摘要
随着纯电动汽车的飞速发展,整车控制系统复杂程度也越来越高,伴随的功能失效安全问题也日益凸显。然而基于传统的开发方式已经不能够满足与保证电控单元安全性的需求,因此在汽车 ECU 的开发中引入功能安全的概念,通过功能安全标准 ISO26262 全面保证电控单元开发应用过程中的安全问题。该标准在 ECU在开发设计中,提出了与功能安全相关的技术规范和要求。因此整车控制技术作为电动车关键技术也应考虑功能安全。
本文基于对功能安全标准研究的基础上,分析了整车控制器的功能安全性。
针对整车控制器在硬件功能安全性不完善和缺乏监测及冗余机制等问题,设计了相应的硬件架构和软件架构。并在此基础上设计了相应的安全机制,同时实现其监测和冗余等安全机制软件。通过 HIL 硬件在环测试平台,模拟整车控制器的信 号输入与输出,对实现后的整车控制器进行了功能测试和故障注入测试,验证了本文设计的整车控制器。本文的主要内容如下:
1. 首先对功能安全标准进行研究,分别介绍了功能安全标准内容、汽车安全生命周期和汽车安全完整性 ASIL 等级。同时根据功能安全标准对整车控制器功能安全性进行了危害分析、DFMEA 设计失效模式及后果分析分析和 FTA 故障树分 析,得到相应的安全需求和技术需求,并结合整车控制器的特点,设计了相应的硬件架构和软件架构。
2. 其次结合信号处理功能特点,对整车控制器信号处理功能进行分析,得到可能存在的潜在故障。针对以上潜在故障问题,设计了相应的故障检测与处理机制,并对其功能模块进行了设计、仿真与实现。
3. 然后结合 CAN 网络通信特点,再进一步从硬件层面角度出发对整车 CAN网络通信功能进行分析,得到可能存在的潜在故障。采用备份 CAN 的冗余机制,进行故障检测和处理,并对其功能模块进行了设计、仿真与实现。
4. 最后通过 HIL 硬件在环测试平台搭建了测试台架,模拟了电动车动力总成上的网络通信以及信号输入与输出,并使用 CAPL 脚本语言编写测试用例,实现HIL 测试平台故障的自动化注入与恢复,对整车控制器进行了功能测试和故障注入测试。
测试结果表明,整车控制器在正常条件和故障注入条件下,硬件功能都能正常工作,同时相应的安全机制也能够检测到故障的发生并对其进行冗余处理。其中故障检测率可达 99%以上,系统切换到安全状态的最长时间为 45.9ms,满足相应的安全需求和安全目标。因此,验证了基于功能安全标准设计的整车控制器符合功能等级 ASIL D 级的相关要求,提高了整车控制器的安全性和可靠性,体现了功能标准的实用价值。
关键词:整车控制器,功能安全标准,ASIL 等级,硬件在环,故障注入测试
Abstract
With the rapid development of pure electric vehicles, the vehicle control system is becoming more and more complex, and the accompanying functional failure safety issues are also increasingly prominent. However, based on the traditional development method, it is unable to meet the requirements of ensuring the safety of the electronic control unit. Therefore, the concept of functional safety is introduced in the development of automotive ECU, and the safety problem in the development and application of the electronic control unit is fully guaranteed through the functional safety standard ISO26262. This standard proposes technical specifications and requirements related to functional safety in the development and design of ECU. Therefore, vehicle control technology should also consider functional safety as a key technology for electric vehicles.
Based on the research of functional safety standards, this thesis analyzes the functional safety of vehicle controllers. Aiming at the problem that the vehicle controller is not perfect in hardware function safety and lack of monitoring and redundancy mechanism, the corresponding hardware architecture and software architecture are designed. Based on this, the corresponding security mechanism is designed, and the security mechanism software such as monitoring and redundancy is realized. Finally, through the HIL hardware-in-the-loop test platform, the signal input and output of the vehicle controller are simulated. The function test and fault injection test of the completed vehicle controller were carried out to verify the vehicle controller designed in this thesis. The main contents of this article are as follows:
1. First, the functional safety standards were studied, and the standard content, vehicle safety life cycle and automotive safety integrity ASIL level were introduced. At the same time, according to the functional safety standards, the safety analysis of the vehicle controller is carried out by hazard analysis, DFMEA analysis and FTA analysis, and the corresponding safety requirements and technical requirements are obtained.Combined with the characteristics of the vehicle controller, the corresponding hardware architecture and software architecture are designed.
2. Secondly, combined with the characteristics of signal processing functions, the signal processing functions of the vehicle controller are analyzed to obtain potential faults. Aiming at the above potential faults, the corresponding fault detection and processing mechanism is designed, and its functional modules are designed, simulated and implemented.
3. Then combined with the characteristics of CAN network communication, further analyze the CAN communication function of the vehicle control from the hardware level, and obtain potential faults. The redundancy mechanism of the backup CAN is used to detect and process faults, and the functional modules are designed, simulated and implemented.
4. Finally, a test bench was built on the hardware in the loop test platform to simulate network communication and signal input and output. And use the CAPL script language to write test cases, realize the automatic injection and recovery of HIL test platform failures, and perform functional test and fault injection test on the vehicle controller.
The test results show that the hardware function can work normally under normal conditions and fault injection conditions. At the same time, the corresponding security mechanism can also detect the occurrence of the failure and redundantly process it. The fault detection rate is over 99%, and the maximum time for the system to switch to the safe state is 45.9ms, which meets the corresponding security requirements and security objectives. Therefore, it is verified that the vehicle controller designed based on the functional safety standard meets the relevant requirements of the functional grade ASIL D level, which improves the safety and reliability of the vehicle controller and embodies the practical value of the functional standard.
