满足ISO功能安全要求和AUTOSAR标准的整车控制架构研发与测试评价中汽中心唐风敏

中国汽车技术研究中心汽车工程研究院满足ISO26262功能安全要求和

AUTOSAR标准的整车控制架构研发与测试评价唐风敏@常州

2016.05.1921、整车电子电气架构发展趋势介绍

2、满足ISO26262功能安全标准的架构开发3、基于AUTOSAR标准的控制系统开发

4、开发案例简介

5、测试评价-功能安全ISO262626、测试评价-符合AUTOSAR标准的整车架构汽车电子技术发展趋势34电子电气架构发展趋势

备注：信息来源于BOSCH电子电气架构研发热点

新型车载总线技术CAN-FD和可局部唤醒的CAN总线FlexRay总线车载Ethernet功能安全标准ISO26262标准于2011年11月出版对应的国标正在转换AUTOSAR标准54.产品开发：系统层面4-5系统层面产品开发启动4-11生产发布4-10功能安全评估4-6技术安全要求规范4-9安全确认4-7系统设计4-8相关项集成和测试5.产品开发：硬件层面5-5硬件层面产品开发启动5-6硬件安全要求规范5-7硬件设计5-8硬件架构指标5-9由硬件随机失效而违反安全目标的评估5-10硬件集成和测试6.产品开发：软件层面6-5软件层面产品开发启动6-7软件架构设计6-8软件单元设计和实现6-9软件单元测试6-10软件集成和测试6-11软件安全要求验证2.功能安全管理2-5整体安全管理2-6概念阶段和产品开发阶段的安全管理2-7生产发布后的安全管理功能安全标准目前已经完成1～9部分的征求意见稿的制定61.

术语

3.

概念阶段3-5相关项定义3-6安全生命周期启动

7.

生产和运行7-5生产7-6运行、维护和报废3-7危害分析和风险评估3-8功能安全概念

8.

支持过程

8-5分布式开发接口

8-6安全要求管理和规范

8-7配置管理

8-8变更管理

8-9验证

9-5关于ASIL剪裁的要求分解

9-6要素共存的标准

8-10文档

8-11软件工具资质

8-12软件组件资质

8-13硬件组件资质

8-14在用证明9.

汽车安全完整性等级导向和安全导向分析

9-7相关失效分析

9-8安全分析

10.

指南7

H&R

安全目标

SG功能安全要求

FSR功能安全概念

FSC初期架构

PA

确认Confirmation危害事件安全目标

ID安全目标安全等级

ASIL功能安全要求

ID

分配Allocation

安全计划SP(Safety

Plan)功能安全开发和测试流程

OEM

Supplier

相关项定义

Item

definition

危害分析与风险评估

安全计划SP(Safety

Plan)DIASP技术安全要求

TSR技术安全概念

TSC技术设计规范

SDS开发接口协议(Development

Interface

Agreement

)

功能安全要求

系统要求

约束软硬件接口

HSISP硬件安全要求

HSRSP硬件架构设计

详细设计软件安全要求

HSRSP软硬件接口

HSI软件架构设计

详细设计

安全分析安全分析

单元设计安全验证软件测试

安全验证

硬件测试

集成测试Item

integration

test

安全确认

Safety

validation

安全评估

生产发布

安全档案SC

Safety

CaseSP功能安全开发工具-PREEvision89AUTOSAR标准路线图

Source:

8thAUTOSAR

Open

ConferenceAUTOSAR控制系统开发流程10AUTOSAR控制系统开发工具链11项目简介:A级纯电动车

电子电气架构开发

功能安全分析(ISO26262)

整车控制器开发

电子电气测试12Customer

Features定义

5

Domains,936

customer

features

Vehicle

Dynamics

Comfort

System

Infotainment

System

Safety

&

Security

System

EV

System13RequirementsCustomer

FeaturesImportCustomer

FeaturesMetricRequirements定义

5Domains,23675

Requirements1415功能安全开发

Item

Definition,

HazardAnalysis

and

RiskAssessment,

Functional

Safety

Concept

8

Systems,

5

ECUs,

23

Safety

Goals

VCU,

BMS,

LKAS,

MCU,

DCDC

HARA-LKASLKAS:

