摘要

文章概述了功能安全的開發流程及要求。解析了功能安全測試的四個關鍵技術。以某汽車集成電驅動總成為例，開展系統架構及功能解析。文末對功能安全測試發展與展望進行了總結包括多域融合的功能安全測試和多重安全技術融合的測試。

功能安全概述

背景及意義

GB/T 34590:不存在由電子電氣系統的功能異常表現引起的危害而導致不合理的風險。

由以上功能安全的定義，可理解功能安全的核心思路為: 采用合適的安全措施，將因為電子電氣系統功能異常表現而引起的危害控制在可容忍的風險邊界。

首先大家都知道隨著汽車電動化、智能化、網聯化不斷的發展，使得汽車電子電氣系統不斷地被重構，讓新能源汽車的安全性和可靠性成為整個行業的關注焦點。比亞迪總裁王傳福先生曾經說過：安全才是一輛電動車最大的豪華。

ISO26262-2011及GB34590-2017等標準對功能安全也提出了明確的管理及開發的要求，各個系統功能安全如電池管理、電驅動等功能安全標準也正在制定中。

安全開發流程及相關應用層級

功能安全的開發管理，均按V流程進行，無論是軟硬件，系統，還是整車。在汽車行業，V模型是被廣泛接受的模型，也被 ISO 26262 等汽車安全標準所接受。為每個階段創建審查清單和質量文件。每個階段都明確定義了進入/退出標準。V模型是瀑布模型的擴展，也稱為驗證和確認模型。一般來說，V模型的左側描述了開發活動，而右側則全部是關于測試的。重要的是完成一個階段才能進入另一個階段。開發和測試活動應該并行進行，以減少產品開發時間。

下面列出了V模型的一些主要優點：

?測試從軟件開發的早期開始，避免了錯誤的向下流動，使早期發現錯誤成為可能；

?在開發人員創建軟件的同時準備測試規范；

?具有成本效益，因為它避免了返工；

?測試發生在軟件開發的所有階段。

圖片來源：知乎汽車電子嵌入式

功能安全的驗證和確認，貫穿了整個開發流程，也是功能安全開發的重要環節。

功能安全要求分析及測試

相對于功能安全開發V流程，功能安全的測試是在功能安全要求分析的基礎上，進行驗證與確認。基于如下六大環節開展，對要求分析及驗證確認都有較強的專業要求。

功能安全關鍵測試技術研究

電動汽車安全技術

電動汽車，多項安全技術的不斷創新發展和廣泛應用，使用戶對安全問題的關注越來越高，功能安全測試是安全技術測試的一部分。多項安全是通過軟硬件增加硬件冗余或設計控制策略的方式實現，這些安全措施的驗證與功能安全密切交叉和關聯。針對集成式的動力域控制系統隨著各項新的計算機技術和智能算法如模型預測技術、智能駕駛需求、復雜控制策略等技術不斷地融入使動力控制域逐漸朝著智能控制技術方向發展，其承擔的功能也越來越多，測試也越來越復雜。

功能安全測試關鍵技術

針對高度集成化的復雜電氣架構，需要構建以功能安全分析技術為基礎，融合多項專項技術，構建覆蓋各類電氣架構、各層級系統，構建快速有效的測試技術和測試平臺，需要解決以下四個關鍵技術。

●功能安全分析技術

●用戶使用條件轉換技術

●功能安全故障分析技術

●柔性測試平臺構建技術

做到“多層次”、“多場景”、“多手段”的全面測試覆蓋。

功能安全分析技術-解析整車E/E功能架構

汽車電子電氣架構是集合了汽車的電子電氣系統原理設計、中央電器盒設計、連接器設計、電子電氣分配系統等設計為一體的整車電子電氣解決方案。

汽車是一個軟硬件結合的產物，如果把它比作是一個人，「四個輪子+一個沙發」是身體，電子電氣架構就相當于神經系統，負責完成各個部位的連接，統領整個身體的運作，實現特定功能。

基于高度集成化及復雜的電氣架構，功能安全開發及測試，都需要解析整車E/E架構，掌握功能要求，交互關系，并對系統功能進行解析，才能保證測試架構的正確性及完整性。

功能安全分析技術-HARA分析

HARA（危害分析與風險評估）目的是識別項目的功能故障引起的危害，對危害事件進行分類，然后定義與之對應的安全目標，以避免不可接受的風險。無論進行功能安全開發，還是測試用例開發，都需要系統的掌握HARA分析。

