基于AVL整车级动力总成台架的电动汽车功能安全测试研究

【摘 要】文章阐述功能安全测试环境和功能安全故障注入测试方法，搭建AVL整车级动力总车台架，开展电动汽车功能安全测试并分析测试结果，用于评价某电动汽车功能安全需求是否满足功能安全设计。该测试方法能有效解决车辆在极限工况、车辆故障失效或软件成熟度不足情况下，车辆及测试人员面临的安全问题，具有较高的参考价值。

【关键词】电动汽车;功能安全;故障;测试

中图分类号：U469.72 文献标识码：A 文章编号：1003-8639（ 2024 ）09-0023-03

Research on Functional Safety Test for Electric Vehicles Based on AVL Powertrain Test Bench

LIU Xitao，HUANG Shen

（Guangzhou Automobile Group Co.，Ltd.，Automobile Engineering Institute，Guangzhou 510640，China）

【Abstract】Functional safety test environment and fault injection methods are described. AVL test bench is set up. The functional safety test is conducted and test results are analyzed to evaluate whether the functional safety requirements meet the design requirements. The test method can solve the safety problems under extreme conditions，vehicle failure faults or insufficient software maturity，which is of great value.

【Key words】electric vehicle;functional safety;failure;testing

随着汽车行业电动化、网联化、智能化、共享化的蓬勃发展，汽车行业内卷加剧，卷价格、卷产品、卷配置、卷新功能。汽车行业正处于新一轮洗牌阶段，这既是机遇也是挑战，自主品牌车企开始崭露头角，站在舞台中央。为了能够在竞争激烈的市场中存活下去，各车企可谓是各显神通。随着汽车新四化的发展，智能网联汽车的电子电气系统更加复杂，系统性失效和随机硬件失效风险随之增加，ISO 26262标准提供了一套行之有效的方法、流程来降低风险[1]。基于此，开展功能安全测试的研究显得尤为重要。

1 功能安全测试

1.1 测试环境

在V模型开发流程中，X在环（X in the Loop）是一个重要概念。在不同的开发阶段，采用不同的测试环境，主要包括：模型在环仿真MIL（Model in the Loop）、软件在环仿真SIL（Software in the Loop）、硬件在环仿真HIL（Hardware in the Loop）、整车在环仿真VIL（Vehicle in the Loop）。测试过程逐步从虚拟过渡到真实。一般而言，仿真测试完成后，开展封闭道路测试和开放道路测试，从而完成整个开发过程的测试。仿真测试与实车测试优缺点对比见表1。

在某些极限工况、车辆故障失效或者软件成熟度不足的情况下，实车测试面临着测试人员或试验样车的安全问题，VIL仿真测试采用真实的车辆环境，能有效解决实车测试时所面临的安全问题[2-6]。本文开展基于AVL整车级动力总成台架的功能安全测试。

1.2 功能安全故障注入测试方法

采用CAN Tool，比如CANoe，可以实现目标ECU与其他交互相关ECU之间CAN信号的更改，可以注入CAN信号层面的中断、延时、数据错误、丢帧等故障，故障注入测试原理如图1所示。

配合故障注入模块BOB（Break-Out Box）、可调电源等的使用，可实现整车各系统模块对电源短路、对地短路、断路等故障。

2 试验与验证

2.1 试验方法

具体测试内容包含但不限于以下内容：高压互锁HVIL信号失效、加速踏板信号失效、制动踏板信号失效、BMS节点丢失、MCU节点丢失、ESP节点丢失、绝缘监控测试、低压/欠过压测试、碰撞测试、动态扭矩监控测试、E2E测试和上下电监控测试等。本文仅对高压互锁HVIL信号失效、加速踏板信号失效、制动踏板信号失效、BMS、MCU、ESP节点丢失等测试进行阐述。