Keywords: VCU, Functional Safety Standard, ASIL Level, HIL, Fault Injection Test
目录
第 1 章 绪论
1.1 研究背景及意义
随着纯电动汽车的迅速发展,纯电动汽车以无污染、低噪音、高效率和结构简单等特点受到各大高校和车企的青睐[1].从 863 计划开始提出发展新能源汽车,到"十二五"和"十三五"规划中提出推动新能源汽车发展,再到"三纵三横"基本体系的形成,全面提升了电动汽车整车品质和性能。同时工信部还进行了相应的规划,到 2020 年新能源汽车销量占整个汽车销量的 7%,到 2025 年占整个汽车销量的 15%,到 2030 年占整个汽车销量的 40%[2].截止 2018 年底我国新能源汽车销量逐年增长,数据统计如图 1.1 所示[3].
在国家大力支持推动下,纯电动汽车迎来了迅速发展并处于发展的关键时期,但伴随的安全问题也日益凸显。2011 年 4 月,杭州一辆纯电动出租车在街头自燃,成为了新能源汽车推广以来的首起安全事故[4].经统计在 2018 年全年中,共召回新能源汽车 13.57 万辆,召回的比例高达 13.46%,约全年汽车召回总量的 1%.其 中召回的主要原因是由于车辆在电池、制动助力真空泵以及变速器三个方面存在严重的功能故障问题。汽车电子电气系统日益复杂化,与安全相关的电控 ECU 单元越来越多,其中与安全相关的电控系统出现功能失效将导致安全问题,即为功能安全所关注的范畴。随着安全问题的日益突出,传统的开发方式已经不能够满足电控单元的安全需求,因而在汽车电控单元开发中引入功能安全的概念,通过功能安全标准全面地保证电控单元开发应用过程中的安全问题[5].因此为了保证汽车电子电气安全可靠地运行,必须把功能安全作为关键考虑因素之一。
功能安全是指不存在由于电子电气系统的功能异常而导致的危害事件,主要由系统性失效和随机性硬件失效引起的功能异常[6].其中系统性失效可以在设计开发阶段采用一定的方法来规避,而随机性失效只能降低到可接受的程度范围内。
通过对汽车电子电气系统功能安全性的分析与设计,在车辆运行过程中实时监测与功能安全相关的参数,提前监测危害事件的发生,保证系统的安全性和可靠性。
早在 2011 年国际标准化组织发布了道路车辆功能安全标准 ISO26262,该标准提出从功能安全角度来考虑产品的开发,对车辆和系统提出了功能性的安全要求。针对故障诊断和故障处理的可靠性,将与功能安全相关的故障风险降低到一个可以接受的水平,使系统符合所需的功能安全等级[7-9].随着车辆智能化和丰富化的提高,电子电气产品大量应用在汽车控制领域中,目前不仅应用在智能辅助驾驶和动力控制领域中,而且也广泛应用在主被动安全和车辆动态控制系统领域当中,只要有电子电气系统就会有功能安全的身影[10-11].
在新能源汽车迎来快速发展的关键时期,作为三大关键技术中的整车控制技术的实现也应考虑功能安全。整车控制器作为整车控制技术实现的载体,同时也为了保证整车控制器可靠运行,避免由于系统失效和随机硬件失效带来的安全隐患[12-13].因此,在纯电动汽车整车控制器的开发设计中,必须把功能安全作为关键考虑要素之一。为了保证整车控制器的功能安全性,必须要有符合功能安全的硬件架构,并对硬件电路中元器件进行失效分析,同时还要有符合功能安全的软件架构,并在软件上设置监测和冗余等安全机制。目前在国外早已广泛采用功能标准对汽车电子电气产品进行开发了,而在国内对 ISO26262 功能标准应用于纯电动汽车整车控制器上的开发相对甚少[9].因此本文基于功能安全标准中提出的在概 念阶段和系统设计阶段的相关技术规范和要求,对整车控制器进行功能安全性分析,设计符合一定功能要求的整车控制器硬件,提高整车控制器的安全性和可靠性,并对其进行实现,具有一定的研究意义。
1.2 电动汽车整车控制器概述
电动汽车整车控制器(VCU)作为整车控制中的核心系统部件,主要负责控制整车的重要任务。VCU 主要通过采集加速踏板、制动踏板和档位位置等信号来判断驾驶员的操作意图,同时监测动力总成系统上的电池管理系统(BMS)和电机控制系统(MCU)反馈的相关状态信息,计算整车需求扭矩并通过 CAN 网络发送指令给MCU 控制电机本体输出,以实现整车的驱动、制动和能量回收等工作,从而达到对整车的控制[14].整车控制器在纯电动整车中的控制示意图如图 1.2 所示。其中整车控制器硬件组成结构主要由电源模块、MCU 最小系统模块、信号处理模块、驱动输出模块和 CAN 通信模块组成,一般结构如图 1.3 所示。
同时 VCU 还担负着整车能量管理、网络管理、附件管理、档位管理、车辆运行状态管理、高压上下电管理、高压安全监控和故障诊断等工作。其中整车能量管理主要对整车的能量进行分配和管理,使得整车兼顾经济性、动力性和舒适性等。整车网络管理主要充当网关角色,对整车网络进行报文重组和报文路由,同时管理网络其他 ECU 节点睡眠和唤醒工作[15].整车附件管理主要对整车中的高低速风扇、PTC、空调和真空泵进行管理。车辆运行状态管理主要对整车的驱动、制动和能量回收等状态进行管理。高压上下电管理主要负责控制高压盒中继电器实现电池包、电机控制器、充电机和直流转换器(DCDC)的连接[16].高压安全监控主要对高压器件和高压回路进行监控,防止高压回路异常短路或断路等故障发生[17].
