清晨,当你手握方向盘,载着家人奔赴满心期待的旅程;深夜,当你独自驾车穿行在静谧的回家路上,总有一种无形的力量在默默守护,它看不见、摸不着,却贯穿行驶全程,这便是现代汽车安全体系的核心支柱——汽车功能安全。而科学规范的汽车功能安全测试,正是验证这份安全设计、排查潜在风险、筑牢安全防线的关键保障。
与传统测试不同,功能安全测试的核心方法之一是“故障注入”——工程师们会主动制造各种故障,如模拟传感器失灵、仿真信号错误、触发软件异常等。这种“自我折磨”式的测试,不是为了证明系统永无故障,而是要确保即使发生故障,车辆也能及时预警、进入安全状态,最大限度保障驾乘人员安全。
基于上一篇功能安全的理论铺垫,这次我们继续深入探索功能安全测试,一步步揭开它的神秘面纱!
功能安全测试,涉及到车身域、动力域、底盘域、智驾域等整车多个功能域。本文以车身域为例,重点介绍一下车身域的功能安全测试范围、测试方法等内容。
车身域涉及到的系统模块和测试内容,如下表所示:
| 序列 | 系统模块 | 测试内容概括 |
| 1 | 电动门系统 |
1、存在有效车速,应禁止车门非预期打开 2、驱动电路异常,应禁止车门非预期打开 3、ECU异常复位,应禁止车门非预期打开 |
| 2 | 锁系统 |
1、存在有效车速,应禁止车锁非预期解锁 2、存在有效车速,应禁止诊断请求锁系统 相关服务 3、闭锁时,ECU复位应禁止该ECU控制下 的门锁非预期解锁 |
| 3 | 外灯系统 |
1、RLS通信丢失或信号无效,自动灯光状态 应自动点亮照明灯光 2、车辆处于行驶电源,请求报文中E2E错误 则禁止响应对应请求 3、灯光引脚故障时,总线应反馈灯状态失效, 仪表点亮对应故障指示灯 |
| 4 | 雨刮系统 |
1、拨杆控制雨刮动作时,拨杆失去通讯,雨刮应保持当前运动状态 2、雨刮动作时,ECU的异常复位应保持雨刮的动作 3、雨刮动作时,ECU负载回路出现故障时,雨刮应保持动作 |
| 5 | 车窗系统 |
1、车窗防夹区域可正常触发防夹,且防夹力不高于100N 2、车窗初始化丢失后,可通过再次上升重新学习 3、车窗在运动过程中,控制回路出现故障,车窗及时停止,并将故障信号反馈至总线 |
| 6 | 天窗系统 |
1、天窗防夹区域可正常触发防夹 2、天窗初始化丢失后,可通过再次上升重新学习 3、天窗在运动过程中,控制回路出现故障,天窗及时停止,并将故障信号反馈至总线 |
| 7 | 尾门系统 |
1、尾门全锁时,ECU异常复位后应禁止尾门非预期开启 2、尾门驱动电路异常时,应禁止尾门非预期开启 3、车辆存在有效车速时,应禁止尾门开启 |
| 8 | 座椅系统 |
1、调节开关故障时,应禁止开关对座椅的调节 2、车辆存在有效车速且超过限值时,应禁止非主驾开关外的请求调节主驾座椅 3、车辆发生碰撞后,应在短时间内禁止一切座椅控制,一段时间后恢复硬开关控制 |
| 9 | 方向盘系统 |
1、车速大于一定值后,方向盘不响应记忆位置调取 2、方向盘调节电机驱动电路异常,禁止故障电机动作,并发送故障状态信息 3、方向盘调节开关发生故障,系统检测开关状态并输出故障信息 |
为清晰呈现功能安全测试的核心逻辑与实操要点,下文将以车身域中外灯系统为例,从测试用例编制逻辑、功能安全测试方法以及测试报告编写三个核心维度,为大家详细介绍。
一、 功能安全测试用例编制
什么是功能安全测试用例?作为汽车的“隐形安全卫士”,它用标准化验证守护每一次出行。
关于如何编制测试用例,上篇文章中对编制理论已有介绍。接下来就让我们结合实例,一起去探讨功能安全测试用例的编制方法!
