CN113608516A - 一种高级驾驶辅助系统功能安全故障注入测试系统及方法 - Google Patents

Abstract

本发明公开了一种高级驾驶辅助系统功能安全故障注入测试系统及方法，属于汽车安全领域，包括：高级驾驶辅助系统、断线盒和总线开发平台，高级驾驶辅助系统包括域控制器、车辆总线；断线盒包括多个接线插头和多个开关，多个开关可选择地通断，用以提供线路通断故障注入；总线开发平台连接多个接线插头，用于可控制地提供信号级故障注入。本发明的有益效果在于：通过断线盒实现域控制器的外围电路的线路故障注入测试；通过CANoe实现信号级故障注入测试，在保证实车行驶的同时，针对性的注入故障，故障注入高效便捷且不影响其他系统的稳定性；此外，还可用于一些ADAS系统的危险场景的功能测试，提升测试覆盖度，同时能够保证驾驶员的生命安全。

Description

一种高级驾驶辅助系统功能安全故障注入测试系统及方法

技术领域

本发明涉及汽车安全领域，尤其涉及一种高级驾驶辅助系统功能安全故障注入测试系统及方法。

背景技术

高级驾驶辅助系统(Advanced Driving Assistance System，ADAS)是利用安装在车上的各式各样传感器(毫米波雷达、激光雷达、单\双目摄像头以及卫星导航)，在汽车行驶过程中随时来感应周围的环境，收集数据，进行静态、动态物体的辨识、侦测与追踪，并结合导航地图数据，进行系统的运算与分析，从而预先让驾驶者察觉到可能发生的危险，有效增加汽车驾驶的舒适性和安全性。

由于ADAS系统的复杂性和事故严重性，ADAS功能安全的验证变得至关重要。通过安全测试可以确保在故障发生时，ADAS及其相关系统能够及时采取正确的降级策略，提供必要的提醒信息，进入正确的故障状态，避免非预期的结果，以保证驾驶员的生命安全。对于ADAS功能安全的验证，由于车辆是ADAS系统的最终载体，承载了各个域控制器的完整交互，因此，除了SIL，MIL，HIL等层面的验证，还需要考虑到如何开展切实有效的实车功能安全测试。相比于SIL，MIL，HIL测试，实车功能安全测试所面临的测试情况更复杂，功能体现的更完整。

现有技术中，通常采用断线盒装置来模拟域控制器的外围硬线故障，例如开路，短路等等故障注入，但是断线盒无法实现总线信号级的故障注入。而CANoe(CAN openenvironment)是德国Vector公司为汽车总线的开发而设计的一款总线开发环境，其集合了网络监控、数据获取/记录、节点仿真、诊断、自动测试等功能，常用于总线节点仿真及整车总线分析，但其无法在实车上独立实现信号的修改，因此针对以上问题，迫切需要设计出一种高级驾驶辅助系统功能安全故障注入测试系统及方法，以满足实际使用的需要。

发明内容

为了解决以上技术问题，本发明提供了一种高级驾驶辅助系统功能安全故障注入测试系统及方法。

本发明所解决的技术问题可以采用以下技术方案实现：

一种高级驾驶辅助系统功能安全故障注入测试系统，包括：

一高级驾驶辅助系统，所述高级驾驶辅助系统的电气网络中包括域控制器以及连接于所述域控制器和原车之间的车辆总线；

一断线盒，所述断线盒包括：

多个接线插头，每一所述接线插头连通所述域控制器和一所述车辆总线；

多个开关，分别连接一所述接线插头，用于控制所述接线插头的通断，所述多个开关可选择地通断，用以提供线路通断故障注入；

一总线开发平台，所述总线开发平台连接多个所述接线插头，且所述总线开发平台串联于所述域控制器和所述车辆总线之间，用于可控制地提供信号级故障注入。

优选地，所述车辆总线包括电源线、地线；

所述车辆总线还包括CANFD总线和/或CAN总线。

优选地，所述总线开发平台包括：

一第一接收单元，用于接收一测试请求，所述测试请求中包括多个测试任务；

一第二接收单元，连接所述第一接收单元，用于当所述测试任务为信号级故障测试时，接收所述车辆总线上的总线信号；

一脚本处理单元，分别连接所述第一接收单元和所述第二接收单元，用于根据信号级故障测试对应的多个所述测试任务对所述原车总线信号分别编写注入脚本进行信号路由，以进行信号级故障注入。