故障诊断则是对车辆工作状态进行动态监测,以提前应对整车故障的发生。其 VCU功能结构图如图 1.4 所示:
1.3 功能安全国内外研究现状
1.3.1 国外研究现状
国外早已广泛使用基于功能标准提出的功能安全 V 模式进行 ECU 产品的开发,保证了 ECU 的安全性和稳定性。在 ECU 开发过程中为简化开发过程和使 ECU 软件具有可重复用性,成立了汽车开发系统架构联盟(AUTOSAR),缩短了开发周期 并使得 ECU 的软件日趋标准化。同时国外对 ECU 功能安全进行了如下研究:
在汽车电子功能安全标准研究中,国外在 2005 制定了 ISO26262 道路车辆功能安全标准,并于 2011 年正式颁布与使用。在该标准中定义了关于汽车安全生命周期和汽车安全完整性等级(ASIL)两个关键概念,使得汽车电子电气产品在安全生命周期内从概念设计阶段、产品开发阶段到批量生产阶段必须严格按照相关安全规范进行,开发的产品系统功能安全性得到很大的提升[12].同时欧美国家已经强制要求汽车电子电气产品必须按照功能安全标准进行开发,产品必须通过安全认证。如通用汽车公司为引入功能安全标准,整改了公司研发部门架构以满足功能安全标准中的开发流程,宝马纯电动汽车 i3 的 BMS 也达到了 ISO26262 的汽车安全完整性等级 ASIL D 标准,特斯拉的 BMS 开发也符合 ISO26262 的要求[6].
在汽车电子功能安全研究中,主流的汽车芯片厂商 Freescale、ST 和 Infenion等对微控制器的可靠性进行了研究和设计,设计了符合 ISO26262 道路车辆功能安全标准的微控制器芯片,主要应用于车身控制、底盘控制和动力控制等方面。如Freescale 公司设计符合 ISO26262 标准的 MPC 系列 32 位微控制器,在这些微控制器产品中采用了最新的多内核技术、纠错以及数据校正 ECC 模块,使得在数据储存、性能和控制功能方面达到了更安全的设计[18].选用该系列微处理器,使得遵从 ISO26262 标准来开发系统的难度降低。瑞萨电子也专为汽车运算系统的功能安全而研发了相应的硬件故障探测及预警技术,同时还成功开发出一种支持ISO26262 功能安全标准的汽车运算片上系统(SoC)原型机[19].英飞凌也为了确保产品设计符合功能安全标准,推出一套相应的设计套件,可使得基于 32 位 TriCore?
微控制器的嵌入式设计符合 IEC61508 的功能性安全要求[20].
在国外研究人员对功能安全研究中,如美国的 Prakhar Srivastava 和 ManishLaxman Karle 应用 ISO26262 标准来开发 ECU 的软硬件设计过程,使用 FMEA 失效模式影响及后果分析和 FTA 故障树方法进行了可靠性分析,确认设计的 ECU 的失效功能和非失效功能,减少安全失效状态[21].意大利都灵理工大学的 M.SonzaReorda 和 M. Violante 对车辆 ECU 硬件在环测试进行了故障注入,研究了车辆动力学由于失效引起的响应,验证了汽车系统的功能安全[22].德国博世的 Sri RamaChandra Murthy Batchu 在电动汽车的逆变器模块中,就如何保证 ISO26262 标准的安全原则,从监视、冗余、异构和诊断等安全措施来降低硬件失效进行了分析[23].
1.3.2 国内研究现状
国内对功能标准研究较多,但在纯电动汽车整车控制方面的应用较少,大部分仍然采用传统 V 模式对汽车电子电气产品进行开发,未从功能安全角度来对产品进行设计和开发。国内对 ECU 功能安全也进行了如下研究:
在汽车电子功能安全标准研究中,2007 年制定了 GB/T20438 电气/电子/可编程电子安全相关系统的功能安全标准,该标准定义了电子电气安全相关系统要求、软件要求和确定安全整体性等级的方法和示例。在 ISO26262 颁布以后,全国汽车标准化技术委员会于 2012 年下达了制定国家标准《道路车辆功能安全》的计划,并于 2017 年 10 月发布,将于 2018 年 5 月正式实施[24].该标准对车辆功能安全ASIL 等级及关键参数、功能安全流程开发体系和测试评价体系进行了研究。为推动该标准在行业中的推广与实施,提高我国汽车整车和关键电控系统的功能安全技术,"道路车辆功能安全标准研究制定工作组"制定了"十三五"期间的工作目标和规划。该规划涵盖功能安全标准解读、功能安全共性关键技术、功能安全测试评价和功能安全流程评估等方面[25].
在汽车电子功能安全研究中,大唐恩智浦早在 2015 年与南德意志正式签署了ISO26262 功能安全开发流程认证的合作协议,成为中国汽车半导体行业内首个启动功能安全开发流程认证项目的企业[26].北京恒润科技有限公司在汽车电子产品功能安全开发中也有着丰富的经验,从 2012 年开始研究 ISO26262 标准已经掌握了功能安全相关标准和技术,熟悉功能安全开发流程,已为国内整车厂商提供功能安全相关技术支持和服务[27].
