新能源汽車VCU診斷軟件系統開發*

周亞芬，鐘日敏，黃祖朋

?

新能源汽車VCU診斷軟件系統開發*

周亞芬，鐘日敏，黃祖朋

（上汽通用五菱汽車股份有限公司技術中心，廣西 柳州 545007）

近年來，隨著新能源汽車技術特別是智能化汽車技術的發展，汽車電子領域發生了重大的變革—汽車電子系統日趨復雜，電控元器件日益增加。汽車電子的變革導致了汽車軟件開發平臺化及標準流程化占據了更重要地位。對汽車整車控制器（VCU）軟件開發，功能安全及診斷模塊的開發需要對更多的電子控制單元進行診斷監控，保證車輛的安全與舒適性。基于此，文章對汽車診斷功能軟件、平臺化的軟件開放式架構、功能安全評估手段進行了深入的研究。

新能源汽車；整車控制器；功能安全；診斷；AUTOSAR

前言

近年來，隨著智能化新能源汽車技術的發展，汽車電子領域發生了巨大的變化，汽車電子系統日趨復雜，采用的電控元器件也日益增加。為了降低開發成本，整車控制器軟件平臺化開發遵循一種開放、標準化的體系結構—汽車開發系統架構AUTOSAR。此外，越來越多的電控元器件會帶來總線的負載率提高、功能安全失效性增大等問題，因此，汽車行業的發展對整車功能安全需求提出了更高需求。整車控制器作為汽車的控制大腦，在診斷系統的設計上需要遵循功能安全規范ISO26262，目標減少車輛失效可能性、提高功能安全可靠性。

1 功能安全

ISO26262功能安全標準是目前較前沿、全面的標準，是一個囊括整個產品開發生命周期的功能需求的標準，從系統、硬件、軟件、生產運行等開發周期過程都有定義。整車控制器作為整車的大腦及指揮中心，其軟件開發流程更需要遵循功能安全需求。功能安全標準根據安全風險對系統或者系統部分劃分了從A到D的的安全需求等級（Automobitive Safety Integriy Level，汽車安全完整性等級ASIL），安全風險等級越高，針對系統軟硬件開發流程要求也越高。

整車控制器軟件開發流程遵循“V”流程，流程如圖1所示。軟件開發“V”將整個軟件系統的開發流程劃分為：系統需求→系統架構（系統驗證、基礎測試）→子系統需求（模型在環測試）→子系統算法設計（模型靜態測試）→基于模型設計開發（靜態模型測試及模型在環測試）→子系統軟件代碼生成（靜態代碼驗證）→軟件、系統基礎測試（MIL/SIL/HIL測試）。每個開發流程都有測試驗證過程，保證子流程的有效性，從而保證整個開發流程的有效性。

圖1 軟件開發“V”流程

根據安全事項的危險分析和危險評估，軟件系統開發的功能安全風險（ASIL）等級劃分有如下原則：1）功能安全的要求應該根據系統基本架構提出；2）下級系統應該全面繼承上級系統的安全要求和安全等級；3）同一要素與上級的幾個系統都有從屬關系，則取安全等級最高的系統級別；4）處理好電子電氣類安全措施的接口，不要存在系統安全空白，也不要在一個點上過度設計。整車控制器進行功能安全設計時，首先從系統層面分析可能出現的功能故障，比如新能源汽車涉及的高壓安全、扭矩控制安全、電控零部件邏輯安全等方面，對此可采用的分析方法有HAZOP、FMEA、頭腦風暴等。如在軟件各個階段發現本階段沒有識別出來的故障，都有必要回到本階段思考、更新故障及功能安全需求。在考慮各個子系統的功能安全時，還需要考慮用戶在使用此項功能時的場景、此功能涉及的零部件有哪些已知風險和環境狀況，例如路面行駛狀況（濕滑路面、冰雪路面、干燥路面）、車輛行駛狀態（轉向、超車、制動、加速）、人員用車情況（空載、乘客人數、甚至無人駕駛使用場景）等。這些功能安全可能的失效因子可以被稱為“危害事件（Hazard Event）”，危害事件確定后，根據三個因子—嚴重度（Severity）、暴露率（Exposure）和可控性（Controllability）評估危害事件的風險等級。其中，嚴重度指對駕駛員、乘員、或者行人等涉險人員的傷害程度；暴露率指人員暴露在系統的失效能夠找車危害的場景的概率；可控性是指駕駛員或其他涉險人員能夠避開事故或者上海的可能性。三個因子的分類見表1。

