基于ISO 26262的车身域控制器开发.pdf

《基于ISO 26262的车身域控制器开发.pdf》由会员分享，可在线阅读，更多相关《基于ISO 26262的车身域控制器开发.pdf（7页珍藏版）》请在咨信网上搜索。

1、第 卷第 期 年 月北京信息科技大学学报（自然科学版）（）文 章 编 号：（）：基于 的车身域控制器开发邵广亚，冯雪，张维，田松，张博，林海峰（徐州徐工汽车制造有限公司，徐州 ；南京林业大学 信息科学技术学院，南京 ）摘要：使用单个微控制单元（，）的车身域控制器由于缺少外部芯片监控主控 的工作情况，缺少对多点故障失效的诊断覆盖，影响潜在失效率。此外，单 由于芯片引脚不足，使用复选芯片后大幅增加了单点故障失效率，因而很难达到功能安全等级 的要求。为满足功能安全的要求，设计了一种基于国产车规芯片 的双 架构的车身域控制器。该控制器设计方案可消除多路复选芯片的硬件随机失效率，同时增加对 失效的诊断覆

2、盖，从而提高功能安全等级。关键词：域控制器；功能安全标准；硬件在环中图分类号：文献标志码：，（，；，）：（），：；（）收稿日期：基金项目：江苏省重点研发计划项目（）作者简介：第一作者 通信作者：邵广亚，男，工程师。引言新能源商用车车身功能越来越多，给车身控制和整车线束带来了新的挑战。为降低控制器数量和成本，减少整车线束的复杂程度，需要将原本多个独立的控制器集中在一个控制器上，域控制器的概念由此提出 。徐工汽车原有车身域控制器设计方案采用单个微控制单元（，）作为主控处理器，在集成了更多功能以后，原有的设计已经无法满足功能安全要求，因此本文考虑采用双 协同控制的设计方案。双 的设计已广泛应用于整车

3、控制器、防抱死系统等整车控制或者主动安全核心装置，其目的是增加故障冗余，在主 发生故障时由从 接管控制，实现部分核心功能可以继续工作从而避免车辆失控 。本文采用了主从 的方法，对原有车身域控制器方案进行修改，并设计了一套主从 的通信协议，在协议内增加了诊断功能。个 可以相互监控对方的工作状态，如果对方发生死机或工作异常，可以发起 复位，并记录故障信息，不仅满足了功能设计要求，还提高了功能安全等级。车身域控制器设计需求新能源商用车的车身域控制器（，）集成了车身控制模块（，）、空调控制器（，）、副北京信息科技大学学报（自然科学版）第 卷驾驶门控制模块（，）和中央网关控制器。其中车身控制模块负责危险

4、报警灯、天窗、门控、阅读灯、睡眠灯、喇叭、安全指示灯、行车灯等多个功能 ；空调控制器负责驾驶室空调功能；副驾驶门控制模块负责车窗升降、后视镜调节灯功能；中央网关控制器作为不同网络间信息传递的枢纽，负责协调不同 总线网络与其他数据网络协议间的数据交换、协议转换以及故障诊断等任务。为节省控制器数量和成本，减少整车线束，简化整车网络结构，本文设计了一种集成中央网关、空调控制器、车身控制器、副驾驶门窗控制器的车身域控制器，并基于功能安全进行优化。功能安全要求 是针对汽车电子系统开发和生产制定的功能安全标准，适用于所有提供安全相关功能的电力、电子和软件元素组成的设备。功能安全目标确认 要求通过危害分析和

5、风险评 估（，）来识别产品功能故障引起的危害，对危害事件进行分类，然后定义与之对应的安全目标（，），以避免不可接受的风险 。每一安全目标得到相应的汽车安全完整性等级（，）。从低到高分为 、四个等级，等级越高，表示危害事件的风险越高。通过整车危害分析与风险评估，得到车身域所有相关功能的安全目标。本文以表 中部分灯光及雨刮器控制功能为例进行说明。表 安全目标概要 编号安全目标 安全状态 控制器正确响应转向灯转向灯打开 控制器正确响应近光灯近光灯打开 控制器正确响应雨刮器雨刮器打开 控制器正确响应位置灯位置灯打开 元器件的安全机制与诊断覆盖率确认 标准中将诊断覆盖率分为低、中、高 种等级，各等级的覆