在国内研究人员对功能安全研究中,同济大学的赵建军对安全气囊进行了功能安全的分析,确定了其安全完整性等级和功能安全目标,并设计了功能安全架 构,最后对安全相关电路进行了功能安全的分析[28].哈尔滨工业大学的朱峰对纯电动汽车整车控制器硬件进行了失效性分析与研究,采用了双 MCU 的冗余设计,提高了整车控制器硬件的可靠性[29].吉林大学的杜德清在对电动汽车整车控制器故障诊断系统的研究与开发中,采用了主辅 MCU 协同控制的控制策略[30].广州汽车工程研究院的文凯以油电混合动力车的开发为例,阐述了 ISO26262 功能安全概念阶段的设计和开发,包括了项目定义、危险分析和风险评估以及功能安全等概念[31].清华大学季学武教授对功能安全标准 ISO26262 进行了介绍,同时对电动助力转向系统进行了 FMEA 分析,并以"转向沉重"为顶事件进行了故障树分析,为硬件的功能安全设计提供了借鉴[32].
1.4 现有整车控制器功能安全性存在的问题
基于前文的介绍,目前现有纯电动汽车整车控制器存在一些关键的功能安全性问题,主要分为以下两个方面:
1.4.1 硬件功能安全性不完善
在文献[5]关于汽车功能安全的硬件设计与安全分析中,提到如何能完备地完成硬件的功能安全开发尤为重要,而目前在 ECU 硬件开发过程中,很少从功能安全的角度出发。在文献[29]关于纯电动车整车控制器设计与失效分析方法研究中,对硬件元器件失效方法进行了研究,但未重点对整车控制器硬件存在的潜在失效进行分析。同时在该文献中采用了双 MCU 的硬件架构,却只采用单个电源芯片为其 MCU 供电,未从电源角度出发进行隔离 MCU,将不能完整地形成独立的双MCU 控制子系统,并且也未根据功能安全标准对其硬件架构指标进行量化与安全确认。硬件架构指标未达到相应功能安全等级所规定的指标,主要表现为单点故障和潜在故障指标低。单点故障指标低是由于某一个元器件失效造成系统失效而引起指标降低,可通过设计诊断功能提高该指标。潜在故障指标降低是由于设计的诊断功能出现故障时而降低,可以通过设计冗余诊断功能形成双诊断提高指标。
硬件架构指标主要用于衡量硬件架构的合理性,因此必须保证整车控制器硬件架构指标达到相应的要求。在文献[34]关于整车控制器功能安全设计与研究中,提到基于功能安全标准的整车控制器系统架构设计,却未详细研究硬件功能的控制方式与诊断方式。从整车控制器硬件功能层面上进行分析,目前其主要采用了开环控制的方式控制其信号输出,未添加相关诊断功能和容错处理机制形成闭环控制,如信号采集、驱动输出和 CAN 网络通信的监控和诊断。当信号采集、驱动输出或通信模块受到干扰及故障时,主控芯片将无法判断整车控制器的状态,因此将存在很大的安全隐患。常采用的控制方式如图 1.5 所示。
1.4.2 软件功能缺乏诊断与冗余机制
在文献[30]关于电动车 VCU 诊断系统开发与测试中,采用了主从 MCU 协同控制的控制策略,重点研究了 VCU 应用层故障诊断的控制策略,却未从软件驱动层和中间服务层考虑自身出现的硬件故障。在文献[33]基于功能安全的整车控制器概念设计与仿真中,提到了相应的故障检测机制软件,并对其进行了仿真,但也未从硬件层面角度出发考虑自身故障的检测和冗余机制。在文献[6]关于功能安全设计为新能源发展提供保障中,提到采用功能安全 V 模式进行 ECU 开发已成为今后的趋势。在文献[24]关于中国道路车辆功能安全标准化工作规划中,提到功能安全技术已成为推动汽车工业发展的核心关键技术。然而目前对整车控制器的设计仍在采用传统的 V 模式开发流程,该流程注重以实现功能为主,在其硬件开发阶段未对其硬件元器件失效进行评估,可能会导致存在许多潜在的故障风险。
针对整车控制器在硬件功能层面上存在的问题,结合现有的双 MCU 控制原则,对其进行改进与优化。本文将对整车控制器功能进行分析,得到可能由于硬件层面功能故障导致的系统性失效问题,并对各种故障设计相应的检测机制和冗余机制,保证故障发生后整车控制器系统仍处于安全状态,避免系统性失效造成不可预测的危害事件。因此,对整车控制器硬件的控制采用闭环控制的方式控制其输出,并在软件服务层中添加对自身硬件故障的监测与诊断服务。根据功能安全标准发展的趋势,并结合以上问题来看,迫切需要设计一种基于功能安全标准的整车控制器硬件,使其符合功能安全标准的相关要求,以保障整车控制器应用层功能高效稳定运行,提高整车控制器的安全性和稳定性。
1.5 论文主要研究内容
本文主要基于功能安全标准中相关技术规范和要求,对其进行功能安全性分析。首先对 VCU 应用层功能进行危害分析和风险评估得到相应的功能安全目标和安全需求,分析出随机硬件失效和系统性失效后导致的应用层功能失效。其次根据安全需求进一步提取出相应的技术安全需求。然后结合整车控制器的特点,本文采用一种双 MCU 的控制原则设计了整车控制器硬件架构,同时根据硬件架构设计相应的安全机制软件,并对其进行实现和故障注入测试验证,结果表明了本文设计的整车控制器符合功能安全标准中的相关要求。本文内容包含六个章节,各章节内容如下:
第一章 绪论。主要介绍了对纯电动汽车整车控制器功能安全性的研究背景及其功能概述。然后分析了目前功能安全国内外的研究现状,重点针对电动汽车整车控制器目前存在的功能安全性问题进行了分析。最后介绍本文的写作架构。