Safety

Goals

&

FSRs

SG1:26

FSRs

SG2:28

FSRs

SG3:23

FSRs16Functional

Safety

GoalsE/E

Architecture

DevelopmentTechnical

Safety

RequirementHardware

Safety

RequirementSoftware

Safety

RequirementSystem

DesignFSRs-LKAS17电子电气架构开发-逻辑架构层

170

Building

Blocks,

155

Sensors,

175Actuators

1320

Send

Receiver

Interfaces

Power-DriverSystem电子电气架构开发-软件架构层

VCM：43

SWC

BMS：7

SWC

Charger：15

SWC

Converter：6

SWC

HVAC：8

SWC18Title行驶功能DefinitionECO模式下的行驶控制-VCMSWCnameRC-SWC-3-3RemarksInputprocessoutputsignalnametypesignalnametypeAPS_PositionH/Wif*1*2ShiftLeverPosition=D&&S_EcoMode=1&&vehicle_speed<120km/hthenVCM_EcoMode=1&&VCM_MbRegenMaxWheel=100NM(TBD)&&VCMTorquechangeslope=5NM/100ms(TBD)ifShiftLeverPosition*!=D||S_EcoMode=0&||vehicle_speed>120km/h||*3IgnitionPosition=OFF/ACC||△APSPosition/△t>50%/100msthenVCM_EcoMode=0&&VCM_MbRegenMaxWheel=50NM(TBD)&&VCMTorquechangeslope=100NM/100ms(TBD)*1:ShiftLeverPosition根据信号“S_gearLeverPos;S_ShiftPosInv和F_gearLeverPos计算。S_gearLeverPos需和S_ShiftPosInv保持一致。同时F_gearLeverPos=Nofault*2:车速阈值为10km/h，即：其他条件满足的情况下，如果车速≥120km/h，则退出经济模式，如果车速＜110km/h时，恢复经济模式*3：因加速踏板变化率过大导致经济模式退出时，120s后恢复经济模式VCM_EcoModeCANABS_Vehicle_speedCANVCM_MbRegenMaxWheelCANS_EcoModeCANS_gearLeverPosCANS_ShiftPosInvCANF_gearLeverPosCANIgnition_StatusCANSoftware

Component

(SWC)

specification

SWC的输入/输出(Output

From

PREEvision)

SWC处理策略

共设计79份SWC19整车控制器开发-开发流程20整车控制器（VCU）开发-应用层21整车控制器开发-应用层扭矩管理上/下电控制热管理控制故障诊断及保护驾驶员意图识别电对象控制扭矩管理模型故障诊断及保护模型测试要求

功能安全测试的三个环节（ISO

26262-4）

软件-硬件层测试

系统集成测试

整车集成测试

测试类别（ISO

26262-4）

鲁棒性水平

功能安全需求在整车层面上的正确执行

安全机制在整车层面的正确功能性能,准确性和时序

整车层面内外部接口实现的一致性和正确性

安全机制在整车层面的失效覆盖率的有效性23MethodsASIL等级ABCD1aRequirements-basedtest++++++++1bFaultinjectiontest+++++++1cBack-to-backtest++++++MethodsASIL等级ABCD1aBack-to-backtest++++++1bPerformancetest+++++++功能安全测试的5个要求

功能安全需求在整车层面上的正确执行

安全机制在整车层面的功能，性能，准确性和时序24MethodsASIL等级ABCD1aTestofexternalinterfaces+++++++1bTestofinternalinterfaces+++++++1cInterfaceconsistency+++++++MethodsASIL等级ABCD1aFaultinjectiontest++++++1bErrorguessingtest+++++++MethodsASIL等级ABCD1aResourceusagetest+++++1bStresstest+++++功能安全测试的5个要求

内外部接口的一致性和正确性

安全机制诊断覆盖率有效性

鲁棒性测试25测试用例开发-故障注入测试2627系统集成测试

安全相关的功能策略测试

基本功能测试

系统交互功能测试

故障诊断测试

故障处理策略

故障DTC

接口测试

系统集成测试…………+-实车测试功能需求测试环境工况测试

电磁环境

温度环境道路工况测试猜错测试故障注入测试28VCMHV

BatteryPre

CHG

RLYPre

CHGResistanceMain_Pos_RLYMain_Neg_RLYHV+HV-HV+HV-UVW+-UVWInverterDC/DC+-To

PTCTo

AC

CompressorEV

CAN_LEV

CAN_HCPMain_Neg_RLYMain_Pos_RLYPre_CHG_RLYOBC

CHG

RLYQuick_CHG_Pos_RLYIG

BTPDUOBCRLY2

V+RLY

1

V+PRECHG

V+BAT+OBC

CHGInterface+

GND

-GND-+-+-+-+-+-+-+-1AC

CMSD+--To

HV

Battery

HeaterMCU_Emergency_Stop+EV

CAN_HEV

CAN_LCHG

CAN_LCHG

CAN_HQuick_CHG_CC2Power+Power-CC171254