基於功能安全的VT HiL測試實踐:ESCL功能安全測試
概述
整車電子電器軟硬體複雜性越來越高,電子系統失效可能導致的安全風險也隨之提高,車輛的安全性受到了更大的挑戰。本文依據ISO 26262從功能安全測試的角度出發,以ESCL為測試對應,闡述符合功能安全標準的測試實現過程,基於Vector VT System的HiL系統開發相關測試指令碼實現測試。
ISO 26262簡介
ISO 26262系列標準是對IEC 61508系列標準的改編,以滿足道路車輛中電子電器系統的特定需求,但它不是一個可靠性標準,並沒有為可接受失效概率設定準確的數字,其基於概率論的定量危害分析僅限適用於硬體。對於整個系統的危害分析及風險識別,是基於車輛的使用場景、使用環境、操作方式以及系統間的互動,識別出系統危害事件,並根據危害事件的嚴重度、暴露率以及可控性以確定汽車安全完整性等級(ASIL)。
圖1為ISO 26262系列標準的整體結構。 ISO 26262系列標準基於V模型,作為產品開發不同階段的參考過程模型,其定義了一整套功能安全管理體系,稱為安全生命週期,可分為概念階段、產品開發階段以及開始生產後階段。
在產品開發階段,ISO26262-4中對產品的測試流程提出了要求和建議,包括硬體-軟體整合測試、系統整合測試及車輛整合測試,併為不同級別的測試提供了參考。
圖1 Overview of the ISO 26262 series of standards
圖片來源:ISO.Road vehicles-Functional safety.26262[2018]
為了恰當的定義整合測試的測試案例,應考慮整合的層面,使用如圖2中所列的恰當的方法組合匯出測試用例。
圖2 Methods for deriving test cases for system integration testcase
圖片來源:ISO.Road vehicles-Functional safety.26262[2018]
ESCL功能安全需求分析及用例設計
ESCL(Electronic Steering Column Lock)是車輛防盜系統的一部分,具備以下功能: ①認證許可通過後給轉向管柱上鎖; ②認證許可通過後給轉向管柱解鎖。影響到功能安全需求的功能模組主要是異常上鎖,如車速異常時上鎖、車輛行駛時異常上鎖以及車輛動力系統訊號異常時異常上鎖。下面以此為例,根據功能安全需求(FSR)及技術安全需求(TSR),結合ISO 26262給出的用例設計指導方法設計測試用例。
• 功能安全一:車輛動力系統訊號異常時轉向鎖上鎖禁止
安全狀態:禁止上鎖
功能安全等級:ASIL A
FTTI:200ms
功能安全邏輯實現方案:
1)ESCL對車輛動力系統報文進行Checksum和Rolling Counter校驗
2)ESCL接收處理車輛動力系統報文訊號
3)ESCL在接收到車輛動力系統報文訊號異常的200ms內進入安全狀態
4)ESCL在接收到上鎖請求時,禁止執行上鎖命令
通過以上功能實現分析,可以將測試點分解為車輛動力系統報文Checksum異常、Rolling counter異常、車輛動力系統訊號丟失通訊等,根據ISO 26262用例設計指導方法,通過以下測試設計方法、測試環境及測試方案完成需求驗證,如下表1所示:
序號 典型測試需求點 用例設計方法 測試環境 測試方案
1 Checksum異常時,200ms內進入安全狀態,禁止上鎖 基於需求分析基於邊界值分析 HiL 採用邊界值、等價類劃分法建立測試模型/指令碼,自動化實現驗證
2 Aliver counter異常時,200ms內進入安全狀態,禁止上鎖 基於需求分析基於邊界值分析
HiL 採用邊界值、等價類劃分法建立測試模型/指令碼,自動化實現驗證
3 通訊丟失時,200ms內進入安全狀態,禁止上鎖 基於需求分析基於場景分析 HiL/
Lab-car/
Vehicle 基於需求分析建立測試模型/指令碼,自動化實現驗證
採用實車動態測試完成場景測試驗證
表1 車輛動力系統訊號異常時轉向鎖上鎖禁止測試方法
針對以上需求,以車速訊號超過閾值的需求為例,編寫測試用例示例如下:
Test Case ID Test
Environment Test Case Description
