电气化控制系统实时硬件在环与软件在环测试指南

核心要点

• 使用SIL稳定控制逻辑和接口，然后使用HIL在确定性执行下验证时序、I/O正确性及安全故障处理。
• 尽早锁定保真度、步长和风险目标，因为电气化系统会惩罚模型细节、硬件I/O范围和安全联锁的后期变更。
• 通过自动化和可重复性建立信心，借助版本化模型、受控故障注入以及一致的结果审查，快速发现回归问题。

唯有当SIL和HIL测试保持严谨且可重复时，才能对电气化控制系统建立足以投入使用的信心。

2023年电动汽车销量达到近 1400万辆，如此庞大的规模使得控制逻辑的失误代价高昂。电气化系统将高速开关的电力电子设备与安全逻辑、传感器调理及网络通信紧密结合，所有环节都受限于严苛的时序要求。当团队将测试视为单一里程碑时，这种混合架构常导致后期集成出现意外问题。采用分阶段计划——从软件在环 起步软件在环 过渡到硬件在环测试——可有效规避大部分此类问题。

务实立场很简单：将实时控制测试视为证据链，而非单一工具选择。

软件在环 低成本软件在环 算法与接口，硬件在环则能在确定性执行环境下验证时序、I/O及故障处理。若能及早设定保真度目标、为固定步长执行准备模型并实现自动化运行，即可获得更优结果——确保跨周跨团队的测试结果保持可比性。

SIL与HIL在电气化控制系统中的应用及测试目标

SIL与HIL的主要区别在于闭环方式及风险消除策略。SIL在标准计算平台上通过仿真模型运行控制器逻辑，可实现快速迭代并覆盖多种工况；HIL则在目标硬件上运行控制器，通过物理I/O实现闭环，从而验证时序与电气接口。测试目标应决定实施顺序。

当您仍在塑造控制行为、校准参数和故障逻辑时，SIL最为适用，因为此时构建时间和测试重置次数仍处于较低水平。一旦您需要关注采样精确触发、总线时序、传感器缩放、PWM捕获或与硬件中断相关的保护序列，HIL就成为不可或缺的选择。电气化系统更凸显了这一需求，因为控制回路通常以亚毫秒级步长运行，而被控对象动态可能包含刚性开关行为。 最优路径是先用SIL消除逻辑缺陷，再用HIL验证确定性与接口正确性。

在搭建测试平台前，需确定保真度时序与成本目标

明确保真度、时序和预算目标，可避免硬件在环仿真沦为昂贵的科研项目。需区分哪些信号必须周期精确、哪些可限速处理、哪些可抽象化而不影响决策。这些选择应基于发布风险而非个人对细节的偏好。此规划步骤同时为计算资源、I/O数量及人员配置设定预期。

电气化项目常在此处受挫，因团队误以为"更高保真度"等同于"更真实"。事实上，更高保真度可能意味着更小的步长、更强的求解器刚度以及更难复现的运行结果——尤其当模型切换与网络流量冲突时。2023年电动汽车约占全球汽车销量的 2023年全球汽车销量占比达18%，因此验证吞吐量和可重复性与峰值精度同等重要。目标应是找到能做出相同工程决策的最低保真度模型。

• 定义必须确定性的最快控制回路步长
• 列出必须按需重现的前五大故障模式
• 设置从I/O到控制输出的可接受延迟
• 决定哪些植物部位需要切换细节而非平均化
• 为添加频道功能制定带时间限制的范围规划

为实时控制测试准备植物和控制器模型

模型只有在固定步长下确定性运行并暴露清晰接口后，才能成为测试资产。您的被控对象模型应优先考虑数值稳定性、输出有界性和状态可测量性，即使这意味着需要简化某些物理特性。您的控制器模型应将算法逻辑与I/O适配分离，以便信号能够干净地互换。这些选择能减少从SIL切换到HIL时的返工量。

电气化设备常将连续动态特性与开关操作、接触器状态、故障锁存市场活动 离散市场活动 相结合。这种混合特性将暴露变步长假设、隐藏代数循环及临时单位的缺陷。优质的预处理阶段需锁定单位、记录采样率并插入显式速率转换，确保每个子系统的时序设计均符合预期。同时需采用具有真实饱和特性的信号限制与传感器模型，因多数控制器故障仅在测量值发生截断或冻结时才会显现。

接口规范与数学知识同等重要。将每条总线、每个传感器和执行器都视为一份契约，明确其定义范围、默认值及故障表现。将"实际设备状态"与控制器"测量值"严格分离，同时记录两者数据，如此便能精准诊断测试失败原因，无需凭空揣测。当后续添加I/O硬件时，这份契约本身即成为布线核对清单。

