以在改變信號(hào)值的同時(shí)也需要重新計(jì)算校驗(yàn)位的值，以免待測(cè)系統(tǒng)發(fā)現(xiàn)信號(hào)校驗(yàn)信息錯(cuò)誤而提前報(bào)錯(cuò)，導(dǎo)致故障注入測(cè)試無(wú)法實(shí)現(xiàn)。CAN總線信號(hào)的故障編輯方法如圖4所示。

其次，由于CAN總線采取了廣播的通信方式，同一信號(hào)將同時(shí)被多個(gè)總線節(jié)點(diǎn)接收，為避免由于故障注入對(duì)其它總線節(jié)點(diǎn)的影響，需在待測(cè)系統(tǒng)與整車總線之間串聯(lián)可控網(wǎng)關(guān)，通過(guò)上位機(jī)對(duì)待注入故障的測(cè)試信號(hào)進(jìn)行編輯，以實(shí)現(xiàn)故障注入系統(tǒng)將待測(cè)系統(tǒng)與整車隔離。故障注入系統(tǒng)的連接結(jié)構(gòu)如圖5所示。

再次，為避免故障注入測(cè)試設(shè)備對(duì)原車CAN網(wǎng)絡(luò)的終端電阻產(chǎn)生影響，導(dǎo)致CAN網(wǎng)絡(luò)通信異常，采用了如圖6所示的菊花鏈?zhǔn)秸嘋AN總線結(jié)構(gòu)，總線的終端電阻位于終端節(jié)點(diǎn)內(nèi)部。

若待測(cè)系統(tǒng)為原車CAN總線終端節(jié)點(diǎn)，需在截?cái)嗟腃AN總線High和Low之間分別短接120 Ω的電阻，以保證整車網(wǎng)絡(luò)以及故障注入局部網(wǎng)絡(luò)的完整性。測(cè)試設(shè)備的接口方式如圖7所示。

若測(cè)試針對(duì)待測(cè)原車CAN總線上的中間節(jié)點(diǎn)，則應(yīng)在待測(cè)節(jié)點(diǎn)的菊花鏈輸出端添加120 Ω的終端電阻，并將原菊花鏈輸出通過(guò)0 Ω電阻與菊花鏈輸入短接，如圖8所示。

最后，由于CAN總線信號(hào)的故障注入測(cè)試需要經(jīng)歷原信號(hào)解析、信號(hào)值編輯、故障信號(hào)發(fā)送的過(guò)程，所以會(huì)導(dǎo)致該條總線信號(hào)產(chǎn)生延遲，而原車ESC系統(tǒng)對(duì)總線信號(hào)的延遲存在監(jiān)控，為避免因延遲導(dǎo)致ESC系統(tǒng)通信報(bào)錯(cuò)而影響故障注入，對(duì)故障注入系統(tǒng)導(dǎo)致的通信延遲進(jìn)行了測(cè)試，如圖9所示。由圖9可看出，故障注入信號(hào)相比原始信號(hào)的最大發(fā)送延遲為2 ms，在ESC系統(tǒng)可接受的范圍內(nèi)。由此，實(shí)現(xiàn)了針對(duì)原車ESC系統(tǒng)的CAN總線信號(hào)故障注入測(cè)試。

Fault Injection Test Method of Vehicle E/E System Based on ISO26262

Shang Shiliang,Wang Leilei,Zhao Xiangdong
（Pan Asia Technical Automotive Center Co.,Ltd）

Based on ISO26262 standard Road Vehicle Functional Safety,the paper takes fault injection test method of vehicle electronic stability control system(ESC)as example to identify diagnostic coverage requirement and typical failure modes of sensor in compliance with the automotive safety integrity level(ASIL)and design a fault injection circuit for vehicle daisy chain CAN architecture,then define test cases and evaluation criterion before vehicle testing.The vehicle testing result shows that,the designed test method could be used to validate the safety mechanism of vehicle E/E system and support functional safety evaluation.

E/E system,Fault injection test,Function safety evaluation

電子電氣系統(tǒng) 故障注入 功能安全評(píng)估

U463.6

A

1000-3703（2015）12-0049-03