汽车电子之功能安全产品设计过程

news2024/11/17 1:37:38

汽车电子之功能安全产品设计过程

内容来自 驱动视界 学习为主。

1.概念阶段
2.系统阶段
3.硬件层面
4.软件层面
5.3“V”
6.大追溯关系

随着电动化、智能化的发展,越来越多的汽车配备了电子电气系统,如电传动系统、助力转向系统、自动驾驶系统等,原有的机械部件被电子器件取代。

而引入如此复杂的电子电气系统对整车安全带来了极大的风险简单的一个元器件老化、失效,都有可能引发系统故障,进而导致事故发生。

因此,对汽车及其相关零部件安全的要求也是越来越高。
为了达到更高程度的安全要求,在针对其他行业安全的通用IEC61508标准的基础上,衍生出针对汽车行业特定的ISO26262功能安全标准。

ISO26262要求车载电子电气系统在检测到潜在的危险情况,启动保护或纠正装置,以防止发生危险事件或提供缓解措施以减少危险事件的后果。

简而言之,功能安全的最终目的是确保产品安全运行,即便出现问题也能够最大程度减少伤害。
所以,在电动化及智能化程度最高的新能源汽车行业,引入和深入实施ISO26262功能安全标准,指导相关的产品开发,是十分必要的。
ISO26262对关键的安全级别进行了四层划分,通过汽车安全完整性等级(ASIL)来衡量。
ASILA是最低等级,要求数目约100个左右,而ASIL D是最高等级,要求数目近200个:

在这里插入图片描述

等级越高,安全系统就需要提供越多的安全和验证措施,需要增加更多的测试和集成工作,也就意味着供应商需要承担更多的开发成本和时间。

为了实现新能源汽车的整车功能安全,需要OEM和各级供应商有着明确的职责划分和合作模式,国外主机厂在与供应商合作中如博世、电装等,都有着明确的功能安全标准和验证要求。
当然不同的汽车部件对功能安全的要求是不同的,越核心的部件需要越高等级的功能安全。

就新能源汽车车辆自身安全而言,电机控制器不得不算是最核心的部件之一,电机控制器作为新能源汽车的动力控制系统,掌握着整车的加速、刹车等关键性能,电控失效带来的安全风险不容忽视,所以,符合功能安全的电控设计正逐渐成为业内的普遍需求,当前对电控的功能安全需求多为ASIL C等级,但在未来,电控的功能安全需求或将提升为ASIL D级,这需要供应商具备复杂度更高、余性更强、可靠性指标更高的电控产品设计能力和水平
下面对功能安全在整个产品设计过程中的应用进行详细介绍。

1.概念阶段

概念阶段主要任务是从整车层面确定功能,针对功能失效的危害事件进行风险评估并制定安全目标(主要属性:ASIL等级、FTTI和安全状态)导出功能安全需求。
本部分主要有4个活动(如图2),接下来咱们就来讲讲这些活动主要实现什么。
注:FTTI:从故障发生到故障处理完成的时间,FTTI时间是从整车层面定义,零部件的FTTI时间为其中一部分。
在这里插入图片描述

(1)相关定义
在汽车功能安全领域,很多人都有听说过HARA分析。
但在进行HARA分析之前,需要先定义项目要实现的功能,以及实现该功能产品的使用环境、与其它产品相关的依赖性和相互影响、法规要求、系统和组件之间的接口和边界条件,这就是相关项定义的主要目的。
在此活动中需要画一个与相关项相关的物理架构图,即为项目边界图,定义系统的边界和与它相关联的系统。

值得注意的是,针对零部件厂家此处的功能是零部件在整车层面体现的功能。
如:电机控制器的提供扭矩功能,简称“扭矩功能”,在HARA分析后的功能就会这样描述“请求正向动力实际输出反向动力”属于比较细化的描述。

(2)HARA分析
危害分析和风险评估针对相关项所定义的每一个功能分别进行HAZOP分析(功能无、功能多、功能少功能相反、非预期卡滞)。
在定义危害事件(整车故障、路面状况、天气状况、驾驶情景和用户),最后进行风险评估确定每一条危害事件的ASIL等级,从S(严重度)、E(暴露概率)、C (可控性)三个角度进行分析
注:巧记S+E+C=7对应ASIL A;S+E+C=8对应ASIL BS+E+C=9对应ASILC;S+E+C=10对应ASIL D。

