登陆

【老橡树专栏】汽车功能安全实践-系统开发阶段（3）

来源：知乎-老橡树

2021-02-01

7074

上篇文章中我们已经做了构想阶段的功能安全设计。

附上链接：

https://zhuanlan.zhihu.com/p/246058064zhuanlan.zhihu.com

现在进入系统开发阶段，本阶段要完成技术安全构想TSC ，它是下表中一系列要件的组合。先把任务附上，并简单说明一下每个节点要做什么。

表1 这章的任务

系统基本设计：实现控制器基本系统图和描述每个功能模块。
安全分析：对引起违背或侵害功能安全目标的失效的原因进行FTA。
技术安全要求仕样：即TSR，从安全分析中我们得到：系统中哪些子功能的哪个部分出了问题会导致违背功能安全目标。针对可能出现的问题加技术对策TSR，注意，TSR是对FSR的细化。
系统安全设计：考虑了TSR的新系统图，并把对硬件和软件的技术添加到FSR中。
安全设计验证：利用FTA和系统FMEA工具进行分析，确认和证明已经对每个可能的失效加了技术安全对策。

必须要说明的是，每个阶段的分析和设计并不是孤立的，有前提条件和将来需要输给其他阶段的内容。车辆级别和构想设计阶段的SG,FSR,FSC相关的检讨内容就可以作为这章的前提输入。另外一个前提输入是相关项的硬件随机故障量度要求，对ASILD，要求如下表。当然还有其他功能安全目标的量度指标.

表2

4-3-1 系统基本设计

4-3-1-1 系统设计（基本功能）

系统模块图（基本功能）

图1基本功能模块图

系统功能概要（基本功能）

车速检出：通过CAN总线信息获取车速信息，CAN信息可以包含车速发生异常的信息。
转矩检出：通过CAN总线信息获取转矩输入信息，CAN信息可以包含转矩发生异常信息。
转速检出：通过CAN总线信息获取转速输入信息，CAN信息可以包含转速发生异常信
电压检出：通过电压采样电路，获取高压母线的电压值。
目标电流计算：通过获取的车速，转矩和转速计算出转矩值。
电机转矩生成控制：利用计算出的转矩值，生成PWM合成对应的电流值，控制电机转动。<如SPWM，SVPWM，FOC控制等〉
旋转变压器励磁：旋转变压器的励磁信号输出。
旋转变压器信号检测：检测Sin/Cos 信号值，用于生成电机角度。
电机驱动：从PWM信号生成三相电机电流。〈FET驱动及桥，需高压供电〉
电流检测：检测三相电机的电流。

功能的相互作用

电机控制器通过CAN总线获取车速，转矩和转速信息，处理后生成电机应该输出的电机转矩或转速的指令，这个指令输入到电机转矩生成模块中生成PWM信号驱动桥电路合成电机驱动电流，使得电机产生必要的转矩或转速。为了生成电机转矩输出，系统还需要检测电压，电流，和电机角度等信息。

控制器的状态迁移图

略。。（和上一章中相同）

4-3-2 安全分析（系统FTA)

为了确定与安全目标相关的危险发生原因，对系统级别的基本设计实施安全分析。

4-3-2-1 安全分析-Hazard 发生的原因分析：

基于功能安全概念中的危险发生原因的FTA图，分析系统级别的危险发生原因。

目标：针对有可能违背功能安全目标SG-001的原因分析。

表3图2 第一层的FTA

图2中，和基本功能模块一致，需要分别分析5个基本模块如果出现了异常，包含3个输入，2个处理（转矩控制和转矩生成). 图2中的两个三角形框，代表将对电机目标电流和转矩生成错误进行下级分析.

分析方法可以采用HAZOP,也可以简单从值错误类型：无值（0），值变大，值变小，值滞，相反等来分析。比如分析车速输入异常，前提是要明白车速信息和转矩输出的关系。从电驱动控制方式来看，可能车速值错误不会导致转矩的自己加速输出，因为转矩值和转速值的起到主要作用，比如车速值错误变大，转矩值输入正确且为小值(或为0),猜想电机转矩不会突然增大。所以车速输入值错误可以被排除。如此，做逐个分析。

图3

为什么计算问题是共通异常？因为软件运行基本运行环境是和RAM,ROM，计算单元，时钟，电源等相关的。需要注意的是，电源如果发生故障，不会引起电机自己加速，所以可以从这棵树中删除.

