智能驾驶域控制器功能安全测试技术研究

摘要：随着智能网联汽车的快速发展，自动驾驶系统必须具备功能安全技术保障，但符合功能安全要求的智能驾驶域控制器测试技术的研究较少。文章以功能安全标准《道路车辆 功能安全》（GB/T 34590）（ISO 26262）为指导，以自动车道保持系统为例，选取2个功能开展危害分析与风险评估，为避免整车危害制定安全目标，再由安全目标导出功能安全要求并将安全要求分配到智能驾驶域控制器。为验证安全要求是否得到满足，编制故障注入测试用例，采用硬件在环测试技术，模拟控制器局域网（CAN）总线信号报文E2E校验错误、信号有效值无效等故障，验证功能安全机制的有效性，为智能驾驶域控制器的功能安全开发及测试验证提供参考。

随着汽车电动化智能化发展，对功能安全提出更高的要求，对此国际标准化组织于2011年发布标准《道路车辆功能安全》（ISO 26262），并于2018年发布第二版，旨在为车辆功能安全的设计、测试提供参考标准。我国基于发布的ISO26262标准制定的《道路车辆功能安全》（GB/T34590）也在2022年更新到第二版[1-2]。功能安全理念在电动助力转向系统（Electronic Power Steer- ing, EPS）、电池管理系统（Battery Management System, BMS）、整车控制单元（Vehicle Control Unit, VCU）开发与测试中也得到很多应用[3-7]。随着汽车智能驾驶技术的快速迭代，自动驾驶系统的功能安全得到越来越多的重视，国外R157以及国内智能网联汽车试点工作的通知，都明确要求智能网联汽车应具备功能安全技术保障[8-11]。

本文以自动车道保持系统为例，从危害分析与风险评估到功能安全要求，并提出具体测试用例及基于硬件在环的测试验证参考方法。

1 自动车道保持系统功能安全分析

以自动车道保持系统（Automated Lane Keep- ing System, ALKS）为例，具备功能包括接收处理传感器数据、从其他系统接收角度扭矩/偏航信息、接收驾驶员状态、确定车辆在车道上的位置、计算角度扭矩/偏航、计算加速度/电机扭矩、当感知不足时停用自动车道保持等。本文针对“计算角度扭矩/偏航”“接收驾驶员状态”的功能异常为例，开展危害分析与风险评估，识别潜在车辆危害，制定功能安全目标、功能安全要求[12-14]。

1.1 危害分析与风险评估

1.1.1 危害分析

采用危险与可操作性分析（Hazard and Opera- bility Analysis, HAZOP）[15]，使用适合的引导词，辨识并确认可能导致的潜在不利结果，选取无、过多、过少、间歇性、相反、未请求、功能锁止7种引导词，本文以“计算角度扭矩/偏航”“接收驾驶员状态”功能为例，识别潜在车辆危害（见表1－表2）。

1.1.2 风险评估

汽车安全完整性等级（Automotive Safety Inte- grity Level, ASIL）共分为A、B、C、D四个等级，通过严重度S、暴露度E、可控性C三个评价因子分析确定的。本文以“当ALKS激活时，ALKS系统不能提供足够的横向调整，导致车辆离开道路”“当ALKS激活时，ALKS系统提供过多的横向调整，导致车辆离开道路”“不适当的驾驶员和ALKS系统交接”为例，评价ASIL等级（见表3－表5）。

