一种车辆软件功能安全参数标定方法及功能安全标定工具

技术领域

本发明涉及汽车功能安全领域，尤其涉及一种车辆软件功能安全参数标定方法及功能安全标定工具。

背景技术

在传统的车辆控制器(Electronic Control Unit，ECU)开发过程中，在硬件工程师完成硬件设计和软件工程师完成软件架构和代码实现后，会将软件和硬件结合后进行标定功能测试。目前行业内使用较多的标定工具主要有德国Vector公司的CANape和ETAS公司的INCA、美国的ATI公司的Vision和Intrepid公司的VehicleSpy，国内主要有易控电子自主开发ECKA，同星开发的TSMaster。这些工具价格昂贵，并且在使用这些工具时，需要了解整个开发软件的运行逻辑，导致开发过程中的人力成本和软件费用成本都比较高。

此外，这些工具均未做单独针对功能安全相关部分的标定内容的开发。目前，随着汽车发动机的电控系统日益复杂，研制开发的难度也越来越大，来自系统失效和随机硬件失效而导致汽车安全事故的风险也日益增加。因此，采用以往的软件标定模式，问题较多，潜在风险也比较大。

除了现有的软件工具无法满足功能安全相关部分的标定需求，目前控制器开发项目功能安全相关的标定参数繁多，但企业往往并不存在专门的部门进行功能安全相关参数标定，在不同标定团队的工作过程中可能会误改，漏改功能安全相关参数，导致非预期违背功能安全相关要求的情况发生，且后期出现问题还需要对问题的根源进行较长时间的分析、确认，甚至无法查到根源。

以上背景技术内容的公开仅用于辅助理解本发明的发明构思及技术方案，其并不必然属于本专利申请的现有技术，也不必然会给出技术教导；在没有明确的证据表明上述内容在本专利申请的申请日之前已经公开的情况下，上述背景技术不应当用于评价本申请的新颖性和创造性。

发明内容

本发明的目的是提供一种车辆软件功能安全参数标定方法及功能安全标定工具，本发明能够对功能安全参数独立标定，可提高车辆开发效率及降低开发成本。

为达到上述目的，本发明采用的技术方案如下：

一种车辆软件功能安全参数标定方法，包括以下步骤：

确定安全目标，所述安全目标为对车辆功能安全制定的安全要求；

确定实现所述安全目标所需要的技术设计特征；

确定满足所述技术设计特征的多个技术安全需求项；

分别将所述技术安全需求项分配给硬件或软件，以分别确定硬件安全需求和软件安全需求；

对所述硬件安全需求和软件安全需求统计其中的需求参数类型；并对所述硬件安全需求和软件安全需求统计其中的参数数值范围及其数据类型；

根据所述硬件安全需求和软件安全需求，标定功能安全参数结果，所述参数结果包括能够被A2L识别的参数名称和参数数值，其中，所述参数数值为将所述参数数值范围转换为A2L定义可标定量值的转换结果；

对标定得到的功能安全参数结果进行A2L格式转换，得到A2L格式的数据，其中，A2L被配置为定义标定过程中上位机与ECU之间的通信所需的信息，其包括设备参数信息、接口数据信息和ECU参数信息；

将所述A2L格式的数据生成DCM格式的文件；

将所述DCM格式的文件与功能标定软件的hex文件集成，并将集成后的文件刷写到控制器，得到所述控制器可执行的程序。

一种车辆软件功能安全参数标定方法，包括以下步骤：

确定安全目标，所述安全目标为对车辆功能安全制定的安全要求；

确定实现所述安全目标所需要的技术设计特征；

确定满足所述技术设计特征的多个技术安全需求项；

分别将所述技术安全需求项分配给硬件或软件，以分别确定硬件安全需求和软件安全需求；

将所述硬件安全需求和软件安全需求输入一预建立的功能安全标定工具；

所述功能安全标定工具通过以下方式输出DCM格式的文件：所述功能安全标定工具对所述硬件安全需求和软件安全需求进行整理，统计整理出的需求中的需求参数类型；并统计整理出的需求中的参数数值范围及其数据类型；根据所述硬件安全需求和软件安全需求，标定功能安全参数结果，所述参数结果包括能够被A2L识别的参数名称和参数数值，其中，所述参数数值为将所述参数数值范围转换为A2L定义可标定量值的转换结果；对标定得到的功能安全参数结果进行A2L格式转换，得到A2L格式的数据，其中，A2L被配置为定义标定过程中上位机与ECU之间的通信所需的信息，其包括设备参数信息、接口数据信息和ECU参数信息；将所述A2L格式的数据生成DCM格式的文件并将其输出；

