1 引言
2018年12月,备受汽车电子行业关注的ISO26262《道路车辆功能安全标准》第二版发布,适用范围从乘用车扩展到所有车型,包括商用车和摩托车,该标准对商用车汽车电子器件提出更为详尽的功能安全要求。在功能安全相对领先的欧美国家,主流OEM和Tier1普遍对ISO26262标准有要求,已成为事实强制标准。
我从2016年接触ISO26262标准以来,对PART 6“软件部分”进行了反复研读,但始终无法找到其与车载嵌入式软件设计之间的联系,在很长一段时间内都不知道如何开发出满足功能安全的车载ECU软件;即使在2020年,我所在的电控团队顺利拿到了ISO26262 ASIL D流程认证,但我对功能安全的认知也仅仅停留在“编写一系列文档”的水平。
从2022年4月到2023年12月,我有幸全程参与了一个完整的车载电控模块功能安全项目 - 基于公司的某款纯电车辆,开发出满足功能安全ASIL C/D等级的VCU(整车控制器)产品。在这篇文章里,我将结合自己在项目中的实践,对部分开发过程进行梳理,希望能给像我一样对ISO26262标准实现有困惑的同行提供些许参考。
2 基本概念
ISO26262标准的术语在PART 1中按照音序顺序进行了详细描述,表2-1只列出了本文需要用到的基本概念。
表2-1: VCU功能安全项目术语
序号 | 术语/缩写 | 全称 | 备注 |
1 | BD | 行为设计(Behavior Design) | |
2 | FIT | 失效率(Failures In Time) | |
3 | FSC | 功能安全概念(Functional Safety Concept) | |
4 | FSR | 功能安全需求(Function Safety Requirement) | |
5 | FHTI | 故障处理时间间隔(Fault Handling Time Interval) | |
6 | FTA | 故障树分析(Fault Tree Analysis) | |
7 | FTTI | 故障容错时间间隔(Fault Tolerant Time Interval) | |
8 | HARA | 危害分析与风险评估(Hazard Analysis and Risk Assessment) | |
9 | HAZOP | 危害和可操作性分析(HAZard and OPerability analysis) | |
10 | HSI | 硬件软件接口(Hardware Software Interface) | |
11 | MF | 功能故障描述(Malfunction) | |
12 | SM | 安全机制(Safety Machanism) | |
13 | TSC | 技术安全概念(Technical Safety Concept) | |
14 | TSR | 技术安全需求(Technical Safety Requirement) |
3 功能安全概念开发
VCU功能安全项目只进行了概念(ISO26262 PART3)、系统(ISO26262 PART4)、硬件(ISO26262 PART5)和软件(ISO26262 PART6)阶段的开发,本章整理概念阶段的工作内容,系统和软件的工作将分别在第4章和第5章整理。
功能安全概念阶段应输出相关项定义、危害分析和风险评估、功能安全概念等工作产品。
3.1 相关项定义
相关项指实现整车层面功能或部分功能的系统或系统组合;相关项定义指在整车层面对相关项进行定义和描述,包括功能及其与驾驶员、环境和其他相关项的依赖性和交互。
概念阶段的开发是从相关项定义(Item Definition)开始的,相关项定义是对系统的描述,此系统也是标准中“安全”要求应用的对象。
项目定义的目的是定义和描述相关项,以及对其他相关项和环境的依赖和相互作用。因此,需要描述功能和非功能需求、边界、接口和其他系统相互作用的假设。
相关项定义为危害分析和风险评估(HARA)提供输入参数,在HARA中通过对E/E系统功能故障的定义和分析,识别整车级别的潜在危害。