(3)安全目标
完成HARA分析后,应为每一条危害事件确定安全目标。
安全目标是最高层面的安全需求,其重要属性包括ID、描述ASIL等级、FTTI、安全状态。
ASIL等级为所覆盖的危害事件的最高等级。
产品的最后验证活动也就是从整车层面确定ASIL等级和安全目标,是大“V”验证活动中最后一个活动“安全确认”。

(4)功能安全需求
功能安全需求是由安全目标和安全状态导出,可能有人会问如何导出?把它简单理解成一个分解的过程就行。
例如:确保把大象放进冰箱里这个“安全目标”,第一步打开冰箱门;第二步把大象装进冰箱;第三步关上冰箱门,这三步就是根据“安全目标”导出的“功能安全需求”。
注意:在分解过程中,需要继承安全目标最高ASIL等级。
功能安全需求是大“V”验证活动中,对应整车集成和测试为了使导出的功能安全需求更具完整性,可以通过整车层面的安全分析导出,如: FMEA、FTA、HAZOP。
目前行业内常用FTA方法。
其方法将每个安全目标的故障作为FTA的顶事件,然后将每个安全目标相关设备的物理框图画出来,用FTA分析相关设备失效将FTA分析的每一个可能的底事件和未开展事件都需要定义相应的安全需求来降低危害事件发生的可能性。
例如:整车控制器与电机控制器之间通信的CAN总线错误可能导致安全目标违背,于是就提出“要求整车控制器输出的信号需要进行时序保护和CRC校验,以保证传输给电机控制器的信号正确这样一条功能安全需求。

2.系统阶段
系统阶段主要根据功能安全需求和其它非安全需求一起整合并细化成技术(安全)需求,然后进行系统设计,形成技术(安全)概念,并将技术(安全)需求分配给软硬件。
此阶段主要有6个活动,见图3,接下来详细讲一下各过程。

在这里插入图片描述

(1)技术(安全)需求
大家看到标题中的“安全”用括号是否会感到好奇呢。
咱们就先从这讲起,工程师们想想就知道,作为一个产品不可能只有安全相关的需求,肯定需要一些非安全相关的需求才能做出一个完整的产品。
在系统阶段的第一个任务,就是将功能安全需求和非安全需求整合并细化成技术(安全)需求
非安全相关的需求包括:装配工艺(如:特殊点胶位)、振动需求、性能需求等。
在细化安全需求时,需要将安全机制及具体实施方案考虑进去。

确定产品开发设计的相关方案,如上面例子第二步“把大象装进冰箱”,在这里就要细化成是买冰箱还是自己做冰箱,以及把活的大象赶进去还是杀了后整头或切块装进去。
在此活动中需要注意ASIL等级的分解。
此活动对应大“V”的系统集成和测试。

(2)系统架构设计
大家看到这部分标准可能很容易犯迷糊,不清楚系统架构是啥意思,也不知道如何下手
其实系统架构设计就是将技术(安全)需求描述的功能模块用框图的形式表示出来,即为每一条需求的技术解决方案以框图形式表达。
框图的输入、输出接口就是功能模块的输入、输出接口,然后把所有的框图组合在一起就成了系统架构图。
需求的ID要与系注意这里面包含两个内容,第一、技术(安全)统架构的ID对应,确保需求与架构一致;第二、要将模块接口描述的参数信息写到架构的接口参数描述当中去。
另外系统架构应该从概念阶段的初步架构中展开设计系统架构等把整个产品的架构设计好后,打开概念阶段的架构点击深入就是系统阶段的架构,再点击深入就是软硬件层面的架构
就像咱们看地图一样,先是从地球放大展开找到中国再放大找到省再放大找到市。
作为一个工程师想想自己设计出这样的架构是不是很漂亮。

(3)安全分析和相关性失效分析
安全分析是分析系统性失效的工具,目的是帮助与支持设计。
在系统阶段的安全分析需要用到两种,分别为FMEA、FTA。
FMEA和FTA都是以识别系统性失效的原因和系统性故障影响的工具,FTA是演绎分析法,FMEA是归纳分析法。
演绎分析,从上往下分析导出安全目标违背的根本原因;归纳分析,从下往上采用故障模型(可采用HAZOP关键字)对可能导致安全目标违背的所有失效模式进行分析。
两者可以相互验证且都是通过分析验证架构来满足技术(安全需求,一般分析安全机制的需求是否满足功能安全需求的要求。
相关性失效分析又称为独立性分析简称DFA。
DFA主要识别在不同ASIL等级的模块间不能相互千扰,以达到不违背安全需求或安全目标。
技术(安全)需求、系统架构设计、安全分析和DFA是一个迭代过程,如果安全分析的结果,发现技术(安全)需求细化的安全机制不够全面,就需要去更新需求同时也要更新架构,以达到四者一致。