第二章 VCU 功能安全性分析与系统设计。首先介绍功能安全标准中相关技术规范和要求。然后结合整车控制器功能特点,对应用层功能进行功能安全性分析。
并对整车控制器进行了系统安全架构设计,同时设计了相应的软硬件架构。
第三章 VCU 信号处理功能分析与设计。首先对 VCU 信号处理功能进行分析,然后对该功能模块存在的问题设计了相应的安全机制,并对其软硬件进行了设计、仿真与实现,最后根据功能安全标准中的硬件架构指标要求对硬件模块进行了安全确认。
第四章 VCU 通信功能分析与设计。首先对 VCU 通信功能进行分析,然后对该功能模块存在的问题设计了相应的功能安全机制,并对其软硬件的进行了设计、仿真和实现,最后根据功能安全标准中的相关要求进行了功能安全确认。
第五章 VCU 功能安全机制验证与分析。主要对 VCU 硬件进行集成测试。首先对测试台架结构进行阐述,然后再对测试网络拓扑图进行介绍。最后针对 VCU在正常模式和故障模式下进行了功能测试和故障注入测试,并对测试得到的数据进行分析。
第六章 总结与展望。总结了本论文的主要工作和研究中存在的不足,并对未 来需要进一步的改进工作做了展望。
第 2 章 VCU 功能安全性分析与系统设计
2.1 功能安全标准研究
2.1.1 ISO26262 标准概述
2.1.2 安全生命周期与完整性等级
2.1.3 硬件架构指标
2.2 VCU 功能安全性分析
2.2.1 功能安全需求分析
2.2.2 DFMEA 与 FTA 方法分析
2.2.3 技术需求分析
2.3 VCU 系统架构分析与设计
2.3.1 VCU 系统安全架构
2.3.2 VCU 硬件安全架构
2.3.3 VCU 软件安全架构
2.4 本章小结
第 3 章 VCU 信号处理功能分析与设计
3.1 信号处理功能分析
3.2 信号处理功能安全机制设计
3.2.1 信号处理安全机制
3.2.2 信号处理功能故障检测
3.3 信号处理功能模块软硬件设计
3.3.1 信号处理硬件模块
3.3.2 信号处理安全机制软件
3.3.3 安全机制软件仿真与分析
3.4 信号处理功能安全确认
3.4.1 硬件架构指标分析
3.4.2 硬件架构指标计算
3.5 本章小结
第 4 章 VCU 通信功能分析与设计
4.1 通信功能分析
4.2 通信功能安全机制设计
4.2.1 通信功能安全机制
4.2.2 通信功能故障检测
4.3 通信功能模块软硬件设计
4.3.1 通信功能硬件模块
4.3.2 通信功能安全机制软件
4.3.3 安全机制软件仿真与分析
4.4 通信功能硬件安全确认
4.4.1 硬件架构指标分析
4.4.2 硬件架构指标计算
4.5 本章小结
第 5 章 VCU 功能安全机制验证与分析
5.1 测试台架搭建
5.1.1 测试台架总体结构
5.1.2 测试台架环境搭建
5.2 正常模式下功能安全机制验证与分析
5.2.1 通信功能测试
5.2.2 信号采集功能测试
5.2.3 驱动输出功能测试
5.2.4 测试结果分析
5.3 故障模式下功能安全机制验证与分析
5.3.1 通信功能安全机制测试
5.3.2 信号采集安全机制测试
5.3.3 驱动输出安全机制测试
5.3.4 测试结果分析
5.4 本章小结
第 6 章 总结与展望
6.1 总结
随着纯电动汽车的迅速发展,伴随着的安全问题也日益突出,按照传统的 ECU开发方式已经不能够满足电控单元安全的需求。因此在汽车 ECU 的开发中引入功能安全的概念,通过功能安全标准 ISO26262 来保证 ECU 开发过程中的安全问题。
作为三大关键技术中的整车控制技术实现也应考虑功能安全。因此本文首先对整车控制器功能安全性进行了分析,针对整车控制器在硬件功能安全性不完善以及软件功能缺乏诊断与冗余机制等问题上,提出采用基于功能安全标准 ISO26262 来对整车控制器进行开发,然后设计了一种双 MCU 控制的硬件架构和软件架构。最后通过 HIL 硬件在环测试平台对实现的整车控制器硬件进行了功能测试和故障注入测试,测试结果表明设计的整车控制器符合功能安全等级 ASIL D 级相关要求,完善了硬件功能安全性和软件功能安全机制。本文完成的主要工作如下:
1. 首先基于功能安全标准 ISO26262 对整车控制器功能安全性进行了危害分析和风险评估,得到相应的功能安全等级和功能安全需求,并对可能存在的功能故障进行了 FTA 故障树分析和 DFEMA 设计失效及后果分析,进一步提取出对应的技术需求。同时设计了相应的系统安全架构、硬件架构和软件架构。
2. 其次结合上述功能安全性分析,再进一步从硬件层面角度出发对整车控制器信号处理功能进行分析,得到可能存在的潜在故障。针对以上故障问题,采用双 MCU 控制的硬件架构,对硬件电路设计中的元器件进行了失效分析,同时设计了相应的故障检测与处理冗余机制,并对其功能模块进行了设计、仿真与实现。
3. 然后结合 CAN 网络通信特点,再进一步对整车控制器 CAN 网络通信功能进行分析,得到可能存在的潜在故障。采用备份 CAN 的冗余机制,进行故障检测和处理,并对其功能模块进行了设计、仿真与实现。
