張明朗， 周子龍， 王江波， 蔡小麗

（比亞迪汽車工業(yè)有限公司， 廣東 深圳 518118）

隨著汽車電動化、智能化的不斷發(fā)展，汽車電子／電氣（E／E） 系統(tǒng)的復雜性和集成度不斷提高，由此帶來的系統(tǒng)性失效和隨機硬件失效風險也隨之增大，這給車輛的功能安全帶來了嚴重的挑戰(zhàn)。為了應對汽車電子技術快速發(fā)展帶來的安全隱患，國際標準組織發(fā)布了針對道路車輛E／E系統(tǒng)的功能安全標準ISO 26262，旨在減少由汽車E／E系統(tǒng)故障引發(fā)的不可控風險。ISO 26262標準在系統(tǒng)全生命周期的高度，統(tǒng)籌汽車電子、電氣系統(tǒng)的功能安全，從提出產品概念階段開始，覆蓋系統(tǒng)開發(fā)、軟硬件開發(fā)、集成測試、生產運行和售后支持等各個環(huán)節(jié)，以系統(tǒng)的方法指導產品在全生命周期中安全事項的實施。

在系統(tǒng)的全生命周期中，功能安全測試是功能安全系統(tǒng)化實施過程中的重要環(huán)節(jié)，通過功能安全測試可以對系統(tǒng)實際的功能安全狀態(tài)進行驗證。而在功能安全測試中，故障注入是非常重要的測試手段，通過向被測系統(tǒng)注入一些可能發(fā)生的故障，檢驗系統(tǒng)在故障狀態(tài)下是否存在功能失效風險，從而實現對系統(tǒng)功能安全的驗證。為了對系統(tǒng)安全機制的驗證展開深入研究，本文重點針對故障注入在產品功能安全測試中的應用進行了研究，旨在及早識別系統(tǒng)潛在風險，這對提高車輛關鍵系統(tǒng)的功能安全有非常重要的意義。

1 功能安全實施流程概述

1.1 功能安全實施流程概述

在道路車輛功能安全標準ISO 26262中，分別從功能安全管理、功能安全概念、系統(tǒng)級開發(fā)、軟硬件級開發(fā)、功能安全評估及生產發(fā)布等方面，對產品的功能安全在生命周期進行了規(guī)范和要求，從而使得產品的功能安全需求在其生命周期各個階段都比較完善地考慮?；贗SO 26262標準的產品開發(fā)流程大體可以分3個階段，即概念階段、產品開發(fā)階段及生產發(fā)布之后，如圖1所示。

概念階段，主要通過危害分析和風險評估，為要開發(fā)的項目 （系統(tǒng)） 分配相應的安全目標，安全目標主要包括：ASIL （汽車安全完整性等級） 等級、安全狀態(tài)及故障容錯間隔。在確定系統(tǒng)的ASIL等級后，需要考慮系統(tǒng)的基本架構，將系統(tǒng)的安全目標分解到項目的元素中，同時具體定位到每個項目元素中的功能安全要求。

開發(fā)階段的主要工作包括產品功能的開發(fā)和功能安全的驗證。在系統(tǒng)設計階段，需要統(tǒng)籌系統(tǒng)架構的細化、安全措施的實現、安全目標的驗證、明確軟硬件的接口規(guī)范等。開發(fā)階段功能安全的主要目標是安全目標在技術層面的具體實現。在完成產品開發(fā)后，還需通過集成測試對系統(tǒng)的功能安全進行驗證，最后，當產品通過各項安全確認后就可以進行生產發(fā)布。

1.2 系統(tǒng)安全目標確定

圖1 功能安全總體實施流程

安全目標的確定是系統(tǒng)功能安全實施的先決條件，因為后續(xù)功能安全的實施是以安全目標為核心而開展的。在確定安全目標時，需對系統(tǒng)進行危害分析和風險評估。在進行危害分析和風險評估時主要考慮3個方面的因素：①暴露率（Exposure）；②可控性 （Controllability）；③嚴重度 （Severity）。以上3個參數確定后，即可依據表1所示的方法確定系統(tǒng)的ASIL等級。ASIL等級分為A、B、C、D四個等級，其中ASIL A的安全等級最低，ASIL D的安全等級最高。表1中QM代表品質管理，其風險等級最低。通過上述方法即可得出系統(tǒng)安全目標中關鍵的ASIL等級，后續(xù)的系統(tǒng)設計及測試驗證工作均圍繞系統(tǒng)相應的ASIL等級展開。

