摘要

　　隨著純電動汽車的飛速發展，整車控制系統復雜程度也越來越高，伴隨的功能失效安全問題也日益凸顯。然而基于傳統的開發方式已經不能夠滿足與保證電控單元安全性的需求，因此在汽車 ECU 的開發中引入功能安全的概念，通過功能安全標準 ISO26262 全面保證電控單元開發應用過程中的安全問題。該標準在 ECU在開發設計中，提出了與功能安全相關的技術規范和要求。因此整車控制技術作為電動車關鍵技術也應考慮功能安全。

　　本文基于對功能安全標準研究的基礎上，分析了整車控制器的功能安全性。

　　針對整車控制器在硬件功能安全性不完善和缺乏監測及冗余機制等問題，設計了相應的硬件架構和軟件架構。并在此基礎上設計了相應的安全機制，同時實現其監測和冗余等安全機制軟件。通過 HIL 硬件在環測試平臺，模擬整車控制器的信 號輸入與輸出，對實現后的整車控制器進行了功能測試和故障注入測試，驗證了本文設計的整車控制器。本文的主要內容如下：

　　1. 首先對功能安全標準進行研究，分別介紹了功能安全標準內容、汽車安全生命周期和汽車安全完整性 ASIL 等級。同時根據功能安全標準對整車控制器功能安全性進行了危害分析、DFMEA 設計失效模式及后果分析分析和 FTA 故障樹分 析，得到相應的安全需求和技術需求，并結合整車控制器的特點，設計了相應的硬件架構和軟件架構。

　　2. 其次結合信號處理功能特點，對整車控制器信號處理功能進行分析，得到可能存在的潛在故障。針對以上潛在故障問題，設計了相應的故障檢測與處理機制，并對其功能模塊進行了設計、仿真與實現。

　　3. 然后結合 CAN 網絡通信特點，再進一步從硬件層面角度出發對整車 CAN網絡通信功能進行分析，得到可能存在的潛在故障。采用備份 CAN 的冗余機制，進行故障檢測和處理，并對其功能模塊進行了設計、仿真與實現。

　　4. 最后通過 HIL 硬件在環測試平臺搭建了測試臺架，模擬了電動車動力總成上的網絡通信以及信號輸入與輸出，并使用 CAPL 腳本語言編寫測試用例，實現HIL 測試平臺故障的自動化注入與恢復，對整車控制器進行了功能測試和故障注入測試。

　　測試結果表明，整車控制器在正常條件和故障注入條件下，硬件功能都能正常工作，同時相應的安全機制也能夠檢測到故障的發生并對其進行冗余處理。其中故障檢測率可達 99%以上，系統切換到安全狀態的最長時間為 45.9ms,滿足相應的安全需求和安全目標。因此，驗證了基于功能安全標準設計的整車控制器符合功能等級 ASIL D 級的相關要求，提高了整車控制器的安全性和可靠性，體現了功能標準的實用價值。

　　關鍵詞：整車控制器，功能安全標準，ASIL 等級，硬件在環，故障注入測試

Abstract

　　With the rapid development of pure electric vehicles, the vehicle control system is becoming more and more complex, and the accompanying functional failure safety issues are also increasingly prominent. However, based on the traditional development method, it is unable to meet the requirements of ensuring the safety of the electronic control unit. Therefore, the concept of functional safety is introduced in the development of automotive ECU, and the safety problem in the development and application of the electronic control unit is fully guaranteed through the functional safety standard ISO26262. This standard proposes technical specifications and requirements related to functional safety in the development and design of ECU. Therefore, vehicle control technology should also consider functional safety as a key technology for electric vehicles.

　　Based on the research of functional safety standards, this thesis analyzes the functional safety of vehicle controllers. Aiming at the problem that the vehicle controller is not perfect in hardware function safety and lack of monitoring and redundancy mechanism, the corresponding hardware architecture and software architecture are designed. Based on this, the corresponding security mechanism is designed, and the security mechanism software such as monitoring and redundancy is realized. Finally, through the HIL hardware-in-the-loop test platform, the signal input and output of the vehicle controller are simulated. The function test and fault injection test of the completed vehicle controller were carried out to verify the vehicle controller designed in this thesis. The main contents of this article are as follows:

　　1. First, the functional safety standards were studied, and the standard content, vehicle safety life cycle and automotive safety integrity ASIL level were introduced. At the same time, according to the functional safety standards, the safety analysis of the vehicle controller is carried out by hazard analysis, DFMEA analysis and FTA analysis, and the corresponding safety requirements and technical requirements are obtained.Combined with the characteristics of the vehicle controller, the corresponding hardware architecture and software architecture are designed.

　　2. Secondly, combined with the characteristics of signal processing functions, the signal processing functions of the vehicle controller are analyzed to obtain potential faults. Aiming at the above potential faults, the corresponding fault detection and processing mechanism is designed, and its functional modules are designed, simulated and implemented.

　　3. Then combined with the characteristics of CAN network communication, further analyze the CAN communication function of the vehicle control from the hardware level, and obtain potential faults. The redundancy mechanism of the backup CAN is used to detect and process faults, and the functional modules are designed, simulated and implemented.

　　4. Finally, a test bench was built on the hardware in the loop test platform to simulate network communication and signal input and output. And use the CAPL script language to write test cases, realize the automatic injection and recovery of HIL test platform failures, and perform functional test and fault injection test on the vehicle controller.

　　The test results show that the hardware function can work normally under normal conditions and fault injection conditions. At the same time, the corresponding security mechanism can also detect the occurrence of the failure and redundantly process it. The fault detection rate is over 99%, and the maximum time for the system to switch to the safe state is 45.9ms, which meets the corresponding security requirements and security objectives. Therefore, it is verified that the vehicle controller designed based on the functional safety standard meets the relevant requirements of the functional grade ASIL D level, which improves the safety and reliability of the vehicle controller and embodies the practical value of the functional standard.

