基于ISO26262的車輛電子電氣系統故障注入測試方法

尚世亮 王雷雷 趙向東

（泛亞汽車技術中心有限公司）

基于ISO26262的車輛電子電氣系統故障注入測試方法

尚世亮 王雷雷 趙向東

（泛亞汽車技術中心有限公司）

基于ISO26262《道路車輛功能安全》標準，以車輛電子穩定性控制系統（ESC）的故障注入測試為例，依據車輛安全完整性等級（ASIL），定義了診斷覆蓋率要求及相應的傳感器典型失效模式，設計出適用于菊花鏈式CAN總線架構的故障注入電路，編寫測試案例及評估準則并進行了實車測試。結果表明，所設計的測試方法能夠對車輛電子電氣系統相關安全機制進行有效驗證，且可對系統進行功能安全評估。

1 前言

隨著汽車電控技術的發展，車載電子電氣系統應用日益廣泛，但車載電子電氣系統在為乘員提供極大便利的同時，因系統潛在失效導致的危害風險也大大增加。2011年ISO26262《道路車輛功能安全》標準發布實施，該標準基于危害分析和風險評估定義了汽車安全完整性等級（ASIL），用其表征車輛系統潛在失效所導致的危害程度。但在該標準中僅列舉了推薦的驗證測試方法名稱，未提供具體的測試案例或評估準則，這給汽車企業特別是國內整車企業執行該標準造成了困難。為此，本文以車輛電子穩定性控制系統（ESC）為例，介紹一種基于總線的故障注入測試方法，為如何依照標準進行功能安全驗證測試和評估提供借鑒。

2 功能安全驗證標準要求和準則

ISO26262《道路車輛功能安全》標準中的ASIL共分為A、B、C、D 4個等級，其中ASIL D為最高等級。依照ASIL等級，該標準定義了貫穿車輛系統全生命周期的一系列要求，同時強調將功能安全驗證測試作為檢驗系統是否滿足既定安全要求的重要手段。

該標準對功能安全驗證測試的要求涉及流程和技術兩方面。其中流程定義了驗證測試的幾個典型階段，包括測試計劃的制定、測試案例的定義、測試執行及結果評估[1～4]等。而為了達到功能安全驗證測試的技術要求，首先需要分析待測系統的功能及組成（傳感器、控制器和執行器）[5]，然后考慮系統及各組成部分需要達到的ASIL等級，對最關鍵的單點故障（即該故障的發生將直接導致違背安全目標）進行針對性測試，即故障注入測試。

該標準定義了不同ASIL等級的系統單點故障指標應達到的診斷覆蓋率，如表1所列。

表1 基于ASIL等級的單點故障指標（診斷覆蓋率）

該標準將系統故障覆蓋能力分為低、中、高3類，分別對應60%、90%和99%的診斷覆蓋率典型值，所以表1可轉化為表2。

以傳感器信號失效為例，根據不同的診斷覆蓋率水平，該標準要求系統能診斷如圖1所示的傳感器信號失效模式[6]，這些失效模式作為故障注入測試的考慮范圍。

測試時，注入典型故障后，系統應能對這些故障進行正確探測，并采取恰當的降級響應。對故障注入測試結果進行評估應遵循的最高準則是，注入故障后系統不能產生任何違背車輛安全目標的失效行為。

3 ESC系統CAN總線信號故障注入測試

3.1 測試方案定義

原車ESC系統的組成如圖2所示，包括傳感器、控制器和執行器等三部分。傳感器用于檢測輪速傳感器信號、真空度傳感器信號和來自CAN總線的車身姿態信號（如轉向盤角度信號）；控制器接收并處理相關輸入信號，計算后生成對執行器的控制指令；執行器包括電磁閥、電子卡鉗和ESC泵。