6、盖率分别可达到 、和 。控制器 选用国产车规芯片 ，该芯片基于 内核，引脚，包含 的 和 的系统 ，功能安全符合 。芯片具有内核自测、访问保护、安全管理单元、内部错误检查和纠正（，）及 循 环 冗 余 校 验（，）、时钟和电源监控等机制，并具有数字回读功能来检查数据发送的正确性。为防止板上 供电模块出现硬件随机故障，额外增加了一路跛行电源。当供电发生故障时，跛行电源启动，并由硬件机制直接打开报警灯及转向灯等，实现对驾驶员的提醒。高边驱动选用德州仪器公司的 ，该驱动带有过载保护和短路保护功能，并具有自恢复功能的热关断 热调节失地保护和失电保护功能；除此之外带有一路诊断引脚，可以对开路、短路、过载

7、和接地短路进行检测以及对电流限制进行诊断。表 为元器件的安全机制和诊断覆盖率。表 信号处理安全机制与诊断覆盖率 编号安全机制诊断覆盖率 监控 内核自测（）系统内存访问保护 时钟和电源监控 带诊断功能的高边驱动 跛行电源冗余设计 功能安全指标的硬件参数要求硬件功能安全确认主要是通过硬件架构指标来衡量是否符合对应的 要求，行业内一般对电路进行失效模式影响与诊断分析（，），根据电路图中各个元器件的失效和失效影响，编制硬件指标计算表格来计算 个参 数：单 点 故 障 度 量（，）、潜在故障度量（，）、随机硬件失效概率度量（，）。具体计算公式如下：，（），（），（，），（）（），（）式中：下标“，”表示

8、安全相关的硬件元素；为安全相关失效率；为单点故障度量；为潜在故障度量；为随机硬件失效概率度量；为单点故障失效率；为残余故障失效率；，为潜在多点故障失效率；为产品生命周期。失效率的单位是 （），表示器件每运行 失效 次。高的单点故障度量意味着相关硬件的单点故障和残余故障所占比例第 期邵广亚等：基于 的车身域控制器开发低，所以单点故障度量的值越高越好。功能安全对硬件指标的要求如表 所示。表 硬件度量指标 单点故障度量 潜在故障度量 随机硬件失效概率度量 单 方案硬件架构指标计算 单 方案硬件失效度量计算下文以安全目标 （控制器正确响应转向灯）为例，结合系统的诊断措施进行硬件失效分析。转向灯控制电路

9、如图 所示。转向灯开关作为信号输入，经过上拉操作后接入 ，输出引脚驱动高边驱动。当 检测到开关为低电平时，设置控制输出引脚高电平，驱动高边驱动输出高电压给灯组。会有一路诊断引脚输出电流诊断信号，该引脚通过电阻接地。根据该引脚的电压反馈来判断高边驱动的故障情况。由于域控制器主控 引脚不足，输入需要采用复选芯片。图 单 转向灯控制电路 当 出现对地短路时，出现过流故障，故障反馈信号会拉高，并关断输出。而当 发生故障时，由于缺少足够的诊断措施覆盖，所以该失效单点故障率较高。当 发生诸如 错误、外部时钟不稳定等失效时，使用安全机制 可以有效检测该类故障。根据 中列出的电子元器件的失效模式及其分布律和各

10、失效模式下适用的安全机制及其诊断覆盖率，再参考 标准中对电子元器件失效率的标准规定，编制了表 所示的转向灯控制电路的硬件指标计算表格。表 单 下转向灯控制电路硬件指标计算表 组件名元器件失效率 失效模式失效分布率安全相关失效率 是否违背功能安全（是）可以覆盖的安全机制考虑到违背功能安全目标的诊断覆盖率 单点故障失效率 残余故障失效率 是否为潜在多点失效（是）可以对潜伏失效覆盖的安全机制考虑到潜伏失效的诊断覆盖率 潜在多点故障失效率 开路 短路 开路 短路 开路 短路 开路 短路 开路 短路 开路 短路 开路 短路 开路 短路 开路 短路 开路 短路 开路 短路 开路 短路 开路 短路 电源 开

11、路 短路 跛行电源 开路 短路 主 北京信息科技大学学报（自然科学版）第 卷 硬件随机失效分析结论硬件指标计算结果如表 所示。单点故障度量为 ，潜在故障度量为 ，仅符合 的要求。表 单 下转向灯控制电路硬件指标计算结果 指标名称计算结果 单点故障度量 潜在故障度量 随机硬件失效概率度量 以上结果表明单 的设计方案无法满足 的目标。原因是缺少外部芯片监控主控 是否工作正常，导致缺少对多点故障失效的覆盖，影响潜在失效率；其次，由于车身域控制器集成了多个功能以后，单 由于引脚不足，必须要使用多路复选 才能满足设计要求，造成单点失效率大幅增加，从而无法满足技术安全目标。功能安全优化 功能安全优化电路为