　　Keywords: VCU, Functional Safety Standard, ASIL Level, HIL, Fault Injection Test

目錄

　　第 1 章 緒論

　　1.1 研究背景及意義

　　隨著純電動汽車的迅速發展，純電動汽車以無污染、低噪音、高效率和結構簡單等特點受到各大高校和車企的青睞[1].從 863 計劃開始提出發展新能源汽車，到"十二五"和"十三五"規劃中提出推動新能源汽車發展，再到"三縱三橫"基本體系的形成，全面提升了電動汽車整車品質和性能。同時工信部還進行了相應的規劃，到 2020 年新能源汽車銷量占整個汽車銷量的 7%,到 2025 年占整個汽車銷量的 15%,到 2030 年占整個汽車銷量的 40%[2].截止 2018 年底我國新能源汽車銷量逐年增長，數據統計如圖 1.1 所示[3].

　　在國家大力支持推動下，純電動汽車迎來了迅速發展并處于發展的關鍵時期，但伴隨的安全問題也日益凸顯。2011 年 4 月，杭州一輛純電動出租車在街頭自燃，成為了新能源汽車推廣以來的首起安全事故[4].經統計在 2018 年全年中，共召回新能源汽車 13.57 萬輛，召回的比例高達 13.46%,約全年汽車召回總量的 1%.其 中召回的主要原因是由于車輛在電池、制動助力真空泵以及變速器三個方面存在嚴重的功能故障問題。汽車電子電氣系統日益復雜化，與安全相關的電控 ECU 單元越來越多，其中與安全相關的電控系統出現功能失效將導致安全問題，即為功能安全所關注的范疇。隨著安全問題的日益突出，傳統的開發方式已經不能夠滿足電控單元的安全需求，因而在汽車電控單元開發中引入功能安全的概念，通過功能安全標準全面地保證電控單元開發應用過程中的安全問題[5].因此為了保證汽車電子電氣安全可靠地運行，必須把功能安全作為關鍵考慮因素之一。

　　功能安全是指不存在由于電子電氣系統的功能異常而導致的危害事件，主要由系統性失效和隨機性硬件失效引起的功能異常[6].其中系統性失效可以在設計開發階段采用一定的方法來規避，而隨機性失效只能降低到可接受的程度范圍內。

　　通過對汽車電子電氣系統功能安全性的分析與設計，在車輛運行過程中實時監測與功能安全相關的參數，提前監測危害事件的發生，保證系統的安全性和可靠性。

　　早在 2011 年國際標準化組織發布了道路車輛功能安全標準 ISO26262,該標準提出從功能安全角度來考慮產品的開發，對車輛和系統提出了功能性的安全要求。針對故障診斷和故障處理的可靠性，將與功能安全相關的故障風險降低到一個可以接受的水平，使系統符合所需的功能安全等級[7-9].隨著車輛智能化和豐富化的提高，電子電氣產品大量應用在汽車控制領域中，目前不僅應用在智能輔助駕駛和動力控制領域中，而且也廣泛應用在主被動安全和車輛動態控制系統領域當中，只要有電子電氣系統就會有功能安全的身影[10-11].

　　在新能源汽車迎來快速發展的關鍵時期，作為三大關鍵技術中的整車控制技術的實現也應考慮功能安全。整車控制器作為整車控制技術實現的載體，同時也為了保證整車控制器可靠運行，避免由于系統失效和隨機硬件失效帶來的安全隱患[12-13].因此，在純電動汽車整車控制器的開發設計中，必須把功能安全作為關鍵考慮要素之一。為了保證整車控制器的功能安全性，必須要有符合功能安全的硬件架構，并對硬件電路中元器件進行失效分析，同時還要有符合功能安全的軟件架構，并在軟件上設置監測和冗余等安全機制。目前在國外早已廣泛采用功能標準對汽車電子電氣產品進行開發了，而在國內對 ISO26262 功能標準應用于純電動汽車整車控制器上的開發相對甚少[9].因此本文基于功能安全標準中提出的在概 念階段和系統設計階段的相關技術規范和要求，對整車控制器進行功能安全性分析，設計符合一定功能要求的整車控制器硬件，提高整車控制器的安全性和可靠性，并對其進行實現，具有一定的研究意義。

　　1.2 電動汽車整車控制器概述

　　電動汽車整車控制器（VCU）作為整車控制中的核心系統部件，主要負責控制整車的重要任務。VCU 主要通過采集加速踏板、制動踏板和檔位位置等信號來判斷駕駛員的操作意圖，同時監測動力總成系統上的電池管理系統（BMS）和電機控制系統（MCU）反饋的相關狀態信息，計算整車需求扭矩并通過 CAN 網絡發送指令給MCU 控制電機本體輸出，以實現整車的驅動、制動和能量回收等工作，從而達到對整車的控制[14].整車控制器在純電動整車中的控制示意圖如圖 1.2 所示。其中整車控制器硬件組成結構主要由電源模塊、MCU 最小系統模塊、信號處理模塊、驅動輸出模塊和 CAN 通信模塊組成，一般結構如圖 1.3 所示。

　　同時 VCU 還擔負著整車能量管理、網絡管理、附件管理、檔位管理、車輛運行狀態管理、高壓上下電管理、高壓安全監控和故障診斷等工作。其中整車能量管理主要對整車的能量進行分配和管理，使得整車兼顧經濟性、動力性和舒適性等。整車網絡管理主要充當網關角色，對整車網絡進行報文重組和報文路由，同時管理網絡其他 ECU 節點睡眠和喚醒工作[15].整車附件管理主要對整車中的高低速風扇、PTC、空調和真空泵進行管理。車輛運行狀態管理主要對整車的驅動、制動和能量回收等狀態進行管理。高壓上下電管理主要負責控制高壓盒中繼電器實現電池包、電機控制器、充電機和直流轉換器（DCDC）的連接[16].高壓安全監控主要對高壓器件和高壓回路進行監控，防止高壓回路異常短路或斷路等故障發生[17].