将所述DCM格式的文件与功能标定软件的hex文件集成，并将集成后的文件刷写到控制器，得到所述控制器可执行的程序。

进一步地，承前所述的任一技术方案或多个技术方案的组合，在得到硬件安全需求和软件安全需求后，通过以下方式对其进行整理：

将硬件安全需求和软件安全需求中不带有需求参数的仅针对安全架构提出的需求筛除；

对筛选后的安全需求顺序排列。

进一步地，承前所述的任一技术方案或多个技术方案的组合，通过以下方式确定实现所述安全目标所需要的技术设计特征：

根据所述安全目标，确定一条或多条功能安全概念，所述功能安全概念包括含安全机制的安全措施；

针对每一条功能安全概念，确定一条或多条技术安全概念作为实现所述安全目标所需要的技术设计特征，所述技术安全概念为技术安全要求和功能安全设计约束的依据。

进一步地，承前所述的任一技术方案或多个技术方案的组合，对每一条技术安全概念提出至少一条技术安全需求项，并将全部技术安全概念对应的技术安全需求项汇总，再将其分配给硬件或软件。

进一步地，承前所述的任一技术方案或多个技术方案的组合，其中一个安全目标为在控制器检测到发动机油温过温时，能够打开温度阀以控制其温度；

对应此安全目标配置有以下功能安全概念中的一条或多条：

第一功能安全概念为控制器必须能够检测到发动机油温超过100℃；

第二功能安全概念为当发动机油温超过100℃时，控制器必须能够判断其为过温；

第三功能安全概念为当发动机油温超过100℃时，控制器必须能够控制温度阀打开。

进一步地，承前所述的任一技术方案或多个技术方案的组合，针对控制器必须能够检测到发动机油温超过100℃的功能安全概念，其对应以下一条或多条技术安全概念：

第一技术安全概念为用于采集发动机油温信号的采集模块必须对接收油温传感器的ADC信号进行范围合理性检查；

第二技术安全概念为车辆系统供电模块必须能够检测到油温传感器过压或者欠压的情况；

第三技术安全概念为用于采集发动机油温信号的采集模块能够同时采集多个油温传感器的温度值。

进一步地，承前所述的任一技术方案或多个技术方案的组合，针对车辆系统供电模块必须能够检测到油温传感器过压或者欠压的情况的技术安全概念，其对应以下一条或多条技术安全需求项：