本发明还提供一种高级驾驶辅助系统功能安全故障注入测试方法，包括如上述的高级驾驶辅助系统的功能安全故障注入测试系统；

所述方法具体包括：

步骤S1，接收一测试请求，所述测试请求中包括多个测试任务；

步骤S2，于所述测试任务为线路通断故障测试时，所述断线盒按照所述线路通断故障测试对应的多个所述测试任务分别进行线路通断故障注入；以及

于所述测试任务为信号级故障测试时，所述总线开发平台按照所述信号级故障测试对应的多个所述测试任务分别进行信号级故障注入。

优选地，所述车辆总线包括CANFD总线和/或CAN总线；

所述步骤S2中，于所述测试任务为信号级故障测试时，所述总线开发平台按照所述信号级故障测试对应的多个所述测试任务分别进行信号级故障注入之前，还包括：

所述断线盒控制与所述CANFD总线和所述CAN总线对应的所述开关断开。

优选地，所述信号级故障测试包括：信号篡改故障测试任务、报文阻断测试任务、危险工况测试任务。

优选地，正常运行时，所述总线开发平台实时接收所述车辆总线上的总线信号，并转发所述总线信号；

于接收到所述信号篡改故障测试任务后，所述步骤S2具体包括：

所述总线开发平台根据所述信号篡改故障测试任务对所述总线信号和/或所述总线信号对应的端到端校验进行篡改，并转发篡改后的所述总线信号。

优选地，当所述信号篡改故障测试任务为对所述总线信号进行篡改，于所述总线开发平台对所述总线信号进行篡改后，转发篡改后的所述总线信号之前，还包括：

所述总线开发平台对篡改后的所述总线信号与未进行篡改的所述总线信号进行重新组合；

对重新组合后的所述总线信号的端到端校验进行重新配置；

所述总线开发平台转发配置好的所述总线信号。

优选地，正常运行时，所述总线开发平台实时接收所述车辆总线上的报文，并转发所述报文；

于接收到所述报文阻断测试任务后，所述步骤S2具体包括：

所述总线开发平台根据所述报文阻断测试任务阻断对应的所述车辆总线上的报文的转发。

优选地，所述信号级故障测试为所述危险工况测试任务；

于执行所述危险工况测试任务之前，还包括：

所述总线开发平台将所述总线信号中的车速轮速信号更改为一预设车速，并将更改后的预设车速输入至所述域控制器，以触发所述域控制器的ELK功能。

本发明的有益效果在于：

本发明将断线盒及总线开发平台CANoe同时接入高级驾驶辅助系统的电气网络中，通过断线盒实现域控制器的外围电路的线路通断故障注入测试；通过CANoe实现信号级故障注入测试，在保证实车行驶的同时，针对性的注入故障，故障注入高效便捷且不影响其他系统的稳定性；此外，还可用于一些ADAS系统的危险场景的功能测试，提升测试的覆盖度，同时能够保证驾驶员的生命安全。

附图说明

图1为本发明中，一种高级驾驶辅助系统功能安全故障注入测试系统的结构示意图；

图2为本发明中，一种高级驾驶辅助系统功能安全故障注入测试方法的流程示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