　　故障診斷則是對車輛工作狀態進行動態監測，以提前應對整車故障的發生。其 VCU功能結構圖如圖 1.4 所示：

　　1.3 功能安全國內外研究現狀

　　1.3.1 國外研究現狀

　　國外早已廣泛使用基于功能標準提出的功能安全 V 模式進行 ECU 產品的開發，保證了 ECU 的安全性和穩定性。在 ECU 開發過程中為簡化開發過程和使 ECU 軟件具有可重復用性，成立了汽車開發系統架構聯盟（AUTOSAR），縮短了開發周期 并使得 ECU 的軟件日趨標準化。同時國外對 ECU 功能安全進行了如下研究：

　　在汽車電子功能安全標準研究中，國外在 2005 制定了 ISO26262 道路車輛功能安全標準，并于 2011 年正式頒布與使用。在該標準中定義了關于汽車安全生命周期和汽車安全完整性等級（ASIL）兩個關鍵概念，使得汽車電子電氣產品在安全生命周期內從概念設計階段、產品開發階段到批量生產階段必須嚴格按照相關安全規范進行，開發的產品系統功能安全性得到很大的提升[12].同時歐美國家已經強制要求汽車電子電氣產品必須按照功能安全標準進行開發，產品必須通過安全認證。如通用汽車公司為引入功能安全標準，整改了公司研發部門架構以滿足功能安全標準中的開發流程，寶馬純電動汽車 i3 的 BMS 也達到了 ISO26262 的汽車安全完整性等級 ASIL D 標準，特斯拉的 BMS 開發也符合 ISO26262 的要求[6].

　　在汽車電子功能安全研究中，主流的汽車芯片廠商 Freescale、ST 和 Infenion等對微控制器的可靠性進行了研究和設計，設計了符合 ISO26262 道路車輛功能安全標準的微控制器芯片，主要應用于車身控制、底盤控制和動力控制等方面。如Freescale 公司設計符合 ISO26262 標準的 MPC 系列 32 位微控制器，在這些微控制器產品中采用了最新的多內核技術、糾錯以及數據校正 ECC 模塊，使得在數據儲存、性能和控制功能方面達到了更安全的設計[18].選用該系列微處理器，使得遵從 ISO26262 標準來開發系統的難度降低。瑞薩電子也專為汽車運算系統的功能安全而研發了相應的硬件故障探測及預警技術，同時還成功開發出一種支持ISO26262 功能安全標準的汽車運算片上系統（SoC）原型機[19].英飛凌也為了確保產品設計符合功能安全標準，推出一套相應的設計套件，可使得基于 32 位 TriCore?

　　微控制器的嵌入式設計符合 IEC61508 的功能性安全要求[20].

　　在國外研究人員對功能安全研究中，如美國的 Prakhar Srivastava 和 ManishLaxman Karle 應用 ISO26262 標準來開發 ECU 的軟硬件設計過程，使用 FMEA 失效模式影響及后果分析和 FTA 故障樹方法進行了可靠性分析，確認設計的 ECU 的失效功能和非失效功能，減少安全失效狀態[21].意大利都靈理工大學的 M.SonzaReorda 和 M. Violante 對車輛 ECU 硬件在環測試進行了故障注入，研究了車輛動力學由于失效引起的響應，驗證了汽車系統的功能安全[22].德國博世的 Sri RamaChandra Murthy Batchu 在電動汽車的逆變器模塊中，就如何保證 ISO26262 標準的安全原則，從監視、冗余、異構和診斷等安全措施來降低硬件失效進行了分析[23].

　　1.3.2 國內研究現狀

　　國內對功能標準研究較多，但在純電動汽車整車控制方面的應用較少，大部分仍然采用傳統 V 模式對汽車電子電氣產品進行開發，未從功能安全角度來對產品進行設計和開發。國內對 ECU 功能安全也進行了如下研究：

　　在汽車電子功能安全標準研究中，2007 年制定了 GB/T20438 電氣/電子/可編程電子安全相關系統的功能安全標準，該標準定義了電子電氣安全相關系統要求、軟件要求和確定安全整體性等級的方法和示例。在 ISO26262 頒布以后，全國汽車標準化技術委員會于 2012 年下達了制定國家標準《道路車輛功能安全》的計劃，并于 2017 年 10 月發布，將于 2018 年 5 月正式實施[24].該標準對車輛功能安全ASIL 等級及關鍵參數、功能安全流程開發體系和測試評價體系進行了研究。為推動該標準在行業中的推廣與實施，提高我國汽車整車和關鍵電控系統的功能安全技術，"道路車輛功能安全標準研究制定工作組"制定了"十三五"期間的工作目標和規劃。該規劃涵蓋功能安全標準解讀、功能安全共性關鍵技術、功能安全測試評價和功能安全流程評估等方面[25].

　　在汽車電子功能安全研究中，大唐恩智浦早在 2015 年與南德意志正式簽署了ISO26262 功能安全開發流程認證的合作協議，成為中國汽車半導體行業內首個啟動功能安全開發流程認證項目的企業[26].北京恒潤科技有限公司在汽車電子產品功能安全開發中也有著豐富的經驗，從 2012 年開始研究 ISO26262 標準已經掌握了功能安全相關標準和技術，熟悉功能安全開發流程，已為國內整車廠商提供功能安全相關技術支持和服務[27].

