文章概述了功能安全的开发流程及要求。解析了功能安全测试的四个关键技术。以某汽车集成电驱动总成为例,开展系统架构及功能解析。文末对功能安全测试发展与展望进行了总结包括多域融合的功能安全测试和多重安全技术融合的测试。
功能安全概述背景及意义
GB/T 34590:不存在由电子电气系统的功能异常表现引起的危害而导致不合理的风险。
由以上功能安全的定义,可理解功能安全的核心思路为: 采用合适的安全措施,将因为电子电气系统功能异常表现而引起的危害控制在可容忍的风险边界。
首先大家都知道随着汽车电动化、智能化、网联化不断的发展,使得汽车电子电气系统不断地被重构,让新能源汽车的安全性和可靠性成为整个行业的关注焦点。比亚迪总裁王传福先生曾经说过:安全才是一辆电动车最大的豪华。
ISO26262-2011及GB34590-2017等标准对功能安全也提出了明确的管理及开发的要求,各个系统功能安全如电池管理、电驱动等功能安全标准也正在制定中。
安全开发流程及相关应用层级
功能安全的开发管理,均按V流程进行,无论是软硬件,系统,还是整车。在汽车行业,V模型是被广泛接受的模型,也被 ISO 26262 等汽车安全标准所接受。为每个阶段创建审查清单和质量文件。每个阶段都明确定义了进入/退出标准。V模型是瀑布模型的扩展,也称为验证和确认模型。一般来说,V模型的左侧描述了开发活动,而右侧则全部是关于测试的。重要的是完成一个阶段才能进入另一个阶段。开发和测试活动应该并行进行,以减少产品开发时间。
下面列出了V模型的一些主要优点:
•测试从软件开发的早期开始,避免了错误的向下流动,使早期发现错误成为可能;
•在开发人员创建软件的同时准备测试规范;
•具有成本效益,因为它避免了返工;
•测试发生在软件开发的所有阶段。
图片来源:知乎汽车电子嵌入式
功能安全的验证和确认,贯穿了整个开发流程,也是功能安全开发的重要环节。
功能安全要求分析及测试
相对于功能安全开发V流程,功能安全的测试是在功能安全要求分析的基础上,进行验证与确认。基于如下六大环节开展,对要求分析及验证确认都有较强的专业要求。
功能安全关键测试技术研究电动汽车安全技术
电动汽车,多项安全技术的不断创新发展和广泛应用,使用户对安全问题的关注越来越高,功能安全测试是安全技术测试的一部分。多项安全是通过软硬件增加硬件冗余或设计控制策略的方式实现,这些安全措施的验证与功能安全密切交叉和关联。针对集成式的动力域控制系统随着各项新的计算机技术和智能算法如模型预测技术、智能驾驶需求、复杂控制策略等技术不断地融入使动力控制域逐渐朝着智能控制技术方向发展,其承担的功能也越来越多,测试也越来越复杂。
功能安全测试关键技术
针对高度集成化的复杂电气架构,需要构建以功能安全分析技术为基础,融合多项专项技术,构建覆盖各类电气架构、各层级系统,构建快速有效的测试技术和测试平台,需要解决以下四个关键技术。
●功能安全分析技术
●用户使用条件转换技术
●功能安全故障分析技术
●柔性测试平台构建技术
做到“多层次”、“多场景”、“多手段”的全面测试覆盖。
功能安全分析技术-解析整车E/E功能架构
汽车电子电气架构是集合了汽车的电子电气系统原理设计、中央电器盒设计、连接器设计、电子电气分配系统等设计为一体的整车电子电气解决方案。
汽车是一个软硬件结合的产物,如果把它比作是一个人,「四个轮子+一个沙发」是身体,电子电气架构就相当于神经系统,负责完成各个部位的连接,统领整个身体的运作,实现特定功能。
基于高度集成化及复杂的电气架构,功能安全开发及测试,都需要解析整车E/E架构,掌握功能要求,交互关系,并对系统功能进行解析,才能保证测试架构的正确性及完整性。
功能安全分析技术-HARA分析
HARA(危害分析与风险评估)目的是识别项目的功能故障引起的危害,对危害事件进行分类,然后定义与之对应的安全目标,以避免不可接受的风险。无论进行功能安全开发,还是测试用例开发,都需要系统的掌握HARA分析。