2.1.1 高压互锁HVIL信号失效

1）试验目的：验证整车高压互锁回路发生故障后，车辆为保证安全目标的实现而采取的响应、功能安全设计是否满足设计要求。

2）测试矩阵：按照表2测试矩阵开展测试。

3）评价标准：注入故障后，车辆保证驾乘人员进入安全状态，且进入安全状态所用时间在设计范围内。

2.1.2 加速踏板信号失效

1）试验目的：验证加速踏板信号失效后，车辆为保证安全目标的实现而采取的响应。

2）测试矩阵：按照表3测试矩阵开展测试。

3）评价标准：注入故障后，车辆保证驾乘人员进入安全状态，且进入安全状态所用时间在设计范围内。

2.1.3 制动踏板信号失效

1）试验目的：验证制动踏板信号失效后，车辆为保证安全目标的实现而采取的响应。

2）试验矩阵：同表3。

3）评价标准：注入故障后，车辆保证驾乘人员进入安全状态，且进入安全状态所用时间在设计范围内。

2.1.4 BMS节点丢失

1）试验目的：验证发生BMS节点丢失故障，车辆为保证功能安全目标的实现而采取的响应。

2）试验矩阵：按照表4测试矩阵开展测试。

3）评价标准：注入故障后，车辆保证驾乘人员进入安全状态，且进入安全状态所用时间在设计范围内。

2.1.5 MCU节点丢失

1）试验目的：验证发生MCU节点丢失故障，车辆为保证功能安全目标的实现而采取的响应。

2）试验矩阵：同表4。

3）评价标准：注入故障后，车辆保证驾乘人员进入安全状态，且进入安全状态所用时间在设计范围内。

2.1.6 ESP节点丢失

1）试验目的：验证发生ESP节点丢失故障，车辆为保证功能安全目标的实现而采取的响应。

2）测试矩阵：同表4。

3）评价标准：注入故障后，车辆保证驾乘人员进入安全状态，且进入安全状态所用时间在设计范围内。

2.2 试验过程

以实车为被测件，搭建整车级动力总成台架测试环境，如图2所示。搭建了基于AVL动力总成台架的整车级测试系统，配有AVL PUMA操作软件的整车级台架测试系统，如图3所示。整车级动力总成测试环境搭建完毕后，根据上文所述的试验方法开展测试，并录取相应试验数据。

2.3 试验结果

使用CANoe解析录取的试验数据，汇总试验结果。本文仅以高压互锁HVIL信号失效为例进行分析说明，试验结果如图4所示。注入故障使得信号BMS_HiVoltInterlockSts置为Error，试验结果表明：车辆能在设计的故障响应时间内响应，进入安全状态，且故障容错时间满足功能安全设计要求。

3 结论

搭建基于AVL整车级动力总成台架，开展功能安全测试，在极限工况、车辆失效故障或软件成熟度不足情况下，该方法能有效保障实车测试人员与测试样车的安全，对开展功能安全测试具有较高的参考价值。

参考文献：

[1] ISO 26262：Road vehicles-functional safety[S]. 2018.

[2] 赵祥模，承靖钧，徐志刚，等. 基于整车在环仿真的自动驾驶汽车室内快速测试平台[J]. 中国公路学报，2019，32（6）：124-136.

[3] 赵祥模，王文威，王润民，等. 智能汽车整车在环测试台转向随动系统[J]. 长安大学学报（自然科学版），2019，36（6）：116-126.

[4] 王文威. 基于转鼓平台的智能汽车整车在环加速测试研究与实现[D]. 西安：长安大学，2020.

[5] 唐兰文，任女尔. 整车在环仿真测试法在自动驾驶汽车室内快速测试中的应用[J]. 信息与电脑，2020，32（4）：79-80.

[6] 王喜洋. 纯电动汽车整车控制器系统功能安全技术研究[D]. 天津：河北工业大学，2018.

（编辑 杨凯麟）

作者简介刘喜涛，男，硕士，工程师，从事汽车试验工作。