　　在國內研究人員對功能安全研究中，同濟大學的趙建軍對安全氣囊進行了功能安全的分析，確定了其安全完整性等級和功能安全目標，并設計了功能安全架 構，最后對安全相關電路進行了功能安全的分析[28].哈爾濱工業大學的朱峰對純電動汽車整車控制器硬件進行了失效性分析與研究，采用了雙 MCU 的冗余設計，提高了整車控制器硬件的可靠性[29].吉林大學的杜德清在對電動汽車整車控制器故障診斷系統的研究與開發中，采用了主輔 MCU 協同控制的控制策略[30].廣州汽車工程研究院的文凱以油電混合動力車的開發為例，闡述了 ISO26262 功能安全概念階段的設計和開發，包括了項目定義、危險分析和風險評估以及功能安全等概念[31].清華大學季學武教授對功能安全標準 ISO26262 進行了介紹，同時對電動助力轉向系統進行了 FMEA 分析，并以"轉向沉重"為頂事件進行了故障樹分析，為硬件的功能安全設計提供了借鑒[32].

　　1.4 現有整車控制器功能安全性存在的問題

　　基于前文的介紹，目前現有純電動汽車整車控制器存在一些關鍵的功能安全性問題，主要分為以下兩個方面：

　　1.4.1 硬件功能安全性不完善

　　在文獻[5]關于汽車功能安全的硬件設計與安全分析中，提到如何能完備地完成硬件的功能安全開發尤為重要，而目前在 ECU 硬件開發過程中，很少從功能安全的角度出發。在文獻[29]關于純電動車整車控制器設計與失效分析方法研究中，對硬件元器件失效方法進行了研究，但未重點對整車控制器硬件存在的潛在失效進行分析。同時在該文獻中采用了雙 MCU 的硬件架構，卻只采用單個電源芯片為其 MCU 供電，未從電源角度出發進行隔離 MCU,將不能完整地形成獨立的雙MCU 控制子系統，并且也未根據功能安全標準對其硬件架構指標進行量化與安全確認。硬件架構指標未達到相應功能安全等級所規定的指標，主要表現為單點故障和潛在故障指標低。單點故障指標低是由于某一個元器件失效造成系統失效而引起指標降低，可通過設計診斷功能提高該指標。潛在故障指標降低是由于設計的診斷功能出現故障時而降低，可以通過設計冗余診斷功能形成雙診斷提高指標。

　　硬件架構指標主要用于衡量硬件架構的合理性，因此必須保證整車控制器硬件架構指標達到相應的要求。在文獻[34]關于整車控制器功能安全設計與研究中，提到基于功能安全標準的整車控制器系統架構設計，卻未詳細研究硬件功能的控制方式與診斷方式。從整車控制器硬件功能層面上進行分析，目前其主要采用了開環控制的方式控制其信號輸出，未添加相關診斷功能和容錯處理機制形成閉環控制，如信號采集、驅動輸出和 CAN 網絡通信的監控和診斷。當信號采集、驅動輸出或通信模塊受到干擾及故障時，主控芯片將無法判斷整車控制器的狀態，因此將存在很大的安全隱患。常采用的控制方式如圖 1.5 所示。

　　1.4.2 軟件功能缺乏診斷與冗余機制

　　在文獻[30]關于電動車 VCU 診斷系統開發與測試中，采用了主從 MCU 協同控制的控制策略，重點研究了 VCU 應用層故障診斷的控制策略，卻未從軟件驅動層和中間服務層考慮自身出現的硬件故障。在文獻[33]基于功能安全的整車控制器概念設計與仿真中，提到了相應的故障檢測機制軟件，并對其進行了仿真，但也未從硬件層面角度出發考慮自身故障的檢測和冗余機制。在文獻[6]關于功能安全設計為新能源發展提供保障中，提到采用功能安全 V 模式進行 ECU 開發已成為今后的趨勢。在文獻[24]關于中國道路車輛功能安全標準化工作規劃中，提到功能安全技術已成為推動汽車工業發展的核心關鍵技術。然而目前對整車控制器的設計仍在采用傳統的 V 模式開發流程，該流程注重以實現功能為主，在其硬件開發階段未對其硬件元器件失效進行評估，可能會導致存在許多潛在的故障風險。

　　針對整車控制器在硬件功能層面上存在的問題，結合現有的雙 MCU 控制原則，對其進行改進與優化。本文將對整車控制器功能進行分析，得到可能由于硬件層面功能故障導致的系統性失效問題，并對各種故障設計相應的檢測機制和冗余機制，保證故障發生后整車控制器系統仍處于安全狀態，避免系統性失效造成不可預測的危害事件。因此，對整車控制器硬件的控制采用閉環控制的方式控制其輸出，并在軟件服務層中添加對自身硬件故障的監測與診斷服務。根據功能安全標準發展的趨勢，并結合以上問題來看，迫切需要設計一種基于功能安全標準的整車控制器硬件，使其符合功能安全標準的相關要求，以保障整車控制器應用層功能高效穩定運行，提高整車控制器的安全性和穩定性。

　　1.5 論文主要研究內容

　　本文主要基于功能安全標準中相關技術規范和要求，對其進行功能安全性分析。首先對 VCU 應用層功能進行危害分析和風險評估得到相應的功能安全目標和安全需求，分析出隨機硬件失效和系統性失效后導致的應用層功能失效。其次根據安全需求進一步提取出相應的技術安全需求。然后結合整車控制器的特點，本文采用一種雙 MCU 的控制原則設計了整車控制器硬件架構，同時根據硬件架構設計相應的安全機制軟件，并對其進行實現和故障注入測試驗證，結果表明了本文設計的整車控制器符合功能安全標準中的相關要求。本文內容包含六個章節，各章節內容如下：