ESCL_FS_Req1_001 HiL PrpsnActvn通訊丟失,200ms內進入安全狀態,禁止執行閉鎖(FTTI:200ms)
ESCL_FS_Req1_002 HiL PrpsnActvn PrpsnActvnChks錯誤,200ms內進入安全狀態,禁止執行閉鎖(FTTI:200ms)
ESCL_FS_Req1_003 HiL PrpsnActvn PrpsnActvnCntr錯誤,200ms內進入安全狀態,禁止執行閉鎖(FTTI:200ms)
表2 車輛動力系統訊號異常時轉向鎖上鎖禁止測試用例條目
• 功能安全二:車輛行駛/車速訊號異常時轉向鎖上鎖禁止
安全狀態:禁止上鎖
功能安全等級:ASIL D
FTTI:100ms
功能安全邏輯實現方案:
1)ESCL對車速報文進行Checksum和Rolling Counter校驗
2)ESCL接收處理車速訊號及車速訊號安全等級訊號
3)ESCL在接收到車輛行駛訊號異常100ms內立即進入安全狀態
4)ESCL在接收到上鎖請求時,禁止執行上鎖命令
通過以上功能實現分析,可以將測試點分解為車速報文Checksum異常、車速報文Rolling counter異常、車速訊號安全等級異常、車輛行駛時、車速訊號丟失等,根據ISO 26262用例設計指導方法,通過以下測試設計方法、測試環境及測試方案完成需求驗證:
序號 典型測試需求點 用例設計方法 測試環境 測試方案
1 車速報文Checksum異常 基於需求分析基於邊界值分析 HiL 採用邊界值、等價類劃分建立測試模型/指令碼,自動化實現驗證
2 車速報文Rolling counter異常 基於需求分析基於邊界值分析 HiL 採用邊界值、等價類劃分法建立測試模型/指令碼,自動化實現驗證
3 車速訊號安全等級異常 基於需求分析 HiL 採用需求分析法建立測試模型/指令碼,自動化實現驗證
4 車速訊號超過閾值 基於需求分析
基於場景分析 HiL/
Vehicle 採用邊界值、等價類劃分法建立測試模型/指令碼,自動化實現需求驗證
採用自動化測試指令碼實現壓力測試驗證
實車動態測試完成場景測試驗證
5 車速訊號丟失 基於需求分析基於邊界值分析 HiL/
Lab-car/
Vehicle HiL採用邊界值法建立測試模型/指令碼,自動化實現需求驗證
Lab-car/Vehicle採用通訊禁止方式實現需求驗證
表3 車輛行駛/車速訊號異常轉向鎖上鎖禁止測試方法
針對以上需求,以車速訊號超過閾值及車速訊號安全等級組合的需求為例,編寫測試用例條目如下:
Test Case ID Test
Environment Test Case Description
ESCL_FS_Req2_001 HiL VehicleSpeed 小於 0.1km/h,VehicleSpeed Safety factor = 2,立即執行閉鎖
ESCL_FS_Req2_002 HiL VehicleSpeed 小於 0.1km/h,VehicleSpeed Safety factor = 3,立即執行閉鎖
ESCL_FS_Req2_003 HiL VehicleSpeed 小於 0.1km/h,VehicleSpeed Safety factor = 0,立即進入安全狀態,禁止執行閉鎖(FTTI:100ms)
ESCL_FS_Req2_004 HiL VehicleSpeed 小於 0.1km/h,VehicleSpeed Safety factor = 1,立即進入安全狀態,進入安全狀態,禁止執行閉鎖(FTTI:100ms)
ESCL_FS_Req2_005 HiL VehicleSpeed 大於 0.1km/h,VehicleSpeed Safety factor = 0,立即進入安全狀態,禁止執行閉鎖(FTTI:100ms)
ESCL_FS_Req2_006 HiL VehicleSpeed 大於 0.1km/h,VehicleSpeed Safety factor = 1,立即進入安全狀態,禁止執行閉鎖(FTTI:100ms)
ESCL_FS_Req2_007 HiL VehicleSpeed大於 0.1km/h,VehicleSpeed Safety factor = 2,立即進入安全狀態,禁止執行閉鎖(FTTI:100ms)