需要说明的是，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。

下面结合附图和具体实施例对本发明作进一步说明，但不作为本发明的限定。

本发明提供一种高级驾驶辅助系统功能安全故障注入测试系统，属于汽车安全领域，如图1-图2所示，包括：

一高级驾驶辅助系统1ADAS，高级驾驶辅助系统1的电气网络中包括域控制器以及连接于域控制器3和原车之间的车辆总线；

一断线盒2，断线盒2包括：

多个接线插头(图中未示出)，每一接线插头连通域控制器3和一车辆总线；

多个开关(k1、k2、k3…kn)，分别连接一接线插头，用于控制接线插头的通断，多个开关可选择地通断，用以提供线路通断故障注入；

一总线开发平台4，总线开发平台4连接多个接线插头，且总线开发平台4串联于域控制器3和车辆总线之间，用于可控制地提供信号级故障注入。

考虑到现有技术中断线盒2装置只能模拟域控制器3的外围硬线故障，例如开路，短路等等故障注入，但是无法注入信号级故障；而总线开发平台4用于总线节点仿真及整车总线分析，但其无法在实车上独立实现信号的修改的问题。

本发明将断线盒2串联接入到高级驾驶辅助系统1的电气网络中来，使得ADAS系统的域控制器3的外围硬件线束的连接状态能够实现手动控制，通过断线盒2断开对应插头的开关，即可实现域控制器3的外围电路的线路通断故障注入测试；

进一步的，断线盒2包括多对接线插头以及多个开关；每对接线插头中其中一个连接域控制器3，另一个连接车辆总线；每一开关均连接一对接线插头，每一开关用以控制每对接线插头的通断，提供线路通断故障注入，线路通断故障注入包括线路开路，线路短路等等。

进一步的，断开除电源线和地线之外的总线(例如CANFD总线73和CAN总线74)对应插头的开关，并将总线开发平台4CANoe串联至高级驾驶辅助系统1的电气网络中，总线开发平台4连接CANFD总线73和CAN总线74对应的接线插头，通过CANoe编写注入脚本进行信号路由，即可实现信号级故障注入测试，在保证实车行驶的同时，针对性的注入故障，故障注入高效便捷且不影响其他系统的稳定性，同时设备可靠性高，安装便捷。

此外，还可用于一些ADAS系统的危险场景的功能测试，提升测试的覆盖度，同时能够保证驾驶员的生命安全。

作为优选的实施方式，车辆总线包括电源线71、地线72；

车辆总线还包括CANFD总线73和/或CAN总线74。

具体的，在本实施例中，车辆总线连接于原车和域控制器3之间，车辆总线包括电源线、地线，用于为原车供电；车辆总线还包括CANFD(可变速率控制器局域网)总线、CAN总线，用于将原车的数据传输给域控制器3，以及将域控制器3的数据传输给原车，CAN类型总线是用来传输数据的双向数据线，包括两条线缠绕在一起，两条线上的电位相反，所产生的电磁效应由于极性相反而互相抵消，此外，CAN总线上的每个节点都有自己的地址，能够连续监测着总线上传输的数据，通过数据中的地址将总线上数据传输至对应的节点，以及将对应节点的数据传输给域控制器3。

除此之外，还可包括其他类型的总线，例如LIN总线、Ethernet总线、FlexRay总线、MOST总线等等。

作为优选的实施方式，总线开发平台4包括：

一第一接收单元，用于接收一测试请求，测试请求中包括多个测试任务；

一第二接收单元，连接第一接收单元，用于当测试任务为信号级故障测试时，接收车辆总线上的总线信号；

一脚本处理单元，分别连接第一接收单元和第二接收单元，用于根据信号级故障测试对应的多个测试任务对原车总线信号分别编写注入脚本进行信号路由，以进行信号级故障注入。

具体的，在本实施例中，将总线开发平台4CANoe串联至高级驾驶辅助系统1的电气网络中，由于CANFD总线73和CAN总线74对应插头的开关断开，因此，车辆总线(例如CANFD总线73、CAN总线74)上的总线信号经过总线开发平台4CANoe，并由总线开发平台4CANoe对总线信号进行转发，即总线开发平台4CANoe将域控制器3发送的总线信号转发给原车，以及将原车发送的总线信号转发给域控制器3；

当总线开发平台4接收到的测试任务为信号级故障测试时，将对应的车辆上的总线信号进行处理，具体的，通过CANoe编写注入脚本进行信号路由，即可实现信号级故障注入测试，在保证实车行驶的同时，针对性的注入故障，故障注入高效便捷且不影响其他系统的稳定性。