　　第一章 緒論。主要介紹了對純電動汽車整車控制器功能安全性的研究背景及其功能概述。然后分析了目前功能安全國內外的研究現狀，重點針對電動汽車整車控制器目前存在的功能安全性問題進行了分析。最后介紹本文的寫作架構。

　　第二章 VCU 功能安全性分析與系統設計。首先介紹功能安全標準中相關技術規范和要求。然后結合整車控制器功能特點，對應用層功能進行功能安全性分析。

　　并對整車控制器進行了系統安全架構設計，同時設計了相應的軟硬件架構。

　　第三章 VCU 信號處理功能分析與設計。首先對 VCU 信號處理功能進行分析，然后對該功能模塊存在的問題設計了相應的安全機制，并對其軟硬件進行了設計、仿真與實現，最后根據功能安全標準中的硬件架構指標要求對硬件模塊進行了安全確認。

　　第四章 VCU 通信功能分析與設計。首先對 VCU 通信功能進行分析，然后對該功能模塊存在的問題設計了相應的功能安全機制，并對其軟硬件的進行了設計、仿真和實現，最后根據功能安全標準中的相關要求進行了功能安全確認。

　　第五章 VCU 功能安全機制驗證與分析。主要對 VCU 硬件進行集成測試。首先對測試臺架結構進行闡述，然后再對測試網絡拓撲圖進行介紹。最后針對 VCU在正常模式和故障模式下進行了功能測試和故障注入測試，并對測試得到的數據進行分析。

　　第六章 總結與展望�？偨Y了本論文的主要工作和研究中存在的不足，并對未 來需要進一步的改進工作做了展望。

　　第 2 章 VCU 功能安全性分析與系統設計
　　2.1 功能安全標準研究
　　2.1.1 ISO26262 標準概述
　　2.1.2 安全生命周期與完整性等級
　　2.1.3 硬件架構指標
　　2.2 VCU 功能安全性分析
　　2.2.1 功能安全需求分析
　　2.2.2 DFMEA 與 FTA 方法分析
　　2.2.3 技術需求分析
　　2.3 VCU 系統架構分析與設計
　　2.3.1 VCU 系統安全架構
　　2.3.2 VCU 硬件安全架構
　　2.3.3 VCU 軟件安全架構
　　2.4 本章小結

　　第 3 章 VCU 信號處理功能分析與設計
　　3.1 信號處理功能分析
　　3.2 信號處理功能安全機制設計
　　3.2.1 信號處理安全機制
　　3.2.2 信號處理功能故障檢測
　　3.3 信號處理功能模塊軟硬件設計
　　3.3.1 信號處理硬件模塊
　　3.3.2 信號處理安全機制軟件
　　3.3.3 安全機制軟件仿真與分析
　　3.4 信號處理功能安全確認
　　3.4.1 硬件架構指標分析
　　3.4.2 硬件架構指標計算
　　3.5 本章小結

　　第 4 章 VCU 通信功能分析與設計
　　4.1 通信功能分析
　　4.2 通信功能安全機制設計
　　4.2.1 通信功能安全機制
　　4.2.2 通信功能故障檢測
　　4.3 通信功能模塊軟硬件設計
　　4.3.1 通信功能硬件模塊
　　4.3.2 通信功能安全機制軟件
　　4.3.3 安全機制軟件仿真與分析
　　4.4 通信功能硬件安全確認
　　4.4.1 硬件架構指標分析
　　4.4.2 硬件架構指標計算
　　4.5 本章小結

　　第 5 章 VCU 功能安全機制驗證與分析
　　5.1 測試臺架搭建
　　5.1.1 測試臺架總體結構
　　5.1.2 測試臺架環境搭建
　　5.2 正常模式下功能安全機制驗證與分析
　　5.2.1 通信功能測試
　　5.2.2 信號采集功能測試
　　5.2.3 驅動輸出功能測試
　　5.2.4 測試結果分析

　　5.3 故障模式下功能安全機制驗證與分析
　　5.3.1 通信功能安全機制測試
　　5.3.2 信號采集安全機制測試
　　5.3.3 驅動輸出安全機制測試
　　5.3.4 測試結果分析
　　5.4 本章小結

　　第 6 章 總結與展望

　　6.1 總結

　　隨著純電動汽車的迅速發展，伴隨著的安全問題也日益突出，按照傳統的 ECU開發方式已經不能夠滿足電控單元安全的需求。因此在汽車 ECU 的開發中引入功能安全的概念，通過功能安全標準 ISO26262 來保證 ECU 開發過程中的安全問題。

　　作為三大關鍵技術中的整車控制技術實現也應考慮功能安全。因此本文首先對整車控制器功能安全性進行了分析，針對整車控制器在硬件功能安全性不完善以及軟件功能缺乏診斷與冗余機制等問題上，提出采用基于功能安全標準 ISO26262 來對整車控制器進行開發，然后設計了一種雙 MCU 控制的硬件架構和軟件架構。最后通過 HIL 硬件在環測試平臺對實現的整車控制器硬件進行了功能測試和故障注入測試，測試結果表明設計的整車控制器符合功能安全等級 ASIL D 級相關要求，完善了硬件功能安全性和軟件功能安全機制。本文完成的主要工作如下：

　　1. 首先基于功能安全標準 ISO26262 對整車控制器功能安全性進行了危害分析和風險評估，得到相應的功能安全等級和功能安全需求，并對可能存在的功能故障進行了 FTA 故障樹分析和 DFEMA 設計失效及后果分析，進一步提取出對應的技術需求。同時設計了相應的系統安全架構、硬件架構和軟件架構。