信心源于持续的证明，而持续的证明源于掌控那些你能掌控的细节。

使用RT-LAB工作流设置SIL运行和自动化

SIL在运行自动化、可比性强且跨构建易于重现时创造价值。一致的工作流将模型编译为确定性可执行文件，加载测试向量，并将结果收集到形式 信赖形式 统一形式 。RT-LAB常用于管理此运行生命周期，包括参数扫描和数据记录。自动化消除了验证过程中的"在我机器上运行正常"现象。

完善的测试环境需建立在版本化模型、版本化测试用例及清晰的输出命名规范之上。测试自动化应每次以相同方式重置初始条件，随后验证符合工程意图的通过/失败判定标准。日志记录需同时捕获刺激信号与控制器响应，并附带时间戳，以便清晰识别回归问题。此外，应提供轻量级方案，可在本地重跑失败用例时无需重建整个测试平台。

执行上下文在此至关重要，而非供应商的承诺。在OPAL-RT环境中使用RT-LAB的团队通常会标准化编译目标、采样时间和日志模板，使工程师能够专注于控制意图而非运行机制。当后期出现故障需要追溯引入时间点时，这种标准化措施便能发挥价值。目标在于建立贯穿数周始终如一的可追溯结果链，而非依赖英雄式的调试会话。

配置硬件在环（HIL）硬件的I/O信号调理和安全联锁

当I/O接口像产品一样经过精心设计，而非像原型机那样随意连接时，HIL测试才能成功。需为每个输入输出端口明确设定范围、量程及时序要求，并验证仿真器、I/O模块与控制器之间的协调性。添加信号调理功能，确保控制器接收真实的电压、电流及编码器信号。安全联锁机制必须始终优先于测试便利性。

实际配置可将逆变器控制器与模拟电流反馈、旋转变压器输入、离散门禁用线及CAN命令接口配对，再通过适当的隔离和缩放处理这些信号，确保故障状态始终可控。 该单台设备迫使您验证安全完整性等级无法涵盖的细节，例如模拟通道饱和、离散线路抖动或总线消息延迟时的响应机制。它同时强制明确输出启用权限、故障清除权限及停机后安全状态的责任归属。这些属于工程决策范畴，而非接线细节问题。

联锁装置应分层设置。硬件紧急停止按钮、看门狗定时器和输出禁止逻辑必须在主机电脑冻结时仍能生效，测试脚本绝不能成为唯一的防护措施。将每个连接器和引脚布局变更视为配置项，因为意外的缩放错误可能表现为控制缺陷。实现可靠结果的最快途径是严格的I/O规范管理，以及绝不依赖侥幸心理的安全方案。

通过求解器步长和FPGA调整实时性能

实时性能是指每次都能按时完成每个仿真 同时保持数值行为稳定的能力。步长选择决定了可表现的动态上限以及时间模拟的精度。求解器选择、模型划分和I/O调度决定了能否在无抖动的情况下满足时限要求。当必须实现亚毫秒级确定性和高速I/O时，FPGA资源至关重要。

从控制回路需求出发，反向推导出实现相同控制决策所需的系统保真度。若系统模型要求的小步长超出计算目标的承受范围，可降低刚度、简化切换细节，或将最精密部分转移至FPGA处理。需全程监控整个回路，因为高速模拟I/O、编码器解码及总线堆栈都会争夺处理时间。 确定性是关键指标，因为偶发的超时会使故障逻辑表现得如同随机事件。

性能调优应保持透明。将步骤执行时间、抖动和丢帧作为首要测试输出追踪，而非隐藏的诊断数据。分区决策需记录在案，避免后续模型更新悄然将任务转移至CPU导致计时失效。待计时稳定后锁定关键参数，并将后续变更视为可量化影响的受控实验。

创建可重复的测试用例、故障注入及结果审查

可重复的测试用例能将硬件在环（HIL）和软件在环（SIL）从演示工具转化为验证依据。每个用例应声明初始条件、输入刺激、预期输出及明确容差，并存储结果以便跨版本构建进行有效对比。故障注入应纳入其中，因为电气化控制器的评估重点在于其故障表现。结果审查应聚焦于趋势与回归分析，而非单次图表。

良好的故障注入应具有针对性且可控。市场活动 精确时刻注入传感器偏置、卡死值、总线超时及执行器禁用市场活动 随后验证控制器能否在不产生危险输出的情况下完成预期状态转换。将这些检查与明确的验收规则结合，避免团队因"看起来正常"的含义产生争论。每次运行都需存储精确的模型版本和参数集，因为校准漂移可能伪装成逻辑漂移。

纪律性是长期竞争的关键差异点。将测试视为代码、严格审查变更并保持基线清洁的团队，相较于追逐临时故障的团队，在交付时遭遇意外延迟的情况更少。OPAL-RT的价值在于通过可重复的执行流程和可追溯的结果来支持这种纪律性，而非作为一次性实验室采购品。信心源于持续的验证，而持续的验证则来自对可控细节的精准把控。