新能源汽車VCU診斷軟件系統(tǒng)開發(fā)*

周亞芬，鐘日敏，黃祖朋

?

新能源汽車VCU診斷軟件系統(tǒng)開發(fā)*

周亞芬，鐘日敏，黃祖朋

（上汽通用五菱汽車股份有限公司技術(shù)中心，廣西 柳州 545007）

近年來，隨著新能源汽車技術(shù)特別是智能化汽車技術(shù)的發(fā)展，汽車電子領(lǐng)域發(fā)生了重大的變革—汽車電子系統(tǒng)日趨復(fù)雜，電控元器件日益增加。汽車電子的變革導(dǎo)致了汽車軟件開發(fā)平臺(tái)化及標(biāo)準(zhǔn)流程化占據(jù)了更重要地位。對(duì)汽車整車控制器（VCU）軟件開發(fā)，功能安全及診斷模塊的開發(fā)需要對(duì)更多的電子控制單元進(jìn)行診斷監(jiān)控，保證車輛的安全與舒適性?；诖?，文章對(duì)汽車診斷功能軟件、平臺(tái)化的軟件開放式架構(gòu)、功能安全評(píng)估手段進(jìn)行了深入的研究。

新能源汽車；整車控制器；功能安全；診斷；AUTOSAR

前言

近年來，隨著智能化新能源汽車技術(shù)的發(fā)展，汽車電子領(lǐng)域發(fā)生了巨大的變化，汽車電子系統(tǒng)日趨復(fù)雜，采用的電控元器件也日益增加。為了降低開發(fā)成本，整車控制器軟件平臺(tái)化開發(fā)遵循一種開放、標(biāo)準(zhǔn)化的體系結(jié)構(gòu)—汽車開發(fā)系統(tǒng)架構(gòu)AUTOSAR。此外，越來越多的電控元器件會(huì)帶來總線的負(fù)載率提高、功能安全失效性增大等問題，因此，汽車行業(yè)的發(fā)展對(duì)整車功能安全需求提出了更高需求。整車控制器作為汽車的控制大腦，在診斷系統(tǒng)的設(shè)計(jì)上需要遵循功能安全規(guī)范ISO26262，目標(biāo)減少車輛失效可能性、提高功能安全可靠性。

1 功能安全

ISO26262功能安全標(biāo)準(zhǔn)是目前較前沿、全面的標(biāo)準(zhǔn)，是一個(gè)囊括整個(gè)產(chǎn)品開發(fā)生命周期的功能需求的標(biāo)準(zhǔn)，從系統(tǒng)、硬件、軟件、生產(chǎn)運(yùn)行等開發(fā)周期過程都有定義。整車控制器作為整車的大腦及指揮中心，其軟件開發(fā)流程更需要遵循功能安全需求。功能安全標(biāo)準(zhǔn)根據(jù)安全風(fēng)險(xiǎn)對(duì)系統(tǒng)或者系統(tǒng)部分劃分了從A到D的的安全需求等級(jí)（Automobitive Safety Integriy Level，汽車安全完整性等級(jí)ASIL），安全風(fēng)險(xiǎn)等級(jí)越高，針對(duì)系統(tǒng)軟硬件開發(fā)流程要求也越高。

整車控制器軟件開發(fā)流程遵循“V”流程，流程如圖1所示。軟件開發(fā)“V”將整個(gè)軟件系統(tǒng)的開發(fā)流程劃分為：系統(tǒng)需求→系統(tǒng)架構(gòu)（系統(tǒng)驗(yàn)證、基礎(chǔ)測(cè)試）→子系統(tǒng)需求（模型在環(huán)測(cè)試）→子系統(tǒng)算法設(shè)計(jì)（模型靜態(tài)測(cè)試）→基于模型設(shè)計(jì)開發(fā)（靜態(tài)模型測(cè)試及模型在環(huán)測(cè)試）→子系統(tǒng)軟件代碼生成（靜態(tài)代碼驗(yàn)證）→軟件、系統(tǒng)基礎(chǔ)測(cè)試（MIL/SIL/HIL測(cè)試）。每個(gè)開發(fā)流程都有測(cè)試驗(yàn)證過程，保證子流程的有效性，從而保證整個(gè)開發(fā)流程的有效性。

