中國汽車技術研究中心汽車工程研究院滿足ISO26262功能安全要求和

AUTOSAR標準的整車控制架構研發與測試評價唐風敏@常州

2016.05.1921、整車電子電氣架構發展趨勢介紹

2、滿足ISO26262功能安全標準的架構開發3、基于AUTOSAR標準的控制系統開發

4、開發案例簡介

5、測試評價-功能安全ISO262626、測試評價-符合AUTOSAR標準的整車架構汽車電子技術發展趨勢34電子電氣架構發展趨勢

備注：信息來源于BOSCH電子電氣架構研發熱點

新型車載總線技術CAN-FD和可局部喚醒的CAN總線FlexRay總線車載Ethernet功能安全標準ISO26262標準于2011年11月出版對應的國標正在轉換AUTOSAR標準54.產品開發：系統層面4-5系統層面產品開發啟動4-11生產發布4-10功能安全評估4-6技術安全要求規范4-9安全確認4-7系統設計4-8相關項集成和測試5.產品開發：硬件層面5-5硬件層面產品開發啟動5-6硬件安全要求規范5-7硬件設計5-8硬件架構指標5-9由硬件隨機失效而違反安全目標的評估5-10硬件集成和測試6.產品開發：軟件層面6-5軟件層面產品開發啟動6-7軟件架構設計6-8軟件單元設計和實現6-9軟件單元測試6-10軟件集成和測試6-11軟件安全要求驗證2.功能安全管理2-5整體安全管理2-6概念階段和產品開發階段的安全管理2-7生產發布后的安全管理功能安全標準目前已經完成1～9部分的征求意見稿的制定61.

術語

3.

概念階段3-5相關項定義3-6安全生命周期啟動

7.

生產和運行7-5生產7-6運行、維護和報廢3-7危害分析和風險評估3-8功能安全概念

8.

支持過程

8-5分布式開發接口

8-6安全要求管理和規范

8-7配置管理

8-8變更管理

8-9驗證

9-5關于ASIL剪裁的要求分解

9-6要素共存的標準

8-10文檔

8-11軟件工具資質

8-12軟件組件資質

8-13硬件組件資質

8-14在用證明9.

汽車安全完整性等級導向和安全導向分析

9-7相關失效分析

9-8安全分析

10.

指南7

H&R

安全目標

SG功能安全要求

FSR功能安全概念

FSC初期架構

PA

確認Confirmation危害事件安全目標

ID安全目標安全等級

ASIL功能安全要求

ID

分配Allocation

安全計劃SP(Safety

Plan)功能安全開發和測試流程

OEM

Supplier

相關項定義

Item

definition

危害分析與風險評估

安全計劃SP(Safety

Plan)DIASP技術安全要求

TSR技術安全概念

TSC技術設計規范

SDS開發接口協議(Development

Interface

Agreement

)

功能安全要求

系統要求

約束軟硬件接口

HSISP硬件安全要求

HSRSP硬件架構設計

詳細設計軟件安全要求

HSRSP軟硬件接口

HSI軟件架構設計

詳細設計

安全分析安全分析

單元設計安全驗證軟件測試

安全驗證

硬件測試

集成測試Item

integration

test

安全確認

Safety

validation

安全評估

生產發布

安全檔案SC

Safety

CaseSP功能安全開發工具-PREEvision89AUTOSAR標準路線圖

Source:

8thAUTOSAR

Open

ConferenceAUTOSAR控制系統開發流程10AUTOSAR控制系統開發工具鏈11項目簡介:A級純電動車

電子電氣架構開發

功能安全分析(ISO26262)

整車控制器開發

電子電氣測試12Customer

Features定義

5

Domains,936

customer

features

Vehicle

Dynamics

Comfort

System

Infotainment

System

Safety

&

Security

System

EV

System13RequirementsCustomer

FeaturesImportCustomer

FeaturesMetricRequirements定義

5Domains,23675

Requirements1415功能安全開發

Item

Definition,

HazardAnalysis

and

RiskAssessment,

Functional

Safety

Concept

8

Systems,

5

ECUs,

23

Safety

Goals

VCU,

BMS,

LKAS,

MCU,

DCDC

HARA-LKASLKAS:

Safety

Goals

&

FSRs

SG1:26

FSRs

SG2:28

FSRs

SG3:23

FSRs16Functional

Safety

GoalsE/E

Architecture

DevelopmentTechnical

Safety

RequirementHardware

Safety

RequirementSoftware

Safety

RequirementSystem

DesignFSRs-LKAS17電子電氣架構開發-邏輯架構層

170

Building

Blocks,

155

Sensors,

175Actuators

1320

Send

Receiver

Interfaces

Power-DriverSystem電子電氣架構開發-軟件架構層

VCM：43

SWC

BMS：7

SWC

Charger：15

SWC

Converter：6

SWC

HVAC：8

SWC18Title行駛功能DefinitionECO模式下的行駛控制-VCMSWCnameRC-SWC-3-3RemarksInputprocessoutputsignalnametypesignalnametypeAPS_PositionH/Wif*1*2ShiftLeverPosition=D&&S_EcoMode=1&&vehicle_speed<120km/hthenVCM_EcoMode=1&&VCM_MbRegenMaxWheel=100NM(TBD)&&VCMTorquechangeslope=5NM/100ms(TBD)ifShiftLeverPosition*!=D||S_EcoMode=0&||vehicle_speed>120km/h||*3IgnitionPosition=OFF/ACC||△APSPosition/△t>50%/100msthenVCM_EcoMode=0&&VCM_MbRegenMaxWheel=50NM(TBD)&&VCMTorquechangeslope=100NM/100ms(TBD)*1:ShiftLeverPosition根據信號“S_gearLeverPos;S_ShiftPosInv和F_gearLeverPos計算。S_gearLeverPos需和S_ShiftPosInv保持一致。同時F_gearLeverPos=Nofault*2:車速閾值為10km/h，即：其他條件滿足的情況下，如果車速≥120km/h，則退出經濟模式，如果車速＜110km/h時，恢復經濟模式*3：因加速踏板變化率過大導致經濟模式退出時，120s后恢復經濟模式VCM_EcoModeCANABS_Vehicle_speedCANVCM_MbRegenMaxWheelCANS_EcoModeCANS_gearLeverPosCANS_ShiftPosInvCANF_gearLeverPosCANIgnition_StatusCANSoftware

Component

(SWC)

specification

SWC的輸入/輸出(Output

From

PREEvision)

SWC處理策略

共設計79份SWC19整車控制器開發-開發流程20整車控制器（VCU）開發-應用層21整車控制器開發-應用層扭矩管理上/下電控制熱管理控制故障診斷及保護駕駛員意圖識別電對象控制扭矩管理模型故障診斷及保護模型測試要求

功能安全測試的三個環節（ISO

26262-4）

軟件-硬件層測試

系統集成測試

整車集成測試

測試類別（ISO

26262-4）

魯棒性水平

功能安全需求在整車層面上的正確執行

安全機制在整車層面的正確功能性能,準確性和時序

整車層面內外部接口實現的一致性和正確性

安全機制在整車層面的失效覆蓋率的有效性23MethodsASIL等級ABCD1aRequirements-basedtest++++++++1bFaultinjectiontest+++++++1cBack-to-backtest++++++MethodsASIL等級ABCD1aBack-to-backtest++++++1bPerformancetest+++++++功能安全測試的5個要求

功能安全需求在整車層面上的正確執行

安全機制在整車層面的功能，性能，準確性和時序24MethodsASIL等級ABCD1aTestofexternalinterfaces+++++++1bTestofinternalinterfaces+++++++1cInterfaceconsistency+++++++MethodsASIL等級ABCD1aFaultinjectiontest++++++1bErrorguessingtest+++++++MethodsASIL等級ABCD1aResourceusagetest+++++1bStresstest+++++功能安全測試的5個要求

內外部接口的一致性和正確性

安全機制診斷覆蓋率有效性

魯棒性測試25測試用例開發-故障注入測試2627系統集成測試

安全相關的功能策略測試

基本功能測試

系統交互功能測試

故障診斷測試

故障處理策略

故障DTC

接口測試

系統集成測試…………+-實車測試功能需求測試環境工況測試

電磁環境

溫度環境道路工況測試猜錯測試故障注入測試28VCMHV

BatteryPre

CHG

RLYPre

CHGResistanceMain_Pos_RLYMain_Neg_RLYHV+HV-HV+HV-UVW+-UVWInverterDC/DC+-To

PTCTo

AC

CompressorEV

CAN_LEV

CAN_HCPMain_Neg_RLYMain_Pos_RLYPre_CHG_RLYOBC

CHG

RLYQuick_CHG_Pos_RLYIG

BTPDUOBCRLY2

V+RLY

1

V+PRECHG

V+BAT+OBC

CHGInterface+

GND

-GND-+-+-+-+-+-+-+-1AC

CMSD+--To

HV

Battery

HeaterMCU_Emergency_Stop+EV

CAN_HEV

CAN_LCHG

CAN_LCHG

CAN_HQuick_CHG_CC2Power+Power-CC171254