(4)软硬件接口设计
软硬件接口设计就是将软件与硬件交互的内容定义清楚,先将接口定义清楚,方便软件工程师和硬件工程师分别设计。
在后续产品硬件和软件分别验证完成后,可以进行软硬件集成和测试。
站在实际开发角度来讲,也可以减少软硬件工程师之间扯皮的事情。

3.硬件层面
需求导出硬件(安全)需求并通过硬件层面就是根据技术(安全)硬件设计来实现
在详细设计后,分析随机硬件故障失效和影响。
在硬件层面有6个活动:

在这里插入图片描述

硬件(安全)需求、硬件架构设计、安全分析这三个活动与系统阶段同理,这里就不再赘述
在这里主要讲下硬件详细设计和FMEDA。
硬件(安全)需求对应小“V”的硬件集成和测试。

(1)硬件详细设计
硬件详细设计是原理图级别的设计,根据硬件(安全)需求和硬件架构来设计原理图。
特别需要注意原理图模块电路需要跟硬件架构的模块对应,模块之间的接口也要一样。

(2)FMEDA
FMEDA(随机硬件失效导致违背安全目标的评估)是评估硬件随机失效的方法
针对每一个ASIL等级的开发,根据ISO26262标准要求具有相应的量化指标需要满足,如ASIL B PMHF<100FIT,SPFM290%LFM260%。
FMEDA分析就是确定是否满足安全目标所定义的ASIL等级目标值。
输入原理图和BOM结合安全目标,对原理图上的元器件逐个进行FMEDA分析,通过查找行业认可的失效率手册(SN29500IEC62380等)获取元器件的基础失效率,然后针对每一个元器件分析单点故障和残余故障,多点故障和潜伏故障,考虑对应安全机制的诊断覆盖率确定安全失效总和、单点故障失效和残余故障失效总和,计算单点故障失效率和潜伏故障失效率以及随机硬件故障失效率衡量是否满足量化指标。

4.软件层面
软件层面的软件(安全)需求跟硬件层面一样,都是从技术(安全)需求那里导出,但在细化软件(安全) 需求时应考虑硬件约束及其对软件的影响。
软件层面共有7个活动:
在这里插入图片描述

软件(安全)需求、软件架构设计、安全分析跟前面讲的一样是迭代过程,软件(安全)需求和安全分析与系统阶段工作内容同理,这里就不再赘述。

(1)软件架构设计
软件架构跟硬件架构一样,先要实现软件(安全)需求,还需要描述各软件模块及其在层次结构中的交互。
交互包括两方面,静态和动态。
静态:需要把每个模块与模块之间的接口和数据路径描述清楚动态:需要将模块与模块之间的时序和定时描述清楚。
此活动对应小“V”的软件集成和测试。

(2)软件单元设计与实现
软件单元设计与实现主要是根据软件架构和软件(安全)需求详细定义软件单元并按照定义实现软件单元代码,并且在单元测试之前需要先进行静态测试。
特别需要注意软件代码模块与软件架构的模块对应,模块之间的接口、静态接口描述的一样。
此活动对应小“V”的软件单元测试。

5.3“V”

ISO26262基于“V”模型开发产品验证,可能很多工程师不清楚活动对应关系。
现在我把3个“V”对应的活动用图示方式画出来,图6是大“V”对应的活动,图7是硬件“V”对应的活动,图8是软件“V”对应的活动。

在这里插入图片描述
注:硬件阶段的验证也可以参考软件V模型,将测试分成三个部分。
针对硬件详细设计验证的硬件模块测试;针对硬件架构设计验证的硬件集成和测试,以及针对硬件需求验证的硬件测试,分别定义测试用例进行测试,使验证和设计的追溯更清晰,只是因为硬件需要将所有电路模块整合在一片板上才方便工作,所以看起来只有一个测试活动。

