根据ISO26262规范开发ASIL-D等级的EPS演示系统
时间:11-25
来源:互联网
点击:
作者:飞思卡尔半导体 贡玉南
1. 概述
汽车电子助力转向系统(EPS)可以降低能耗,提高驾控智能水平,且更容易与其它高级安全系统集成,因而近年来在汽车中得到了大力的推广和发展。在这个领域,国内EPS供应商与国外供应商的主要差距体现在EPS控制技术和系统安全设计两方面。
飞思卡尔半导体公司在2011年推出了“采用永磁同步电机的汽车电子助力转向电控单元解决方案”,旨在帮助国内EPS供应商掌握永磁同步电机的控制技术。这一方案获得了《世界电子元器件》期刊 “2012年全国优秀IC和电子产品解决方案”最佳方案奖。
在2012年的飞思卡尔中国技术论坛上,飞思卡尔又推出了针对道路车辆-功能安全国际标准ISO26262 ASIL-D等级的EPS演示系统方案。该方案不仅演示了采用飞思卡尔功能安全品牌SafeAssure的软硬件产品,如何方便快捷地实现ASIL-D级别的EPS系统,同时也提供了整个开发阶段所涉及的安全设计文档,包括:
· 项目定义
· 危险分析和风险评估
· 功能安全概念
· 系统开发
· 安全确认。
本文将根据图1所示的ISO26262安全生命周期模型来阐述飞思卡尔如何根据ISO26262规范来开发ASIL-D等级的EPS演示系统。
图1:ISO26262安全生命周期模型
2. 功能安全概念设计
在概念阶段设计项目(或产品)定义、危险分析和风险评估和功能安全概念。
2.1 项目定义
项目定义描述了EPS系统的主要功能,如下所述:
· 根据司机意图,提供转向支持
· 主动回正
· 向车内其它系统提供转向角度(通过CAN网络)
2.2 危险分析和风险评估
危险分析和风险评估需要考虑的要素有:安全功能、失效模式、驾驶场景、严重性、暴露的可能性、可控性以及安全目标、ASIL等级、安全时间和安全状态。
根据分析,EPS系统有如下危险分析和风险评估结果:
· 安全目标1:防止电机产生自主扭矩
确保电机不能自主产生扭矩,这样会使车辆转向偏离司机意图。尤其在高速时,这种扭矩会产生意外的转向,给司机乘客和行人带来危险。这种危险可能源于传感器或电控单元ECU的故障。
ASIL等级:ASIL-D
· 安全目标2:防止电机产生死锁扭矩
确保电机不能锁死,以至司机不能正常转向。电机死锁可能由电气失效或机械失效导致。尤其在高速时,这种意外的扭矩会给司机,乘客和行人带来危险。这种危险可能源于电控单元ECU的故障,或电机及转向系统的机械故障。
ASIL等级:ASIL-D
· 安全目标3:防止系统从“安全状态”错误退出,电机产生突发扭矩
这种工况是指当EPS系统由于故障,如电机异常等原因,已经进入了所谓的“安全状态”。但是由于电气故障,EPS系统错误地从“安全状态”退出,在没有任何告警的情况下,电机重新对转向系统施加意外的扭矩,从而使司机不能按意图控制转向。
ASIL等级:ASIL-A
· 安全目标4:防止电机不提供助力
确保系统运行正常,助力施加正确。助力缺失不会导致车辆失控,因为有机械转向系统存在。一种合理的假设是:当这种故障被检测到后,显示告警信息;司机察觉后,启用“跛行回家”的行车模式,,比如降低车速等。
ASIL等级:QM
经过危险分析和风险评估后,以上四个安全目标的最高ASIL等级是ASIL-D。所以EPS系统的最高ASIL 等级是ASIL-D。
2.3 功能安全概念
为了实现系统的安全目标,对系统架构中的各个要素(Element),如传感器、控制单元和执行单元(电机),都有功能安全需求。功能安全需求主要考虑各要素的ASIL等级、工作模式、安全时间、安全状态、功能冗余即容错性能和各要素的初步架构等。它不涉及具体的硬件和软件实现细节。在EPS系统中,采用了如图2的初步系统架构,可能的功能安全需求示例如下:
· 整个EPS系统要求达到ASIL-D的要求。(系统)
· 安全状态的定义必须确保当系统出现致命故障时,电机的行为不会对转向系统不利影响。(系统)
· 系统必须在安全时间内进入安全状态。(控制单元)
· 控制单元必须包括电机控制通道和电机监控通道。(控制单元)
· 控制通道和监控通道都能获得集成于车辆接口的传感器信号。(传感器和控制单元)
· 控制通道和监控通道都能获得集成于执行单元的传感器信号。(传感器和控制单元)
· 控制通道和监控通道所用的传感器信号必须独立。(传感器)
· 控制通道根据扭矩传感器输入和其它来自车身网络的相关输入计算助力需求。(控制单元)
· 控制通道控制执行单元,产生所需助力。(控制单元)
· 监控通道根据独立的扭矩传感器输入和其它来自车身网络的相关输入,校验控制通道是否正确计算了助力需求。(控制单元)
· 监控通道根据独立的传感器输入,校验控制通道是否正确控制了执行单元。(控制单元)
· 监控通道能够独立的使系统进入安全状态。(控制单元)
· 系统电源监控的实现必须独立于电机控制通道和电机监控通道。(控制单元)
· 系统时钟监控的实现必须独立于电机控制通道和电机监控通道。(控制单元)
· 其它需求可参考图2的EPS功能安全概念。
图2:EPS功能安全概念
1. 概述
汽车电子助力转向系统(EPS)可以降低能耗,提高驾控智能水平,且更容易与其它高级安全系统集成,因而近年来在汽车中得到了大力的推广和发展。在这个领域,国内EPS供应商与国外供应商的主要差距体现在EPS控制技术和系统安全设计两方面。