表1 采用HAZOP导出潜在故障及危害（功能：计算角度扭矩/偏航）

注：H1表示识别出的第一个潜在车辆危害；H2表示识别出的第二个潜在车辆危害。

表2 采用HAZOP导出潜在故障及危害（功能：接收驾驶员状态）

注：H3表示识别出的第三个潜在车辆危害。

表3 潜在车辆危害H1的ASIL等级评估

注：S3表示严重程度（Severity）等级3；E4表示暴露率（Expo- sure）等级4；C3表示可靠性（Controllability）等级3。

表4 潜在车辆危害H2的ASIL等级评估

表5 潜在车辆危害H3的ASIL等级评估

1.1.3 安全目标

以3个潜在车辆危害为例，制定防止危害事件发生或减轻危害程度的安全目标及其相应的ASIL等级，如表6所示。

表6 功能安全目标（部分）

注：SG（安全目标, Safety Goals）。

1.2 安全要求

表7 功能安全要求（部分）

注：LKA（车道保持辅助系统, Lane Keeping Assist）。

建立相应的功能安全要求（Functional Safety Requirement, FSR），并将安全要求分配到具体的系统要素上，以具体到智能驾驶域控制器为例，如表7所示。

2 测试方法及用例设计

在以上对功能安全分析的基础上，为了验证智能驾驶域控制器能否达到功能安全要求，选取FSR-1-1探讨潜在的测试方法，故障注入方式选用CAN总线注入方式，如表8所示。

表8 FSR-1-1的潜在的测试方法

表9 测试用例（示例）

注：ODD（设计运行范围, Operational Design Domain）。

选取CAN总线故障注入方式，对功能安全需求进行测试验证，编制测试用例，细化测试步骤、预期安全行为表现和判定标准，如表9所示。

3 硬件在环测试

3.1 智能驾驶域控制器功能安全测试方案

将智能驾驶域控制器连接至硬件在环测试系统进行硬件在环仿真（Hardware-In-the-Loop, HIL）测试。在仿真环境中，向智能驾驶域控制器注入各种故障，满足功能安全设计的验证需求。测试系统方案如图1所示。

图1 智能驾驶域控制器 HIL测试系统方案

采用VT System搭建HIL测试系统，包括Vector CAN接口卡、车载以太网接口卡、实时机等硬件资源，模拟毫米波雷达、激光雷达、超声波雷达、惯性测量单元（Inertial Measurement Unit, IMU）电气连接，高性能图站与视频注入盒配合模拟摄像头连接及实现定位/地图数据模拟，为被测智能驾驶域控制器提供电气环境。场景仿真软件用于搭建智能驾驶场景，可任意定义包括道路类型、车道、光照、车辆行驶状态等参数；总线仿真软件与场景仿真软件建立数据交互及时间同步，模拟整车运行必要的传感器、电子控制单元（Electronic Control Unit, ECU）。动力学模型模拟车辆在仿真场景中的动力学反馈，模拟实车运行状态。故障注入测试用例中，通过总线仿真软件注入总线通信故障，也可通过故障注入模块（Fault Injection Unit, FIU）注入开路、短路故障。在总线仿真软件中创建总线信号监控窗口，可实时监控通信报文及测试系统中的各项参数，并保存为log文件，同时可在监控窗口中测量所关注信号跳变情况，判断安全机制的设计是否有效和满足安全需求。

3.2 测试评估

为验证系统设计是否满足功能安全要求，选取编号为FSR-1-1的功能安全故障注入为例，采用CAN总线故障注入方式，模拟方向盘扭矩信号故障，触发安全机制，评估安全机制运行及性能评估。由表10可知，通过对方向盘扭矩信号实施CAN总线故障注入，进行测试验证，测试结果表明在出现故障后，系统的安全机制能正确运行，性能满足要求，符合设计要求。

表10 FSR-1-1的故障注入测试（示例）

4 结论

本文以功能安全标准ISO 26262、GB/T 34590提供的方法作为参考，以自动车道保持系统为例，选取“计算角度扭矩/偏航”“接收驾驶员状态”功能，运用HAZOP分析方法进行危害分析，结合实际运行场景开展风险评估，得到ASIL等级，并为整车危害制定安全目标；把功能安全要求分配给智能驾驶域控制器。选取FSR-1-1设计测试验证方法，编制测试用例，采用硬件闭环测试系统，以故障注入测试为例，验证了功能安全机制的有效性，为智能驾驶域控制器的功能安全开发及测试验证提供了参考。