在这里插入图片描述

6.3大追溯关系

(1)需求之间的追溯关系
各个部分的需求从上到下是可以相互追溯的,需求追溯也是审核时的重点关注内容。
在这里插入图片描述

(2)需求与架构的追溯关系
系统需求对应系统架构、硬件需求对应硬件架构、软件需求对应软件架构,每个阶段的需求和架构都是可以相互追溯。
架构是需求的实现以及进一步详细设计的依据。
(3)设计和验证的追溯关系
如图6、图7、图8中的3V模型可以知道V模型的左边的设计和右边的验证,这也就是设计验证的追溯关系.
例如:技术安全概念对应系统集成和测试、功能安全概念对应整车集成和测试。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/73153.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

数据库日常实操优质文章分享(含Oracle、MySQL等) | 11月刊

墨天轮社区正持续举办【聊聊故障处理那些事儿】DBA专题征文活动中&#xff0c;每月进行评优发奖&#xff0c;鼓励大家记录工作中遇到的数据库故障处理过程&#xff0c;不仅用于自我复盘与分析&#xff0c;同时也能帮助其他的同仁们避坑。 这里为大家整理出了11月的13篇优质文章…

Spring Cloud OpenFeign

RestTemplate 是springweb组建 作为Spring Cloud的子项目之一&#xff0c;Spring Cloud OpenFeign 是一种声明式、模板化的 HTTP 客户端&#xff0c;在 Spring Cloud 中使用 OpenFeign&#xff0c;可以做到使用 HTTP请求远程服务时能与调用本地方法一样的编码体验&#xff0c;开…

java自封装加密摘要工具类

首先 可以去看这篇文章 Java md5加密 - 酷盖的小机灵 - 博客园 MessageDigest&#xff08;加密&#xff09;_禅悟刂的博客-CSDN博客_messagedigest 在实际开发中&#xff0c;需要将用户的密码这种敏感字段加密后存储到数据库中&#xff0c;千万不可以用明文存储。 加密原理 为…

[旭日X3派] 初识篇 - 02

开局先给整个详细产品参数~ 处理器地平线旭日 X3M 芯片CPU四核 ARM Cortex-A531.2GHzBPU双核 1GHz&#xff0c;等效算力 5 TOPS内存2G/4G Byte LPDDR4存储器外置TF卡摄像头MIPI CSI 2lane 2显示接口HDMI 1 (up to 1920 1080); MIPI-DSI 1 (up to 1920 1080);USB HostUSB …

[Android移动安全渗透基础教程] 工具篇

也许每个人出生的时候都以为这世界都是为他一个人而存在的&#xff0c;当他发现自己错的时候&#xff0c;他便开始长大 少走了弯路&#xff0c;也就错过了风景&#xff0c;无论如何&#xff0c;感谢经历 0x01 从 Play Store中提取 .apk 文件 1.1 问题的来源 当想要从 Play S…

ComponentOne Studio WPF部署功能完全兼容

ComponentOne Studio WPF部署功能完全兼容 ComponentOne WPF Edition是一组易于使用的WPF组件&#xff0c;包括.NET应用程序的高级网格、图表、报告和调度控件。ComponentOne WPF控件使用XAML构建&#xff0c;以促进团队协作&#xff0c;并与Windows Presentation Foundation的…

ChatGPT ,能替代程序员吗?

最近朋友圈都在聊一个ai&#xff0c;知乎甚至一度上了热榜&#xff0c;现在已经有540个回答了 好嘛&#xff0c;既然咱也是个程序员&#xff0c;这不得体验一波&#xff1f; 当我火急火燎的点开时 乳化&#xff0c;赤裸裸的乳化&#xff01; 体验 问题不大&#xff0c;还有闲…

Nacos的服务心跳

nacos的实例分为临时实例和永久实例两种,相应的不同的实例会用有不同的心跳机制. 临时实例基于心跳方式做健康检测,永久实例是有Nacos主动探测实例状态. 可以通过在yaml文件配置. spring:application:name: order-servicecloud:nacos:discovery:ephemeral: false # 设置实例为…

举个栗子~Minitab 技巧(6):使用 T 检验 分析产品质量

在企业生产过程中&#xff0c;我们往往需要对产品质量负责。最常见的场景是&#xff0c;如何判断生产线中的产品&#xff0c;是否满足质量标准&#xff1f;比如&#xff0c;某工厂现有一批产品&#xff0c;目标生产重量是 20g&#xff0c;通过随机抽取不同的产品&#xff0c;如…

springsecurity

目录 一、权限管理简介 1、什么是权限管理 2、认证 2、基于资源的访问控制 三、Spring Security概述 1&#xff0c;Spring Security简介 2、Spring Security快速入门 2.1、引入依赖 2.2、创建一个控制器 2.3、启动项目 四、Spring Security 认证配置 1、WebSecurity…