根据HARA的危害分析可以通过产品的功能故障和车辆运行场景确定危害事件。然后对此危害事件进行风险评估,从它的严重度、暴露度、可控度来推出ASIL等级还有它的安全目标和安全状态以及故障容错时间间隔等。
因此,基于HARA的危害分析和相关安全目标、安全状态、FTTI,是进行测试用例开发的关键支撑。
用户条件转换技术
在HARA分析的基础上,需要进一步采集用户使用数据、实车大数据,进行数据融合分析,并结合专业商业软件进行仿真建模,将用户使用条件的场景数据转化为可实际执行的功能安全测试TC用例。
功能安全故障分析技术
基于FEMA/FTA/DFA/FMEDA,试验异常,售后反馈,仿真失效,专家经验等手段, 开展故障分析评估,通过特征统计及分析,结合产品功能特性、应用场景示例等,建立故障库。比如针对电动车的无动力输出属于电机系统的无扭矩输出。所以我们需要结合系统特征和控制因素以及干扰因素等这些方面来进行分析。有整车控制逻辑问题、旋变故障、环境超高温、网络通讯故障等等。需要注意的是,测试时,有些故障难以直接获得,需要尽可能建立模拟技术。
柔性测试平台构建技术
柔性测试平台构建技术是一种能够快速适应不同测试需求的测试平台构建技术。在功能安全测试中,柔性测试平台可以提供可靠的测试环境和测试工具,以确保系统的安全性能和功能符合要求。以下是柔性测试平台构建技术的一些关键方面:1. 测试自动化:通过使用自动化测试工具和脚本,可以提高测试效率和准确性,并减少测试成本。2. 测试数据管理:测试数据是测试的核心资源之一,柔性测试平台需要提供有效的测试数据管理和分发机制,以确保测试数据的准确性和完整性。3. 测试环境管理:柔性测试平台需要提供可靠的测试环境管理机制,包括硬件、软件和网络环境等,以确保测试环境的稳定性和一致性。4. 测试结果分析:柔性测试平台需要提供可靠的测试结果分析和报告机制,以便及时发现和解决测试中的问题,并提供有效的测试结果评估和反馈。
集成电驱动系统测试案例分享本文以某汽车集成电驱动总成为例,开展系统架构及功能解析。
相关项定义
该集成电驱动总成由驱动电机、变速器、驱动控制器、交流充电OBC、直流变换DC/DC、高压配电PDU、整车控制单元VCU、电池管理系统BMS等八个模块组成,拥有驱动控制、电控制、充电管理、配电管理、热管理等多项功能是一款高度集成化、智能化的集成系统。
集成电驱系统边界及接口
驱动电机:驱动电动机将电源的电能转化为机械能,通过传动装置或直接驱动车轮和工作装置。它承担着电能转化和充电的双重功能。它由电机、旋转变压器、温度传感器、冷却循环水道和壳体等组成。
电机控制器:电机控制器是通过主动工作来控制电机按照设定的方向、速度、角度、响应时间进行工作的集成电路。根据档位、油门、刹车等指令,将动力电池所存储的电能转化为驱动电机所需的电能,来控制电动车辆的启动运行、进退速度、爬坡力度等行驶状态,或者将帮助电动车辆刹车,并将部分刹车能量存储到动力电池中。
减速器:电机和发动机一样都是高速旋转的机械部件,其单位是5000转/分钟,而车轮的转速相对而言是低速度的。想要把电机的高转速匹配成车轮旋转的转速必须要通过减速器来降低转速、增加转矩。因此熟悉电机的朋友经常看到的所谓传动比或者速比的概念,说的就是:(传动比)速比=电机输出转数÷减速机输出转数
车载充电器:车载充电器的功能是调整输出电压,它采用功率半导体器件作为开关元件,通过周期性通断开关,控制开关元件的占空比来实现。
直流变换器:直流变换器,也称DC-DC变换器,它是将一个直流电压转换成负载所需的直流电压的转换器,也就是将电池存储的直流电压转换为驱动电机驱动车辆所需的直流电压。
