基于ISO26262的车辆电子电气系统故障注入测试方法

尚世亮 王雷雷 赵向东

（泛亚汽车技术中心有限公司）

基于ISO26262的车辆电子电气系统故障注入测试方法

尚世亮 王雷雷 赵向东

（泛亚汽车技术中心有限公司）

基于ISO26262《道路车辆功能安全》标准，以车辆电子稳定性控制系统（ESC）的故障注入测试为例，依据车辆安全完整性等级（ASIL），定义了诊断覆盖率要求及相应的传感器典型失效模式，设计出适用于菊花链式CAN总线架构的故障注入电路，编写测试案例及评估准则并进行了实车测试。结果表明，所设计的测试方法能够对车辆电子电气系统相关安全机制进行有效验证，且可对系统进行功能安全评估。

1 前言

随着汽车电控技术的发展，车载电子电气系统应用日益广泛，但车载电子电气系统在为乘员提供极大便利的同时，因系统潜在失效导致的危害风险也大大增加。2011年ISO26262《道路车辆功能安全》标准发布实施，该标准基于危害分析和风险评估定义了汽车安全完整性等级（ASIL），用其表征车辆系统潜在失效所导致的危害程度。但在该标准中仅列举了推荐的验证测试方法名称，未提供具体的测试案例或评估准则，这给汽车企业特别是国内整车企业执行该标准造成了困难。为此，本文以车辆电子稳定性控制系统（ESC）为例，介绍一种基于总线的故障注入测试方法，为如何依照标准进行功能安全验证测试和评估提供借鉴。

2 功能安全验证标准要求和准则

ISO26262《道路车辆功能安全》标准中的ASIL共分为A、B、C、D 4个等级，其中ASIL D为最高等级。依照ASIL等级，该标准定义了贯穿车辆系统全生命周期的一系列要求，同时强调将功能安全验证测试作为检验系统是否满足既定安全要求的重要手段。

该标准对功能安全验证测试的要求涉及流程和技术两方面。其中流程定义了验证测试的几个典型阶段，包括测试计划的制定、测试案例的定义、测试执行及结果评估[1～4]等。而为了达到功能安全验证测试的技术要求，首先需要分析待测系统的功能及组成（传感器、控制器和执行器）[5]，然后考虑系统及各组成部分需要达到的ASIL等级，对最关键的单点故障（即该故障的发生将直接导致违背安全目标）进行针对性测试，即故障注入测试。

该标准定义了不同ASIL等级的系统单点故障指标应达到的诊断覆盖率，如表1所列。

表1 基于ASIL等级的单点故障指标（诊断覆盖率）

该标准将系统故障覆盖能力分为低、中、高3类，分别对应60%、90%和99%的诊断覆盖率典型值，所以表1可转化为表2。

以传感器信号失效为例，根据不同的诊断覆盖率水平，该标准要求系统能诊断如图1所示的传感器信号失效模式[6]，这些失效模式作为故障注入测试的考虑范围。

测试时，注入典型故障后，系统应能对这些故障进行正确探测，并采取恰当的降级响应。对故障注入测试结果进行评估应遵循的最高准则是，注入故障后系统不能产生任何违背车辆安全目标的失效行为。

3 ESC系统CAN总线信号故障注入测试

3.1 测试方案定义

原车ESC系统的组成如图2所示，包括传感器、控制器和执行器等三部分。传感器用于检测轮速传感器信号、真空度传感器信号和来自CAN总线的车身姿态信号（如转向盘角度信号）；控制器接收并处理相关输入信号，计算后生成对执行器的控制指令；执行器包括电磁阀、电子卡钳和ESC泵。