飞思卡尔半导体公司在2011年推出了“采用永磁同步电机的汽车电子助力转向电控单元解决方案”,旨在帮助国内EPS供应商掌握永磁同步电机的控制技术。这一方案获得了《世界电子元器件》期刊 “2012年全国优秀IC和电子产品解决方案”最佳方案奖。
在2012年的飞思卡尔中国技术论坛上,飞思卡尔又推出了针对道路车辆-功能安全国际标准ISO26262 ASIL-D等级的EPS演示系统方案。该方案不仅演示了采用飞思卡尔功能安全品牌SafeAssure的软硬件产品,如何方便快捷地实现ASIL-D级别的EPS系统,同时也提供了整个开发阶段所涉及的安全设计文档,包括:
· 项目定义
· 危险分析和风险评估
· 功能安全概念
· 系统开发
· 安全确认。
本文将根据图1所示的ISO26262安全生命周期模型来阐述飞思卡尔如何根据ISO26262规范来开发ASIL-D等级的EPS演示系统。
图1:ISO26262安全生命周期模型
2. 功能安全概念设计
在概念阶段设计项目(或产品)定义、危险分析和风险评估和功能安全概念。
2.1 项目定义
项目定义描述了EPS系统的主要功能,如下所述:
· 根据司机意图,提供转向支持
· 主动回正
· 向车内其它系统提供转向角度(通过CAN网络)
2.2 危险分析和风险评估
危险分析和风险评估需要考虑的要素有:安全功能、失效模式、驾驶场景、严重性、暴露的可能性、可控性以及安全目标、ASIL等级、安全时间和安全状态。
根据分析,EPS系统有如下危险分析和风险评估结果:
· 安全目标1:防止电机产生自主扭矩
确保电机不能自主产生扭矩,这样会使车辆转向偏离司机意图。尤其在高速时,这种扭矩会产生意外的转向,给司机乘客和行人带来危险。这种危险可能源于传感器或电控单元ECU的故障。
ASIL等级:ASIL-D
· 安全目标2:防止电机产生死锁扭矩
确保电机不能锁死,以至司机不能正常转向。电机死锁可能由电气失效或机械失效导致。尤其在高速时,这种意外的扭矩会给司机,乘客和行人带来危险。这种危险可能源于电控单元ECU的故障,或电机及转向系统的机械故障。
ASIL等级:ASIL-D
· 安全目标3:防止系统从“安全状态”错误退出,电机产生突发扭矩
这种工况是指当EPS系统由于故障,如电机异常等原因,已经进入了所谓的“安全状态”。但是由于电气故障,EPS系统错误地从“安全状态”退出,在没有任何告警的情况下,电机重新对转向系统施加意外的扭矩,从而使司机不能按意图控制转向。
ASIL等级:ASIL-A
· 安全目标4:防止电机不提供助力
确保系统运行正常,助力施加正确。助力缺失不会导致车辆失控,因为有机械转向系统存在。一种合理的假设是:当这种故障被检测到后,显示告警信息;司机察觉后,启用“跛行回家”的行车模式,,比如降低车速等。
ASIL等级:QM
经过危险分析和风险评估后,以上四个安全目标的最高ASIL等级是ASIL-D。所以EPS系统的最高ASIL 等级是ASIL-D。
2.3 功能安全概念
为了实现系统的安全目标,对系统架构中的各个要素(Element),如传感器、控制单元和执行单元(电机),都有功能安全需求。功能安全需求主要考虑各要素的ASIL等级、工作模式、安全时间、安全状态、功能冗余即容错性能和各要素的初步架构等。它不涉及具体的硬件和软件实现细节。在EPS系统中,采用了如图2的初步系统架构,可能的功能安全需求示例如下:
· 整个EPS系统要求达到ASIL-D的要求。(系统)
· 安全状态的定义必须确保当系统出现致命故障时,电机的行为不会对转向系统不利影响。(系统)
· 系统必须在安全时间内进入安全状态。(控制单元)
· 控制单元必须包括电机控制通道和电机监控通道。(控制单元)
· 控制通道和监控通道都能获得集成于车辆接口的传感器信号。(传感器和控制单元)
· 控制通道和监控通道都能获得集成于执行单元的传感器信号。(传感器和控制单元)
· 控制通道和监控通道所用的传感器信号必须独立。(传感器)
· 控制通道根据扭矩传感器输入和其它来自车身网络的相关输入计算助力需求。(控制单元)
· 控制通道控制执行单元,产生所需助力。(控制单元)
· 监控通道根据独立的扭矩传感器输入和其它来自车身网络的相关输入,校验控制通道是否正确计算了助力需求。(控制单元)
· 监控通道根据独立的传感器输入,校验控制通道是否正确控制了执行单元。(控制单元)
· 监控通道能够独立的使系统进入安全状态。(控制单元)
· 系统电源监控的实现必须独立于电机控制通道和电机监控通道。(控制单元)
· 系统时钟监控的实现必须独立于电机控制通道和电机监控通道。(控制单元)
· 其它需求可参考图2的EPS功能安全概念。
图2:EPS功能安全概念
飞思卡尔 半导体 汽车电子 电子 传感器 电源管理 继电器 EDA 相关文章:
- 基于9S12DG128的智能车控制系统设计与实现(08-27)
- MC9S12XHY256:汽车控制解决方案(03-25)
- 实现车身控制应用的低成本设计(06-18)
- 智能小车多功能传感器模块的设计(08-27)
- 基于MPC5606S的汽车TFT彩屏仪表开发技巧(10-19)
- 奇瑞自主研发引擎管理系统的幕后功臣(09-12)