车载高压配电箱:车载高压配电箱顾名思义是高压电的分配用,当动力电池上电后高压电首先进入到高压配电盒内,通过配电盒内的分配线路给需要高压的系统供电,比如,MCU,DC/DC,空调等需要高压的元件,它是电控总成的核心部件。
整车控制器:整车控制器即动力总成控制器,它连接控制电机控制器、真空助力系统、电池管理系统、加速踏板、直流电压变换器DC/DC、电动助力转向系统EPS、空调系统、组合仪表。整车控制器能够统计整车所有电气设备的功耗,对比动力电池能够提供的电量,根据功率模型计算结果,输出控制器指令信号至电机控制器,电机控制器调整牵引电机地转矩值。
电池管理系统:电池管理系统一般指BMS电池系统。由上千个电池单元组成。电池管理系统会监测系统内每节电池的电压,仅仅1mv的微小变化也能够被识别。每个区域都设置了温度传感器,能够充分感知电池系统的热场分布情况。充放电过程中,电池输入输出的电流都将实时被记录,为电池状态的评估提供有效依据。同时能实时检测动力电池的电压、电流、温度等参数,实现对动力电池进行热管理、均衡管理、高压及绝缘检测等,并且能够计算动力电池剩余容量、充放电功率以及SOC&SOH状态。
各模块主要功能描述
集成电驱动系统场景及安全等级分析
基于上文的相关项定义,对集成电驱动系统场景及安全等级分析。通过识别集成电驱系统各模块的功能异常表现以及在整车层面上的危害,同时结合各种应用场景,从而导出 ASIL等级。HARA分析示例如图。以图中“非预期输出驱动扭矩”导致的危害事件为例:由于车辆静止停于斑马线前,驾驶员在车上,并且车辆退出可行驶模式,车辆前方较远处有行人或其他车辆经过车辆与前方行人或车辆发生碰撞造车伤害,严重度为S3。大多数驾驶员平均每天都会遭遇此驾驶场景,其在平均驾驶时间中的占比大于10%,暴露概率为E4。由于大于90%的驾驶员可通过制动或转向避免发生碰撞,可控性为C2。根据S、E、C三个参数的组合,该危害事件的汽车安全完整性等级为ASILC。
HARA分析示例
集成电驱动系统安全目标及其分解架构
应确定每一个危害事件的ASIL等级,并为具有ASIL等级的危害事件确定一个安全目标。对于上述危害事件,其安全目标为:防止电机非预期的输出驱动扭矩。安全目标是相关项最高层面的安全要求,安全目标的定义应包含其相关属性,包括ASIL等级及确定ASIL等级所需的量化值,即:安全度量。对于本文中所分析的集成电驱动总成,开展HARA分析后得到图中的安全目标示例。
安全目标示例
为上述每一个安全目标导出至少一项功能安全要求,考虑包括故障避免、故障探测、故障控制、安全状态、故障容错、功能降级、驾驶员警告、故障容错时间间隔、故障处理时间间隔等策略。并将其分配给相关项的初步架构要素或外部措施。本文针对图中的安全目标SG1分解到集成电驱系统各子系统关联项的架构给出如下示例。
系统非预期输出驱动扭矩的测试实施示例
基于动力总成台架构建的功率级系统(PHIL),开展非预期输出驱动扭矩的功能安全验证,构建相关项工作条件,以注入故障为故障模拟手段。
集成电驱系统会对异常进行识别:识别到异常发生,控制系统会立即报警,响应安全机制,防止非预期的输出驱动扭矩。
发展与展望多域融合的功能安全测试
首先随着智能化的发展,电动汽车逐步向智能汽车过渡,多域融合是后续的发展趋势,其驱动系统也由目前的中央式驱动向分布式驱动发展,驱动系统将承担更多的主动安全责任。其次智能汽车所带来的复杂的应用场景(如交通场景)和智能化的复杂算法也会对测试系统有更高的要求。
多重安全技术融合的测试
电气化、智能化及网联化等新趋势引领新一轮汽车技术发展变革。未来我们的汽车也会像一个智能终端一样,因此针对新能源汽车产品可靠性、主动安全、信息安全、被动安全、功能安全、预期功能安全等全方位、多领域安全技术融合才能保障智能汽车安全需求及技术更好的发展;从系统工程的角度,以系统体系的观点,进行顶层设计,全面规划、统筹协调开展多层次、系统化汽车广义安全的测试技术研究与实施。