表1 嚴重度、暴露率、可控性分類

2 汽車開放系統架構AUTOSAR

新能源整車控制器軟件開發遵循開放式系統架構（AUTOSAR），按照規定，復雜的汽車嵌入式軟件分別分成應用層軟件（ASW）、數據交互層（RTE）、底層軟件層（BSW）分別開發，最終集成生產一個完整的汽車控制系統軟件。在這樣的通用架構中，整車控制器軟件開發可以采用平臺化的開發結構，使代碼具有可移植性。軟件架構見圖2。

圖2 基于AUTORSAR的軟件架構

開放式系統架構的軟件，結構開發原則如下：1、應用層軟件（ASW）基于模型開發，系統分解為各個子系統獨立開發；2、底層軟件（BSW）主要開發CAN總線、診斷動作、任務調度等功能；3、RTE層進行接口（ASW與BSW的接口）調度，主要調度總線CAN信號輸入輸出值、引腳信號輸入輸出值、診斷算法處理等，使應用層算法與底層的任務執行具有實時性。

3 電動汽車診斷系統應用層軟件設計

電動汽車診斷系統的應用層軟件開發架構如圖3所示：首先，軟件結構遵循AUTOSAR的軟件開發架構，電動汽車模型會分成各個子系統模塊開發；其次，開發涉及高壓、行車、制動、的模塊對應診斷模塊（Dignostics component），功能上針對高壓安全、行車安全（扭矩限制）、換擋控制、硬件總線及引腳等進行故障行為判斷，滿足設置的故障條件，故障狀態管理（Diagnostics state manager）調用RTE的接口，觸發底層軟件及硬件的故障動作。診斷模塊之外，會對這些模塊輸出值進行安全監控層的算法計算，將輸出的值保持在安全的范圍內，安全監控層模塊在RTE有獨立的接口，保證這些輸出的值經過安全算法過濾。

圖3 電動汽車診斷系統應用層軟件開發架構（ASW）

4 結語

隨著汽車行業的發展，新車型的開發更加重視舒適性、娛樂性、多樣性，汽車電子結構越發復雜，電子元器件越發增多，汽車軟件開發平臺化及標準流程占據更重要地位。此外，對汽車控制器軟件開發，功能安全及診斷模塊的開發需要對更多的電子控制單元進行診斷監控，保證車輛的安全與舒適性。因此，針對汽車診斷功能軟件、平臺化的軟件開放式架構、功能安全評估手段的研究將對新能源汽車技術的發展具有重要意義。

[1] 劉璽斌,馬建,宋青松.基于AUTOSAR規范的汽車ECU軟件開發方法[J].2013(33):5-3.

[2] 彭斐. ISO26262 保證汽車功能安全新思路[J].2015(37).

[3] 葛鵬,陳勇,羅大國,劉文忠,王瑞平.基于道路功能安全標準ISO 26262的DCT電控系統設計[J].2014.

[4] 郭輝,劉佳熙,于世濤,李君.符合ISO26262的汽車電子功能安全解決方案[J].2015.

A Developing Method of New Energy vehicle Diagnostic System*

Zhou Yafen, Zhong Rimin, Huang Zupeng

( SAIC GM Wuling Automobile Co., Ltd., Guangxi Liuzhou 545007 )

In recent years, with the development of new energy vehicle technology, especially intelligent vehicle technology, great changes have taken place in the field of automotive electronics. The reform of automotive electronics has led to the automobile software development platform and process standards occupy a more important position. In order to ensure the safety and comfort of the vehicle, more electronic control units should be used for the development of the software of the vehicle controller, functional safety and diagnostic module. Based on this, this paper makes an in-depth study of the automo -tive diagnostic software, the open architecture of the platform software, and the means of functional safety assessment.

New-energy vehicle; VCU; Functional safety; Diagnosis;AUTOSAR

10.16638/j.cnki.1671-7988.2019.10.020

U472.9

A

1671-7988(2019)10-55-03

U472.9

A

1671-7988(2019)10-55-03

周亞芬，女，電動車控制工程師，廣西柳州人，就職于上汽通用五菱汽車股份有限公司，研究方向為新能源汽車VCU軟件開發。

基金項目：廣西科技計劃資助項目（桂科AC16380043）；柳州市科學研究與技術開發計劃項目（2017AA10103）。