内容提要：此篇章为“连载一”，我们将使用HILS来测试ECU，并将介绍系统组成设备的故障和故障时的安全功能等诊断功能的测试。

本专题连载介绍了HILS，这对于车载系统的开发至关重要。本专题连载共分为“一、二、三”三个篇章，此篇章为“连载一”，我们将使用HILS来测试ECU，并将介绍系统组成设备的故障和故障时的安全功能等诊断功能的测试。

电控系统故障

除了自身的电子电路外，ECU还存在由于构成系统的所有组件（包括传感器和执行器）发生故障而导致控制异常的风险。如果出现控制异常，不仅设备无法发挥其原有的功能，根据问题的性质，甚至可能引发造成人身伤害的事故。因此，在电子控制系统中，为了将这些风险降到最低，我们不仅要考虑到单个部件的安全性和可靠性，还要对ECU进行安全设计，使故障不太可能影响到整个系统。作为其中的一部分，我们提供了故障诊断和故障安全功能。

表1显示了与发动机系统相关的故障。ECU的故障诊断功能大部分检测电气故障，但也包括检测机械故障的功能。

表1.发动机发电机系统的故障项目

故障诊断是根据电气电路的特性，诊断出在电路正常的情况下不应出现的输入条件，以及由于发动机的特性而在电路正常的情况下不应出现的信号值的功能，并且是控制软件的一部分。

测试故障诊断功能是创建故障诊断逻辑假设的异常系统状态，并验证ECU是否按照故障诊断的功能要求检测到故障的过程。

如上所述，在HILS接口电路设计阶段需要仔细考察测试目的和测试内容，而在测试故障诊断功能时接口电路尤为重要。

让我们考虑下面各个电路的故障诊断功能测试。

启动开关和停止开关异常

表1-1中启动开关状态的详细信息，包括正常和异常，例如表2所示。故障诊断逻辑判定(4)至(7)为异常。

表2.启停开关状态

利用HILS接口实现启动开关和停止开关故障

表2中的电源短路故障（4）和（5）是在开关触点卡住，并且打开后一段时间不关闭时发生的，或者是电路中间12V接线发生短路时发生的。

如何检测ECU中开关卡住的示例是，如果接通时间太长（10秒或更长），则确定开关卡住。在此，开启时间是指即使在发动机难以启动的情况下，保持按下开关所需的时间，假设该持续时间不超过10秒。

为了在测试中实现短路故障，与开关操作无关，输入端子电压12V持续10秒以上。

另外，断路故障(6)和(7)既不是电气接通也不是电气断开。在总是连接到电源或GND的电路中，例如启动开关和停止开关，如果开关接触不良或接线断开，就会出现这种状态。

例如，ECU可以通过添加用于检测断路的内部脉冲信号发生电路来检测断路故障。即使在正常-无操作OFF（GND连接）状态下产生脉冲，ECU输入电压也为0V，因为它连接到GND，但如果断开，则会产生等于脉冲电压的电压。通过监视与脉冲同步的输入电压的变化，可以诊断电路断路。由于脉冲电压的出现可以立即判定为故障，因此我们将判定时间暂时设置为0.5秒。

测试中实现断路故障需要完全断路状态。使用图 1 (a) 中的晶体管开关的HILS电路是不可能的，因为在关闭时会施加12V电源电压。如图1(b)所示，可以通过使用接触继电器同时关闭GND接触继电器和12V接触继电器来实现断路故障。

(a)启动（停止）开关电路

(b)断路故障试验用启动(停止)开关电路

图1.故障诊断功能及启（停）开关的HILS界面

启动开关电路短路故障试验方法

图2显示了用于故障诊断测试的HILS用户界面示例。

图2.故障诊断测试的HILS用户界面

为了测试启动开关电路中的短路故障，我们将为“开启持续时间UI”添加一个数字输入，以便您除了启动开关状态之外还可以设置开启持续时间。如果HILS系统工具中内置有这样的功能，那将是幸运的，但如果没有，则需要将其作为工厂模型的附加功能进行改造。这会造成由于开关触点卡住等导致导通时间异常长的情况，并确认故障检测功能。

