满足ISO26262功能安全要求和AUTOSAR标准的整车控制架构研发与测试评价

1、中国汽车技术研究中心汽车工程研究院满足满足ISO26262功能安全要求和功能安全要求和AUTOSAR标准的整车控制架标准的整车控制架构研发与测试评价构研发与测试评价唐风敏唐风敏常州常州21、整车电子电气架构发展趋势介绍2、满足ISO26262功能安全标准的架构开发3、基于AUTOSAR标准的控制系统开发4、开发案例简介5、测试评价-功能安全ISO262626、测试评价-符合AUTOSAR标准的整车架构汽车电子技术发展趋势4电子电气架构发展趋势备注：信息来源于BOSCH电子电气架构研发热点新型车载总线技术CAN-FD和可局部唤醒的CAN总线FlexRay总线车载Ethernet功能安全标准ISO

2、26262标准于2011年11月出版对应的国标正在转换AUTOSAR标准54.产品开发：系统层面4-5系统层面产品开发启动4-11生产发布4-10功能安全评估4-6技术安全要求规范4-9安全确认4-7系统设计4-8相关项集成和测试5.产品开发：硬件层面5-5硬件层面产品开发启动5-6硬件安全要求规范5-7硬件设计5-8硬件架构指标5-9由硬件随机失效而违反安全目标的评估5-10硬件集成和测试6.产品开发：软件层面6-5软件层面产品开发启动6-7软件架构设计6-8软件单元设计和实现6-9软件单元测试6-10软件集成和测试6-11软件安全要求验证2.功能安全管理2-5整体安全管理2-6概念阶段和产

3、品开发阶段的安全管理2-7生产发布后的安全管理功能安全标准目前已经完成19部分的征求意见稿的制定61. 术语3. 概念阶段3-5相关项定义3-6安全生命周期启动7. 生产和运行7-5生产7-6运行、维护和报废3-7危害分析和风险评估3-8功能安全概念8. 支持过程8-5分布式开发接口8-6安全要求管理和规范8-7配置管理8-8变更管理8-9验证9-5关于ASIL剪裁的要求分解9-6要素共存的标准8-10文档8-11软件工具资质8-12软件组件资质8-13硬件组件资质8-14在用证明9. 汽车安全完整性等级导向和安全导向分析9-7相关失效分析9-8安全分析10. 指南7H&R安全目标SG

4、功能安全要求FSR功能安全概念FSC初期架构PA确认Confirmation危害事件安全目标ID安全目标安全等级ASIL功能安全要求ID分配Allocation安全计划SP(Safety Plan)功能安全开发和测试流程OEMSupplier相关项定义Item definition危害分析与风险评估安全计划SP(Safety Plan)DIASP技术安全要求TSR技术安全概念TSC技术设计规范SDS开发接口协议(Development Interface Agreement )功能安全要求系统要求约束软硬件接口HSISP硬件安全要求HSRSP硬件架构设计详细设计软件安全要求HSRSP软硬件接口

5、HSI软件架构设计详细设计安全分析安全分析单元设计安全验证软件测试安全验证硬件测试集成测试Item integration test安全确认Safety validation安全评估生产发布安全档案SCSafety CaseSP功能安全开发工具-PREE9AUTOSAR标准路线图Source: 8thAUTOSAR Open CAUTOSAR控制系统开发流程AUTOSAR控制系统开发工具链项目简介:A级纯电动车电子电气架构开发功能安全分析(ISO26262)整车控制器开发电子电气测试Customer Features定义5 Domains,936 customer features Vehic

6、le Dynamics Comfort System Infotainment System Safety & Security System EV System13RequirementsCustomerFeaturesImportCustomer FeaturesMRequirements定义5Domains,23675 R15功能安全开发Item Definition, HazardAnalysis and RiskAssessment, Functional Safety Concept8 Systems, 5 ECUs, 23 Safety Goals VCU, BMS, L

7、KAS, MCU, DCDCHARA-LKASLKAS: Safety Goals & FSRsSG1:26 FSRsSG2:28 FSRsSG3:23 FSRs16Functional Safety GoalsE/E Architecture DevelopmentTechnical Safety RequirementHardware SafetyRequirementSoftware SafetyRequirementSystem DesignFSRs-LKAS17电子电气架构开发-逻辑架构层170 Building Blocks, 155 Sensors, 175Actuato

8、rs1320 Send Receiver InterfacesPower-DriverS电子电气架构开发-软件架构层VCM：43 SWCBMS：7 SWCCharger：15 SWCConverter：6 SWCHVAC：8 SWC18Title行驶功能DefinitionECO模式下的行驶控制-VCMSWCnameRC-SWC-3-3RemarksInputprocessoutputsignalnametypesignalnametypeAPS_PositionH/Wif*1*2ShiftLeverPosition=D&S_EcoMode=1&vehicle_speed120