表1 ASIL等級確認表

2 系統(tǒng)功能安全測試

2.1 功能安全測試的流程和目標

功能安全集成測試包括3個階段和兩個目標，第1階段主要是每個項目包含元件的硬件和軟件的集成測試；第2階段是一個項目的元件集成后形成一個完整系統(tǒng)的測試；第3階段是項目（系統(tǒng)） 與車輛周圍系統(tǒng)的集成測試。集成測試過程中的第1個目的是根據ASIL等級和安全需求規(guī)范對各項安全要求進行驗證；第2個目的是驗證系統(tǒng)設計覆蓋的安全要求在整個項目中的正確實施。

為了證明系統(tǒng)設計符合功能和技術安全要求，在ISO 26262標準中從以下幾個方面對系統(tǒng)的功能安全進行測試：①功能安全和技術安全要求的正確實現；②功能特性、精確度及安全機制的正確實施；③接口一致性的正確實現；④安全機制診斷和故障覆蓋度的有效性；⑤魯棒性。在進行功能安全集成測試前，應基于系統(tǒng)設計規(guī)范、功能安全概念、技術安全概念等定義相應的測試策略，以證明測試目標的充分覆蓋。

2.2 故障注入測試

功能安全的實質是當系統(tǒng)發(fā)生故障時，系統(tǒng)功能并不會完全喪失風險可控。為了實現這一目標，在系統(tǒng)設計時通常會確立一些安全機制和安全措施，以確保系統(tǒng)的安全目標滿足設計要求。這些安全機制和措施主要包括：故障檢測和失效緩解措施、安全狀態(tài)轉換、邏輯仲裁等。這些安全機制的主要作用是當系統(tǒng)發(fā)生故障時，安全機制可以使系統(tǒng)進入安全狀態(tài)，從而不會使車輛發(fā)生失控風險。由于故障注入測試能夠激發(fā)系統(tǒng)的安全機制，因此可以檢驗系統(tǒng)在故障狀態(tài)下是否存在功能失效的風險，從而實現對系統(tǒng)功能安全的驗證。

3 故障注入的測試實施研究

故障注入測試在功能安全實施流程中屬于產品開發(fā)階段的系統(tǒng)集成測試環(huán)節(jié)。在系統(tǒng)功能安全集成測試階段，故障注入測試是對系統(tǒng)安全機制進行驗證的重要手段。本文以電機控制器為被測對象，其安全目標的ASIL等級的導出過程如表2所示，基于ASIL等級D，對MCU分別從部件級、系統(tǒng)級和整車級進行了故障注入測試研究。

表2 電機控制器ASIL等級推導簡述

3.1 部件級故障注入測試

為了對基于ISO 26262流程開發(fā)的MCU進行功能安全測試，以驗證系統(tǒng)是否達到設定的安全目標，采用故障注入測試是非常有效的測試手段。由于MCU結構復雜、故障種類繁多，因此可根據MCU的不同功能模塊，模擬注入可能發(fā)生的故障，MCU的主要結構如圖2所示。本文分別對MCU低壓供電模塊及高壓輸出模塊進行了故障測試，圖3為電機控制器故障注入實測圖。

圖2 電機控制器MCU結構圖

圖3 電機控制器故障注入測試

3.1.1 低壓故障注入

常見的電機控制器低壓類故障主要包括：①斷路類：引腳中斷、連接器中斷、短暫中斷等；②超限類故障：低壓電源過壓故障、低壓電源欠壓故障、瞬態(tài)電流沖擊等。低壓電源中斷為主要項目，對電機控制器進行故障注入測試，測試原理如圖4所示。在ASIL等級D標準下，要求控制器即使在低壓電源短暫中斷的情況下，控制器依然能夠正常運行，從而保證車輛不發(fā)生失控風險。

低壓電源模塊的主要作用是給MCU主控板及驅動板上的電子元器件及芯片供電，是MCU能夠正常工作的首要條件。在用戶實際用車過程中，如果面臨長期劇烈顛簸工況，可能會引發(fā)低壓電源插接件松動或斷裂。對于沒有備用電源的MCU來說，如果在行車過程中發(fā)生低壓中斷故障，極有可能引發(fā)不可控的風險。為了驗證MCU在低壓電源中斷時的功能安全，分別進行了電源中斷1ms時長的故障注入測試，模擬車輛勻速運行時（對應2000r／min電機轉速），發(fā)生低壓電源線束松動故障，測試過程如圖5所示。測試結果表明，當電源中斷1ms時，電機扭矩、功率輸出正常，未對MCU正常工作產生影響。

