车载ECU功能安全工程实践
1 引言
2018年12月,备受汽车电子行业关注的ISO26262《道路车辆功能安全标准》第二版发布,适用范围从乘用车扩展到所有车型,包括商用车和摩托车,该标准对商用车汽车电子器件提出更为详尽的功能安全要求。在功能安全相对领先的欧美国家,主流OEM和Tier1普遍对ISO26262标准有要求,已成为事实强制标准。
我从2016年接触ISO26262标准以来,对PART 6“软件部分”进行了反复研读,但始终无法找到其与车载嵌入式软件设计之间的联系,在很长一段时间内都不知道如何开发出满足功能安全的车载ECU软件;即使在2020年,我所在的电控团队顺利拿到了ISO26262 ASIL D流程认证,但我对功能安全的认知也仅仅停留在“编写一系列文档”的水平。
从2022年4月到2023年12月,我有幸全程参与了一个完整的车载电控模块功能安全项目 - 基于公司的某款纯电车辆,开发出满足功能安全ASIL C/D等级的VCU(整车控制器)产品。在这篇文章里,我将结合自己在项目中的实践,对部分开发过程进行梳理,希望能给像我一样对ISO26262标准实现有困惑的同行提供些许参考。
2 基本概念
ISO26262标准的术语在PART 1中按照音序顺序进行了详细描述,表2-1只列出了本文需要用到的基本概念。
表2-1: VCU功能安全项目术语
| 序号 | 术语/缩写 | 全称 | 备注 |
| 1 | BD | 行为设计(Behavior Design) | |
| 2 | FIT | 失效率(Failures In Time) | |
| 3 | FSC | 功能安全概念(Functional Safety Concept) | |
| 4 | FSR | 功能安全需求(Function Safety Requirement) | |
| 5 | FHTI | 故障处理时间间隔(Fault Handling Time Interval) | |
| 6 | FTA | 故障树分析(Fault Tree Analysis) | |
| 7 | FTTI | 故障容错时间间隔(Fault Tolerant Time Interval) | |
| 8 | HARA | 危害分析与风险评估(Hazard Analysis and Risk Assessment) | |
| 9 | HAZOP | 危害和可操作性分析(HAZard and OPerability analysis) | |
| 10 | HSI | 硬件软件接口(Hardware Software Interface) | |
| 11 | MF | 功能故障描述(Malfunction) | |
| 12 | SM | 安全机制(Safety Machanism) | |
| 13 | TSC | 技术安全概念(Technical Safety Concept) | |
| 14 | TSR | 技术安全需求(Technical Safety Requirement) |
3 功能安全概念开发
VCU功能安全项目只进行了概念(ISO26262 PART3)、系统(ISO26262 PART4)、硬件(ISO26262 PART5)和软件(ISO26262 PART6)阶段的开发,本章整理概念阶段的工作内容,系统和软件的工作将分别在第4章和第5章整理。
功能安全概念阶段应输出相关项定义、危害分析和风险评估、功能安全概念等工作产品。
3.1 相关项定义
相关项指实现整车层面功能或部分功能的系统或系统组合;相关项定义指在整车层面对相关项进行定义和描述,包括功能及其与驾驶员、环境和其他相关项的依赖性和交互。
概念阶段的开发是从相关项定义(Item Definition)开始的,相关项定义是对系统的描述,此系统也是标准中“安全”要求应用的对象。
项目定义的目的是定义和描述相关项,以及对其他相关项和环境的依赖和相互作用。因此,需要描述功能和非功能需求、边界、接口和其他系统相互作用的假设。
相关项定义为危害分析和风险评估(HARA)提供输入参数,在HARA中通过对E/E系统功能故障的定义和分析,识别整车级别的潜在危害。
对于相关项(Item)的边界,相关项与其他相关项或环境的相互作用,相关项内部的元素以及涉及到元素的功能分配,需要在相关项文档进行描述。
表3-1列出相关项定义的主要内容。
表3-1: 相关项定义主要内容
| 序号 | 内容 | 描述 |
| 1 | 车辆环境描述 | 用于描述车辆的配置、性能、使用环境、投放市场、相似功能,作为HARA分析和后续其他阶段的必要输入信息 |
| 2 | 法规要求 | 列出相关项需要满足相关法律法规的要求,用于指导系统设计 |