第一技术安全需求项为当单片机内部的故障处理模块连续接收到预设帧数的油温信号采集模块的故障指示信号时，必须向控制器输出关闭温度阀通电的控制信号；

第二技术安全需求项为车辆系统供电模块必须能够检测到油温传感器过压，当检测到油温传感器过压时，供电模块关断油温传感器并且设置油温传感器电源错误标志并且通知单片机；

第三技术安全需求项为车辆系统供电模块必须能够检测到油温传感器欠压，当检测到油温传感器欠压时，供电模块设置油温传感器电源错误标志并且通知单片机。

进一步地，承前所述的任一技术方案或多个技术方案的组合，所述第二技术安全需求项和第三技术安全需求项分配给硬件，第一技术安全需求项分配给软件；

所述第二技术安全需求项对应的需求参数类型为过压检测范围，其参数数值的数据类型为数字格式，对应标定得到的功能安全参数结果中的参数名称为Umax_c；

和/或，所述第三技术安全需求项对应的需求参数类型为欠压检测范围，其参数数值的数据类型为数字格式，对应标定得到的功能安全参数结果中的参数名称为Umin_c。

根据本发明的另一方面，本发明提供了一种功能安全标定工具，通过以下步骤为车辆软件功能安全参数标定提供DCM格式的文件：

接收硬件安全需求和软件安全需求；

对所述硬件安全需求和软件安全需求进行整理，统计整理出的需求中的需求参数类型；并统计整理出的需求中的参数数值范围及其数据类型；

根据所述硬件安全需求和软件安全需求，标定功能安全参数结果，所述参数结果包括能够被A2L识别的参数名称和参数数值，其中，所述参数数值为将所述参数数值范围转换为A2L定义可标定量值的转换结果；

对标定得到的功能安全参数结果进行A2L格式转换，得到A2L格式的数据，其中，A2L被配置为定义标定过程中上位机与ECU之间的通信所需的信息，其包括设备参数信息、接口数据信息和ECU参数信息；

将所述A2L格式的数据生成DCM格式的文件。

本发明提供的技术方案带来的有益效果如下：

a.本发明提出的车辆软件功能安全参数标定方法在确定硬件安全需求和软件安全需求后可以基于功能安全标定工具快速实现后续相应步骤，减小了整车级的标定开发工作，提高了车辆开发的效率；

b.本发明根据软硬件需求生成功能安全标定所需的技术安全需求项，实现了功能安全标定数据的完整性，可有效避免遗漏相关标定参数，并且对硬件安全需求和软件安全需求进行统计、筛选和排序，便于后期对参数进行追踪和记录；

c.本发明提出的车辆软件功能安全参数标定方法能够针对功能安全开发数据进行独立标定，满足功能安全要求。

d.本发明提出的车辆软件功能安全参数标定方法和功能安全标定工具易于实现，不需要投入巨大的工具费用，能够降低了企业开发产品的成本。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明的一个示例性实施例提供的一种车辆软件功能安全参数标定方法的流程图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、装置、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其他步骤或单元。

功能安全是指不存在由电气/电子系统的功能异常表现引起的危害而导致不合理的风险，功能安全是从功能设计和管理方面降低由功能失效引起的系统风险，从系统整体的安全要求出发将安全转化为风险目标控制。目前功能安全国际标准为ISO26262，在IEC61508的基础上发展成为专门针对道路车辆功能安全的标准。

本发明从功能安全开发需求出发，提出了一种车辆软件功能安全参数标定方法，使车辆功能安全标定参数大多可通过桌面标定的方式实现，可针对功能安全目标可接受的参数条件进行参数标定集成，生成专属于功能安全的特定应用软件，完成功能安全标定程序的独立开发配置，最终集成到系统控制器应用软件中。

在本发明中，标定是指在动力总成、整车、系统的算法(控制策略)、外围器件确定以后，为了得到满意的整车性能及满足客户要求和达到国家标准，对软件数据讲行优化的过程，通过CCP或者XCP协议来实现对控制器内部参数进行动态调整。其中，参数是指影响软件实际运行表现的数值，可根据实际项目需求和实际情况进行更改的软件数据。

参见图1，在本发明的一个实施例中，提供了一种车辆软件功能安全参数标定方法，包括以下步骤：

首先，确定安全目标(Safety goal，SG)，所述安全目标为对车辆功能安全制定的安全要求，作为整车层面危害分析和风险评估结果的最高层面的安全要求。在本实施例中，其中一个安全目标为在控制器检测到发动机油温过温时，能够打开温度阀以控制其温度。

进一步地，确定实现所述安全目标所需要的技术设计特征，所述技术设计特征包括功能安全概念(Functional safety concept，FSC)和技术安全概念(Technology safetyconcept，TSC)。具体地，可以通过以下方式确定实现所述安全目标所需要的技术设计特征(FSC+TSC)：

根据所述安全目标(SG)，确定一条或多条功能安全概念(FSC)，所述功能安全概念包括含安全机制的安全措施；为了满足安全目标，所述功能安全概念包括含安全机制的安全措施；这些安全措施将在相关项的架构要素中实现，并在功能安全要求中规定。