ESCL_FS_Req2_008 HiL VehicleSpeed 大於 0.1km/h,VehicleSpeed Safety factor = 3,立即進入安全狀態,禁止執行閉鎖(FTTI:100ms)
表4 車輛行駛/車速訊號異常轉向鎖上鎖禁止測試用例條目
ESCL功能安全測試方案及測試分析
前面已經基於功能安全需求及技術安全需求分析了相應的需求點並根據ISO 26262的指導方法結合ECU適用性開展了用例設計,以下將闡述測試指令碼的實現及執行的載體給出相應的驗證分析。
• 功能安全驗證測試平臺方案
北匯基於Vector VT System+CANoe打造的HiL測試驗證平臺,可模擬實體DUT測試所需的測試環境。通過VT System可實現硬線故障注入,通過CANoe與vTESTstudio的聯合程式設計可實現用例的快速設計實現及自動化測試驗證,本測試平臺測試驗證方案如圖3所示。
圖3 功能安全測試驗證平臺方案
• 功能安全測試指令碼開發
• 安全目標一開發:車輛動力系統訊號異常時轉向鎖上鎖禁止
通過vTESTstudio圖形化編輯器基於路徑覆蓋法編寫測試指令碼,編寫設計框圖如圖4所示,編寫完成並編譯成功後可以自動生成用例條目,在CANoe中調取後呈現的用例條目如圖5所示。
圖4 車輛動力系統訊號異常時轉向鎖禁止上鎖指令碼設計圖
圖5 車輛動力系統訊號異常時轉向鎖禁止上鎖測試用例條目
• 安全目標二開發:車輛行駛時轉向鎖上鎖禁止測試指令碼開發
除了以上用例設計方式,還可通過採用將測試元素引數化的方式,結合邊界值法、等價類劃分法取點,並通過正交實驗序列圖自動生成引數化序列,如圖6所示,最終通過一條母體 case直接呼叫並生成多條測試用例條目,如圖7所示,當然vTESTstudio還支援其他用例設計方法,此處不再一一贅述。
圖6 測試元素引數化設計圖
圖7 車輛行駛禁止上鎖測試用例條目
• 測試結果與分析
1)以車輛動力系統訊號異常時轉向鎖上鎖禁止需求為例進行測試,測試用例結果如下圖8所示。
圖8 動力系統訊號異常時轉向鎖上鎖禁止測試結果
針對以上測試結果以“PrpsnActvn訊號丟失,200ms內進入安全狀態,禁止執行閉鎖”為例,結果分析如下圖9所示。測試結果表明,訊號丟失136.195ms後,ESCL進入安全狀態,並禁止執行閉鎖,符合功能安全需求,另外,CANoe自動生成的測試報告也可以清晰明確的看到測試步驟及結果。
圖9 動力系統訊號丟失時轉向鎖上鎖禁止測試結果分析
圖10 動力系統訊號丟失時,轉向鎖上鎖禁止測試報告顯示分析
總結
• 基於功能安全的測試,是當前與網路安全同樣熱門的主題之一,為了驗證車輛電子系統的設計實現是否滿足了所制定的功能安全要求,完備的且具有深度的測試是重要的保障手段。與傳統測試開發或無功能安全要求的測試開發比較來看,更需要具備對測試方法論的理解、有測試經驗的支撐,同時尤其需要對功能安全需求(FSR)及技術安全需求(TSR),甚至對實現方案有深度的理解,才能達到理想的效果。
• 北匯信息專注於汽車電子測試,針對車輛控制域、智慧座艙域等電子系統的功能安全測試,具備相應的專案開發經驗和實踐積累,提供一站式的測試解決方案。本文以ESCL的功能安全測試開發為例拋磚引玉,期待交流分享及合作的機會。
參考文獻:
• 【1】孫德明,劉全周,晏江華,劉鐵山.基於硬體在環的整車控制器功能安全測試技術研究.《國外電子測量技術》2019年第12期45-49,共5頁
• 【2】vTESTstudio_ConceptManual_EN.pdf
• 【3】Vector_Model-based E/E System Development with PREEvision.pdf
• 【4】https://www.vector.com/int/en/products/products-a-z/software/vteststudio/#c22759
• 【5】新四化戰略:“十四五”規劃繞不過去的坎. 麥肯錫諮詢公司
• 【6】ISO.Road vehicles-Functional safety.26262[2018]
• 【7】GB T 34590.3-2017 道路車輛功能安全 第3部分:概念階段.pdf
本文來自部落格園,作者:{北匯信息},轉載請註明原文連結:{https://www.cnblogs.com/polelink/}