根據HARA的危害分析可以通過產品的功能故障和車輛運行場景確定危害事件。然后對此危害事件進行風險評估，從它的嚴重度、暴露度、可控度來推出ASIL等級還有它的安全目標和安全狀態以及故障容錯時間間隔等。

因此，基于HARA的危害分析和相關安全目標、安全狀態、FTTI，是進行測試用例開發的關鍵支撐。

用戶條件轉換技術

在HARA分析的基礎上，需要進一步采集用戶使用數據、實車大數據，進行數據融合分析，并結合專業商業軟件進行仿真建模，將用戶使用條件的場景數據轉化為可實際執行的功能安全測試TC用例。

功能安全故障分析技術

基于FEMA/FTA/DFA/FMEDA，試驗異常，售后反饋，仿真失效，專家經驗等手段， 開展故障分析評估，通過特征統計及分析，結合產品功能特性、應用場景示例等，建立故障庫。比如針對電動車的無動力輸出屬于電機系統的無扭矩輸出。所以我們需要結合系統特征和控制因素以及干擾因素等這些方面來進行分析。有整車控制邏輯問題、旋變故障、環境超高溫、網絡通訊故障等等。需要注意的是，測試時，有些故障難以直接獲得，需要盡可能建立模擬技術。

柔性測試平臺構建技術

柔性測試平臺構建技術是一種能夠快速適應不同測試需求的測試平臺構建技術。在功能安全測試中，柔性測試平臺可以提供可靠的測試環境和測試工具，以確保系統的安全性能和功能符合要求。以下是柔性測試平臺構建技術的一些關鍵方面：

1. 測試自動化：通過使用自動化測試工具和腳本，可以提高測試效率和準確性，并減少測試成本。

2. 測試數據管理：測試數據是測試的核心資源之一，柔性測試平臺需要提供有效的測試數據管理和分發機制，以確保測試數據的準確性和完整性。

3. 測試環境管理：柔性測試平臺需要提供可靠的測試環境管理機制，包括硬件、軟件和網絡環境等，以確保測試環境的穩定性和一致性。

4. 測試結果分析：柔性測試平臺需要提供可靠的測試結果分析和報告機制，以便及時發現和解決測試中的問題，并提供有效的測試結果評估和反饋。

集成電驅動系統測試案例分享

本文以某汽車集成電驅動總成為例，開展系統架構及功能解析。

相關項定義

該集成電驅動總成由驅動電機、變速器、驅動控制器、交流充電OBC、直流變換DC/DC、高壓配電PDU、整車控制單元VCU、電池管理系統BMS等八個模塊組成，擁有驅動控制、電控制、充電管理、配電管理、熱管理等多項功能是一款高度集成化、智能化的集成系統。

集成電驅系統邊界及接口

驅動電機：驅動電動機將電源的電能轉化為機械能，通過傳動裝置或直接驅動車輪和工作裝置。它承擔著電能轉化和充電的雙重功能。它由電機、旋轉變壓器、溫度傳感器、冷卻循環水道和殼體等組成。

電機控制器：電機控制器是通過主動工作來控制電機按照設定的方向、速度、角度、響應時間進行工作的集成電路。根據檔位、油門、剎車等指令，將動力電池所存儲的電能轉化為驅動電機所需的電能，來控制電動車輛的啟動運行、進退速度、爬坡力度等行駛狀態，或者將幫助電動車輛剎車，并將部分剎車能量存儲到動力電池中。

減速器：電機和發動機一樣都是高速旋轉的機械部件，其單位是5000轉/分鐘，而車輪的轉速相對而言是低速度的。想要把電機的高轉速匹配成車輪旋轉的轉速必須要通過減速器來降低轉速、增加轉矩。因此熟悉電機的朋友經常看到的所謂傳動比或者速比的概念，說的就是：（傳動比）速比=電機輸出轉數÷減速機輸出轉數

車載充電器：車載充電器的功能是調整輸出電壓，它采用功率半導體器件作為開關元件，通過周期性通斷開關，控制開關元件的占空比來實現。

直流變換器：直流變換器，也稱DC-DC變換器，它是將一個直流電壓轉換成負載所需的直流電壓的轉換器，也就是將電池存儲的直流電壓轉換為驅動電機驅動車輛所需的直流電壓。

車載高壓配電箱：車載高壓配電箱顧名思義是高壓電的分配用，當動力電池上電后高壓電首先進入到高壓配電盒內，通過配電盒內的分配線路給需要高壓的系統供電，比如，MCU，DC/DC，空調等需要高壓的元件，它是電控總成的核心部件。