对于相关项(Item)的边界,相关项与其他相关项或环境的相互作用,相关项内部的元素以及涉及到元素的功能分配,需要在相关项文档进行描述。
表3-1列出相关项定义的主要内容。
表3-1: 相关项定义主要内容
序号 | 内容 | 描述 |
1 | 车辆环境描述 | 用于描述车辆的配置、性能、使用环境、投放市场、相似功能,作为HARA分析和后续其他阶段的必要输入信息 |
2 | 法规要求 | 列出相关项需要满足相关法律法规的要求,用于指导系统设计 |
3 | 相关项描述 | 描述VCU的工作原理和执行器特性 |
4 | 运行模式 | 描述车辆运行模式及切换条件 |
5 | 功能行为设计描述 | 识别和描述相关项在整车级别的所有功能行为;识别整车级别功能与驾驶员和车辆的交互以及车辆的预期行为。包含蠕行控制、车辆加速控制、定速巡航控制、车辆滑行能量回收、车辆制动能量回收、坡起辅助控制、限速控制、切换驾驶模式、制动优先、响应外部请求、驾驶员离车或插枪时自动回P、挡位控制N挡进入、挡位控制D挡进入、挡位控制R挡进入、挡位显示、续航里程计算、远程锁车控制(限速)、行驶高压上电控制、行驶高压下电控制、交流充电高压上电控制、交流充电高压下电控制、直流充电高压上电控制、直流充电高压下电控制、主动放电使能控制、DC/DC使能控制、空调制冷控制、空调制热控制、驱动电机及高压附件冷却控制、动力电池冷却控制、动力电池加热控制、制动真空泵控制 |
6 | 整车级功能描述及架构设计 | 整车级功能:蠕行控制、车辆加速控制、定速巡航控制、车辆滑行能量回收、车辆制动能量回收、制动优先、坡起辅助控制、限速控制、挡位控制、切换驾驶模式、续驶里程计算、行驶高压上下电控制、充电高压上下电控制、主动放电使能控制、DC/DC使能控制、空调热管理使能控制、动力电机及高压附件热管理控制、动力电池热管理控制、制动真空泵控制;架构设计:车辆扭矩管理、挡位控制、切换驾驶模式、续驶里程计算、高压上下电控制、主动放电使能控制、DC/DC使能控制、热管理控制、制动真空泵控制 |
7 | 系统架构 | 根据功能架构汇总得到整车级系统架构,包含整体架构、元素接口(VCU与外部相关项进行信息交互的接口定义,即不同相关项之间进行信息交互所使用接口的描述)、功能分配(分配到架构各个元素的功能,即实现整车级功能的每个组成元素的需求) |
8 | 质量/性能/可用性需求 | 描述功能的质量、性能和可用性需求 |
9 | 操作和环境约束 | 描述相关项的应用环境和操作的约束 |
10 | 功能相关性 | 描述相关项对外部相关项的要求及来自外部相关项的要求 |
11 | 运行情景 | 列出系统常见使用情景,用于指导HARA和系统设计,如乡村公路车辆直线行驶、城市道路车辆直线行驶、高速公路直线行驶、湿滑路面行驶、停车场等 |
12 | 失效后果及影响 | 描述相关项已知的潜在危害,用于指导HARA和系统设计 |
3.2 HARA分析
危害分析、风险评估和ASIL等级的评定用于确定相关项的安全目标。为此,根据相关项的潜在危害事件,对相关性进行评估。通过对危害事件进行系统性的评估确定安全目标及分配给他们的ASIL等级。ASIL等级的确定需要考虑严重度、暴露概率和可控性。
HARA分析的输出物是《危害分析和风险评估报告》。
3.2.1 危害分析
表3-2为危害分析示例。
表3-2: 危害分析示例
危害分析 | ||||||
功能编号Function ID | 功能 Function |
HAZOP① | checked | 功能故障描述 Malfunction |
失效的影响 Effect of failure |
功能故障编号 |
VF-004 | 车辆滑行能量回收功能 | No | X | 滑行能量回收功能无法提供制动(负)扭矩 | 电机滑行制动力矩非预期消失,刹车距离增加 | MF001 |
No | X | 滑行能量回收功能无法进入 | 失效表现与MF001相同,不重复讨论 | MF002 | ||
