根據ISO26262規(guī)范開發(fā)ASIL-D等級的EPS演示系統(tǒng)

圖3：硬件設計： 技術安全概念，EPS安全狀態(tài)控制

圖3為技術安全概念中的安全狀態(tài)控制。MPC5643L通過預驅動芯片MC33937A和功率橋控制電機。MC33907提供系統(tǒng)電源管理和系統(tǒng)監(jiān)控。當出現故障時，系統(tǒng)必須在規(guī)定時間內到達安全狀態(tài)，即電源繼電器和電機隔離繼電器必須及時斷開。MPC5643L和MC33907的各自獨立輸出控制信號，再經過邏輯“或”后，控制這兩種繼電器。

3.2 軟件設計

系統(tǒng)軟件可分為底層驅動、操作系統(tǒng)和應用層任務。應用層任務有包括控制任務和監(jiān)控任務。這些軟件同時運行于MPC5643L的處于鎖步模式的雙PowerPC核上。圖4為系統(tǒng)的軟件安全概念。

從功能安全的角度，系統(tǒng)軟件必須考慮避免、檢測或處理隨機硬件故障和軟件系統(tǒng)故障。因此，系統(tǒng)軟件實現了多種安全機制，并且遵循ISO26262軟件開發(fā)流程。EPS系統(tǒng)軟件在系統(tǒng)整合層面上需要滿足ISO26262 ASIL-D 的需求。圖4所示的軟件安全概念通過組件冗余實現了ASIL分解，即控制通道(任務)ASIL-B(D)和監(jiān)控通道(任務)ASIL-B(D)。

圖4：軟件設計： 軟件安全概念

3.3安全確認

在產品概念階段和產品開發(fā)階段都需要進行安全分析，其目的：

· 檢查故障和失效對系統(tǒng)造成的影響

· 列出可能導致安全目標偏離的條件和原因

· 發(fā)現原先設計沒考慮到新危險

對于ASIL-D應用來說，需要進行歸納和演繹式的安全量化。在系統(tǒng)層面，采用基于故障樹(FTA)的系統(tǒng)安全分析方法，自上而下的演繹出可能導致安全目標偏離的條件和原因，如圖5列出了可能導致電機產生自主扭矩的條件和原因。而系統(tǒng)FMEDA則為故障樹的末端節(jié)點(事件)提供了具體的失效率。

圖5：EPS故障樹：電機自主扭矩

結論

ISO26262功能安全標準將近年來汽車電子安全模塊設計者的經驗和先進的頂層設計理念結合起來，提供了一整套魯棒性設計和過程管理的方法，對國內EPS系統(tǒng)供應商來說既是挑戰(zhàn)又是機遇。飛思卡爾長期關注和積極投資這一汽車安全應用，及時推出了SafeAssure的軟硬件產品和面向ASIL-D的EPS演示系統(tǒng)，并且殷切希望和國內客戶緊密合作，來提升國內EPS系統(tǒng)的整體設計水平和產品檔次。