12、了解决以上问题，可以采用更高规格的 作为主控芯片，比如英飞凌公司的 系列车身控制专用芯片和恩智浦公司的 系列都 符 合 设 计 要 求，但 是 两 者 的 价 格 都 远 超 ，成本过高。本文提出了一种可以提高车身域控制器功能安全的有效方式。为了消除多路复选芯片的硬件随机失效率，同时增加对 失效的诊断覆盖，最终符合功能安全目标，选择额外增加一个相同的 作为从 ，同时设计一套主从 的通信协议，在协议内增加诊断功能。个 分别独立接入总线诊断网络，支持诊断读取和清除，与使用高规格进口芯片相比，使用 个国产 也更具有成本优势。根据以上设计，该车身域控制器增加了 安全机制，即双 之间相互监控，诊断覆盖率

13、定为 。新的转向灯控制电路如图 所示，个 直接接入对方复位引脚，从 直接驱动读取外部 信号。由于增加了 这种安全机制，个 可以互相监控，所以当其中一个 发生共因失效时，另一个 可以及时发现，并复位系统进入安全状态，鲁棒性较高，同时避免了多路复选芯片失效造成的单点故障。图 双 下转向灯控制电路 相较于图，图减少了元器件 ，同时增加了从 。根据新的控制原理图，结合新增加的诊断条件，重新计算转向灯控制电路硬件指标。由于增加了诊断机制 ，主从 在发生单点失效和潜在多点失效时均可以被该机制覆盖。经过计算，改进后硬件指标结果如表 所示。表 双 下转向灯控制电路硬件指标计算结果 指标名称计算结果 单点故障度

14、量 潜在故障度量 随机硬件失效概率度量 由表 可以看出，优化后转向灯控制系统硬件架构的单点故障度量为 ，潜在故障度量为 ，参照 硬件架构指标要求，该指标符合 。通过前文的分析，额外增加一个 的方式可以在仅增加少量成本下，提高单点故障度量和潜在故障度量，并降低随机硬件失效概率度量，由此将功能安全等级从 提高到 ，从而提高车身域控制器的可靠性。硬件设计验证 推荐了 种硬件集成测试方法，分别是功能测试、故障注入测试、电气测试。这里采用故障注入测试，在电路上增加测试点，手动模拟故障的发生，并使用示波器监视控制器输出信号，从而验证安全机制的完整性和正确性。以 为例，正常工作时，诊断引脚会将输出以电流的形

15、式反馈，当发生故障对地短路以后，诊断引脚反馈会超过正常范围，可以通过该引脚判断驱动芯片的工作状态。当手动在 位置触发短路故障时，诊断引脚电平如图 所示，符合设计要求。第 期邵广亚等：基于 的车身域控制器开发图 故障注入测试 主从 通信协议设计 通信流程为保证主从 通信的准确性和实时性，基于串行外设接口（，）通信设计了一种主从 间的通信协议，如图 所示。其中，主 为主机，从 为从机。由于 为全双工通信，主从 可同时相互进行数据交换，全部通信的最大超时时间为 。图 通信协议 如图 所示，通信分为读、写 组数据包，组数据包均为 字节，包含了序列号、数据帧和循环冗余校验。写数据包由主 发送给从 ，用于

16、从 数字输出以及脉冲宽度调制（，）占空比的控制；读数据包由从 回复给主 ，用于返回从 数字输入的读取值和错误状态。图 写数据包 图 读数据包 如图 所示，通过使用逻辑分析仪获取的波形可以清楚地看出，主从 的通信过程与所设计的通信协议一致。图 主从 通信过程 通信故障诊断本文制定的基于 的通信协议有 种故障：通信超时故障、校验错误故障。通信超时故障：在主从 通信中，当主 连续 个周期没有收到从 回复的信息，则从 通信超时，主 将从 复位，错误计数器清零，并记录故障信息。校验错误：校验错误分为序列号校验、数据帧校验和 校验。序列号校验是总线上传输的每个单独的安全相关帧中包含一个作为信息一部分的计数

17、器，在生成每个连续帧时计数器值增加。接收方随后能通过验证计数器的值是否加 来探测任何的帧丢失或者帧未更新。数据帧每个字节的 为奇校验位。读写数据包的最后 个字节为 校验部分。通过以上校验方式可以确保主从通信过程的稳定性和安全性。硬件在环仿真测试 硬件在环仿真系统本文 采 用 基 于 设 备 的 硬 件 在 环（，）仿真测试系统对车身域控制器进行功能测试。硬件在环仿真是一种半实物的闭环仿真方式，通过将真实的控制器接入虚拟建模出来的环境中进行各项功能的测试和验证，从而提高开发质量，缩短研发周期 。测试机柜由电源管理模块、程控电源、调理电源、工控机以及一系列 功能板卡组成 。测试时控制器通过扩展北京