测试结果的图像如图3(a)中的时序图所示。蓝线表示正常情况，开启持续时间不超过指定时间。指示灯——绿色保持亮起。

开启持续时间为15秒（超过指定时间10秒）的测试示例以红色显示。经过规定时间后，绿灯灭，红灯亮，满足故障诊断要求，判定测试通过。

(a)启动开关短路条件测试         (b)启动开关接触不良试验

图3.启动开关电路异常测试结果示例

停止开关电路断路故障测试方法

在测试操作中，除了图2的接通持续时间UI之外，还设置了断路故障UI，将该UI设为断路状态。由此，无论启动开关（或停止开关）的接通断开，通过同时断开图1（b）的GND触点继电器和12V触点继电器，实现启动开关电路的断路状态。

测试结果的图像如图 3(b)中的时序图所示。蓝线表示正常状态下无断路的测试结果，红线表示作为测试输入的停止开关电路发生断路故障的测试结果。通过打开启动开关UI，操作停止开关的断路故障UI，在系统正常运行的情况下创建断路状态。断路后，停止开关电路中立即产生断路检测脉冲，然后指示灯由绿色变为红色。如果从出现断路到红灯亮的时间约为0.5秒，则满足故障诊断要求，判定测试通过。

检查ECU故障诊断数据

在故障诊断的测试中，如上所述，让ECU检测故障来确认行为的变化，另外，希望通过维护作业进行故障代码显示，连接故障诊断工具，观测并记录ECU内部保存的故障诊断数据的确认结果。

另外，ECU不仅诊断故障，还利用故障安全功能来保证系统安全，因此也有必要对此进行检查。如果诊断出停止开关电路断路，即使按下停止开关，发动机也无法停止，因此需要替代停止方法作为故障安全功能。例如，如果停止开关在正常操作期间断开，则可以关闭控制开关，并且可以考虑在最短空转时间之后自动停止产品的功能，即使不需要操作停止开关。

尽管本文省略了，但我们还将对这些进行功能验证，作为故障诊断测试的一部分。

控制开关异常测试方法

对于控制开关电路故障也将进行类似的测试。

图4.控制开关信号产生电路

对于HILS开关电路，我们重现了图4，它是修改版本（HILS电路A的继电器端子连接已从5V电源修改为GND）。该电路的状态详情，包括正常和异常，例如表3所示。

表3.控制开关状态

注：50Hz和60Hz触点之所以OFF（开路）时为5V，是因为ECU内部的上拉电路通过电阻与5V相连。

在图2所示的用户界面屏幕上创建50Hz短UI和60Hz短UI，以启用异常状态生成。无论控制开关状态如何，操作短路UI都会将HILS电路操作至GND状态。

测试结果图像如图5所示。

a) 开始工作前50Ht电路板测试F      b) 正常遭遇时控制SWC路由测试

图5.控制SW故障测试结果示例

图5（a）表示发电机启动前50Hz触点电路短路时的测试。操作HILS动作后立即短路50Hz短UI。然后打开启动开关后，在操作控制开关之前，指示灯——红色亮起，可满足故障诊断要求并判定为合格。

图5（b）在启动后，首先通过控制开关选择50Hz运行，使其处于正常运行状态。之后，同时操作50Hz短UI和60Hz短UI，使其处于短路状态，60Hz输入为0V后，指示灯从绿色变为红色，满足故障诊断要求，可以判定为合格。

更多内容，请关注“【功能安全】HILS故障诊断功能测试（二）”，我们将介绍节气门位置传感器和旋转传感器故障的测试。关注牛喀网，学习更多汽车科技。有兴趣的朋友，可以添加牛小喀微信：NewCarRen，加入专家社群参与讨论。

详询“牛小喀”微信：NewCarRen

作者：牛喀网专栏作者
牛喀网文章，未经授权不得转载！