新能源汽车VCU诊断软件系统开发*

周亚芬，钟日敏，黄祖朋



新能源汽车VCU诊断软件系统开发*

周亚芬，钟日敏，黄祖朋

（上汽通用五菱汽车股份有限公司技术中心，广西 柳州 545007）

近年来，随着新能源汽车技术特别是智能化汽车技术的发展，汽车电子领域发生了重大的变革—汽车电子系统日趋复杂，电控元器件日益增加。汽车电子的变革导致了汽车软件开发平台化及标准流程化占据了更重要地位。对汽车整车控制器（VCU）软件开发，功能安全及诊断模块的开发需要对更多的电子控制单元进行诊断监控，保证车辆的安全与舒适性。基于此，文章对汽车诊断功能软件、平台化的软件开放式架构、功能安全评估手段进行了深入的研究。

新能源汽车；整车控制器；功能安全；诊断；AUTOSAR

前言

近年来，随着智能化新能源汽车技术的发展，汽车电子领域发生了巨大的变化，汽车电子系统日趋复杂，采用的电控元器件也日益增加。为了降低开发成本，整车控制器软件平台化开发遵循一种开放、标准化的体系结构—汽车开发系统架构AUTOSAR。此外，越来越多的电控元器件会带来总线的负载率提高、功能安全失效性增大等问题，因此，汽车行业的发展对整车功能安全需求提出了更高需求。整车控制器作为汽车的控制大脑，在诊断系统的设计上需要遵循功能安全规范ISO26262，目标减少车辆失效可能性、提高功能安全可靠性。

1 功能安全

ISO26262功能安全标准是目前较前沿、全面的标准，是一个囊括整个产品开发生命周期的功能需求的标准，从系统、硬件、软件、生产运行等开发周期过程都有定义。整车控制器作为整车的大脑及指挥中心，其软件开发流程更需要遵循功能安全需求。功能安全标准根据安全风险对系统或者系统部分划分了从A到D的的安全需求等级（Automobitive Safety Integriy Level，汽车安全完整性等级ASIL），安全风险等级越高，针对系统软硬件开发流程要求也越高。

整车控制器软件开发流程遵循“V”流程，流程如图1所示。软件开发“V”将整个软件系统的开发流程划分为：系统需求→系统架构（系统验证、基础测试）→子系统需求（模型在环测试）→子系统算法设计（模型静态测试）→基于模型设计开发（静态模型测试及模型在环测试）→子系统软件代码生成（静态代码验证）→软件、系统基础测试（MIL/SIL/HIL测试）。每个开发流程都有测试验证过程，保证子流程的有效性，从而保证整个开发流程的有效性。

图1 软件开发“V”流程

根据安全事项的危险分析和危险评估，软件系统开发的功能安全风险（ASIL）等级划分有如下原则：1）功能安全的要求应该根据系统基本架构提出；2）下级系统应该全面继承上级系统的安全要求和安全等级；3）同一要素与上级的几个系统都有从属关系，则取安全等级最高的系统级别；4）处理好电子电气类安全措施的接口，不要存在系统安全空白，也不要在一个点上过度设计。整车控制器进行功能安全设计时，首先从系统层面分析可能出现的功能故障，比如新能源汽车涉及的高压安全、扭矩控制安全、电控零部件逻辑安全等方面，对此可采用的分析方法有HAZOP、FMEA、头脑风暴等。如在软件各个阶段发现本阶段没有识别出来的故障，都有必要回到本阶段思考、更新故障及功能安全需求。在考虑各个子系统的功能安全时，还需要考虑用户在使用此项功能时的场景、此功能涉及的零部件有哪些已知风险和环境状况，例如路面行驶状况（湿滑路面、冰雪路面、干燥路面）、车辆行驶状态（转向、超车、制动、加速）、人员用车情况（空载、乘客人数、甚至无人驾驶使用场景）等。这些功能安全可能的失效因子可以被称为“危害事件（Hazard Event）”，危害事件确定后，根据三个因子—严重度（Severity）、暴露率（Exposure）和可控性（Controllability）评估危害事件的风险等级。其中，严重度指对驾驶员、乘员、或者行人等涉险人员的伤害程度；暴露率指人员暴露在系统的失效能够找车危害的场景的概率；可控性是指驾驶员或其他涉险人员能够避开事故或者上海的可能性。三个因子的分类见表1。

