基于功能安全的汽車遠程啟動策略研究應用

【Abstract】With therapid development of automotiveelectronics technology，users’requirements forautomotive intelligenceare increasing.Remotestartvehicletoachievecooling inadvance hasbecomearigiddemand forthe majority of automotive users.Thisarticle introduces thebasic structureandlogicflowof theremote start systembasedon functional safety，conducts hazardanalysisand threat andrisk assessment of thefunctionand formulatescorresponding safety strategies.Finally，thetestcaseorrsponding tothegeardesignisexemplifid，andtheCANbusinjectionfaultmethodis usedtoverifytheefectivenessofthesafetystrategy，which providesareference forthedevelopment of automotive functional safety.

【Keywords】remote start； functional safety； system solution

近年來汽車電子技術已明顯向集成化、電動化、智能化和網聯化四個方向迅速發展，汽車電子系統變得越來越復雜，功能安全已成為研發必須關注的設計因素。遠程啟動發動機以實現車內提前制冷，已成為廣大汽車用戶的剛需，本文以遠程啟動為例，介紹基于功能安全的遠程啟動的基本構成和邏輯流程，對該功能進行安全分解和策略制定，設計對應安全測試用例及驗證結果。

1基于功能安全的遠程啟動基本方案

1.1 電子系統組成

圖1遠程啟動系統組成

提前啟動發動機主要有兩種途徑，一種是通過傳統智能鑰匙遠程啟動，另一種通過手機APP遠程啟動。本文僅介紹通過智能鑰匙遠程啟動的方案，其電子系統構成包含智能鑰匙、高頻接收器、無鑰匙控制模塊（PassiveEntryPassiveStart，PEPS）、發動機管理模塊（Engine Management System，EMS）和空調模塊，如圖1所示。

1.2 遠程啟動流程

用戶按下鑰匙觸發鍵，RF接收器接收到鑰匙信號，PEPS判斷是否為遠程啟動觸發，若是則判斷是否滿足遠程啟動條件，滿足則吸合IG繼電器上電，與發動機管理模塊進行防盜認證，認證通過則PEPS和EMS吸合啟動繼電器啟動發動機，PEPS發送遠程狀態信號，空調運行，流程如圖2所示。

1.3各模塊方案設計

1）智能鑰匙。遠程啟動需嚴格保證不會產生誤觸，通常采用智能鑰匙上的兩個鍵配合使用才算一次有效觸發，而有效的遠程觸發設計可以是先按閉鎖鍵，再在規定時間內長按遠程鍵。

圖2PEPS遠程啟動流程

2）PEPS模塊。遠程啟動的場景通常是用戶不在車內，車輛處于防盜狀態，故可將防盜狀態設為遠程啟動的第一判斷條件。基于安全性考慮，車輛處于靜止且為P擋時，車輛才充許被遠程啟動。另外，還可考慮將當前整車電壓、油量水平等作為判斷條件遠程啟動條件不滿足時，系統將發出對應的啟動失敗原因，相關矩陣范例見表1。

3空調模塊。空調模塊應采用半自動或全自動空調，具備記憶功能。遠程啟動成功后，PEPS發送遠程啟動狀態信號，空調模塊執行上一次用戶使用空調時設置的溫度和模式。

4）模式維持。遠程啟動運行期間，系統應支持用戶合法的解閉鎖、行李廂控制和尋車需求。比如合法解鎖后開門，PEPS模塊應維持當前遠程啟動模式，不可下電。另外為了讓用戶直觀判別當前啟動模式，可以在顯示屏上設計一個遠程啟動模式的專用圖標或點亮外部燈光。

5）模式退出。用戶通過合法渠道或其他原因觸發模式主動退出，整車應保持在電源OFF和防盜狀態，同時發送模式退出原因，見表1范例。如果是非法撬門，BCM同時觸發車身防盜聲光報警。

表1遠程啟動信號矩陣范例

2功能安全分解及實現

2.1 基于功能安全的產品開發概念

功能安全危害分析和風險評估是對故障事件進行危害識別以及確定安全等級的方法。安全等級需綜合考慮嚴重度S、暴露概率E和可控性C的取值，再通過功能安全標準查表確定安全等級，其中A最低，D最高[2-3]。遠程啟動功能相關評估見表2。

表2遠程啟動功能相關評估

功能安全開發流程滿足V模型，大致分為6個階段4-5]。系統、模塊層面關注系統級功能安全等級定義，輸出功能安全要求和安全策略，同時需考慮系統設計要可驗證。

2.2映射遠程啟動的安全要求和安全策略

遠程啟動的安全要求和安全策略見表3，需要注意。

1）措施4。當P擋異常時，人不在汽車附近，非動力狀態比動力狀態要安全。

表3安全要求和安全策略

注：措施2，E2E技術在原通信報文基礎上增加Alive Counter和Checksum]。

2）措施6。遠程模式時不允許行駛車輛，用戶正常行駛期間不允許被遠程控制。故在設計上，應該把遠程模式和啟動模式分開。遠程啟動運行期間用戶若想行駛，必須先切換到正常啟動模式，這樣可以避免用戶在行車時因其他合法渠道（如APP）的操作導致車輛熄火，從而避免安全事故。

3）措施7。若車停在通風不良的場地，長期運行發動機將造成室內一氧化碳濃度過高，故需限制單次運行時間和運行次數，待用戶實車啟動后重置該次數限制。

3 測試用例及驗證

為了驗證PEPS模塊能否達到功能安全要求，依據圖2和表4編寫軟件，選取排擋為對象，采用CAN總線注人故障的方法，基于措施4的安全策略編制對應的測試用例和進行驗證。

表4措施4排擋信號定義范例

以表5中的RES-Safety ₀₄₀₂ 驗證為例。實車刷寫PEPS遠程啟動軟件和VectorCANoe在線監控，分別在VectorCANoe中創建Simulation和DiagnosisConsole用于解析信號和發送診斷指令。實車測試開始，按壓鑰匙按鍵觸發遠程啟動，通過Analysis_Graphics窗口監控PEPS進入RESStatus，之后進入TCU的Di-agnosisConsole執行UDS診斷指令2803DisableRXandDisableTXControl使得CANbus網絡上丟失TCU信號。在Analysis_Graphics窗口看到丟失TCU信號 3～ 5幀后PEPS退出RESStatus，整車下電。如圖3所示。

圖3RES-Safety ₀₄₀₂ 測試結果展示

由表5測試結果可知，發生擋位異常時，PEPS系 統可以退出遠程啟動模式，符合預期。

表5措施4故障注入用例及結果

4結論

本文從基本功能需求和功能安全角度設計研究汽車遠程啟動的邏輯方案，對該系統進行危害分析和風險評估，制定對應的安全策略，最后選取排擋信號設計對應的安全測試用例，采用CAN總線注人故障方法，驗證策略有效性，為汽車相關功能安全的設計開發提供參考。

參考文獻

[1]宛東，譚克誠.五菱寶駿汽車遠程車輛控制系統工作原理

初探[J].汽車維護與修理，2023（20）：72-74，77.

[2]郝東輝，吳向亮，呂平，等.道路車輛功能安全風險與控制研究[J].機械工業標準化與質量，2023（11）：28-34.

[3]樓志江.功能安全的危害分析和風險評估方法[J].汽車實用技術，2019（15）：90-91.

[4]GB/T34590，道路車輛功能安全[S].2022.

[5]ISO 26262，Road Vehicles-Functionlal Safety[S].2018.

[6]付瑩瑩，孫德龍，王勝放，等.汽車功能安全發展趨勢[J].重型汽車，2022（3）：42-43.

（編輯楊凱麟）