因ESC系統的功能是確保車身穩定，而來自CAN總線的車身姿態信號對ESC系統起到關鍵性作用，所以對該系統的功能安全驗證需圍繞這些信號進行故障注入測試。

ESC控制單元對信號的監控機制如圖3所示，控制單元通過輪速信號、車身橫擺角速度信號和側向加速度信號對轉向盤角度信號進行模型校驗。

以原車ESC系統通過CAN總線接收的轉向盤角度信號為例，進行典型信號失效模式的故障注入測試。基于功能安全分析，ESC系統對轉向盤角度信號的安全等級要求為ASIL B，即中等診斷覆蓋率要求，因此定義故障注入測試案例如表3所列。

對ESC系統整車級故障注入測試的評估準則進行定義，即系統注入上述故障后應能及時探測出故障，采取如關閉功能、點亮故障警示燈等降級響應，且在整個測試過程中不應對車輛行駛產生非駕駛員預期的車輛制動、車輛橫擺及車輛加速。

表3 故障注入測試案例

3.2 CAN總線故障注入

進行CAN總線信號故障注入測試時，需使用上位機通過CAN信號故障注入設備對特定總線信號進行故障信息編輯和注入，以檢驗待測ESC系統收到該故障信號后的反應。根據表3中的定義，對總線上的轉向盤角度信號進行解析，對信號值進行故障編輯后重新發送給待測的ESC系統。但因車輛CAN總線通信的特殊性，測試時需注意以下方面。

首先，車輛CAN總線信號可能采取了保護機制（如校驗位），所以在改變信號值的同時也需要重新計算校驗位的值，以免待測系統發現信號校驗信息錯誤而提前報錯，導致故障注入測試無法實現。CAN總線信號的故障編輯方法如圖4所示。

其次，由于CAN總線采取了廣播的通信方式，同一信號將同時被多個總線節點接收，為避免由于故障注入對其它總線節點的影響，需在待測系統與整車總線之間串聯可控網關，通過上位機對待注入故障的測試信號進行編輯，以實現故障注入系統將待測系統與整車隔離。故障注入系統的連接結構如圖5所示。

再次，為避免故障注入測試設備對原車CAN網絡的終端電阻產生影響，導致CAN網絡通信異常，采用了如圖6所示的菊花鏈式整車CAN總線結構，總線的終端電阻位于終端節點內部。

若待測系統為原車CAN總線終端節點，需在截斷的CAN總線High和Low之間分別短接120 Ω的電阻，以保證整車網絡以及故障注入局部網絡的完整性。測試設備的接口方式如圖7所示。

若測試針對待測原車CAN總線上的中間節點，則應在待測節點的菊花鏈輸出端添加120 Ω的終端電阻，并將原菊花鏈輸出通過0 Ω電阻與菊花鏈輸入短接，如圖8所示。

最后，由于CAN總線信號的故障注入測試需要經歷原信號解析、信號值編輯、故障信號發送的過程，所以會導致該條總線信號產生延遲，而原車ESC系統對總線信號的延遲存在監控，為避免因延遲導致ESC系統通信報錯而影響故障注入，對故障注入系統導致的通信延遲進行了測試，如圖9所示。由圖9可看出，故障注入信號相比原始信號的最大發送延遲為2 ms，在ESC系統可接受的范圍內。由此，實現了針對原車ESC系統的CAN總線信號故障注入測試。

Fault Injection Test Method of Vehicle E/E System Based on ISO26262

Shang Shiliang,Wang Leilei,Zhao Xiangdong
（Pan Asia Technical Automotive Center Co.,Ltd）

Based on ISO26262 standard Road Vehicle Functional Safety,the paper takes fault injection test method of vehicle electronic stability control system(ESC)as example to identify diagnostic coverage requirement and typical failure modes of sensor in compliance with the automotive safety integrity level(ASIL)and design a fault injection circuit for vehicle daisy chain CAN architecture,then define test cases and evaluation criterion before vehicle testing.The vehicle testing result shows that,the designed test method could be used to validate the safety mechanism of vehicle E/E system and support functional safety evaluation.

E/E system,Fault injection test,Function safety evaluation

電子電氣系統 故障注入 功能安全評估

U463.6

A

1000-3703（2015）12-0049-03