　　2. 其次結合上述功能安全性分析，再進一步從硬件層面角度出發對整車控制器信號處理功能進行分析，得到可能存在的潛在故障。針對以上故障問題，采用雙 MCU 控制的硬件架構，對硬件電路設計中的元器件進行了失效分析，同時設計了相應的故障檢測與處理冗余機制，并對其功能模塊進行了設計、仿真與實現。

　　3. 然后結合 CAN 網絡通信特點，再進一步對整車控制器 CAN 網絡通信功能進行分析，得到可能存在的潛在故障。采用備份 CAN 的冗余機制，進行故障檢測和處理，并對其功能模塊進行了設計、仿真與實現。

　　4. 最后使用 HIL 硬件在環測試平臺模擬整車控制器相關輸入信號和被控對象，并使用 CAPL 腳本語言編寫測試用例，實現 HIL 測試平臺故障的自動化注入與恢復，對整車控制器進行功能測試和故障注入測試，主要包含信號采集功能、驅動輸出功能和通信功能的測試。測試結果表明，故障檢測率可達 99%以上，系統切換到安全狀態的平均時間為 36.9ms,驗證了基于功能安全標準設計的整車控制器符合相應的功能安全目標，提高整車控制器的安全性和可靠性。

　　6.2 展望

　　由于整車控制器作為純電動汽車三大關鍵技術之一，所綜合的學科知識和相關技術較為復雜，而本文主要側重于從硬件層面角度出發去提高了整車控制器安全性和可靠性，但并未完全考慮到整車控制器應用層控制策略對其進行研究，仍有一些方向需要進一步研究和優化：

　　1. 主要從整車控制器硬件功能角度出發，對整車控制器安全性進行設計，在后續的研究中可以進一步考慮應用層功能的安全性，對應用層控制策略進行分析與設計，提高整車控制器的功能安全性和可靠性。

　　2. 本文重點對軟件架構中底層驅動和中間服務層監測軟件進行了實現，后續可進一步對中間層其它服務的實現考慮到功能安全性。

　　3. 本文僅通過 HIL 硬件在環測試平臺對整車控制器進行了電氣測試和故障注入測試，未對硬件抵抗外部應力的健壯性進行測試，后續可對其進行環境測試、極限測試和 EMC 測試等試驗以得到更加可靠準確的測試結果。

