随着汽车成为我们日常生活不可或缺的重要交通工具,消费者对汽车的安全性、智能性和娱乐性要求日益提高,政府在制定汽车技术法规时考虑越来越全面(例如美国、日本、欧洲将TPMS,Tire Pressure Monitoring System,胎压检测系统列为强制要求)、法规的要求也越来越严格,使得汽车上的E/E(Electronic and Electrical,电子电气)系统越来越复杂。具体到汽车安全性要求,国际标准化组织(ISO)制定的ISO26262(Functional Safety,功能安全)成为近年来行业内讨论的热点,但是在车型E/E系统开发流程中应如何考虑功能安全,许多工程师还存在疑惑。
本文将为大家剖析E/E系统开发流程中的功能安全。首先,第一部分介绍没有功能安全的E/E系统开发流程,接下来第二部分介绍功能安全过程,最后第三部分介绍引入功能安全后的E/E系统开发流程。
•E/E系统开发流程
整车开发大致分成4个阶段,如图1所示:
E/E系统开发流程涉及整车V模式开发流程中的前三个阶段:需求定义、架构设计和系统设计。
需求定义阶段的主要工作是“用文字描绘出要做什么样的车”,即根据市场调研结果(用户需求、对标车型、法律法规等)和历史车型数据整理出整车配置表、VTS(Vehicle Technical Specification,整车技术规范)、Feature List(功能特性列表)和各SSTS(Subsystem Technical Specification,子系统功能规范)。
架构设计阶段的主要工作是“用框图描绘出要做什么样的车”。主要工作是进行功能分配和网络拓扑设计。
系统设计的主要工作是“告诉供应商应该如何去做”。具体包含网络通信设计、硬件信号设计、电源系统选型设计、电气原理设计、电源分配和接地系统设计等工作。
•功能安全
ISO26262标准第一版发布于2011年,适用于总重不大于3.5吨的量产型乘用车。这一标准主要针对汽车上的E/E系统提出,目的是使得符合该标准的车上“不存在不可接受的由E/E系统失效所导致的风险”。
ISO26262标准包含10个部分,其中跟汽车V模式开发流程相关的是概念阶段(第3部分)、产品开发系统级(第4部分)、产品开发硬件级(第5部分)、产品开发软件级(第6部分)、以及生产和运行阶段(第7部分)。在这几个阶段中,跟汽车制造商紧密相关的则是概念阶段(第3部分)。
概念阶段的主要工作包含:相关项定义、安全生命周期初始化、HARA(Hazard Analysis and Risk Assessment,危害分析和风险评估),以及提出功能安全需求并进行需求分配。相关项定义描述整车有哪些功能,功能之间的接口、法律法规要求、环境约束等,安全生命周期初始化的主要工作是识别这些功能是全新开发,还是在原有的实现方案上进行修改。如果是全新开发,则执行完整的安全生命周期,如果是修改后复用则需要对安全生命周期进行裁剪。HARA主要是识别不同驾驶情境下功能故障(malfunction) 在整车级别造成的危害,并且通过评估危害事件的严重性S、暴露率E和可控性C得到危害事件的ASIL等级(Automotive Safety Integrity Level,汽车安全完整性等级,分为A,B,C,D四个等级,A是最低等级,D是最高等级),从而得出SG(Safety Goal,安全目标)及其ASIL等级。
•E/E系统开发流程中的功能安全
1)需求定义阶段中的功能安全工作
SSTS与HARA分析
Feature List定义清楚之后,需要对这些Feature进行进一步细化,即形成详细的SSTS。比如TPMS SSTS(胎压检测子系统功能规范)。与Feature List比,SSTS对功能的定义会更加详细,一般需要描述清楚该子系统与外部的关联关系,比如需要输入哪些总线信号(比如车速信号),哪些硬线信号(比如点火钥匙开关信号),输出哪些总线信号(比如轮胎压力过低报警信号),哪些硬线信号。还需要列出更细节的功能点,比如轮胎压力过低报警、轮胎温度过高报警、轮胎压力值显示、轮胎温度值显示、轮胎快速漏气报警、左右轮失衡报警等。在SSTS初步完成之后,就可以进行相关项定义,如果是全新开发,下一步是进行HARA分析。HARA分析完成后,可以再对SSTS进行完善,增加SG。比如轮胎压力过低报警功能,其功能故障为:轮胎压力过低报警不工作,相关的驾驶情景为高速行驶,高速行驶的暴露率E4, 如果高速行驶的时候胎压过低,但是没有报警,有可能发生爆胎事件导致严重车祸,严重度为S3,驾驶员来不及做任何反应,所以可控性为C3,根据ISO 26262 标准的风险矩阵得到此危害事件的风险为ASIL D,那么安全目标是避免胎压过低报警不工作, ASIL D。那么对于轮胎压力过低报警功能,就增加了一个功能安全需求。
2)架构设计阶段中的功能安全工作
功能分配、网络拓扑设计与功能安全概念
功能分配与网络拓扑设计过程比较复杂。需要权衡汽车制造商的总体需求、各供应商的现有解决方案、总线负载率等因素,因此需要同时进行。换言之,功能分配完成,则网络拓扑设计完成。由于HARA分析得出的SG已经包含在SSTS中,所以功能安全需求在这一过程中随SSTS分配而分配。被分配到的控制器,就继承了SG及其ASIL等级。此时,可能就会存在一个SG被分配给多个控制器实现,或者一个控制器实现多个SG的情况。同时,功能安全也会影响功能需求的分配,如果一个控制器大部分功能是QM,只有一个或者很少的功能是ASILD 等级的,那么可以考虑把这个需求分配给已经分配了ASILD等级的控制器。这样可以节省成本,因为高ASIL等级意味着高成本。
另外,这一阶段还需要在通信系统相关文档中对功能安全相关的信号进行说明,以便后续网络设计时,增加对应的功能安全机制。
3)系统设计阶段中的功能安全工作
网络通信设计中的功能安全
网络通信设计除了要保证常规通信、诊断、网络管理和标定需求,还要重点考虑跟功能安全相关的总线通信信号。设计这类信号时,需要增加计数器(Counter)、超时监测(Timeout monitoring)、数据ID(Data ID)和CRC等安全机制。
•恒润E/E系统设计和功能安全服务
标杆车解析服务
EEA设计咨询
功能安全咨询
功能安全认证
|