【老橡树专栏】功能安全实践-功能安全构想篇(2)
上一篇文章走了一遍对电动车驱动电机控制器在功能安全车辆层级的功能安全构想,基本上完成了开篇中提到的第一层的工作(part 3),这篇里面还是在Part3,不过要求和工作内容和第一层不一样,是功能安全构想(FSC),是从电机控制本身的功能来说的,侧重于控制器的功能安全构想。 有实力的车厂也有可能连这个都这做好了并且形成文档提出FSR( 功能安全要求),但大多可能需要零部件厂家来做。
那就按照下图中需要实现的内容为目标开始了.
表1 Mission
为了快速理解我在这里做个概述:这章我们的目标是得到FSR和功能安全设计。首先看看没有加功能安全对策的模块图和迁移图是怎么样,然后从功能安全目标出发再考虑FSR仕样,根据仕样再对原始的模块图和迁移图设计,最后提出基本的功能安全概念.
3-2-1 功能基本设计 [1]
3-2-1-1 功能层级的基本设计
所谓基本设计指的是没有加任何安全对策的设计,也就是为了实现驱动电机的基本功能,这个系统最基础的功能模块是什么样子的.
功能模块图(基本的)
图1 实现基本功能模块图
构成功能的概要(基本的)
车速检出:通过CAN总线信息获取车速信息,CAN信息可以包含车速发生异常的信息。
转矩检出:通过CAN总线信息获取转矩输入信息,CAN信息可以包含转矩发生异常信息。
转速检出:通过CAN总线信息获取转速输入信息,CAN信息可以包含转速发生异常信。
电机转矩控制: 通过获取的车速,转矩和转速计算出转矩值。
电机转矩生成:利用计算出的转矩值,生成PWM合成对应的电流值,控制电机转动。
电机: 生成车辆动力所需要的转矩或转速需求。
功能的相互作用
电机控制器通过CAN总线获取车速,转矩和转速信息,处理后生成电机应该输出的电机转矩或转速的数值,这个数值被电机转矩输出生成必要电流值,输入到电机,使得电机产生必要的转矩或转速。
控制器的状态迁移图
注意这个不需要像软件迁移或非常详细的状态图,只表达基本的,必备的状态就行了,如果这个地方加了其他的安全策略什么的,就没有体现出我们是怎么辛苦才设计出来--当然这个是玩笑, 根本的原因是,我们现在还没有“证据”要加什么安全策略.
想像中的状态迁移图是这样的。 可能和实际中有些差距。
图2 原始的状态迁移图
现在需要对上图中的模式进行说明:
停止模式: 电机控制器无电源输出,控制器的所有功能停止, 只有控制器开启信号ON时,控制器启动,进入初始化模式。
初始化模式:控制器处于上电自检模式,包括软件运行环境准备和检测,硬件检测,电压检测等。
操作模式:转矩输出属于激活状态,控制器根据输入转矩或转速要求,计算电机的电流,输出相应的转矩或转速。
执行后模式:转矩输出功能处于不激活模式,保存相关的参数,并且反馈执行结果等等。
关闭模式:此模式下转矩输出喝通讯等都不激活,经过延时后,进入控制器停止模式。
错误模式:此模式下,转矩输出不被激活,高压输入可能被关闭,处理完成后或收到控制器OFF信号进入执行后模式。
缩退模式:在某些不希望的环境条件出现时,比如高压偏低,或偏高,进入缩退模式,该模式下,转矩输出还是处于激活状态,但是输出有限制。比如车速不超过20Km 每小时。当补希望的环境移除或消失时,迁移到操作模式。
到此,功能的基本设计已经完成.
3-2-2 安全要求仕样
3-2-2-1 安全分析-功能级FTA
分析结果肯定是不合格的,因为我们只加了基本的功能,所以这里不做分析了.
3-2-2-2 功能安全要求仕样做成
这里要为上阶段中得出的功能安全目标的实现达成提出要求概念,不必是详细的,但是方向清晰的。 功能安全的目标SG有很多,从ASIL A 到ASILD 都有,那我们是不是都要给出每个功能安全提出要求呢,如果是第一次做,建议针对每个SG去分析,然后再汇总和精炼。以后熟悉了之后,会发现很多不同的SG 可能都有相同的FSR,那可以挑几个代表来做分析。
开始了。。
第一步: 列出功能安全目标:
表2 众多SG中的一个
细心的同学可能会发现,SG中怎么没有故障容许时间间隔(FTTI)?原因:1>这个真的是车辆系统设计的工程师的干活;2>这个真的比较难,因为除了我们以前分析的故障,场景和E,C,S 意外,还要分析司机的状态和反应,车的性能,法规等。
第二步:对该SG,分配FSR.