　　參考文獻
　　[1] 韓博硯。 關于我國新能源汽車的發展現狀分析及趨勢探討[J]. 汽車實用技術，2018, 277（22）： 16-18.
　　[2] 張泓。 新能源汽車發展現狀分析與趨勢[J]. 內燃機與配件， 2018, （4）： 213-214.
　　[3] ]張烜赫。 新能源電動汽車研究[J]. 時代汽車， 2019, （2）：101-102.
　　[4] 鐘文京， 鄧勇， 尹文斌。 促進新能源汽車發展應用的對策研究[J]. 科技廣場，2016, （4）： 114-120.
　　[5] 方來華， 吳宗之， 魏利軍。 汽車工業中的功能安全研究[J]. 中國安全生產科學技術， 2007, 3（1）： 51-55.
　　[6] 楊家玥。 功能安全設計為新能源汽車提供保障[J]. 質量與認證， 2017, （5）： 38-40.
　　[7] 劉佳熙， 郭輝， 李君。 汽車電子電氣系統的功能安全標準 ISO26262[J]. 上海汽車， 2011, （10）： 57-61.
　　[8] 紀宏巖， 崔書超， 孫燦。 基于 ISO26262 的道路車輛功能安全開發流程解讀[J].汽車電器， 2016, （7）： 57-59.
　　[9] 郝麗娟。 功能安全汽車行業新標準[J]. 認證技術， 2011, （12）： 23-26.
　　[10] 袁蘭秀。 汽車電子電氣系統功能安全標準 ISO26262 的幾點探討[J]. 科技資訊，2013, （8）： 245-245.
　　[11] 李娟， 王宏大， �；�。 一種基于功能安全的汽車 PEPS 系統[J]. 農業裝備與車輛工程， 2014, 52（4）： 57-59.
　　[12] ISO. ISO26262 Road Vehicle Functional Safety[S]. 2011: 10-80.
　　[13] 彭斐。 ISO26262 保證汽車功能安全的新思路[J]. 汽車與配件， 2015, （37）： 30-33.
　　[14] 朱軍。 新能源汽車動力系統控制原理及應用[M]. 上海： 上�？茖W技術出版社，2013: 35-48.
　　[15] 黃娟娟。 純電動汽車整車控制策略及應用軟件開發[D]. 天津： 天津大學， 2014.
　　[16] 翟世歡， 辛明華， 于蘭。 純電動汽車整車控制策略[J]. 汽車工程師， 2014, （12）：26-29.
　　[17] 薛念文， 馬先萌， 盤朝奉。 插電式純電動汽車上下電控制策略研究與設計[J].重慶交通大學學報， 2012, 31（5）： 1086-1090.
　　[18] 飛思卡爾 Safe Assure 計 劃 縮 短 安 全 系 統 開 發 時 間 [EB/OL].http://archive.eet-china.com/www.eet-china.com.
　　[19] 瑞薩電子推出硬件故障探測及預警技術[EB/OL].http://www.eepw.com.cn/article/201602/287079.html.
　　[20] 英飛凌推出基于 32 位 TriCore MCU 的完整設計套件[EB/OL].http://tech.hqew.com/xinpin_580142.
　　[21] Srivastava P, Karle M L, Karle U S. Development of Electrical Power AssistedSteering （EPAS） considering safety and reliability aspects as per ISO 26262[J].Automotive Sector, 2015（26）： 86-88.
　　[22] Reorda M S, Violante M. Hardware-in-the-Loop-Based Dependability Analysis ofAutomotive Systems[C]// IEEE International Symposium on On-line Testing. 2006.
　　[23] Bellotti M, Mariani R. How future automotive functional safety requirements willimpact microprocessors design[J]. Microelectronics Reliability, 2010, 50（9）：1320-1326.
　　[24] 李波， 馮屹， 王兆。 中國道路車輛功能安全標準化工作規劃[J]. 中國標準化，2017, （23）： 122-125.
　　[25] 史曉密。 對我國道路車輛功能安全標準化發展現狀與趨勢的探討[J]. 標準科學，2016, （4）： 30-34.
　　[26] 大唐恩智浦啟動首個 ISO26262 功能安全開發流程認證項目[EB/OL].http://tech.hexun.com/2015-11-02/180288355.html.
　　[27] ISO26262 道路車輛功能安全培訓[EB/OL].http://www.hirain.com/sts/116/113.
　　[28] 趙建軍。 安全氣囊功能安全分析[J]. 研究與開發， 2015, （12）： 18-22.
　　[29] 朱峰。 純電動車整車控制器設計與失效性分析方法研究[D]. 哈爾濱：哈爾濱工業大學， 2012.
　　[30] 杜德清。 電動汽車 VCU 故障診斷系統開發與測試[D]. 吉林： 吉林大學， 2016.
　　[31] 文凱。 基于 ISO26262 的電動四驅混合動力系統功能安全概念設計[J]. 機電工程技術， 2012, （12）： 23-27.
　　[32] Ji X, Ge J, Tian H. Reliability improvement of electric power steering system basedon ISO 26262[C]// International Conference on Quality. 2013: 57-61.
　　[33] 張振旺， 劉淑英。 基于功能安全的整車控制器的概念設計與仿真[J]. 科技資訊，2017, （8）： 81-86.
　　[34] 張戟， 萬祥， 朱翔宇。 整車控制器功能安全設計和研究[J]. 佳木斯大學學報，2016, （5）： 683-687.
　　[35] 郭輝， 劉佳熙， 于世濤。 符合 ISO26262 的汽車電子功能安全解決方案[J]. 上海汽車， 2015, （3）： 47-50.
　　[36] 盧靜。 功能安全標準 ISO26262 在汽車電子電器開發中的應用[J]. 電子世界，2016, （20）： 124-125.
　　[37] 朱葉。 基于 ISO26262的動力電池系統高壓功能安全概念[J]. 汽車零部件， 2013,（10）： 97-100.
　　[38] 祁克光。 嵌入式系統開發中 ISO26262 標準應用研究[J]. 汽車電器， 2013, （10）：31-34.
　　[39] 葛鵬， 陳勇， 羅大國。 基于道路車輛功能安全標準 ISO26262 的 7DCT 電控系統設計[J]. 汽車技術， 2014, （9）： 21-23.
　　[40] 曾艾， 楊永光。 基于 ISO26262的動力總成系統扭矩安全概念設計[J]. 上海汽車，2017, （10）： 25-29.
　　[41] Khan J. ISO26262 system level functional safety validation for battery managementsystems in automobiles[C]// 2017 Innovations in Power and Advanced ComputingTechnologies （i-PACT）。 IEEE, 2018: 1-5.
　　[42] 石建亮。 面向功能安全要求的 EPS 控制器硬件架構分析與測試[D]. 吉林： 吉林大學， 2017.
　　[43] Kwon H, Itabashi-Campbell R, Mclaughlin K. ISO26262 application to electricsteering development with a focus on Hazard Analysis[C]// IEEE InternationalSystems Conference, 2013: 655-661.
　　[44] Wu X, Fei L, Lu X. Analysis of Impact of PMSM Failure on the Safety of EVunder ISO26262[J]. Automobile Technology, 2013, （5）： 35-37.
　　[45] Rivett R S. Hazard identification and classification: ISO26262- the application ofIEC61505 to the automotive sector[C]// Seminar on Sil Determination. 2010:87-97.
　　[46] 催勝民。 新能源汽車技術解析 [M]. 北京： 化學工業出版社， 2016: 40-52.
　　[47] 莊興明， 張琴。 基于 ISO26262標準的車用驅動電機系統設計研究[J]. 汽車零部件， 2016, （12）： 18-21.
　　[48] 朱峰。 純電動車整車控制器設計與失效性分析方法研究[D]. 哈爾濱： 哈爾濱工業大學， 2013.
　　[49] 王鐵。 汽車電子功能安全設計與測試方法研究[J]. 電子產品世界， 2014, （7）：44-45.
　　[50] Tang Z C, Zuo M J, Xiao N. An efficient method for evaluating the effect of inputparameters on the integrity of safety systems[J]. Reliability Engineering & SystemSafety, 2015: 120-124.
　　[51] Kim S K, Yong S K. An evaluation approach using a HARA and FMEDA for thehardware SIL[J]. Journal of Loss Prevention in the Process Industries, 2013, 26（6）：1212-1216.
　　[52] Catelani M, Ciani L, Luongo V. The FMEDA approach to improve the safetyassessment according to the IEC61508[J]. Microelectronics Reliability, 2010,50（11）： 1230-1235.
　　[53] Yanwen L, Xiyang W. Functional Safety Analysis for the Design of VCU Used inPure Electric Vehicles[C]// International Conference on Information Science &Control Engineering. IEEE Computer Society, 2017: 1004-1008.
　　[54] Liu B, Li Y. Research on Vehicle Control Unit based on functional safety[C]// 20172nd Asia-Pacific Conference on Intelligent Robot Systems （ACIRS）， 2017:160-164.
　　[55] 寧明志， 黃凱龍。 基于功能安全的 FMEDA 分析在電子換擋機構中的應用研究[J]. 電子設計工程， 2019, 27（02）： 135-139.
　　[56] 楊綢綢。 半導體器件失效分析的重要性及關鍵問題研究[J]. 科技創新導報，2009, （10）： 4-4.
　　[57] Takeichi M, Sato Y, Suyama K. Failure rate calculation with priority FTA methodfor functional safety of complex automotive subsystems[C]// InternationalConference on Quality. IEEE, 2011: 55-58.
　　[58] 鄭偉， 李艷文。 汽車集成安全系統硬件架構功能安全概念設計[J]. 汽車科技，2014, （6）： 55-60.
　　[59] 伍理勛， 陳建明， 陳磊。 電動汽車電機驅動控制器功能安全架構研究[J]. 控制與信息技術， 2018, （3）： 12-16.
　　[60] Hyun K H. Design of a speed controller for permanent magnet synchronous motorin pure electric vehicle applications[C]// International Conference on Control. 2007:1623-1628.
　　[61] 殷偉。 純電動客車整車控制系統容錯控制策略研究[D]. 吉林： 吉林大學， 2016.
　　[62] 吳敏。 電動汽車整車控制器基礎軟件開發及控制策略研究[D]. 吉林： 吉林大學，2014.
　　[63] 葛慶光。 純電動汽車整車控制器的研究[D]. 合肥： 合肥工業大學， 2012.
　　[64] 劉永山。 純電動汽車整車控制器開發及控制策略研究[D]. 武漢： 武漢理工大學，2014.
　　[65] Zhai Z Q, Zhang X N. Study on Control Strategy for Regenerative Braking ofElectric Vehicles[J]. Applied Mechanics and Materials, 2013, （273）： 669-672.
　　[66] Han J, Kwon Y, Byun K. A Fault Tolerant Cache System of Automotive VisionProcessor Complying With ISO26262[C]// International Symposium on Circuitsand Systems （ISCAS）， 2016: 2912-2912.
　　[67] 劉杰。 基于模型的設計及其嵌入式實現[M]. 北京： 北京航空航天大學出版社，2010: 78-91.
　　[68] Song P, Zong C F , Zheng H Y. Rapid Prototyping for the Vehicle Control Unit of aFull Drive-by-Wire Electric Vehicle[J]. Advanced Materials Research, 2013, （2）：
　　694-697[69] Adedjouma M, Smaoui A. Model-Based Computer-Aided Monitoring forISO26262 Compliant Systems[C]// International Symposium on SoftwareReliability Engineering Workshops （ISSREW）。 2018: 349-352.
　　[70] 王建軍。 基于 MATLAB/SimuLink 平臺的整車控制器設計[J]. 汽車實用技術，2012, （4）： 33-37.
　　[71] Zhang G, Zhang H, Li H. The Driving Control of Pure Electric Vehicle[J]. ProcediaEnvironmental Sciences, 2011, （10）： 433-438.
　　[72] Wang Y, Liu Y. Electronic control system design and test of pure electric vehiclebattery management system[C]// Second International Conference on MechanicAutomation & Control Engineering. 2011: 1289-1292.
　　[73] 羅峰。 汽車 CAN 總線系統原理設計與應用[M]. 北京： 電子工業出版社， 2010:32-48.

