#01 前 言

汽车运行过程中，车辆上数量众多的ECU会出现输入、输出信号可能超出正常的运行范围、内部电子器件损坏、程序异常等现象，并且这一现象在一段时间内不会消失，ECU便判断为这一部分故障，ECU报这一故障以代码的形式存入故障内存，若该故障为较严重故障，ECU将同时点亮故障指示灯（如ABS指示灯、低压系统故障指示灯），若故障可能导致安全事故，需要采取进一步的故障处理措施，如限扭矩，靠边停车等，而诊断开发的第一步就是ECU需要定义其自身可能发生何种错误、诊断设备可以检测ECU中那些信息以及诊断设备可以如何从外部操控该ECU，通常诊断开发遵循UDS（Unified Diagnostic Services）协议，它是USO15675和ISO14229定义的一种汽车通用诊断协议，位于OSI模型的应用层，它可以在不同的汽车总线（CAN、LIN、Ethernet）上实现，当前我们谈诊断开发，更多的是说诊断数据库（如CDD、ODX）的开发，其定义ECU通讯地址、ECU支持的诊断服务、故障码DTC信息、各类诊断功能的信号及数据定义和部分标定功能的流程和定义，在定义诊断数据库之前我们通常会向ECU供应商发送如下的诊断调查表，由供应商来反馈相关的信息，如DTC List、ExtendData、DID List、DID Data等，然后再由诊断开发工程师根据企业诊断规范与供应商打合定版后通过工具（如CANdelastudio/ODX Studio）编制诊断数据库文件。

图1：诊断调查问卷

但是上述过程是一种自下而上的诊断开发过程，需要做哪些诊断通常是供应商根据自己产品的经验来反馈，相同的产品不同供应商其诊断数据库可能差异较大，那OEM是否可以从整车功能需求角度正向的分析ECU的诊断需求，并定义故障清单、故障类型、故障策略？

#02 基于整车功能的正向诊断需求开发

我的思考是这样的，整车所有ECU其存在并运行的目的是实现整车的用户功能，若ECU出现故障其最终一定会导致整车功能的失效，所以我们从整车功能失效出发分析所有可能引起功能异常的原因，并制定对应的故障检测机制和处理措施，可有效的增加故障诊断的覆盖率，这其中既包含了功能安全相关功能和非功能安全相关功能。

2.1 功能失效分析

基于架构用例分析及整车级需求通过HAZOP（Hazard and operability analysis）分析功能异常（Malfunction），包括功能丧失、在有需求时提供错误的功能，非预期的功能，输出卡滞在固定值上。

图2：HZAOP分析示例

2.2 危害事件分析

基于HAZOP分析的功能异常（Malfunction Behaviour） 结合车辆运行环境（包括道路场景、车辆运行状态/车速等）分析危害事件（Hazard），确定功能失效顶事件。

图3：HARA分析示例

2.3 FTA+FMEA分析

根据功能失效顶事件、功能设计逻辑（功能架构图）定义功能链路上各传感器、控制器和执行器的失效底事件，针对各失效模式制定故障检测机制，定义安全状态的进入、维持和退出条件，并将故障诊断需求分配到各ECU。

图4：功能架构示例

图5：FTA分析示例

FMEA（Failure Mode and Effects Analysis,失效模式和影响分析）和FTA（Fault Tree Analysis 故障树分析）是归纳和演绎最具代表性的分析方法，FMEA自下而上从原因到结果，即从可能得故障原因分析可能得危害结果，FTA自上而下，从结果到原因，即从危害事件分析可能导致其产生的原因。

2.4 故障处理

在定义了各个ECU的故障诊断需求并分配到ECU后，形成ECU的故障诊断列表，同时需对每个ECU的故障进行分级，并对应到整车故障等级，不同的整车故障等级对应整车不同的处理措施，如一级故障只仪表提示，二级故障车辆限扭并提示，三级故障限制车辆行驶并提示安全停车等。

2.5 诊断数据库开发

有了ECU的故障诊断列表，可将其完善进诊断调查表并分配DTC Number,定义Monitor Enable Condition、DTC Set Condition、Failure Mature time、Failure-Recover Condition、Demature time Self-healing strategy、Corrective Action等，并通过诊断数据库开发工具设计诊断数据库文件。

同时目前市面上也有将诊断调查表自动转换诊断标准数据库的工具，如经纬恒润的INTEWORK-DDC（Diagnostic Database Convertor）可将标准模版的Excel诊断调出表转换为ODX（2.2.0）数据库，还可将多个不同ECU的ODX文件打包成整车级别的PDX文件，极大的提高工作效率。

#03 总 结

在电子电气架构开发过程中，除了要开发功能的正常执行逻辑外，同时要考虑功能异常逻辑，功能异常、失效的处理措施对于人员、车辆的安全至关重要，上述基于整车功能的正向诊断需求开发方法是一种可行的设计流程，但如果对每一个危害事件（安全相关和非安全相关）都按照这个流程进行分析工作量比较大，如何在保证诊断需求分析不遗漏的前提下简化部分工作内容需要进一步探索。