于上述较佳的实施例中，还包括一传感系统6，连接断线盒2的两对接线插头，用于提供传感系统的的故障通断注入；

还包括PC机5，PC机5连接总线开发平台4CANoe，在PC机5中编写好控制程序脚本，或者PC机5中具有测试功能集，将测试功能集包括在测试请求中发送给总线开发平台4CANoe，使得总线开发平台4能够简化或自动进行测试，测试执行效率高。

本发明还提供一种高级驾驶辅助系统的功能安全故障注入测试方法，包括如上述的高级驾驶辅助系统的功能安全故障注入测试系统；

如图2所示，方法具体包括：

步骤S1，接收一测试请求，测试请求中包括多个测试任务；

步骤S2，于测试任务为线路通断故障测试时，断线盒2按照线路通断故障测试对应的多个测试任务分别进行线路通断故障注入；以及

于测试任务为信号级故障测试时，总线开发平台4按照信号级故障测试对应的多个测试任务分别进行信号级故障注入。

具体的，在本实施例中，本发明引入断线盒2，通过断线盒2断开对应插头的开关，实现手动控制ADAS系统的域控制器3的外围硬件线束的连接状态，即可实现域控制器3的外围电路的线路通断故障注入测试，线路通断故障注入包括线路开路，线路短路等等；

断开CANFD总线73和CAN总线74对应插头的开关，引入总线开发平台4，通过总线开发平台4CANoe串联至高级驾驶辅助系统1的电气网络中，总线开发平台4连接CANFD总线73和CAN总线74对应的接线插头，通过CANoe编写注入脚本进行信号路由，即可实现信号级故障注入测试，并且CANoe具有测试功能集，能够简化或自动进行测试，测试执行效率高。运用该功能，可以进行一系列的连续测试，并自动生成测试报告。另外，CANoe具有诊断功能集，用以与总线上的节点进行诊断通信。

进一步的，本实施例中，还可将部分HIL故障注入在原车上进行复测，使得功能安全的验证更加充分可以，并可进一步用于高级驾驶辅助系统1的功能测试及危险场景的测试，其脚本扩展性较强。

作为优选的实施方式，车辆总线包括CANFD总线73和/或CAN总线74；

步骤S2中，于测试任务为信号级故障测试时，总线开发平台4按照信号级故障测试对应的多个测试任务分别进行信号级故障注入之前，还包括：

断线盒2控制与CANFD总线73和CAN总线74对应的开关断开。

作为优选的实施方式，信号级故障测试包括：信号篡改故障测试任务、报文阻断测试任务、危险工况测试任务。

作为优选的实施方式，正常运行时，总线开发平台4实时接收车辆总线上的总线信号，并转发总线信号；

于接收到信号篡改故障测试任务后，步骤S2具体包括：

总线开发平台4根据信号篡改故障测试任务对总线信号和/或总线信号对应的端到端校验进行篡改，并转发篡改后的总线信号。

具体的，通过总线进行通信时，需要采用E2E概念对通信传输的数据进行保护，因此发送方发送的总线信号中除了某一安全相关的数据(例如汽车车速信号，油门踏板信号等等)之外，还包括循环冗余校验码CRC和报文计数值Counter，接收方在接受到总线信号之后，会计算出循环冗余校验码CRC，将其和收到的进行比较，根据校验的结果进行下一步操作。

作为优选的实施方式，当信号篡改故障测试任务为对总线信号进行篡改，于总线开发平台4对总线信号进行篡改后，转发篡改后的总线信号之前，还包括：

总线开发平台4对篡改后的总线信号与未进行篡改的总线信号进行重新组合；

对重新组合后的总线信号的端到端校验进行重新配置；

总线开发平台4转发配置好的总线信号。

具体的，在本实施例中，当总线开发平台4接收到车辆总线上原车发送总线信号后，对于不需要进行故障注入的信号保留原始值，对于需要进行故障注入的信号，通过面板对需要进行故障注入的信号进行信号值篡改；篡改后，将篡改后的总线信号与未进行篡改的总线信号进行重新组合，计算端到端校验(end to end，E2E)，通过计算好的端到端校验对重新组合后的总线信号进行配置，然后再转发给域控制器3，以使篡改后的总线信号能够通过CRC校验。

