飞思卡尔ISO26262 ASIL-D电子助力转向演示系统设计
时间:01-10
来源:互联网
点击:
图2:EPS功能安全概念
产品开发阶段包括系统设计、硬件设计和软件设计、安全确认、功能安全评估和生产准备。下文主要介绍控制单元的设计。
3.1 硬件设计
硬件系统由飞思卡尔针对功能安全的SafeAssure品牌的芯片产品构成。MPC5643L为业内首款通过ISO26262论证的微控制器,MC33907为飞思卡尔新一代的系统基础芯片(SBC),这两款芯片均符合ISO26262开发流程。MPC5643L、MC33907和预驱动芯片MC33937A构成了飞思卡尔针对ISO26262 ASIL-D电机控制应用的硬件设计方案。
图3:硬件设计: 技术安全概念,EPS安全状态控制
3.2 软件设计
系统软件可分为底层驱动、操作系统和应用层任务。应用层任务有包括控制任务和监控任务。这些软件同时运行于MPC5643L的处于锁步模式的双PowerPC核上。图4为系统的软件安全概念。
从功能安全的角度,系统软件必须考虑避免、检测或处理随机硬件故障和软件系统故障。因此,系统软件实现了多种安全机制,并且遵循ISO26262软件开发流程。EPS系统软件在系统整合层面上需要满足ISO26262 ASIL-D 的需求。图4所示的软件安全概念通过组件冗余实现了ASIL分解,即控制通道(任务)ASIL-B(D)和监控通道(任务)ASIL-B(D)。
图4:软件设计: 软件安全概念 3.3安全确认
在产品概念阶段和产品开发阶段都需要进行安全分析,其目的:
· 检查故障和失效对系统造成的影响
· 列出可能导致安全目标偏离的条件和原因
· 发现原先设计没考虑到新危险
对于ASIL-D应用来说,需要进行归纳和演绎式的安全量化。在系统层面,采用基于故障树(FTA)的系统安全分析方法,自上而下的演绎出可能导致安全目标偏离的条件和原因,如图5列出了可能导致电机产生自主扭矩的条件和原因。而系统FMEDA则为故障树的末端节点(事件)提供了具体的失效率。
图5:EPS故障树:电机自主扭矩结论
ISO26262功能安全标准将近年来汽车电子安全模块设计者的经验和先进的顶层设计理念结合起来,提供了一整套鲁棒性设计和过程管理的方法,对国内EPS系统供应商来说既是挑战又是机遇。飞思卡尔长期关注和积极投资这一汽车安全应用,及时推出了SafeAssure的软硬件产品和面向ASIL-D的EPS演示系统,并且殷切希望和国内客户紧密合作,来提升国内EPS系统的整体设计水平和产品档次。(end)
飞思卡尔 ISO26262 ASIL-D 电子助力转向 相关文章:
- 飞思卡尔采用最新平板设计改进第二代智能本外观(01-06)
- DSP系列为下一代无线基站部署提供更高的性能支持(01-07)
- SoC:IP是新的抽象(10-24)
- 如何采用门控时钟来设计低功耗时序电路(06-23)
- 支持ASIL D 应用的安全集成硬件解决方案(12-20)
- 基于飞思卡尔DZ60的AD 1302 KEY 485 CAN FLASH LCD程序(12-01)