引 言:
随着汽车新四化的发展,整车E/E系统的复杂性也不断增加,功能安全正成为一种更主流的要求。汽车安全完整性等级(ASIL)分解为实现更高水平的诊断覆盖度提供了可靠而稳健的途径,并在开发具有更高ASIL等级的安全关键系统时为研发人员提供了更大的灵活性。本文尝试从ASIL分解背景和分解定义出发,对ASIL分解进展开介绍,通过简单的案例应用对分解进行说明,并于文章最后对ASIL分解进行总结。
目录
1. 功能安全标准
2. 功能安全完整性等级
3. 分解的背景
4. ASIL分解的定义
5.1 ASIL分解示例(ESCL)
5.2 ASIL分解示例(通用)
6. ASIL分解的总结
01
功能安全标准
02
功能安全完整性等级
例如:安全气囊、防抱死制动器和动力转向等系统需要ASIL-D等级(适用于安全保证的最高等级,因为与此类故障相关的风险最高);尾灯等组件通常只需要ASIL-A等级,前灯和刹车灯通常为ASIL-B,雨刷控制通常为ASIL-A;而巡航控制通常为ASIL-C。
03
分解的背景
而且安全关键系统的设计通常可能得益于冗余需求的分配,可以通过以下几点来体现:
◆将系统层面的需求分解为多个冗余的子需求,并且分配给不同的组件;
◆每一个子需求(组件)直接支持达到系统层面的要求;
◆这里意味着必须要确保冗余需求实现的独立性;
◆如果一个组件失效了,其他的组件仍然满足系统层面的要求,因此提高系统的完整性。
那么我们该如何评估所设计的冗余需求呢?不妨通过下面几点展开看:
04
ASIL分解的定义
随着汽车不断地发展并采用更加复杂的电气/电子/可编程电子主导系统,更高性能水平和最高水平诊断覆盖率的应用数量不断增加。ASIL-D等级应用程序有可能受益于ASIL分解架构,该架构为终端设备设计人员在开发具有高ASIL等级要求的安全关键系统时提供了更大的灵活性。
根据ISO 26262定义,ASIL 分解是将安全要求冗余地分配给充分独立的要素 (这里指系统组件[软件或者硬件];硬件组件或者软件单元),目的是降低分配给相关要素的冗余安全要求的ASIL等级(Apportioning of redundant safety requirements to elements, with sufficient independence, for the same safety goal. The objective being reducing the ASIL of the redundant safety requirements that are allocated to the corresponding elements)。
对于要求最高级别诊断覆盖率的ASIL-D等级系统,确保单个系统故障不会导致功能灾难性后果变得异常重要。分解后的体系结构有助于实现这一目标,并且在开发此类系统时可以作为关键的设计选项。
下图展示了ASIL分解符合ISO 26262 Part9中的组合。
05
ASIL分解示例
5.1 ASIL分解示例(ESCL)
综上对电子转向锁非预期接合这一事件分析,该系统应按照功能安全ASIL-D等级要求进行设计开发,由此得出电子转向锁的功能安全目标及安全等级如下:
安全目标:车辆行驶时,避免非预期的接合。——ASIL-D
下图是该功能的简单架构,其中车身控制器通过CAN通讯与MCU进行信息交互,MCU进而通过控制执行机构来将转向锁锁定。
这是一个单通道架构的设计,并且需要MCU 去驱动桥驱来保证随机硬件度量指标满足ASIL-D。设计上的限制可能会强制使用未达到ASIL-D等级的MCU。即使MCU满足ASIL-D指标要求,与BCM通讯的单个MCU仍可能出现通讯故障,从而可能导致车辆在驾驶时接合转向锁。我们可以通过对此要求进行分解来解决。
为了了解使用ASIL分解的正确方法,我们先来看看不正确的分解的实现。
在下图所示的有缺陷的架构中,BMC发送命令来锁定或者解锁转向柱。有一个ABS防抱死系统或者ESP车身电子稳定系统通过CAN通讯来提供车速信息。主MCU负责驱动执行器。辅助MCU仅在车辆静止时负责使能桥驱。但我们从下图中可以看到,辅助MCU通过主MCU接收车速信息,车辆的CAN总线没有独立连接。因此,主MCU上的共因故障可能会导致辅助MCU传输错误的车速信息。这可能会导致安全目标的违反。
下图展示了一个更好的分解解决方案。使用两个独立的CAN通讯来避免共因失效。BMC通过车身CAN将锁定/解锁的指令发给主MCU。ABS/ESP控制器使用底盘CAN与辅助MCU进行通讯,只有在车辆停止时才会启用桥驱。除了作为实现安全目标的更稳妥的方式之外,上述例子的分解还可以使用两个ASIL-B的MCU来实现ASIL-D的功能。
5.2 ASIL分解示例(通用)
06
ASIL分解的总结
参考文献