4. 最后使用 HIL 硬件在环测试平台模拟整车控制器相关输入信号和被控对象,并使用 CAPL 脚本语言编写测试用例,实现 HIL 测试平台故障的自动化注入与恢复,对整车控制器进行功能测试和故障注入测试,主要包含信号采集功能、驱动输出功能和通信功能的测试。测试结果表明,故障检测率可达 99%以上,系统切换到安全状态的平均时间为 36.9ms,验证了基于功能安全标准设计的整车控制器符合相应的功能安全目标,提高整车控制器的安全性和可靠性。
6.2 展望
由于整车控制器作为纯电动汽车三大关键技术之一,所综合的学科知识和相关技术较为复杂,而本文主要侧重于从硬件层面角度出发去提高了整车控制器安全性和可靠性,但并未完全考虑到整车控制器应用层控制策略对其进行研究,仍有一些方向需要进一步研究和优化:
1. 主要从整车控制器硬件功能角度出发,对整车控制器安全性进行设计,在后续的研究中可以进一步考虑应用层功能的安全性,对应用层控制策略进行分析与设计,提高整车控制器的功能安全性和可靠性。
2. 本文重点对软件架构中底层驱动和中间服务层监测软件进行了实现,后续可进一步对中间层其它服务的实现考虑到功能安全性。
3. 本文仅通过 HIL 硬件在环测试平台对整车控制器进行了电气测试和故障注入测试,未对硬件抵抗外部应力的健壮性进行测试,后续可对其进行环境测试、极限测试和 EMC 测试等试验以得到更加可靠准确的测试结果。
参考文献
[1] 韩博砚。 关于我国新能源汽车的发展现状分析及趋势探讨[J]. 汽车实用技术,2018, 277(22): 16-18.
[2] 张泓。 新能源汽车发展现状分析与趋势[J]. 内燃机与配件, 2018, (4): 213-214.
[3] ]张烜赫。 新能源电动汽车研究[J]. 时代汽车, 2019, (2):101-102.
[4] 钟文京, 邓勇, 尹文斌。 促进新能源汽车发展应用的对策研究[J]. 科技广场,2016, (4): 114-120.
[5] 方来华, 吴宗之, 魏利军。 汽车工业中的功能安全研究[J]. 中国安全生产科学技术, 2007, 3(1): 51-55.
[6] 杨家玥。 功能安全设计为新能源汽车提供保障[J]. 质量与认证, 2017, (5): 38-40.
[7] 刘佳熙, 郭辉, 李君。 汽车电子电气系统的功能安全标准 ISO26262[J]. 上海汽车, 2011, (10): 57-61.
[8] 纪宏岩, 崔书超, 孙灿。 基于 ISO26262 的道路车辆功能安全开发流程解读[J].汽车电器, 2016, (7): 57-59.
[9] 郝丽娟。 功能安全汽车行业新标准[J]. 认证技术, 2011, (12): 23-26.
[10] 袁兰秀。 汽车电子电气系统功能安全标准 ISO26262 的几点探讨[J]. 科技资讯,2013, (8): 245-245.
[11] 李娟, 王宏大, 祝慧。 一种基于功能安全的汽车 PEPS 系统[J]. 农业装备与车辆工程, 2014, 52(4): 57-59.
[12] ISO. ISO26262 Road Vehicle Functional Safety[S]. 2011: 10-80.
[13] 彭斐。 ISO26262 保证汽车功能安全的新思路[J]. 汽车与配件, 2015, (37): 30-33.
[14] 朱军。 新能源汽车动力系统控制原理及应用[M]. 上海: 上海科学技术出版社,2013: 35-48.
[15] 黄娟娟。 纯电动汽车整车控制策略及应用软件开发[D]. 天津: 天津大学, 2014.
[16] 翟世欢, 辛明华, 于兰。 纯电动汽车整车控制策略[J]. 汽车工程师, 2014, (12):26-29.
[17] 薛念文, 马先萌, 盘朝奉。 插电式纯电动汽车上下电控制策略研究与设计[J].重庆交通大学学报, 2012, 31(5): 1086-1090.
[18] 飞思卡尔 Safe Assure 计 划 缩 短 安 全 系 统 开 发 时 间 [EB/OL].http://archive.eet-china.com/www.eet-china.com.
[19] 瑞萨电子推出硬件故障探测及预警技术[EB/OL].http://www.eepw.com.cn/article/201602/287079.html.
[20] 英飞凌推出基于 32 位 TriCore MCU 的完整设计套件[EB/OL].http://tech.hqew.com/xinpin_580142.
[21] Srivastava P, Karle M L, Karle U S. Development of Electrical Power AssistedSteering (EPAS) considering safety and reliability aspects as per ISO 26262[J].Automotive Sector, 2015(26): 86-88.
[22] Reorda M S, Violante M. Hardware-in-the-Loop-Based Dependability Analysis ofAutomotive Systems[C]// IEEE International Symposium on On-line Testing. 2006.