圖4 控制器低壓故障測試原理示意圖

圖5 12V低壓電源中斷1ms

通過對MCU進行短時電源中斷故障注入測試，從功能安全的角度可以得出以下兩點結論：①電源線束的瞬時松動雖然不會影響MCU的正常工作，但故障長期的積累可能會導致電源的徹底中斷，因此在MCU設計時考慮插接件與電路板連接回路的防松設計是非常有必要的；②為了應對行車途中發(fā)生低壓電源長時斷電的風險，對于較高安全需求（如ASIL等級D） 的MCU，引入備用電源設計是非常有必要的。

其余低壓故障注入測試實施過程，與上述類似。

3.1.2 高壓故障注入

實際中電機控制器的高壓相關故障類型眾多，直流側故障如過壓、欠壓、短路及搭鐵等；交流側故障如三相短路、缺相、搭鐵等；控制器里面的故障如IGBT相關的過溫、過流等。本文在直流側和交流側分別選擇了欠壓和三相短路故障，對MCU進行故障注入測試，分別模擬實車運行過程中電池包過放電和三相短路故障。

基于ASIL等級D開發(fā)的MCU在高壓側發(fā)生故障時，要求相應的安全機制能夠啟動（如故障識別、安全警示等），控制功能不能喪失。本文以我司某型電機控制器為被測對象，通過模擬欠壓及三相短路故障，對其安全機制進行驗證，測試原理如圖6所示。

圖6 電控高壓相關故障注入測試原理示意圖

欠壓故障通過調節(jié)電池模擬器電壓，模擬輸入到MCU的電壓低于保護限制，從而實現欠壓故障的注入。試驗結果表明，當控制器輸入的直流電壓低于設定的保護限值時，則會觸發(fā)電控相應的安全機制，啟動欠壓保護的同時向上位機發(fā)送欠壓保護故障碼，并對MCU進行關波處理。

三相短路故障分兩種情況：一是模擬車輛發(fā)生碰撞后，電控主動進行的三相短路；二是模擬三相線磨損后發(fā)生的短路故障。本文通過在三相線間安裝接觸器的方式來模擬三相短路故障注入測試，試驗結果表明，MCU識別了三相短路故障并啟動了短路保護機制。

本文進行的欠壓、過壓及三相短路高壓故障注入測試結果見表3，結果表明在以上3種故障下控制器保護機制正常，均能實現對相應故障的識別和保護機制的觸發(fā)。

表3 MCU高壓故障注入測試結果

高壓故障注入測試同樣也是基于用戶使用場景進行的測試，欠壓保護機制主要是對電池進行保護，防止過放電對電池帶來的損傷。三相短路保護則是模擬車輛發(fā)生碰撞等事故后發(fā)生短路，電控能夠及時關波，防止對駕乘人員產生二次傷害。從功能安全的角度出發(fā)，進行諸如此類的故障注入測試，有利于MCU潛在風險的及早暴露，對系統(tǒng)功能安全在部件級的驗證及優(yōu)化有重要的意義。

3.2 系統(tǒng)級故障注入測試

3.2.1 系統(tǒng)級故障類型及測試原理

電驅系統(tǒng)級故障主要指與電機和控制器均相關的故障，如旋變相關故障、繞組溫度傳感器故障、扭矩指令超限、轉速異常等。本文選擇旋變信號相關故障對電驅系統(tǒng)進行故障注入測試，以檢測其功能安全表現，測試原理如圖7所示。

3.2.2 旋變信號干擾故障注入測試

在永磁同步電機矢量控制中，旋變是檢測電機轉子位置的核心部件，其電氣原理如圖8所示。

造成旋變信號故障的原因多種多樣，主要可以分為兩大類：一是由于旋變自身原因造成的故障，如設計、制造及安裝等產生的缺陷造成旋變信號異常；二是由于外界原因造成旋變信號發(fā)生異常，如干擾、短路、斷路等。

圖7 電驅系統(tǒng)旋變故障注入原理圖

圖8 旋變電氣原理圖

為了驗證由外部因素導致的旋變故障對電驅系統(tǒng)功能安全產生的影響，本文通過模擬旋變信號受到干擾和信號中斷故障，對電驅系統(tǒng)做了進一步的故障注入測試。圖9為受到干擾的旋變正、余弦信號。

圖9 旋變信號干擾

當電驅系統(tǒng)的旋變信號受到干擾時，電控首先對故障進行識別，然后再根據故障的類型選擇相應的處理方式。通過試驗可以發(fā)現，當旋變信號受到輕微干擾時，將對系統(tǒng)性能產生影響，電控只報錯不關波，只有在旋變信號受到嚴重干擾時，為防止系統(tǒng)故障惡化電控會進行關波。但如果旋變信號受到外界因素影響突然中斷，即使短暫的中斷都會使MCU無法正常工作，測試過程如圖10所示。根據測試結果可以看出，當旋變信號發(fā)生故障時，控制器首先識別故障，然后觸發(fā)相應的安全機制。