在本发明的一个具体实施例中，针对安全目标为在控制器检测到发动机油温过温时，能够打开温度阀以控制其温度；对应此安全目标配置有以下功能安全概念(FSC)中的一条或多条：第一功能安全概念(FSC1)为控制器必须能够检测到发动机油温超过100℃；第二功能安全概念(FSC2)为当发动机油温超过100℃时，控制器必须能够判断其为过温；第三功能安全概念(FSC1)为当发动机油温超过100℃时，控制器必须能够控制温度阀打开。

针对每一条功能安全概念(FSC)，确定一条或多条技术安全概念(TSC)作为实现所述安全目标所需要的技术设计特征，所述技术安全概念为技术安全要求和功能安全设计约束的依据，是技术安全要求及其对应的系统架构设计的集合，提供了系统架构设计适合于满足ISO26262(包括考虑非安全要求)中所述活动产生的安全要求和设计约束的依据。

在本发明的一个具体实施例中，针对控制器必须能够检测到发动机油温超过100℃的功能安全概念(FSC1)，其对应以下一条或多条技术安全概念(TSC)：第一技术安全概念(TSC1)为用于采集发动机油温信号的采集模块必须对接收油温传感器的ADC信号进行范围合理性检查；第二技术安全概念(TSC2)为车辆系统供电模块必须能够检测到油温传感器过压或者欠压的情况；第三技术安全概念(TSC3)为用于采集发动机油温信号的采集模块能够同时采集多个油温传感器的温度值。

进一步地，确定满足所述技术设计特征的多个技术安全需求项(Technologysafety requirement，TSR)，对每一条技术安全概念(TSC)提出至少一条技术安全需求项(TSR)，并将全部技术安全概念对应的技术安全需求项(TSR)汇总。所述技术安全需求项(TSR)规定了功能安全要求在其各自层级上的技术实现；要同时考虑相关项定义和系统架构设计，并述及潜伏失效的探测、故障避免、安全完整性以及运行和服务方面的问题。

在本发明的一个具体实施例中，针对车辆系统供电模块必须能够检测到油温传感器过压或者欠压的情况的技术安全概念(TSC2)，其对应以下一条或多条技术安全需求项(TSR)：第一技术安全需求项(TSR01)为当单片机内部的故障处理模块(单片机内部基础模块)连续接收到预设帧数(例如为5帧)的油温信号采集模块的故障指示信号时，必须向控制器输出关闭温度阀通电的控制信号；第二技术安全需求项(TSR02)为车辆系统供电模块必须能够检测到油温传感器(Sensor_5V)过压(5.2V～6.0V)，当检测到油温传感器过压时，供电模块关断油温传感器并且设置油温传感器电源错误标志并且通知单片机；第三技术安全需求项(TSR03)为车辆系统供电模块必须能够检测到油温传感器(Sensor_5V)欠压，当检测到油温传感器欠压(0V～4.8V)时，供电模块设置油温传感器电源错误标志并且通知单片机。

进一步地，分别将所述技术安全需求项分配给硬件或软件，以分别确定硬件安全需求(Hardware safety requirement，HSR)和软件安全需求(Software safetyrequirement，SSR)。例如，将上述具体实施例中的所述第二技术安全需求项(TSR02)和第三技术安全需求项(TSR03)分配给硬件，则所述第二技术安全需求项(TSR02)转而命名为第一硬件安全需求(HSR01)、所述第三技术安全需求项(TSR03)转而命名为第二硬件安全需求(HSR02)；将所述第一技术安全需求项(TSR01)分配给软件，则第一技术安全需求项(TSR01)转而命名为第一软件安全需求(SSR 01)。本发明根据软硬件需求生成功能安全标定所需的技术安全需求项，能够保证数据完整性。

进一步地，对得到的硬件安全需求和软件安全需求进行整理统计和排列，具体地，可以将硬件安全需求和软件安全需求中不带有需求参数的仅针对安全架构提出的需求筛除；对筛选后的安全需求顺序排列。