进一步的，这里的总线信号可以是CAN总线74上的，也可以是CANFD总线73上的；上述示例中的总线信号是由原车发送给域控制器3的，也可以是域控制器3发送给原车的总线信号，通过同样的方式进行路由篡改，在此不再赘述，篡改后，再转发给原车。

在另一个较佳的实施例中，信号篡改故障测试任务还包括E2E故障注入，即篡改了对应总线信号的Rolling counter值，使ADAS域控制器3接收到的总线信号发生E2校验错误，来验证车辆响应，同时不会影响其他控制器的功能以及车辆的正常行驶。

作为优选的实施方式，正常运行时，总线开发平台4实时接收车辆总线上的报文，并转发报文；

于接收到报文阻断测试任务后，步骤S2具体包括：

总线开发平台4根据报文阻断测试任务阻断对应的车辆总线上的报文的转发。

具体的，在本实施例中，在报文阻断故障注入时刻，总线开发平台4CANoe接收到的特定ID的报文被代码阻断，不再进行转发，验证车辆针对故障的响应，可用于模拟实车控制器节点丢失的故障，同样并不会影响其他控制器

作为优选的实施方式，信号级故障测试为危险工况测试任务；

于执行危险工况测试任务之前，还包括：

总线开发平台4将总线信号中的车速轮速信号更改为一预设车速，并将更改后的预设车速输入至域控制器3，以触发域控制器3的ELK功能。

具体的，在本实施例中，由于高级驾驶辅助系统1ADAS部分功能的触发条件比较苛刻，例如ELK功能需要在车速在75kph以上才能触发，而在高速行驶过程中进行故障注入存在危险，无法保证驾驶员的生命安全，通过本发明中的总线开发平台4可将输入给ADAS域控制器3的车速轮速信号更改为一预设车速，该预设车速为当前车速+60kph，通过这种方式原车可以在20kph车速行驶时，即可触发ELK功能，避免了高速测试时的风险，保证驾驶员的生命安全。

在一个较佳的实施例中，在进行ADAS功能测试时，例如需要测试对应功能的最大适用速度区间，当对应的功能触发条件中车速>100kph时，也可采用同样的处理方式进行处理，避免在高速行驶过程中进行测试，降低测试风险。

上述技术方案具有如下优点或有益效果：

本发明将断线盒及总线开发平台CANoe同时接入高级驾驶辅助系统的电气网络中，通过断线盒实现域控制器的外围电路的线路通断故障注入测试；通过CANoe实现信号级故障注入测试，在保证实车行驶的同时，针对性的注入故障，故障注入高效便捷且不影响其他系统的稳定性；此外，还可用于一些ADAS系统的危险场景的功能测试，提升测试的覆盖度，同时能够保证驾驶员的生命安全。

以上所述仅为本发明较佳的实施例，并非因此限制本发明的实施方式及保护范围，对于本领域技术人员而言，应当能够意识到凡运用本发明说明书及图示内容所作出的等同替换和显而易见的变化所得到的方案，均应当包含在本发明的保护范围内。

Claims (10)

