EMB系統(tǒng)功能安全分析(2)

以下文章來源于汽車電子研究院，作者ZZ先生志

一、EMB系統(tǒng)功能安全

功能安全概念（functional safety concept，F(xiàn)SC）是以安全目標為最上層需求，進而制定安全機制，實現(xiàn)功能安全需求（functional safety requirement，F(xiàn)SR）的逐層分配。

（1）功能安全架構(gòu)

通過系統(tǒng)功能安全分析，可知 EMB 系統(tǒng)為 ASILD 等級。為實現(xiàn)系統(tǒng)安全要求，同時降低系統(tǒng)成本，本文結(jié)合傳統(tǒng)硬件冗余方案，添加軟件層的校驗以及通過人機界面進行故障警告顯示，建立三路并行的安全機制，可實現(xiàn)系統(tǒng)在硬件層、軟件層的故障探測和駕駛員對車輛信息的實時獲取，保障車輛安全。具體安全措施包括硬件方面的傳感器冗余、加設(shè)狀態(tài)檢測傳感器、電源完全冗余及 CAN 線冗余的硬件冗余和硬件監(jiān)測方式；軟件層面對數(shù)據(jù)進行二次校驗及合理性判斷；系統(tǒng)發(fā)生故障后通過人機界面顯示錯誤和警告信息實現(xiàn)人機交互，系統(tǒng)功能安全架構(gòu)如圖所示。

（2）EMB 系統(tǒng)設(shè)計

根據(jù) EMB 系統(tǒng)基本組成以及上文建立的三路并行的功能安全架構(gòu)，結(jié)合目前應(yīng)用的制動系統(tǒng)電子電器架構(gòu)，可以設(shè)計出面向應(yīng)用的 EMB 系統(tǒng)基本電子電氣架構(gòu)（electrical/electronic architecture，EEA）。系統(tǒng)相關(guān)項定義中已確定了系統(tǒng)基本組成單元，考慮系統(tǒng)的安全機制以及功能安全需求，可對每個功能模塊進行優(yōu)化和調(diào)整。EMB 系統(tǒng)具體電子電氣架構(gòu)如圖所示。

（3）功能安全需求（FSR）分析

根據(jù)系統(tǒng)電子電氣架構(gòu)及安全目標，可通過安全分析技術(shù)分析出系統(tǒng)功能安全需求（FSR），并計算其ASIL 等級。此外，考慮實際應(yīng)用中，較高安全等級的系統(tǒng)零部件制造難度及成本較高，本文按照標準中規(guī)定的汽車安全完整性等級分解規(guī)則，針對系統(tǒng)較高級別的 ASIL 等級需求進行分解，ASIL D 的常用分解規(guī)則如下式所示。

根據(jù) ISO 26262 標準，安全方法有故障樹分析（faulttree analysis， FTA）和潛在失效模式與后果分析（failuremode and effects analysis， FMEA），由于 FTA 方法對于單點失效和多點失效都適用，而 FMEA 只適用于單點失效，所以本文采用 FTA 方法進行安全驗證。這里僅以表中的 SG06 功能安全目標為例，建立 SG06 的故障樹模型如圖。硬件冗余、信號校驗機制和錯誤警告的三路并行的安全機制增加了系統(tǒng)可靠性和魯棒性，通過故障樹分析得出 EMB 系統(tǒng)的功能安全需求，以 SG01 為例，通過 ASIL 分解將系統(tǒng)對某些硬件的高要求轉(zhuǎn)換為較低的要求或?qū)τ布母咭筠D(zhuǎn)換成對軟件和算法的要求，可大幅降低系統(tǒng)成本及制造難度，在應(yīng)用的可行性及系統(tǒng)成本方面具有顯著優(yōu)勢。

（4）系統(tǒng)技術(shù)安全需求（TSR）分析

根據(jù)以上 FSR 分析結(jié)果及系統(tǒng) EE 架構(gòu)，通過安全分析方法將系統(tǒng)的功能安全需求進一步提煉，得出SG01 的技術(shù)安全需求?；谝陨习踩治鼋Y(jié)果，可知該功能安全架構(gòu)設(shè)計在保障系統(tǒng)可靠性的同時，有效降低了 EMB 系統(tǒng)對硬件的安全需求，減少了 EMB 系統(tǒng)的制造難度和成本。