TÜV北德功能安全论谈第十六期:ASPICE 3.1硬件扩展及ISO 26262硬件要求的一致性协调 (上)

2021-02-26 10:37:18·  来源:TUV北德认证  
 
在汽车行业,随着越来越多的汽车子系统变得与安全相关,并因此受到ISO 26262的约束,评估硬件开发过程已成为关键的必要条件。ISO 26262是处理道路车辆电子功能安

在汽车行业,随着越来越多的汽车子系统变得与安全相关,并因此受到ISO 26262的约束,评估硬件开发过程已成为关键的必要条件。ISO 26262是处理道路车辆电子功能安全的标准。ISO 26262依赖于系统、硬件和软件开发的ASPICE过程,并通过定义如何确定汽车部件的安全完整性水平以及如何通过设计实现这些安全完整性的最新技术的特定条款和方法对其进行了扩展。硬件工程在这方面起着至关重要的作用,如果底层硬件出现缺陷,则即使是已成功测试并具有100%测试覆盖率的软件,也可能会产生错误。
 
汽车SPICE版本3.1已于2017年11月发布,VDA已于2018年1月发布了解释指南ASPICE 3.1。其中,附录D中的Automotive SPICE 3.1概述了硬件和机械SPICE评估模型概念。那么,如何进行两者硬件要求一致性协调?本文做了初步讨论。
 
01、汽车SPICE 3.1硬件和机械模型概念
Automotive SPICE 3.1包含HWE.1至HWE.6过程的描述和基本实践。HWE-SPICE包括以下过程:

HWE.1硬件需求分析

HWE.2硬件架构设计

HWE.3硬件详细设计

HWE.4硬件单元验证

HWE.5硬件集成与集成测试

HWE.6硬件鉴定测试
 
下图演示了Automotive SPICE 3.1中的硬件和机械模型概念。
 
图片来源:Automotive SPICE®过程参考模型过程评估模型版本3.1
02、 硬件术语对应关系
在Automotive SPICE中,软件分解成的最小部分称为SW单元。那么,什么是硬件单元的最小部分?功能安全(ISO 26262)规范包括硬件评估,因此ISO 26262规范的术语已经被重新使用。然而,ISO 26262标准没有定义硬件单元,而是定义了硬件要素和硬件部件。
 
硬件要素(ISO 26262)

ISO 26262: 系统(2.129)、组件(2.15,硬件、软件)、硬件元器件(2.55)或软件单元(2.125)

此范围内的硬件设备的最高级别

HWE.1要求与此级别相关

HWE.2描述了要素的体系结构
 
硬件单元(新定义)

硬件单元是可以分配特定硬件子功能的最小硬件模块。

HWE.3描述了这些硬件单元的详细设计,这些硬件单元由硬件部分组成

下图描述了一个架构,其中定义了硬件元素的硬件单元
图片来源:网络公开图片
 
如图所示,该模块的功能是将230V转换为12/5V的电源电路,这包括不同的硬件部件,并将它们集成到一个硬件单元中。硬件单元具有可映射到单元测试的功能,包括等效类测试:

在240V以上测试时,保险丝F1应点火,无电压输出

在230±10V电压范围内进行测试,系统工作并提供12/5V电压

硬件单元还可以包括诊断输出,例如连接到ADC,然后将测量的电压写入寄存器
 
硬件部件(ISO 26262)

硬件的最低级别

在本适用范围内被认为不可细分的部分

例如:电阻或集成电路IC
 
03 、需要集成的功能安全硬件要求
在ISO 26262中,安全审核是对产品的评估。在评估硬件时需要考虑的方面包括:
 
选择受安全目标影响的零件

受安全目标影响的所有硬件部件都从安全目标继承ASIL(汽车安全完整性级别,ASIL A–D)。例如在转向系统中,不产生超过驾驶员要求的扭矩。驾驶员转向扭矩由扭矩传感器测量,此扭矩由ECU(电子控制单元)计算,并用于控制电动马达,以便在转向齿条/系统上提供此扭矩。此功能链中受安全目标影响的每个硬件部分都标有适当的ASIL A-D级别。在转向过程中,上述安全目标被评定为ASIL–D。这包括:

控制器

扭矩传感器

从扭矩传感器到ASIC的连接器

转换扭矩传感器的ASIC/IC

ASIC与控制器之间的连接/总线

ECU上的存储器

驱动马达的电桥

电桥连接到电机和IC以提供相电流
 
失效率

FIT代表时间上的故障,用109个工作小时内发生的危险失效来衡量。ASIL越高,硬件部件的可靠性就越高。安全目标等级为ASIL D,例如需要达到10FIT,即10-8。109小时的观测时间现在很容易达到,因为现在汽车的寿命估计为104小时,使用这个组件,车队可能会超过100万辆(106),总计104*106=1010小时。当查看受安全目标影响的单个硬件单元时,ISO 26262标准假设平均约100个此类组件,每个组件有10-10小时,因此100*10-10=10-8 (满足10-8 ASIL–D目标)。
 
使用诊断覆盖率来降低FIT

ISO 26262第5部分的附录D包括了说明60%、90%或99%诊断覆盖率的指导。简化理解如下:

60%—仅接受范围内的值,因此系统仅使用有效值进行计算

可以识别90%的漂移,因此如果传感器开始漂移,可以检测到偏差。这通常需要另一个单独的通道和传感器进行比较。

99%—尖峰化,检测到振荡的影响

99.9%—与硬件制造商一起测试所有已知的现场问题并检测故障

然后使用诊断覆盖范围来减少配合。例如:如果一个控制器的FIT为400,但在该体系结构中,使用第二个不同的控制器来比较诊断覆盖率增加到99%。如果检测到所有已知的控制器错误(例如,两个不同的控制器没有相同的故障),诊断覆盖率将增加到99.9%。然后,未检测到危险错误的概率仅降低到1–0.999=0.001,然后将400配合减少到400*0.001=0.4。
 
单点故障和潜在故障

单点故障意味着如果单个硬件部件出现故障,则会出现危险错误。潜在故障是指硬件部分发生故障,诊断没有检测到故障,然后出现潜在故障。单点故障度量使用上述拟合和诊断覆盖率。
 
分解策略

如果将ASIL–D分配给硬件单元,则需要做出设计决策,因为大多数情况下,无法以ASIL-D质量获得硬件单元/部件,通过使用两种不同的独立和多样化的渠道,有助于将诊断覆盖率提高到99.9%,从而消除FIT。因此,在大多数ASIL排名系统分解成平行的独立单元。
 
安全使用HSI–软硬件接口

HSI指定安全关键软硬件接口,并分配原始变量和功能软件变量。这允许监控和测试影响安全系统行为的安全关键物理和软件参数。
 
故障模式、影响和诊断分析及FTA

对于每个安全目标,受影响的硬件部件及其相关的诊断覆盖率用于计算单点故障的总失效率。对于每个安全目标,受影响的硬件部件及其相关的诊断覆盖率用于计算潜在故障的总失效率。还有更多这样的设计策略,它们需要被集成到硬件SPICE评估模型中。
 
关于硬件开发流程的具体设计,我们将在下期具体说明。
分享到:
 
反对 0 举报 0 收藏 0 评论 0
沪ICP备11026917号-25