表3:外部结构保证和全体共同FSR要求
说明:表3 左,提及到结构上保证的FSR,虽然不要求;表3右,出现转矩输出异常共同对策。
表4:应对输出系统异常的FSR
说明:表4 左,判别转矩输出故障;表4右,确认转矩输出故障。
表5:应对输入系统异常的FSR
说明:表5左,判别输入系统故障;表5右,确认由于输入系统故障导致的转矩输出故障。
表6 :应对控制计算系统异常的FSR
说明:表6 左,判别计算系统故障;表6右,确认由于计算系统故障导致的转矩输出故障。
怎么考虑的呢?简单说明如下:
第一个表中,有OTHER-001 其他技术,不属于电子硬件和软件,是机构部分,功能安全ISO26262没有规定机械部分应该要怎么样,但可以有外部的对策,这些会直接影响到功能安全的外部件必须也要提及的,就像一座大楼的根基。
为了达到功能安全目标,要对构成控制器的子功能的关键参数(包括错误)进行检测,判别,判定 ,和确认,所以可以看到安全事项要求里面会出现这样的关键字。上面的表格几乎覆盖了前面模块图中所有子功能的要求。
运用模式中指出了在哪个模式中应有安全事项的要求。其中缩退模式,简单讲就是基本还能用,但有限制或部分功能失效了,等下再说明一下。
功能安全ASIL 有继承关系,SG 为D,后面的FSR 也为D。
如果完成了所有的安全目标的FSR后,就可以综合来进行安全设计了。
3-2-3 安全设计
3-2-3-1 功能层级安全设计(包含安全机能)
首先是包含了功能安全的模块图
可以看到,新加了电机转矩输出故障检出模块,并且根据FSR里面的ASIL 要求里面添加了 ASIL等级. 嗯,根据SG, 当然有些模块也会有其他ASIL。
图3 加了功能安全的模块图
功能的相互作用 (增加新的功能安全要求)
电机控制器通过CAN总线获取车速,转矩和转速信息,处理后生成电机应该输出的电机转矩或转速的数值,这个数值被电机转矩输出生成必要电流值,输入到电机,使得电机产生必要的转矩或转速。在此过程中,电机转矩输出故障检出功能对车速、转矩、转速检出功能,电机转矩输出控制和输出生成功能进行故障的检出,判别,确认和判定。
控制器的状态迁移图(包含安全机能的)
图4 增加了功能安全的状态迁移图
对新的迁移图的模式进行说明:
停止模式: 电机控制器无电源输出,控制器的所有功能停止, 只有控制器开启信号ON时,控制器启动,进入初始化模式。
初始化模式:控制器处于上电自检模式,包括软件运行环境准备和检测,硬件检测,电压检测,过往的错误记录检测,高压检测等。必要的诊断和检测完成后,如果无问题进入操作模式,如果控制器OFF信号来临,进入执行后模式。如果初始化过程中出现问题,则进入错误模式.
操作模式:转矩输出属于激活状态,控制器根据输入转矩或转速要求,计算电机的电流,输出相应的转矩或转速。操作完成后进入执行后模式,如果不希望的环境条件出现,则进入缩退模式,当不希望的环境条件被解除或消失则从缩退模式返回。
执行后模式:转矩输出功能处于不激活模式,但通讯是保持正常激活状态的,该模式下控制器保存相关的参数,如保存当前错误,或反馈执行结果给到VCU。
关闭模式:此模式下转矩输出喝通讯等都不激活,经过延时后,进入控制器停止模式。(典型的是高压放电)
错误模式:此模式下,转矩输出不被激活,高压输入可能被关闭,处理完成后或收到控制器OFF信号进入执行后模式。
缩退模式:在某些不希望的环境条件出现时,比如高压偏低,或偏高,进入缩退模式,该模式下,转矩输出还是处于激活状态,但是输出有限制。比如车速不超过20Km 每小时。当不希望的环境条件移除或消失时,迁移到操作模式。在缩退模式下执行完成后,可以进入到执行后模式。
完成了每个SG 要求的FSR后,还没有完,既然这里提到了FSC, 那就要阐明以后的设计要遵守的功能安全概念。但这里我不打算深入展开了,不过可以提示几个关键点,比如紧急状态,和司机的交互,故障警报通知。以后有需要的时候可以再回过头补充。
3-2-4 安全设计验证FTA
感觉这个章节放这里不是很合适,放在第4章会比较好,因为我们还要做系统阶段的开发,那到时候我们就用TSR来做FTA验证吧.
那么,功能安全ISO26262 PART3 的基本过程就这么走完了。下面要进入PART4了,这部分的内容会更多,花的时间会更多,也较难,担心能不能熬得住呵呵。
表7 NEXT mission
参考
^(关于序号3-2-1 其中3指的是功能安全part3, 2 指的是第二层,1 指任务1 )
- 用户评论