[23] Bellotti M, Mariani R. How future automotive functional safety requirements willimpact microprocessors design[J]. Microelectronics Reliability, 2010, 50(9):1320-1326.
[24] 李波, 冯屹, 王兆。 中国道路车辆功能安全标准化工作规划[J]. 中国标准化,2017, (23): 122-125.
[25] 史晓密。 对我国道路车辆功能安全标准化发展现状与趋势的探讨[J]. 标准科学,2016, (4): 30-34.
[26] 大唐恩智浦启动首个 ISO26262 功能安全开发流程认证项目[EB/OL].http://tech.hexun.com/2015-11-02/180288355.html.
[27] ISO26262 道路车辆功能安全培训[EB/OL].http://www.hirain.com/sts/116/113.
[28] 赵建军。 安全气囊功能安全分析[J]. 研究与开发, 2015, (12): 18-22.
[29] 朱峰。 纯电动车整车控制器设计与失效性分析方法研究[D]. 哈尔滨:哈尔滨工业大学, 2012.
[30] 杜德清。 电动汽车 VCU 故障诊断系统开发与测试[D]. 吉林: 吉林大学, 2016.
[31] 文凯。 基于 ISO26262 的电动四驱混合动力系统功能安全概念设计[J]. 机电工程技术, 2012, (12): 23-27.
[32] Ji X, Ge J, Tian H. Reliability improvement of electric power steering system basedon ISO 26262[C]// International Conference on Quality. 2013: 57-61.
[33] 张振旺, 刘淑英。 基于功能安全的整车控制器的概念设计与仿真[J]. 科技资讯,2017, (8): 81-86.
[34] 张戟, 万祥, 朱翔宇。 整车控制器功能安全设计和研究[J]. 佳木斯大学学报,2016, (5): 683-687.
[35] 郭辉, 刘佳熙, 于世涛。 符合 ISO26262 的汽车电子功能安全解决方案[J]. 上海汽车, 2015, (3): 47-50.
[36] 卢静。 功能安全标准 ISO26262 在汽车电子电器开发中的应用[J]. 电子世界,2016, (20): 124-125.
[37] 朱叶。 基于 ISO26262的动力电池系统高压功能安全概念[J]. 汽车零部件, 2013,(10): 97-100.
[38] 祁克光。 嵌入式系统开发中 ISO26262 标准应用研究[J]. 汽车电器, 2013, (10):31-34.
[39] 葛鹏, 陈勇, 罗大国。 基于道路车辆功能安全标准 ISO26262 的 7DCT 电控系统设计[J]. 汽车技术, 2014, (9): 21-23.
[40] 曾艾, 杨永光。 基于 ISO26262的动力总成系统扭矩安全概念设计[J]. 上海汽车,2017, (10): 25-29.
[41] Khan J. ISO26262 system level functional safety validation for battery managementsystems in automobiles[C]// 2017 Innovations in Power and Advanced ComputingTechnologies (i-PACT)。 IEEE, 2018: 1-5.
[42] 石建亮。 面向功能安全要求的 EPS 控制器硬件架构分析与测试[D]. 吉林: 吉林大学, 2017.
[43] Kwon H, Itabashi-Campbell R, Mclaughlin K. ISO26262 application to electricsteering development with a focus on Hazard Analysis[C]// IEEE InternationalSystems Conference, 2013: 655-661.
[44] Wu X, Fei L, Lu X. Analysis of Impact of PMSM Failure on the Safety of EVunder ISO26262[J]. Automobile Technology, 2013, (5): 35-37.
[45] Rivett R S. Hazard identification and classification: ISO26262- the application ofIEC61505 to the automotive sector[C]// Seminar on Sil Determination. 2010:87-97.
[46] 催胜民。 新能源汽车技术解析 [M]. 北京: 化学工业出版社, 2016: 40-52.
[47] 庄兴明, 张琴。 基于 ISO26262标准的车用驱动电机系统设计研究[J]. 汽车零部件, 2016, (12): 18-21.
[48] 朱峰。 纯电动车整车控制器设计与失效性分析方法研究[D]. 哈尔滨: 哈尔滨工业大学, 2013.
[49] 王铁。 汽车电子功能安全设计与测试方法研究[J]. 电子产品世界, 2014, (7):44-45.
[50] Tang Z C, Zuo M J, Xiao N. An efficient method for evaluating the effect of inputparameters on the integrity of safety systems[J]. Reliability Engineering & SystemSafety, 2015: 120-124.
[51] Kim S K, Yong S K. An evaluation approach using a HARA and FMEDA for thehardware SIL[J]. Journal of Loss Prevention in the Process Industries, 2013, 26(6):1212-1216.
[52] Catelani M, Ciani L, Luongo V. The FMEDA approach to improve the safetyassessment according to the IEC61508[J]. Microelectronics Reliability, 2010,50(11): 1230-1235.
[53] Yanwen L, Xiyang W. Functional Safety Analysis for the Design of VCU Used inPure Electric Vehicles[C]// International Conference on Information Science &Control Engineering. IEEE Computer Society, 2017: 1004-1008.
[54] Liu B, Li Y. Research on Vehicle Control Unit based on functional safety[C]// 20172nd Asia-Pacific Conference on Intelligent Robot Systems (ACIRS), 2017:160-164.
[55] 宁明志, 黄凯龙。 基于功能安全的 FMEDA 分析在电子换挡机构中的应用研究[J]. 电子设计工程, 2019, 27(02): 135-139.
[56] 杨绸绸。 半导体器件失效分析的重要性及关键问题研究[J]. 科技创新导报,2009, (10): 4-4.