No | X | 滑行能量回收功能无法退出 | 失效表现与MF008相同,不重复讨论 | MF003 | ||
Less | X | 滑行能量回收功能提供制动(负)扭矩过小 | 电机滑行制动力矩过小,刹车距离增加 | MF004 | ||
More | X | 滑行能量回收功能提供制动(负)扭矩过大(≤0.6m/s2) | 电机滑行制动力矩过大,滑行减速度过大 | MF005 | ||
More | X | 滑行能量回收功能提供制动(负)扭矩过大(>0.6m/s2) | 1.电机滑行制动力矩过大,滑行减速度过大 2.车辆横向运动失控 |
MF006 | ||
Part of | X | |||||
As Well As | X | |||||
Reverse | X | 滑行能量回收功能提供扭矩反向(扭矩为正) | 车辆非预期加速行驶 | MF007 | ||
文章来源于:电子工程世界 原文链接
本站所有转载文章系出于传递更多信息之目的,且明确注明来源,不希望被转载的媒体或个人可与我们联系,我们将立即进行删除处理。
相关文章 四轮转向系统结构及工作原理(2023-09-07)
在四轮转向控制之中应用4WS结构相对独立,且在车辆前后轮转向系统中不存在机械连接,因此可以确保转向性能可以在系统正常运行的状态下保持高水平。
车辆转向机构、ECU、减速器、电动机、传感......
汽车电子中ECU控制原理及类型介绍(2023-05-23)
汽车电子中ECU控制原理及类型介绍;简单地说,ECU是可以控制汽车的所有电子设备。这些功能包括从燃油喷射到座舱温度,再到控制制动和悬架的调节。有些车辆有多个ECU控制不同的功能,而有些车辆......
一文带你了解汽车区域架构的优势!(2023-09-19)
网关支持在相关域的 ECU 之间以及该域与车辆其余部分之间数据通信。
域控制器还包含 ECU,通常由多个 ECU 集成实现,能够更大程度降低系统成本。 的 Jacinto™ 7 处理器集成了 Arm® Cortex®......
4WS系统电控部分的组成(2023-09-07)
4WS系统电控部分的组成;4.1.传感器
传感器在4WS系统中主要是检测车辆运动状态并产生相应的电信号传输给ECU,ECU根据接收到的电信号进行相应的数据分析和运算,产生......
汽车区域架构优势详述(2023-03-21)
动力总成)包含网关功能。此域网关在相关域的ECU之间以及该域与车辆其余部分之间支持数据通信。
域控制器还包含ECU,通常由多个ECU集成实现功能,帮助更大程度降低系统成本。TI的Jacinto™7处理......
混动卡罗拉电子换挡装置(2023-03-27)
混动卡罗拉电子换挡装置;一、电子换挡杆系统组成和工作原理1.电子换挡杠系统结构组成电子换挡杆系统是一个使用线控换挡技术的换挡控制系统,根据各种传感器、开关和ECU提供的信息判断车辆状态,并根......
汽车五大域控制器有哪些?汽车域控制器和ecu的区别(2024-01-11)
据预设的算法和逻辑进行决策和操作,控制车辆的各项功能和系统。同时,它还负责管理和协调各个ECU之间的数据交换和通信,以确保整车系统的有效协同工作。
域控制器具备较高的智能化和集成化水平,可以......
汽车mcu的功能和作用 ECU和MCU的关系(2023-09-19)
MCU是一种嵌入式微控制器芯片,作为整个车辆电子系统的核心控制器之一。它通常安装在汽车内部,负责整合和协调各个ECU的功能,以及控制其他与车辆相关的设备和系统。MCU集成了处理器、内存、输入......
汽车电子控制单元(ECU)扫盲篇(2024-11-15 08:07:43)
信息娱乐系统和高级驾驶员辅助系统(ADAS),ECU都能确保它们平稳高效地运行。
通过ECU的精确控制,车辆......
汽车ECU软硬件架构及工作原理(2024-11-16 08:18:04)
汽车ECU软硬件架构及工作原理;
ECU介绍
ECU是一种嵌入式系统,它可以控制汽车上一个或多个电气系统。现代车辆......
|