表1 严重度、暴露率、可控性分类

2 汽车开放系统架构AUTOSAR

新能源整车控制器软件开发遵循开放式系统架构（AUTOSAR），按照规定，复杂的汽车嵌入式软件分别分成应用层软件（ASW）、数据交互层（RTE）、底层软件层（BSW）分别开发，最终集成生产一个完整的汽车控制系统软件。在这样的通用架构中，整车控制器软件开发可以采用平台化的开发结构，使代码具有可移植性。软件架构见图2。

图2 基于AUTORSAR的软件架构

开放式系统架构的软件，结构开发原则如下：1、应用层软件（ASW）基于模型开发，系统分解为各个子系统独立开发；2、底层软件（BSW）主要开发CAN总线、诊断动作、任务调度等功能；3、RTE层进行接口（ASW与BSW的接口）调度，主要调度总线CAN信号输入输出值、引脚信号输入输出值、诊断算法处理等，使应用层算法与底层的任务执行具有实时性。

3 电动汽车诊断系统应用层软件设计

电动汽车诊断系统的应用层软件开发架构如图3所示：首先，软件结构遵循AUTOSAR的软件开发架构，电动汽车模型会分成各个子系统模块开发；其次，开发涉及高压、行车、制动、的模块对应诊断模块（Dignostics component），功能上针对高压安全、行车安全（扭矩限制）、换挡控制、硬件总线及引脚等进行故障行为判断，满足设置的故障条件，故障状态管理（Diagnostics state manager）调用RTE的接口，触发底层软件及硬件的故障动作。诊断模块之外，会对这些模块输出值进行安全监控层的算法计算，将输出的值保持在安全的范围内，安全监控层模块在RTE有独立的接口，保证这些输出的值经过安全算法过滤。

图3 电动汽车诊断系统应用层软件开发架构（ASW）

4 结语

随着汽车行业的发展，新车型的开发更加重视舒适性、娱乐性、多样性，汽车电子结构越发复杂，电子元器件越发增多，汽车软件开发平台化及标准流程占据更重要地位。此外，对汽车控制器软件开发，功能安全及诊断模块的开发需要对更多的电子控制单元进行诊断监控，保证车辆的安全与舒适性。因此，针对汽车诊断功能软件、平台化的软件开放式架构、功能安全评估手段的研究将对新能源汽车技术的发展具有重要意义。

[1] 刘玺斌,马建,宋青松.基于AUTOSAR规范的汽车ECU软件开发方法[J].2013(33):5-3.

[2] 彭斐. ISO26262 保证汽车功能安全新思路[J].2015(37).

[3] 葛鹏,陈勇,罗大国,刘文忠,王瑞平.基于道路功能安全标准ISO 26262的DCT电控系统设计[J].2014.

[4] 郭辉,刘佳熙,于世涛,李君.符合ISO26262的汽车电子功能安全解决方案[J].2015.

A Developing Method of New Energy vehicle Diagnostic System*

Zhou Yafen, Zhong Rimin, Huang Zupeng

( SAIC GM Wuling Automobile Co., Ltd., Guangxi Liuzhou 545007 )

In recent years, with the development of new energy vehicle technology, especially intelligent vehicle technology, great changes have taken place in the field of automotive electronics. The reform of automotive electronics has led to the automobile software development platform and process standards occupy a more important position. In order to ensure the safety and comfort of the vehicle, more electronic control units should be used for the development of the software of the vehicle controller, functional safety and diagnostic module. Based on this, this paper makes an in-depth study of the automo -tive diagnostic software, the open architecture of the platform software, and the means of functional safety assessment.

New-energy vehicle; VCU; Functional safety; Diagnosis;AUTOSAR

10.16638/j.cnki.1671-7988.2019.10.020

U472.9

A

1671-7988(2019)10-55-03

U472.9

A

1671-7988(2019)10-55-03

周亚芬，女，电动车控制工程师，广西柳州人，就职于上汽通用五菱汽车股份有限公司，研究方向为新能源汽车VCU软件开发。

基金项目：广西科技计划资助项目（桂科AC16380043）；柳州市科学研究与技术开发计划项目（2017AA10103）。