根据ISO26262规范开发ASIL-D等级的EPS演示系统

3. 产品开发

产品开发阶段包括系统设计、硬件设计和软件设计、安全确认、功能安全评估和生产准备。下文主要介绍控制单元的设计。

3.1 硬件设计

硬件系统由飞思卡尔针对功能安全的SafeAssure品牌的芯片产品构成。MPC5643L为业内首款通过ISO26262论证的微控制器，MC33907为飞思卡尔新一代的系统基础芯片（SBC），这两款芯片均符合ISO26262开发流程。MPC5643L、MC33907和预驱动芯片MC33937A构成了飞思卡尔针对ISO26262 ASIL-D电机控制应用的硬件设计方案。


图3：硬件设计： 技术安全概念，EPS安全状态控制

图3为技术安全概念中的安全状态控制。MPC5643L通过预驱动芯片MC33937A和功率桥控制电机。MC33907提供系统电源管理和系统监控。当出现故障时，系统必须在规定时间内到达安全状态，即电源继电器和电机隔离继电器必须及时断开。MPC5643L和MC33907的各自独立输出控制信号，再经过逻辑“或”后，控制这两种继电器。

3.2 软件设计

系统软件可分为底层驱动、操作系统和应用层任务。应用层任务有包括控制任务和监控任务。这些软件同时运行于MPC5643L的处于锁步模式的双PowerPC核上。图4为系统的软件安全概念。

从功能安全的角度，系统软件必须考虑避免、检测或处理随机硬件故障和软件系统故障。因此，系统软件实现了多种安全机制，并且遵循ISO26262软件开发流程。EPS系统软件在系统整合层面上需要满足ISO26262 ASIL-D 的需求。图4所示的软件安全概念通过组件冗余实现了ASIL分解，即控制通道（任务）ASIL-B(D)和监控通道（任务）ASIL-B(D)。


图4：软件设计： 软件安全概念

3.3安全确认

在产品概念阶段和产品开发阶段都需要进行安全分析，其目的：

· 检查故障和失效对系统造成的影响

· 列出可能导致安全目标偏离的条件和原因

· 发现原先设计没考虑到新危险

对于ASIL-D应用来说，需要进行归纳和演绎式的安全量化。在系统层面，采用基于故障树（FTA）的系统安全分析方法，自上而下的演绎出可能导致安全目标偏离的条件和原因，如图5列出了可能导致电机产生自主扭矩的条件和原因。而系统FMEDA则为故障树的末端节点（事件）提供了具体的失效率。


图5：EPS故障树：电机自主扭矩

结论

ISO26262功能安全标准将近年来汽车电子安全模块设计者的经验和先进的顶层设计理念结合起来，提供了一整套鲁棒性设计和过程管理的方法，对国内EPS系统供应商来说既是挑战又是机遇。飞思卡尔长期关注和积极投资这一汽车安全应用，及时推出了SafeAssure的软硬件产品和面向ASIL-D的EPS演示系统，并且殷切希望和国内客户紧密合作，来提升国内EPS系统的整体设计水平和产品档次。