进一步地，对所述硬件安全需求和软件安全需求统计其中的需求参数类型；并对所述硬件安全需求和软件安全需求统计其中的参数数值范围及其数据类型，并根据需求导出软件可更改参数的统计列表，列表化呈现，简洁明了。例如，过压检测范围为5.2V～6.0V、欠压检测范围为0V～4.8V，则过压检测范围和欠压检测范围的数据为数字格式，单位为V。

进一步地，根据所述硬件安全需求和软件安全需求，标定功能安全参数结果，所述参数结果包括能够被A2L识别的参数名称、参数数值和/或参数类型。其中，所述参数数值为将所述参数数值范围转换为A2L定义可标定量值的转换结果。例如，所述第二技术安全需求项(TSR2)对应的需求参数类型为过压检测范围5.2V～6.0V，其参数数值的数据类型为数字格式，对应标定得到的功能安全参数结果中的参数名称为Umax_c，参数数值为5.2，单位为V；所述第三技术安全需求项(TSR3)对应的需求参数类型为欠压检测范围0V～4.8V，其参数数值的数据类型为数字格式，对应标定得到的功能安全参数结果中的参数名称为Umin_c，参数数值为4.8，单位为V。

进一步地，对标定得到的功能安全参数结果进行A2L格式转换，得到A2L格式的数据，其中，A2L被配置为定义标定过程中上位机与ECU之间的通信所需的信息，其包括设备参数信息、接口数据信息和ECU参数信息。

进一步地，将所述A2L格式的数据生成DCM格式的文件，DCM文件格式是标定数据文件格式，可与标定数据结合烧写到单片机中，被单片机执行，通过DCM头文件转换为DCM格式。

进一步地，将所述DCM格式的文件与功能标定软件的hex文件集成，并将集成后的文件刷写到控制器，具体地，将控制器可编译的16进制文件导入到控制器内，得到所述控制器可执行的程序。本发明提出的车辆软件功能安全参数标定方法满足功能安全要求，并且通过将功能安全相关参数单独进行标定集成，能够避免因误改，漏改功能安全相关参数而导致非预期违背功能安全相关要求的情况发生；并且后期出现问题可以通过包括所述硬件安全需求和软件安全需求的统计列表快速地分析、确认及查找问题点。

在本发明的另一实施例中，与上述实施例不同的是，所述车辆软件功能安全参数标定方法中，在分别将所述技术安全需求项分配给硬件或软件，以分别确定硬件安全需求(HSR)和软件安全需求(SSR)的步骤之后，通过一预建立的功能安全标定工具完成后续相应步骤直至输出DCM格式的文件。

在本实施例中，提供了一种功能安全标定工具，其通过以下步骤为车辆软件功能安全参数标定提供DCM格式的文件：

接收硬件安全需求和软件安全需求；

对所述硬件安全需求和软件安全需求进行整理，统计整理出的需求中的需求参数类型；并统计整理出的需求中的参数数值范围及其数据类型；

根据所述硬件安全需求和软件安全需求，标定功能安全参数结果，所述参数结果包括能够被A2L识别的参数名称和参数数值，其中，所述参数数值为将所述参数数值范围转换为A2L定义可标定量值的转换结果；

对标定得到的功能安全参数结果进行.A2L格式转换，得到A2L格式的数据，其中，A2L被配置为定义标定过程中上位机与ECU之间的通信所需的信息，其包括设备参数信息、接口数据信息和ECU参数信息；

将所述A2L格式的数据生成DCM格式的文件。

综上所述，本发明从功能安全开发需求出发，提出了一种符合功能安全开发的实际应用需求的车辆软件功能安全参数标定方法及功能安全标定工具，可针对功能安全目标可接受的参数条件进行参数标定集成，生成专属于功能安全的特定应用软件，完成功能安全标定程序的独立开发配置，最终集成到系统控制器应用软件中。此外，本发明提出的车辆软件功能安全参数标定方法及功能安全标定工具可以基于OFFICE软件实现，可提高车辆开发效率及降低开发成本。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上所述仅是本申请的具体实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本申请原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本申请的保护范围。