根據(jù)ISO26262規(guī)范開發(fā)ASIL-D等級的EPS演示系統(tǒng)

圖3：硬件設(shè)計： 技術(shù)安全概念，EPS安全狀態(tài)控制

圖3為技術(shù)安全概念中的安全狀態(tài)控制。MPC5643L通過預(yù)驅(qū)動芯片MC33937A和功率橋控制電機。MC33907提供系統(tǒng)電源管理和系統(tǒng)監(jiān)控。當出現(xiàn)故障時，系統(tǒng)必須在規(guī)定時間內(nèi)到達安全狀態(tài)，即電源繼電器和電機隔離繼電器必須及時斷開。MPC5643L和MC33907的各自獨立輸出控制信號，再經(jīng)過邏輯“或”后，控制這兩種繼電器。

3.2 軟件設(shè)計

系統(tǒng)軟件可分為底層驅(qū)動、操作系統(tǒng)和應(yīng)用層任務(wù)。應(yīng)用層任務(wù)有包括控制任務(wù)和監(jiān)控任務(wù)。這些軟件同時運行于MPC5643L的處于鎖步模式的雙PowerPC核上。圖4為系統(tǒng)的軟件安全概念。

從功能安全的角度，系統(tǒng)軟件必須考慮避免、檢測或處理隨機硬件故障和軟件系統(tǒng)故障。因此，系統(tǒng)軟件實現(xiàn)了多種安全機制，并且遵循ISO26262軟件開發(fā)流程。EPS系統(tǒng)軟件在系統(tǒng)整合層面上需要滿足ISO26262 ASIL-D 的需求。圖4所示的軟件安全概念通過組件冗余實現(xiàn)了ASIL分解，即控制通道(任務(wù))ASIL-B(D)和監(jiān)控通道(任務(wù))ASIL-B(D)。

圖4：軟件設(shè)計： 軟件安全概念

3.3安全確認

在產(chǎn)品概念階段和產(chǎn)品開發(fā)階段都需要進行安全分析，其目的：

· 檢查故障和失效對系統(tǒng)造成的影響

· 列出可能導(dǎo)致安全目標偏離的條件和原因

· 發(fā)現(xiàn)原先設(shè)計沒考慮到新危險

對于ASIL-D應(yīng)用來說，需要進行歸納和演繹式的安全量化。在系統(tǒng)層面，采用基于故障樹(FTA)的系統(tǒng)安全分析方法，自上而下的演繹出可能導(dǎo)致安全目標偏離的條件和原因，如圖5列出了可能導(dǎo)致電機產(chǎn)生自主扭矩的條件和原因。而系統(tǒng)FMEDA則為故障樹的末端節(jié)點(事件)提供了具體的失效率。

圖5：EPS故障樹：電機自主扭矩

結(jié)論

ISO26262功能安全標準將近年來汽車電子安全模塊設(shè)計者的經(jīng)驗和先進的頂層設(shè)計理念結(jié)合起來，提供了一整套魯棒性設(shè)計和過程管理的方法，對國內(nèi)EPS系統(tǒng)供應(yīng)商來說既是挑戰(zhàn)又是機遇。飛思卡爾長期關(guān)注和積極投資這一汽車安全應(yīng)用，及時推出了SafeAssure的軟硬件產(chǎn)品和面向ASIL-D的EPS演示系統(tǒng)，并且殷切希望和國內(nèi)客戶緊密合作，來提升國內(nèi)EPS系統(tǒng)的整體設(shè)計水平和產(chǎn)品檔次。