18、信息科技大学学报（自然科学版）第 卷架与 机柜相连，以总线仿真与测试工具 为载体搭建测试工程，以此来实现控制器与 机柜之间的信号实时交互；根据测试工程面板创建的输入输出信号按键来控制 机柜模拟实车给控制器发送开关量信号，同时将控制器的输出响应信号通过机柜显示到上位机用于观察结果。台架作为一个接近实车尺寸大小的物理装置，其中各类器件均按照实车结构进行布局 。按照实车零部件、线束、蓄电池等电器部件位置在 台架上进行实物搭建。将通过 机柜验证后的控制器安装到 上进行测试，检查车灯、转向灯等零部件是否可以正常工作。车身域控制器测试平台搭建如图 所示，将一键启动控制器、主驾驶门控、胎压传感器、整车控制器

19、等报文节点添加到模拟设置窗口中，它们之间通过总线板卡连接。测试系统根据整车通信规则，通过模拟节点发送总线报文并使用数字接口模拟整车信号，通过判断被测控制器的响应情况来检查控制器是否符合功能设计要求。图 仿真设置窗口 根据该车身域控制器的功能及具体的 测试条件搭建测试面板，它包含商用车的前大灯、转向灯、驾驶室内部照明灯、雨刮、天窗、空调等功能的控制。此外，将各个执行部件的控制信号也做在面板上，以便于及时观察控制器控制信号的响应情况。车身域控制器功能测试测试项目工程搭建完毕后，基于车身域控制器的功能规范编写测试用例，再通过上述测试平台所搭建的测试面板对车身域控制器的功能进行逐一验证。该过程既可以验

20、证应用层的功能逻辑的正确性，又能验证控制器底层对于输入输出的数字信号、模拟信号、调速信号以及 信号处理的实效性。表 罗列了域控制器的所有功能测试项，将测试项目按照用例编写成脚本进行自动化测试，仅最后对测试结果进行分析，可省去大量测试时间。测试脚本运行结果如图 所示。表 控制器功能测试项目 分类功能项测试用例数量 外灯控制功能 内灯控制功能 雨刮、喇叭、天窗控制功能 副驾车窗控制功能 防盗功能 内外循环切换功能 风窗除霜 除雾功能 温度控制功能 风量控制功能吹风模式控制功能 模式控制功能 空调开关机控制功能驻车制冷功能图 测试脚本运行结果 经过测试，车身域控制器上述功能满足设计要求，车身域、门控

21、及空调的应用层功能都可以被正确地执行。该种控制器对域控制器功能中所涉及的数字信号、模拟信号、信号以及 信号的处理能力均达到设计要求，对应用层逻辑的处理符合预期目标。结束语本文根据企业实际需求，在兼顾成本和实用性的情况下，提出了一种双 架构的车身域控制器设计方法。通过使用注入测试和 功能测试，证明该控制器符合设计要求。该方案具有良好的可靠性和工程实用性，给未来车身域控制器设计提供了新的思路。参考文献：邹渊，孙文景，张旭东，等 智能网联汽车多域电子电气架构技术发展研究 汽车工程，（）：，第 期邵广亚等：基于 的车身域控制器开发 ，（）：（）秦林 纯电动汽车整车控制器功能安全性分析与设计 重庆：重庆

22、邮电大学，：，（）杜德清 电动汽车 故障诊断系统开发与测试 长春：吉林大学，：，（）王伟达，张为，江帆 基于双 架构的 故障诊断系统 微型机与应用，（）：，（）：（）宋雪静 基于双 的纯电动汽车整车控制器硬件设计 汽车电器，（）：，（）：（）芦文峰 满足 标准的 整车控制单元开发研究 成都：西华大学，：，（）杨莉，王强，隋建鹏，等 基于 的失效模式和诊断策略分析准确度研究 汽车技术，（）：，（）：（）王喜洋 纯电动汽车整车控制器系统功能安全技术研究 天津：河北工业大学，：，（），：苏晨曦 基于功能安全的电子换挡器电控平台硬件开发 杭州：浙江大学，：，（）郭健忠，张举，闵锐，等 基于功能安全的汽车全液晶仪表电源供电系统设计 电子器件，（）：，（）：（）丁志华，罗峰，孙泽昌 基于 的汽车故障诊断系统研制 汽车工程，（）：，（）：（）夏超，李鑫，程越 机电控制无级变速器控制单元硬件在环测试系统 重庆理工大学学报（自然科学），（）：，（），（）：（），：