1. 充分解读需求文档:
如某需求文档中描述:外灯系统中,自动近光灯点亮时,关联件节点丢失或发送无效值,应保持点亮状态。—— ASIL B(注:ASIL评级方法之前已经介绍,便不再过多叙述)
如何解读?主要从以下几方面:
明确安全目标:避免因关联件故障导致车辆照明功能意外丧失。
安全状态:保持点亮近光灯。
基于需求分析:关联件节点丢失或发送无效值,应不受共因失效影响。
确认功能的相关性分析:关联件故障恢复后,需准确识别恢复状态并执行正确响应操作。
2. 经过对需求的充分解读,绘制用例思维导图如下:
功能安全用例思维导图示例
3. 思维导图绘制完成后,依据思维导图开发测试用例:
功能安全测试用例示例
如此,功能安全测试用例便编制完成啦!
Do you think it's easy?
如果觉得简单,那就大错特错啦!
这只是列举了一个较为简单的功能安全测试点,且ASIL评级只是ASIL B!
功能安全测试用例的开发,需要编制人员深刻理解安全标准、系统设计和测试技术。只有如此,才能设计出完整性好、覆盖度高、可靠性强的测试用例。
二、 测试方法
- 测试工具:
测试工作启动前,需预先备齐相关工具,主要的测试工具如下:
其中故障注入仿真平台,是我司针对功能安全测试专门开发的总线类故障注入测试平台,可以应用到台架和实车测试中。功能主要包括报文监控、路由过滤、故障报文仿真等,如下图所示:
故障注入仿真平台
- 测试环境:
结合过往功能安全测试项目的实践经验,外灯系统功能安全测试的执行环节通常可划分为三种核心测试环境,具体如下:
1.单件级台架测试环境 2.系统级台架测试环境 3.实车级测试环境
下面将围绕上述三种核心测试环境,分别简要介绍对应的功能安全测试思路与实操方法:
1. 单件级台架测试环境
单件级测试环境,主要以被测控制器为中心,通过模拟关联交互信号的方式,构建桌面级极简测试闭环,主要验证控制器级的电压波动、物理连接故障等安全机制。
基本的测试内容包括:
- 通过CANoe模拟发送关联控制器的故障或无效请求信号,验证单件级功能是否达到预期设计标准;
- 通过程控电源调节外灯控制器供电电压、电流,精准复现极端供电环境,确保控制器功能表现符合预设安全标准;
- 通过将PIN脚短接/断开等操作,测试控制器对引脚异常状态的耐受能力与响应准确性。
以通过 CANoe 进行故障注入测试为例,其实现流程如图所示:
2. 系统级台架测试环境
系统级测试环境是将被测控制器与相关联的输入/输出真实电器件连接,构建的子系统测试台架,主要验证静态真实执行器、传感器及其他域控出现故障后的安全机制。
基本的测试内容包括:
- 通过CANoe模拟发送Checksum/MsgCounter错误信号,验证控制器对通信数据异常的识别能力与容错处理机制;
- 在外灯点亮过程中,使用BOB盒子制造断路、短路等操作,模拟实际使用中的电路故障,校验控制器的容错能力与安全防护逻辑;
- 断开或禁言光雨传感器等关联控制器使通讯丢失,验证外灯控制器在信号中断场景下的独立工作能力与安全策略。
以通过 CANoe 进行错误信号仿真测试为例,其实现流程如图所示:
3. 实车级测试环境
实车级测试环境依托实车场景,通过实际工况触发,验证整车功能表现及各类容错机制的有效性。
基本的测试内容包括:
- 存在有效车速/OTA升级等场景下,通过CANoe发送11、27、31等诊断指令,验证ECU在特殊工况下的诊断服务可用性与安全防护逻辑;
- 使用故障注入仿真平台,在真实关联ECU发出的信号基础上,将数据变更并重新转发至总线上,完成相关故障注入测试等操作。
以使用故障注入仿真平台修改信号值举例,如图所示:
三、功能安全测试报告编写
整理功能安全测试报告是一个系统化的过程,它始于测试策划,贯穿于测试执行,最终完成于严谨的整合与评审!测试结果的交付并非简单的数据汇总,而是对安全性能的深度解读与优化建议的集中呈现!
测试报告的核心内容如下:
功能安全测试报告重点
四、结语
本文结合车身域的实例,从功能安全测试用例编制逻辑、测试方法以及测试结果报告编写这三个方面对功能安全测试的要点进行介绍。后续我们将结合实际项目经验,持续推出整车其他域功能安全测试的实例分享。若您对功能安全测试领域感兴趣,或有相关合作洽谈、技术咨询等需求,欢迎随时与我们联系。期待与您共同探讨行业前沿、携手共促发展。
扫一扫
543
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