圖10 旋變信號中斷

3.3 整車級故障注入測試

3.3.1 整車級故障注入測試架構

由于在實車上電驅系統(tǒng)需要與VCU、BMS、ABS、DC及OBC等模塊進行交互，為了驗證電驅系統(tǒng)在整車系統(tǒng)集成后的功能安全，本文通過在臺架搭建模擬的整車電氣環(huán)境，利用臺架的道路模擬測試功能，實現電驅系統(tǒng)的整車級故障注入測試，圖11為整車級電驅系統(tǒng)故障注入測試架構。

圖11 整車級故障注入測試臺架搭建

3.3.2 整車級故障注入測試結果

在整車上當電驅系統(tǒng)或與其相關系統(tǒng)發(fā)生故障時，按照系統(tǒng)設計時ASIL等級D的要求，相應的安全機制應能夠啟動，如通過故障檢測和警示、安全狀態(tài)切換、功能降級（跛行模式） 等措施，使車輛進入安全狀態(tài)確保不發(fā)生失控風險。

在整車級測試中由于涉及多系統(tǒng)的交互匹配，因此故障類型眾多，本文以模擬DC故障為例，對電驅系統(tǒng)在整車電氣環(huán)境下的功能安全進行了測試，因為在實車上DC故障會對MCU的低壓供電產生影響，進而會對電驅系統(tǒng)的功能安全產生影響，模擬DC故障測試原理如圖12所示。

圖12 整車電氣架構下的故障注入測試原理

DC故障注入具體試驗過程為：首先在臺架模擬車輛全油門勻速運行，車速為150km／h，然后故障注入模塊向VCU發(fā)送DC故障碼來模擬DC故障，VCU檢測到DC故障后根據預先設定的策略向MCU發(fā)送相關指令，使車輛轉入安全狀態(tài)運行，以防車輛發(fā)生失控風險。測試結果如圖13所示，注入DC故障前：車速為150km／h，直流功率為47.7kW，電機扭矩為39Nm；注入DC故障后：車速為107km／h，直流功率為20.8kW，電機扭矩為23Nm。通過結果對比可以看出，當注入DC故障后，電驅系統(tǒng)進行了功能降級，即DC故障觸發(fā)了系統(tǒng)安全機制，使系統(tǒng)運行在了安全狀態(tài)。DC故障注入前后的測試結果對比見表4。

圖13 DC故障注入測試結果

表4 故障注入前后結果對比

通過對電驅系統(tǒng)進行整車級DC故障注入測試可以發(fā)現，如果運行中的車輛發(fā)生DC故障，系統(tǒng)的安全機制將被激發(fā)，通過功能降級如降扭、限速、限功率運行等使車輛進入安全狀態(tài)。這也證明在發(fā)生DC故障時，系統(tǒng)功能并未失效，車輛可控，實現了相應的安全目標。

4 總結

故障注入作為系統(tǒng)功能安全測試的主要測試手段，可實現對系統(tǒng)功能安全狀態(tài)的驗證。本文基于ISO 26262道路車輛功能安全標準，重點對故障注入測試進行了研究，并以電驅系統(tǒng)為被測對象分別進行了部件級、系統(tǒng)級及整車級的故障注入測試，通過試驗結果可以得出以下幾點結論。

1） 在項目開發(fā)初期，設定清晰合理的安全目標 （ASIL等級），不僅能夠降低開發(fā)成本，而且有利于后期的測試驗證。

2） 通過故障注入可檢驗系統(tǒng)安全機制在故障狀態(tài)下能否起到相應的作用，是驗證系統(tǒng)功能安全的重要手段。

3） 在實驗室臺架搭建模擬整車的電氣環(huán)境進行功能安全測試，對于全新開發(fā)的系統(tǒng)，相比在樣車上進行測試，可前置試驗節(jié)點，縮短項目開發(fā)周期。

4） 對系統(tǒng)進行不同層級的功能安全測試，可實現系統(tǒng)功能安全的全面驗證，有利于系統(tǒng)潛在風險的及早發(fā)現。

功能安全測試是汽車電子、電氣系統(tǒng)所面臨的全新測評領域。隨著技術的不斷進步、政策法規(guī)的不斷完善，開展功能安全測試相關的研究，對于適應未來新的市場環(huán)境有著非常重要的意義。