圖1 軟件開發(fā)“V”流程

根據(jù)安全事項(xiàng)的危險(xiǎn)分析和危險(xiǎn)評(píng)估，軟件系統(tǒng)開發(fā)的功能安全風(fēng)險(xiǎn)（ASIL）等級(jí)劃分有如下原則：1）功能安全的要求應(yīng)該根據(jù)系統(tǒng)基本架構(gòu)提出；2）下級(jí)系統(tǒng)應(yīng)該全面繼承上級(jí)系統(tǒng)的安全要求和安全等級(jí)；3）同一要素與上級(jí)的幾個(gè)系統(tǒng)都有從屬關(guān)系，則取安全等級(jí)最高的系統(tǒng)級(jí)別；4）處理好電子電氣類安全措施的接口，不要存在系統(tǒng)安全空白，也不要在一個(gè)點(diǎn)上過度設(shè)計(jì)。整車控制器進(jìn)行功能安全設(shè)計(jì)時(shí)，首先從系統(tǒng)層面分析可能出現(xiàn)的功能故障，比如新能源汽車涉及的高壓安全、扭矩控制安全、電控零部件邏輯安全等方面，對(duì)此可采用的分析方法有HAZOP、FMEA、頭腦風(fēng)暴等。如在軟件各個(gè)階段發(fā)現(xiàn)本階段沒有識(shí)別出來的故障，都有必要回到本階段思考、更新故障及功能安全需求。在考慮各個(gè)子系統(tǒng)的功能安全時(shí)，還需要考慮用戶在使用此項(xiàng)功能時(shí)的場(chǎng)景、此功能涉及的零部件有哪些已知風(fēng)險(xiǎn)和環(huán)境狀況，例如路面行駛狀況（濕滑路面、冰雪路面、干燥路面）、車輛行駛狀態(tài)（轉(zhuǎn)向、超車、制動(dòng)、加速）、人員用車情況（空載、乘客人數(shù)、甚至無人駕駛使用場(chǎng)景）等。這些功能安全可能的失效因子可以被稱為“危害事件（Hazard Event）”，危害事件確定后，根據(jù)三個(gè)因子—嚴(yán)重度（Severity）、暴露率（Exposure）和可控性（Controllability）評(píng)估危害事件的風(fēng)險(xiǎn)等級(jí)。其中，嚴(yán)重度指對(duì)駕駛員、乘員、或者行人等涉險(xiǎn)人員的傷害程度；暴露率指人員暴露在系統(tǒng)的失效能夠找車危害的場(chǎng)景的概率；可控性是指駕駛員或其他涉險(xiǎn)人員能夠避開事故或者上海的可能性。三個(gè)因子的分類見表1。

表1 嚴(yán)重度、暴露率、可控性分類

2 汽車開放系統(tǒng)架構(gòu)AUTOSAR

新能源整車控制器軟件開發(fā)遵循開放式系統(tǒng)架構(gòu)（AUTOSAR），按照規(guī)定，復(fù)雜的汽車嵌入式軟件分別分成應(yīng)用層軟件（ASW）、數(shù)據(jù)交互層（RTE）、底層軟件層（BSW）分別開發(fā)，最終集成生產(chǎn)一個(gè)完整的汽車控制系統(tǒng)軟件。在這樣的通用架構(gòu)中，整車控制器軟件開發(fā)可以采用平臺(tái)化的開發(fā)結(jié)構(gòu)，使代碼具有可移植性。軟件架構(gòu)見圖2。

圖2 基于AUTORSAR的軟件架構(gòu)

開放式系統(tǒng)架構(gòu)的軟件，結(jié)構(gòu)開發(fā)原則如下：1、應(yīng)用層軟件（ASW）基于模型開發(fā)，系統(tǒng)分解為各個(gè)子系統(tǒng)獨(dú)立開發(fā)；2、底層軟件（BSW）主要開發(fā)CAN總線、診斷動(dòng)作、任務(wù)調(diào)度等功能；3、RTE層進(jìn)行接口（ASW與BSW的接口）調(diào)度，主要調(diào)度總線CAN信號(hào)輸入輸出值、引腳信號(hào)輸入輸出值、診斷算法處理等，使應(yīng)用層算法與底層的任務(wù)執(zhí)行具有實(shí)時(shí)性。