整車控制器：整車控制器即動力總成控制器，它連接控制電機控制器、真空助力系統、電池管理系統、加速踏板、直流電壓變換器DC／DC、電動助力轉向系統EPS、空調系統、組合儀表。整車控制器能夠統計整車所有電氣設備的功耗，對比動力電池能夠提供的電量，根據功率模型計算結果，輸出控制器指令信號至電機控制器，電機控制器調整牽引電機地轉矩值。

電池管理系統：電池管理系統一般指BMS電池系統。由上千個電池單元組成。電池管理系統會監測系統內每節電池的電壓，僅僅1mv的微小變化也能夠被識別。每個區域都設置了溫度傳感器，能夠充分感知電池系統的熱場分布情況。充放電過程中，電池輸入輸出的電流都將實時被記錄，為電池狀態的評估提供有效依據。同時能實時檢測動力電池的電壓、電流、溫度等參數，實現對動力電池進行熱管理、均衡管理、高壓及絕緣檢測等，并且能夠計算動力電池剩余容量、充放電功率以及SOC&SOH狀態。

各模塊主要功能描述

集成電驅動系統場景及安全等級分析

基于上文的相關項定義，對集成電驅動系統場景及安全等級分析。通過識別集成電驅系統各模塊的功能異常表現以及在整車層面上的危害，同時結合各種應用場景，從而導出 ASIL等級。HARA分析示例如圖。以圖中“非預期輸出驅動扭矩”導致的危害事件為例：由于車輛靜止停于斑馬線前，駕駛員在車上，并且車輛退出可行駛模式，車輛前方較遠處有行人或其他車輛經過車輛與前方行人或車輛發生碰撞造車傷害，嚴重度為S3。大多數駕駛員平均每天都會遭遇此駕駛場景，其在平均駕駛時間中的占比大于10%，暴露概率為E4。由于大于90%的駕駛員可通過制動或轉向避免發生碰撞，可控性為C2。根據S、E、C三個參數的組合，該危害事件的汽車安全完整性等級為ASILC。

HARA分析示例

集成電驅動系統安全目標及其分解架構

應確定每一個危害事件的ASIL等級，并為具有ASIL等級的危害事件確定一個安全目標。對于上述危害事件，其安全目標為：防止電機非預期的輸出驅動扭矩。安全目標是相關項最高層面的安全要求，安全目標的定義應包含其相關屬性，包括ASIL等級及確定ASIL等級所需的量化值，即：安全度量。對于本文中所分析的集成電驅動總成，開展HARA分析后得到圖中的安全目標示例。

安全目標示例

為上述每一個安全目標導出至少一項功能安全要求，考慮包括故障避免、故障探測、故障控制、安全狀態、故障容錯、功能降級、駕駛員警告、故障容錯時間間隔、故障處理時間間隔等策略。并將其分配給相關項的初步架構要素或外部措施。本文針對圖中的安全目標SG1分解到集成電驅系統各子系統關聯項的架構給出如下示例。

系統非預期輸出驅動扭矩的測試實施示例

基于動力總成臺架構建的功率級系統（PHIL），開展非預期輸出驅動扭矩的功能安全驗證，構建相關項工作條件，以注入故障為故障模擬手段。

集成電驅系統會對異常進行識別：識別到異常發生，控制系統會立即報警，響應安全機制，防止非預期的輸出驅動扭矩。

發展與展望

多域融合的功能安全測試

首先隨著智能化的發展，電動汽車逐步向智能汽車過渡，多域融合是后續的發展趨勢，其驅動系統也由目前的中央式驅動向分布式驅動發展，驅動系統將承擔更多的主動安全責任。其次智能汽車所帶來的復雜的應用場景（如交通場景）和智能化的復雜算法也會對測試系統有更高的要求。

多重安全技術融合的測試

電氣化、智能化及網聯化等新趨勢引領新一輪汽車技術發展變革。未來我們的汽車也會像一個智能終端一樣，因此針對新能源汽車產品可靠性、主動安全、信息安全、被動安全、功能安全、預期功能安全等全方位、多領域安全技術融合才能保障智能汽車安全需求及技術更好的發展；從系統工程的角度，以系統體系的觀點，進行頂層設計，全面規劃、統籌協調開展多層次、系統化汽車廣義安全的測試技術研究與實施。