1.一种高级驾驶辅助系统功能安全故障注入测试系统，其特征在于，包括：

一高级驾驶辅助系统，所述高级驾驶辅助系统的电气网络中包括域控制器以及连接于所述域控制器和原车之间的车辆总线；

一断线盒，所述断线盒包括：

多个接线插头，每一所述接线插头连通所述域控制器和一所述车辆总线；

多个开关，分别连接一所述接线插头，用于控制所述接线插头的通断，所述多个开关可选择地通断，用以提供线路通断故障注入；

一总线开发平台，所述总线开发平台连接多个所述接线插头，且所述总线开发平台串联于所述域控制器和所述车辆总线之间，用于可控制地提供信号级故障注入。

2.根据权利要求1所述的一种高级驾驶辅助系统功能安全故障注入测试系统，其特征在于，所述车辆总线包括电源线、地线；

所述车辆总线还包括CANFD总线和/或CAN总线。

3.根据权利要求1所述的一种高级驾驶辅助系统功能安全故障注入测试系统，其特征在于，所述总线开发平台包括：

一第一接收单元，用于接收一测试请求，所述测试请求中包括多个测试任务；

一第二接收单元，连接所述第一接收单元，用于当所述测试任务为信号级故障测试时，接收所述车辆总线上的总线信号；

一脚本处理单元，分别连接所述第一接收单元和所述第二接收单元，用于根据信号级故障测试对应的多个所述测试任务对所述原车总线信号分别编写注入脚本进行信号路由，以进行信号级故障注入。

4.一种高级驾驶辅助系统功能安全故障注入测试方法，其特征在于，包括如权利要求1-3任意一项所述的高级驾驶辅助系统的功能安全故障注入测试系统；

所述方法具体包括：

步骤S1，接收一测试请求，所述测试请求中包括多个测试任务；

步骤S2，于所述测试任务为线路通断故障测试时，所述断线盒按照所述线路通断故障测试对应的多个所述测试任务分别进行线路通断故障注入；以及

于所述测试任务为信号级故障测试时，所述总线开发平台按照所述信号级故障测试对应的多个所述测试任务分别进行信号级故障注入。

5.根据权利要求4所述的一种高级驾驶辅助系统功能安全故障注入测试方法，其特征在于，所述车辆总线包括CANFD总线和/或CAN总线；

所述步骤S2中，于所述测试任务为信号级故障测试时，所述总线开发平台按照所述信号级故障测试对应的多个所述测试任务分别进行信号级故障注入之前，还包括：

所述断线盒控制与所述CANFD总线和所述CAN总线对应的所述开关断开。

6.根据权利要求4所述的一种高级驾驶辅助系统功能安全故障注入测试方法，其特征在于，所述信号级故障测试包括：信号篡改故障测试任务、报文阻断测试任务、危险工况测试任务。

7.根据权利要求6所述的一种高级驾驶辅助系统功能安全故障注入测试方法，其特征在于，正常运行时，所述总线开发平台实时接收所述车辆总线上的总线信号，并转发所述总线信号；

于接收到所述信号篡改故障测试任务后，所述步骤S2具体包括：

所述总线开发平台根据所述信号篡改故障测试任务对所述总线信号和/或所述总线信号对应的端到端校验进行篡改，并转发篡改后的所述总线信号。

8.根据权利要求6所述的一种高级驾驶辅助系统功能安全故障注入测试方法，其特征在于，当所述信号篡改故障测试任务为对所述总线信号进行篡改，于所述总线开发平台对所述总线信号进行篡改后，转发篡改后的所述总线信号之前，还包括：

所述总线开发平台对篡改后的所述总线信号与未进行篡改的所述总线信号进行重新组合；

对重新组合后的所述总线信号的端到端校验进行重新配置；

所述总线开发平台转发配置好的所述总线信号。

9.根据权利要求6所述的一种高级驾驶辅助系统功能安全故障注入测试方法，其特征在于，正常运行时，所述总线开发平台实时接收所述车辆总线上的报文，并转发所述报文；

于接收到所述报文阻断测试任务后，所述步骤S2具体包括：

所述总线开发平台根据所述报文阻断测试任务阻断对应的所述车辆总线上的报文的转发。

10.根据权利要求6所述的一种高级驾驶辅助系统功能安全故障注入测试方法，其特征在于，所述信号级故障测试为所述危险工况测试任务；

于执行所述危险工况测试任务之前，还包括：

所述总线开发平台将所述总线信号中的车速轮速信号更改为一预设车速，并将更改后的预设车速输入至所述域控制器，以触发所述域控制器的ELK功能。

Images