3 電動(dòng)汽車診斷系統(tǒng)應(yīng)用層軟件設(shè)計(jì)

電動(dòng)汽車診斷系統(tǒng)的應(yīng)用層軟件開發(fā)架構(gòu)如圖3所示：首先，軟件結(jié)構(gòu)遵循AUTOSAR的軟件開發(fā)架構(gòu)，電動(dòng)汽車模型會(huì)分成各個(gè)子系統(tǒng)模塊開發(fā)；其次，開發(fā)涉及高壓、行車、制動(dòng)、的模塊對(duì)應(yīng)診斷模塊（Dignostics component），功能上針對(duì)高壓安全、行車安全（扭矩限制）、換擋控制、硬件總線及引腳等進(jìn)行故障行為判斷，滿足設(shè)置的故障條件，故障狀態(tài)管理（Diagnostics state manager）調(diào)用RTE的接口，觸發(fā)底層軟件及硬件的故障動(dòng)作。診斷模塊之外，會(huì)對(duì)這些模塊輸出值進(jìn)行安全監(jiān)控層的算法計(jì)算，將輸出的值保持在安全的范圍內(nèi)，安全監(jiān)控層模塊在RTE有獨(dú)立的接口，保證這些輸出的值經(jīng)過安全算法過濾。

圖3 電動(dòng)汽車診斷系統(tǒng)應(yīng)用層軟件開發(fā)架構(gòu)（ASW）

4 結(jié)語

隨著汽車行業(yè)的發(fā)展，新車型的開發(fā)更加重視舒適性、娛樂性、多樣性，汽車電子結(jié)構(gòu)越發(fā)復(fù)雜，電子元器件越發(fā)增多，汽車軟件開發(fā)平臺(tái)化及標(biāo)準(zhǔn)流程占據(jù)更重要地位。此外，對(duì)汽車控制器軟件開發(fā)，功能安全及診斷模塊的開發(fā)需要對(duì)更多的電子控制單元進(jìn)行診斷監(jiān)控，保證車輛的安全與舒適性。因此，針對(duì)汽車診斷功能軟件、平臺(tái)化的軟件開放式架構(gòu)、功能安全評(píng)估手段的研究將對(duì)新能源汽車技術(shù)的發(fā)展具有重要意義。

[1] 劉璽斌,馬建,宋青松.基于AUTOSAR規(guī)范的汽車ECU軟件開發(fā)方法[J].2013(33):5-3.

[2] 彭斐. ISO26262 保證汽車功能安全新思路[J].2015(37).

[3] 葛鵬,陳勇,羅大國,劉文忠,王瑞平.基于道路功能安全標(biāo)準(zhǔn)ISO 26262的DCT電控系統(tǒng)設(shè)計(jì)[J].2014.

[4] 郭輝,劉佳熙,于世濤,李君.符合ISO26262的汽車電子功能安全解決方案[J].2015.

A Developing Method of New Energy vehicle Diagnostic System*

Zhou Yafen, Zhong Rimin, Huang Zupeng

( SAIC GM Wuling Automobile Co., Ltd., Guangxi Liuzhou 545007 )

In recent years, with the development of new energy vehicle technology, especially intelligent vehicle technology, great changes have taken place in the field of automotive electronics. The reform of automotive electronics has led to the automobile software development platform and process standards occupy a more important position. In order to ensure the safety and comfort of the vehicle, more electronic control units should be used for the development of the software of the vehicle controller, functional safety and diagnostic module. Based on this, this paper makes an in-depth study of the automo -tive diagnostic software, the open architecture of the platform software, and the means of functional safety assessment.

New-energy vehicle; VCU; Functional safety; Diagnosis;AUTOSAR

10.16638/j.cnki.1671-7988.2019.10.020

U472.9

A

1671-7988(2019)10-55-03

U472.9

A

1671-7988(2019)10-55-03

周亞芬，女，電動(dòng)車控制工程師，廣西柳州人，就職于上汽通用五菱汽車股份有限公司，研究方向?yàn)樾履茉雌嘨CU軟件開發(fā)。

基金項(xiàng)目：廣西科技計(jì)劃資助項(xiàng)目（桂科AC16380043）；柳州市科學(xué)研究與技術(shù)開發(fā)計(jì)劃項(xiàng)目（2017AA10103）。