致謝

　　時光如流水，一去不復返，轉眼間就面臨著研究生畢業階段的論文編寫。在論文編寫的收尾工作中，總結下自己在這三年里的時光，同時也展望下自己的未來。在這三年學術修煉的生涯中，收獲到的不僅僅是在學術能力和工程實踐能力方面的提高，更多的是在導師指導和帶領下，學習能力和解決問題方法的提升，以及眼界的拓展和格局的提升。同時自己也成長了不少，不僅來自歲月時光的收獲，還有做人做事道理的收獲，內心的自己也漸漸沉淀下來。在這即將畢業來臨之際，我由衷地感謝有你們的指引與關懷，讓我不斷地成長。

　　首先我要感謝的是我的導師程安宇教授，因為有他的悉心指導，才有我這三年里不斷的成長。程老師不僅在學術上和工程實踐上給予了我很大的幫助，同時也在生活中讓我明白了許多人生道理。在學術能力提升上，教會了我如何鉆研學術的方法，同時也讓我養成一顆嚴謹與細心對待學術的習慣。在工程實踐上，因為有老師的推薦與培養，有幸參與項目實習，讓我的工程實踐能力得到了很好的提升。在生活中，他業精于勤而毀于隨的做事理念，深深地影響著我們。一句認認真真做事，踏踏實實做人的教誨，成為了我人生中重要的準則。在這三年里，很幸運同時也很榮幸在程老師的指導和帶領下，為自己研究生生涯畫上圓滿句號。

　　除此之外，我還要感謝實驗室的徐洋老師、向敏老師和李鵬華老師等在我的學習上給予了的幫助和指導，感謝王大軍老師和周怡老師在生活上的幫助和分享給我們的人生經歷。

　　其次感謝天津新力泰科公司的甘海云老師，在他公司實習的時光里，不僅在工作上讓我學會了許多工作技能，同時在生活中也給予了很多的關心與幫助，讓我順利的完成了實習任務。還要感謝重慶利龍研究院的同事們，在利龍實習的時光里，正因為有你們的關心與幫助，讓我們一起順利推進項目工作，彼此共同成長。

　　然后感謝研一和研二的師弟師妹們，以及在一起完成科研項目的曹永威、程小珊、熊秋涵、王令以及趙爽同學。因為大家都有一顆不懈努力追求理想的心，在彼此相互幫助下，不斷進步，不斷超越自己。

　　當然還要感謝這三年里的自己，感謝當初選擇讀研提升的自己，感謝這三年里不懈努力的自己。愿未來的自己不忘初心，不忘實驗室訓言，繼續前行。

　　最后，衷心感謝評閱我論文與參加答辯的各位專家！

（如您需要查看本篇畢業設計全文，請您聯系客服索�。