因ESC系统的功能是确保车身稳定，而来自CAN总线的车身姿态信号对ESC系统起到关键性作用，所以对该系统的功能安全验证需围绕这些信号进行故障注入测试。

ESC控制单元对信号的监控机制如图3所示，控制单元通过轮速信号、车身横摆角速度信号和侧向加速度信号对转向盘角度信号进行模型校验。

以原车ESC系统通过CAN总线接收的转向盘角度信号为例，进行典型信号失效模式的故障注入测试。基于功能安全分析，ESC系统对转向盘角度信号的安全等级要求为ASIL B，即中等诊断覆盖率要求，因此定义故障注入测试案例如表3所列。

对ESC系统整车级故障注入测试的评估准则进行定义，即系统注入上述故障后应能及时探测出故障，采取如关闭功能、点亮故障警示灯等降级响应，且在整个测试过程中不应对车辆行驶产生非驾驶员预期的车辆制动、车辆横摆及车辆加速。

表3 故障注入测试案例

3.2 CAN总线故障注入

进行CAN总线信号故障注入测试时，需使用上位机通过CAN信号故障注入设备对特定总线信号进行故障信息编辑和注入，以检验待测ESC系统收到该故障信号后的反应。根据表3中的定义，对总线上的转向盘角度信号进行解析，对信号值进行故障编辑后重新发送给待测的ESC系统。但因车辆CAN总线通信的特殊性，测试时需注意以下方面。

首先，车辆CAN总线信号可能采取了保护机制（如校验位），所以在改变信号值的同时也需要重新计算校验位的值，以免待测系统发现信号校验信息错误而提前报错，导致故障注入测试无法实现。CAN总线信号的故障编辑方法如图4所示。

其次，由于CAN总线采取了广播的通信方式，同一信号将同时被多个总线节点接收，为避免由于故障注入对其它总线节点的影响，需在待测系统与整车总线之间串联可控网关，通过上位机对待注入故障的测试信号进行编辑，以实现故障注入系统将待测系统与整车隔离。故障注入系统的连接结构如图5所示。

再次，为避免故障注入测试设备对原车CAN网络的终端电阻产生影响，导致CAN网络通信异常，采用了如图6所示的菊花链式整车CAN总线结构，总线的终端电阻位于终端节点内部。

若待测系统为原车CAN总线终端节点，需在截断的CAN总线High和Low之间分别短接120 Ω的电阻，以保证整车网络以及故障注入局部网络的完整性。测试设备的接口方式如图7所示。

若测试针对待测原车CAN总线上的中间节点，则应在待测节点的菊花链输出端添加120 Ω的终端电阻，并将原菊花链输出通过0 Ω电阻与菊花链输入短接，如图8所示。

最后，由于CAN总线信号的故障注入测试需要经历原信号解析、信号值编辑、故障信号发送的过程，所以会导致该条总线信号产生延迟，而原车ESC系统对总线信号的延迟存在监控，为避免因延迟导致ESC系统通信报错而影响故障注入，对故障注入系统导致的通信延迟进行了测试，如图9所示。由图9可看出，故障注入信号相比原始信号的最大发送延迟为2 ms，在ESC系统可接受的范围内。由此，实现了针对原车ESC系统的CAN总线信号故障注入测试。

Fault Injection Test Method of Vehicle E/E System Based on ISO26262

Shang Shiliang,Wang Leilei,Zhao Xiangdong
（Pan Asia Technical Automotive Center Co.,Ltd）

Based on ISO26262 standard Road Vehicle Functional Safety,the paper takes fault injection test method of vehicle electronic stability control system(ESC)as example to identify diagnostic coverage requirement and typical failure modes of sensor in compliance with the automotive safety integrity level(ASIL)and design a fault injection circuit for vehicle daisy chain CAN architecture,then define test cases and evaluation criterion before vehicle testing.The vehicle testing result shows that,the designed test method could be used to validate the safety mechanism of vehicle E/E system and support functional safety evaluation.

E/E system,Fault injection test,Function safety evaluation

电子电气系统 故障注入 功能安全评估

U463.6

A

1000-3703（2015）12-0049-03