公司自研组件库打包之后chunk.css文件25W行代码

项目场景&#xff1a; 基于Antd开发的UI组件库&#xff0c;主要分为两部分。 一部分是基础组件&#xff0c;直接在Antd的基础上包了一层&#xff0c;然后根据自身需求拓展了新的功能。如&#xff1a; input的状态除了本身支持的error和warning两种&#xff0c;额外增加了成功的…

手写JS—深拷贝

什么是深拷贝 一个引用对象一般来说由两个部分组成&#xff1a;一个具名的Handle&#xff0c;也就是我们所说的声明&#xff08;如变量&#xff09;和一个内部&#xff08;不具名&#xff09;的对象&#xff0c;也就是具名Handle的内部对象。它在Manged Heap&#xff08;托管堆…

Real diff算法是怎么运作的?

React 的 Reconciliation 算法原理 React 的渲染机制 Reconciliation 过程 React 采用的是虚拟 DOM (即 VDOM )&#xff0c;每次属性 (props) 和状态 (state) 发生变化的时候&#xff0c;render 函数返回不同的元素树&#xff0c;React 会检测当前返回的元素树和上次渲染的元素…

论文阅读笔记 | 三维目标检测——PV-RCNN算法

如有错误&#xff0c;恳请指出。 文章目录1. 背景2. 网络结构2.1 Feature Encoder and Proposal Generation2.2 voxel-to-keypoint scene encoding2.3 Keypoint-to-grid RoI Feature Abstraction3. 实验部分paper&#xff1a;《PV-RCNN: Point-Voxel Feature Set Abstraction f…

JavaScript -- DOM事件总结

文章目录事件1 事件对象简介2 Event对象3 冒泡4 事件的委派5 事件的捕获事件 1 事件对象简介 事件对象是由浏览器在事件触发时所创建的对象&#xff0c;这个对象中封装了事件相关的各种信息通过事件对象可以获取到事件的详细信息比如&#xff1a;鼠标的坐标、键盘的按键…浏览…

单频信号的相位谱计算与误差修正-附Matlab代码

一、问题描述 我们在实际处理时经常遇到只有一个正弦信号的情况&#xff0c;其频率为 f0{{f}_{0}}f0​&#xff0c;在谱分析以后&#xff0c;除了在频率为 f0{{f}_{0}}f0​处有相位数值外&#xff0c;其他频率处都有相位数值&#xff0c;分析其他频谱出现相位值的原因。 例如…

外部tomcat资源整合

Spring Boot应用默认是以jar包方式运行的&#xff0c;Springboot默认有内置的tomcat&#xff0c;在启动的时候会自动的将项目发布&#xff0c;这样各有利弊。 优点&#xff1a;简单&#xff0c;便携 缺点&#xff1a;不支持jsp, 定制优化比较麻烦&#xff0c;需要自己编写ser…

如何开发一个婚恋交友系统?开发功能特点有什么?

婚恋平台为年轻人开启了一个交流恋爱的方式&#xff0c;一方面为的是适龄的年轻单身人士&#xff0c;另一方面为一部分大龄单身人士&#xff0c;解决单很多身人 士的需求&#xff0c;婚恋平台的开发&#xff0c;跟随着互联网的发展&#xff0c;抢占了小程序的热门市场&#xf…

Java线程实现

内容引用自《深入理解Java虚拟机&#xff1a;JVM高级特性与最佳实践&#xff08;第3版&#xff09;周志明》 线程的实现 我们知道&#xff0c;线程是比进程更轻量级的调度执行单位&#xff0c;线程的引入&#xff0c;可以把一个进程的资源分配和 执行调度分开&#xff0c;各个…

React框架入门

React是用于构建用户界面的JavaScript库&#xff0c; 起源于Facebook的内部项目&#xff0c;该公司对市场上所有 JavaScript MVC框架都不满意&#xff0c;决定自行开发一套&#xff0c;用于架设Instagram的网站。于2013年5月开源 一、React简介 React以声明式编写 UI&a…