| 3 | 相关项描述 | 描述VCU的工作原理和执行器特性 |
| 4 | 运行模式 | 描述车辆运行模式及切换条件 |
| 5 | 功能行为设计描述 | 识别和描述相关项在整车级别的所有功能行为;识别整车级别功能与驾驶员和车辆的交互以及车辆的预期行为。包含蠕行控制、车辆加速控制、定速巡航控制、车辆滑行能量回收、车辆制动能量回收、坡起辅助控制、限速控制、切换驾驶模式、制动优先、响应外部请求、驾驶员离车或插枪时自动回P、挡位控制N挡进入、挡位控制D挡进入、挡位控制R挡进入、挡位显示、续航里程计算、远程锁车控制(限速)、行驶高压上电控制、行驶高压下电控制、交流充电高压上电控制、交流充电高压下电控制、直流充电高压上电控制、直流充电高压下电控制、主动放电使能控制、DC/DC使能控制、空调制冷控制、空调制热控制、驱动电机及高压附件冷却控制、动力电池冷却控制、动力电池加热控制、制动真空泵控制 |
| 6 | 整车级功能描述及架构设计 | 整车级功能:蠕行控制、车辆加速控制、定速巡航控制、车辆滑行能量回收、车辆制动能量回收、制动优先、坡起辅助控制、限速控制、挡位控制、切换驾驶模式、续驶里程计算、行驶高压上下电控制、充电高压上下电控制、主动放电使能控制、DC/DC使能控制、空调热管理使能控制、动力电机及高压附件热管理控制、动力电池热管理控制、制动真空泵控制;架构设计:车辆扭矩管理、挡位控制、切换驾驶模式、续驶里程计算、高压上下电控制、主动放电使能控制、DC/DC使能控制、热管理控制、制动真空泵控制 |
| 7 | 系统架构 | 根据功能架构汇总得到整车级系统架构,包含整体架构、元素接口(VCU与外部相关项进行信息交互的接口定义,即不同相关项之间进行信息交互所使用接口的描述)、功能分配(分配到架构各个元素的功能,即实现整车级功能的每个组成元素的需求) |
| 8 | 质量/性能/可用性需求 | 描述功能的质量、性能和可用性需求 |
| 9 | 操作和环境约束 | 描述相关项的应用环境和操作的约束 |
| 10 | 功能相关性 | 描述相关项对外部相关项的要求及来自外部相关项的要求 |
| 11 | 运行情景 | 列出系统常见使用情景,用于指导HARA和系统设计,如乡村公路车辆直线行驶、城市道路车辆直线行驶、高速公路直线行驶、湿滑路面行驶、停车场等 |
| 12 | 失效后果及影响 | 描述相关项已知的潜在危害,用于指导HARA和系统设计 |
3.2 HARA分析
危害分析、风险评估和ASIL等级的评定用于确定相关项的安全目标。为此,根据相关项的潜在危害事件,对相关性进行评估。通过对危害事件进行系统性的评估确定安全目标及分配给他们的ASIL等级。ASIL等级的确定需要考虑严重度、暴露概率和可控性。
HARA分析的输出物是《危害分析和风险评估报告》。
3.2.1 危害分析
表3-2为危害分析示例。
表3-2: 危害分析示例
| 危害分析 | ||||||
| 功能编号Function ID | 功能 Function |
HAZOP① | checked | 功能故障描述 Malfunction |
失效的影响 Effect of failure |
功能故障编号 |
| VF-004 | 车辆滑行能量回收功能 | No | X | 滑行能量回收功能无法提供制动(负)扭矩 | 电机滑行制动力矩非预期消失,刹车距离增加 | MF001 |
| No | X | 滑行能量回收功能无法进入 | 失效表现与MF001相同,不重复讨论 | MF002 | ||
| No | X | 滑行能量回收功能无法退出 | 失效表现与MF008相同,不重复讨论 | MF003 | ||
| Less | X | 滑行能量回收功能提供制动(负)扭矩过小 | 电机滑行制动力矩过小,刹车距离增加 | MF004 | ||
| More | X | 滑行能量回收功能提供制动(负)扭矩过大(≤0.6m/s2) | 电机滑行制动力矩过大,滑行减速度过大 | MF005 | ||
| More | X | 滑行能量回收功能提供制动(负)扭矩过大(>0.6m/s2) | 1.电机滑行制动力矩过大,滑行减速度过大 2.车辆横向运动失控 |
MF006 | ||
| Part of | X | |||||
| As Well As | X | |||||
| Reverse | X | 滑行能量回收功能提供扭矩反向(扭矩为正) | 车辆非预期加速行驶 | MF007 | ||
| 文章来源于:电子工程世界 原文链接
本站所有转载文章系出于传递更多信息之目的,且明确注明来源,不希望被转载的媒体或个人可与我们联系,我们将立即进行删除处理。
| ||||||