图4

图4 中电机角度没有被准确检出，会不会发生转矩突然增加故障？回答这个问题需要了解电机是怎么转动起来的，我的理解是不会导致电机突然加速，因为角度是为了保证电机能够平滑连续转动360度，如果角度错误，电机只能乱转或抖动，或干脆停下来，即无转矩输出。母线电压检测基本作用是为了保护驱动电路的安全，也许可以归到驱动电路模块里面，但是这里可认为检测异常不会导致电机突然加速，有一种情况是，因为电压检测故障，突然检测到的电压比实际低，但实际电机是以目标电流来控制的，所以只要指令目标电流不变和采集到电流不变，电机不会突然加速，这说明加速与否和高压电压无关。

4-3-3 TSR 技术安全要求仕样

在上一章中，我们已经从4个方面给系统定了功能安全要求(FSR)：

输入系统异常的功能安全要求（检测，判定和确认异常)
处理计算系统异常的功能安全要求（检测，判定和确认异常)
输出系统异常功能安全要求（检测，判定和确认异常)
当出现违背安全的异常时的处理方式(处理异常)

这节中，将从四方面的功能安全要求分配技术安全要求(TSR), 依据来自我们上面已经完成的FTA分析。

一般的，从FSR到TSR分析的基本套路如下表所示：

表4

我们来看FSR-001 和FSR-002, 因两个皆是针对由于输出系统异常导致转矩自己增大的情况下的安全要求。输出部分主要由转矩生成控制系统下的电机转矩控制模块，电流采样，和电机驱动电路组成。所以他们的TSR与SG-01-B有关，下面逐个分析：

FSR-001 中导致输出故障的基本事项是电机电流采样异常和PWM信号错误. 也就是系统要能检出这些错误。因此分别对应的安全要求是：“输出能够判别电流检测故障的信息”和“输出能够判别扭矩控制器故障的信息”。

FSR-002 中导致输出故障的基本事项是A：驱动电路故障和B：驱动电路故障检测异常. 对于A对应的安全要求有两个：“通过电机电流的信息来确认是否出现异常”和“出现异常后要切断电机电流”。对于B技术安全要求是：“确认转矩控制器故障检测的异常”，即故障出现达到规定次数或持续规定时间后确认，并且上报到VCU。

请大家原谅的是，因为本文不是专业的电驱动功能安全分析，所以不足之处难免。上面关于异常处理方法是非常值得去再考虑的，比如上面提到的如果出现异常，则切断电机的电流的做法，不一定准确。

现在针对SG-01的技术安全要求总结如下：

表5表6表7表8表9表10表11

4-3-4 系统统安全设计

4-3-4-1 系统图设计

把技术安全要求反映到系统模块图中

图5

功能模块的描述

表12

说明如下：

因为我们只分析了SG-01 的FTA, 所以不是完整的分析， TSR-XXX 表示其他功能安全目标下的技术安全要求。
整个PMHF 是10fit，假设上面有13个模块，那么分配到上面每个模块的故障率是10/13=0.77fit。

系统模块的相互作用

基本功能可以参考前面的描述，这里需要增加软件硬件接口（HSI）描述。但因为在下节对技术安全要求分配硬件技术安全要求(HSR)和软件技术安全要求（SSR）的时候也会涉及到，所以这里先略去.

系统模块的状态定义

略，参考前面章节

4-3-4-2 技术安全要求的软件、硬件配置

目的是针对每个TSR,分配硬件的技术要求（HSR)和软件的技术要求(SSR)。比如，在操作模式下，将技术安全要求规范（硬件）分配给电流检测块（硬件），以确定电流检测失败。

图6

从上图的关系上看，会是非常大的工作量。我在这里只打算举些例子和总结一下基本的考虑方法。

针对TSR-001, 分配硬件技术安全要求：

表13

针对TSR-002, 分配硬件、软件技术安全要求：

表14表15

针对TSR-003, 分配硬件、软件技术安全要求：

表16表17

针对TSR-004, 分配硬件、软件技术安全要求：

表18表19

针对TSR-005, 分配硬件、软件技术安全要求：

表20表21

从上面软件和硬件的技术安全要求的说明方式我们可以看到硬件方面分配技术要求无非是要能正确检测到输入到的信号，能在有计算结果后正确输出。软件方面包括正确检测，计算，比较，诊断，并且有效的输出。这些是和各个功能模块要实现的功能和具体的TSR有关.

4-3-4-3 软硬件接口（HSI)

既然上面规划了硬件和软件的技术安全要求，显然，软件和硬件是相互作用的，那么就要规定它们之间的沟通桥梁。HSI 在ISO26262 part4 的6.4.7中说明，在annex B 中说明接口的元素有： Meory（RAM， NvRAM），总线 CAN,LIN, HSSL；Coverter( AD,DA, PWM) ,I/O, 看门狗等. 其实就是MCU和外围的接口说明. 下面只举几个例子.

表22表23