[57] Takeichi M, Sato Y, Suyama K. Failure rate calculation with priority FTA methodfor functional safety of complex automotive subsystems[C]// InternationalConference on Quality. IEEE, 2011: 55-58.
[58] 郑伟, 李艳文。 汽车集成安全系统硬件架构功能安全概念设计[J]. 汽车科技,2014, (6): 55-60.
[59] 伍理勋, 陈建明, 陈磊。 电动汽车电机驱动控制器功能安全架构研究[J]. 控制与信息技术, 2018, (3): 12-16.
[60] Hyun K H. Design of a speed controller for permanent magnet synchronous motorin pure electric vehicle applications[C]// International Conference on Control. 2007:1623-1628.
[61] 殷伟。 纯电动客车整车控制系统容错控制策略研究[D]. 吉林: 吉林大学, 2016.
[62] 吴敏。 电动汽车整车控制器基础软件开发及控制策略研究[D]. 吉林: 吉林大学,2014.
[63] 葛庆光。 纯电动汽车整车控制器的研究[D]. 合肥: 合肥工业大学, 2012.
[64] 刘永山。 纯电动汽车整车控制器开发及控制策略研究[D]. 武汉: 武汉理工大学,2014.
[65] Zhai Z Q, Zhang X N. Study on Control Strategy for Regenerative Braking ofElectric Vehicles[J]. Applied Mechanics and Materials, 2013, (273): 669-672.
[66] Han J, Kwon Y, Byun K. A Fault Tolerant Cache System of Automotive VisionProcessor Complying With ISO26262[C]// International Symposium on Circuitsand Systems (ISCAS), 2016: 2912-2912.
[67] 刘杰。 基于模型的设计及其嵌入式实现[M]. 北京: 北京航空航天大学出版社,2010: 78-91.
[68] Song P, Zong C F , Zheng H Y. Rapid Prototyping for the Vehicle Control Unit of aFull Drive-by-Wire Electric Vehicle[J]. Advanced Materials Research, 2013, (2):
694-697[69] Adedjouma M, Smaoui A. Model-Based Computer-Aided Monitoring forISO26262 Compliant Systems[C]// International Symposium on SoftwareReliability Engineering Workshops (ISSREW)。 2018: 349-352.
[70] 王建军。 基于 MATLAB/SimuLink 平台的整车控制器设计[J]. 汽车实用技术,2012, (4): 33-37.
[71] Zhang G, Zhang H, Li H. The Driving Control of Pure Electric Vehicle[J]. ProcediaEnvironmental Sciences, 2011, (10): 433-438.
[72] Wang Y, Liu Y. Electronic control system design and test of pure electric vehiclebattery management system[C]// Second International Conference on MechanicAutomation & Control Engineering. 2011: 1289-1292.
[73] 罗峰。 汽车 CAN 总线系统原理设计与应用[M]. 北京: 电子工业出版社, 2010:32-48.
致谢
时光如流水,一去不复返,转眼间就面临着研究生毕业阶段的论文编写。在论文编写的收尾工作中,总结下自己在这三年里的时光,同时也展望下自己的未来。在这三年学术修炼的生涯中,收获到的不仅仅是在学术能力和工程实践能力方面的提高,更多的是在导师指导和带领下,学习能力和解决问题方法的提升,以及眼界的拓展和格局的提升。同时自己也成长了不少,不仅来自岁月时光的收获,还有做人做事道理的收获,内心的自己也渐渐沉淀下来。在这即将毕业来临之际,我由衷地感谢有你们的指引与关怀,让我不断地成长。
首先我要感谢的是我的导师程安宇教授,因为有他的悉心指导,才有我这三年里不断的成长。程老师不仅在学术上和工程实践上给予了我很大的帮助,同时也在生活中让我明白了许多人生道理。在学术能力提升上,教会了我如何钻研学术的方法,同时也让我养成一颗严谨与细心对待学术的习惯。在工程实践上,因为有老师的推荐与培养,有幸参与项目实习,让我的工程实践能力得到了很好的提升。在生活中,他业精于勤而毁于随的做事理念,深深地影响着我们。一句认认真真做事,踏踏实实做人的教诲,成为了我人生中重要的准则。在这三年里,很幸运同时也很荣幸在程老师的指导和带领下,为自己研究生生涯画上圆满句号。
除此之外,我还要感谢实验室的徐洋老师、向敏老师和李鹏华老师等在我的学习上给予了的帮助和指导,感谢王大军老师和周怡老师在生活上的帮助和分享给我们的人生经历。
其次感谢天津新力泰科公司的甘海云老师,在他公司实习的时光里,不仅在工作上让我学会了许多工作技能,同时在生活中也给予了很多的关心与帮助,让我顺利的完成了实习任务。还要感谢重庆利龙研究院的同事们,在利龙实习的时光里,正因为有你们的关心与帮助,让我们一起顺利推进项目工作,彼此共同成长。
然后感谢研一和研二的师弟师妹们,以及在一起完成科研项目的曹永威、程小珊、熊秋涵、王令以及赵爽同学。因为大家都有一颗不懈努力追求理想的心,在彼此相互帮助下,不断进步,不断超越自己。
当然还要感谢这三年里的自己,感谢当初选择读研提升的自己,感谢这三年里不懈努力的自己。愿未来的自己不忘初心,不忘实验室训言,继续前行。
最后,衷心感谢评阅我论文与参加答辩的各位专家!
(如您需要查看本篇毕业设计全文,请您联系客服索取)