9、km/h|*3IgnitionPosition=OFF/ACC|APSPosition/t50%/100msthenVCM_EcoMode=0&VCM_MbRegenMaxWheel=50NM(TBD)&VCMTorquechangeslope=100NM/100ms(TBD)*1:ShiftLeverPosition根据信号“S_gearLeverPos;S_ShiftPosInv和F_gearLeverPos计算。S_gearLeverPos需和S_ShiftPosInv保持一致。同时F_gearLeverPos=Nofault*2:车速阈值为10km/h，即：其他条件满足

10、的情况下，如果车速120km/h，则退出经济模式，如果车速110km/h时，恢复经济模式*3：因加速踏板变化率过大导致经济模式退出时，120s后恢复经济模式VCM_EcoModeCANABS_Vehicle_speedCANVCM_MbRegenMaxWheelCANS_EcoModeCANS_gearLeverPosCANS_ShiftPosInvCANF_gearLeverPosCANIgnition_StatusCANSoftware Component (SWC) specificationSWC的输入/输出(Output From PREEvision)SWC处理策略共设计79份SW

11、C整车控制器开发-开发流程整车控制器（VCU）开发-应用层整车控制器开发-应用层扭矩管理上/下电控制热管理控制故障诊断及保护驾驶员意图识别电对象控制扭矩管理模型故障诊断及保护模型测试要求功能安全测试的三个环节（ISO 26262-4） 软件-硬件层测试 系统集成测试 整车集成测试测试类别（ISO 26262-4） 鲁棒性水平 功能安全需求在整车层面上的正确执行 安全机制在整车层面的正确功能性能,准确性和时序 整车层面内外部接口实现的一致性和正确性 安全机制在整车层面的失效覆盖率的有效性23MethodsASIL等级ABCD1aRequirements-basedtest+1bFaultinje

12、ctiontest+1cBack-to-backtest+MethodsASIL等级ABCD1aBack-to-backtest+1bPerformancetest+功能安全测试的5个要求功能安全需求在整车层面上的正确执行安全机制在整车层面的功能，性能，准确性和时序24MethodsASIL等级ABCD1aTestofexternalinterfaces+1bTestofinternalinterfaces+1cInterfaceconsistency+MethodsASIL等级ABCD1aFaultinjectiontest+1bErrorguessingtest+MethodsASIL等级

13、ABCD1aResourceusagetest+1bStresstest+功能安全测试的5个要求内外部接口的一致性和正确性安全机制诊断覆盖率有效性鲁棒性测试测试用例开发-故障注入测试27系统集成测试安全相关的功能策略测试 基本功能测试 系统交互功能测试故障诊断测试 故障处理策略 故障DTC接口测试系统集成测试+-实车测试功能需求测试环境工况测试 电磁环境 温度环境道路工况测试猜错测试故障注入测试28VCMHV BatteryPre CHG RLYPre CHGResistanceMain_Pos_RLYMain_Neg_RLYHV+HV-HV+HV-UVW+-UVWInverterDC/DC+

14、-To PTCTo AC CompressorEV CAN_LEV CAN_HCPMain_Neg_RLYMain_Pos_RLYPre_CHG_RLYOBC CHGRLYQuick_CHG_Pos_RLYIG BTPDUOBCRLY2 V+RLY 1 V+PRECHG V+BAT+OBC CHGInterface+ G ND -G ND -+-+-+-+-+-+-+-1AC CMSD+-To HV BatteryHeaterMCU_Emergency_Stop+EV CAN_HEV CAN_LCHG CAN_LCHG CAN_HQuick_CHG_CC2Power+Power-CC17125

15、48963Interlock1Interlock2LV Out +LV Out -Interlock2Interlock1BatteryHeater_RLY2BMSBAT12012111611496311IG N1171181134592MotorEV CAN_LEV CAN_HQuick_CHG_Neg_RLYQuick CHGInterfaceOBC_CHG_RLYBATBATQuick_CHG_Neg_RLYQuick_CHG_Pos_RLYBATBatteryHeater_RLY119OBC充电继电器快充负继电器快充正继电器电池包加热继电器快充充电枪CC2信号电机紧急停止信号主负继电器

16、主正 继电器预充 继电器地地地地BOB1201211161149631117118113459211912012111611496311171181134592119EV CAN_LEV CAN_HCHG CAN_LCHG CAN_HBMS_HVIL_OutBMS_HVIL_In实车测试-故障注入盒实车测试-环境舱(带转毂)AUTOSAR Acceptance Test Specification 1.1.0AUTOSAR_ATS_CommunicationCANAUTOSAR_ATS_CommunicationFlexRayAUTOSAR_ATS_CommunicationLINAUTOSAR_ATS_CommunicationManagementAUTOSAR_ATS_CommunicationViaBusAUTOSAR_ATS_DiagnosticServicesAUTOSAR_ATS_EcuModeManagementAUTOSAR_ATS_IPv4AUTOS