|
導(dǎo)言:對于汽車電子軟件控制器的開發(fā)工程師來說����,發(fā)現(xiàn)故障通常是大家并不希望看到的結(jié)果。然而在開發(fā)符合ISO 26262標(biāo)準(zhǔn)的汽車電子解決方案時�,分析失效模式并找出失效根本原因是非常重要的,尤其是當(dāng)前線控底盤(線控制動����,線控轉(zhuǎn)向)快速發(fā)展的背景下,需要在產(chǎn)品開發(fā)過程中進(jìn)行安全性分析���,將相關(guān)安全故障在開發(fā)階段就識別并解決��,而不是留到量產(chǎn)后暴露到客戶側(cè)�。例如��,如果電子駐車制動系統(tǒng)(EPB)無法嚙合����,這種故障背后可能會有多種原因,如執(zhí)行器故障,電源問題���,控制系統(tǒng)故障等���。
目錄 1. 什么是符合ISO 26262的故障樹分析; 2. 如何開展故障樹分析����; 3. EPB功能簡介; 4. EPB故障樹分安全分析實例��; 5. 總結(jié)���;
故障樹分析(Fault Tree Analysis, FTA) 的目標(biāo)是確保找出所有潛在的故障模式��,并采取適當(dāng)措施加以緩解或者消除����。ISO 26262 標(biāo)準(zhǔn)強(qiáng)調(diào)使用故障樹分析法來分析發(fā)現(xiàn)故障的潛在原因(特別是針對ASIL C或者ASIL D等級的ECU開發(fā))��;這項工作以有序的樹形結(jié)構(gòu)進(jìn)行�,以便清楚地了解故障原因之間的關(guān)系��。故障樹分析法是一種演繹式(deductive)安全分析方法,用于對安全關(guān)鍵型汽車控制器進(jìn)行安全分析�,在這棵樹的頂端,我們可以看到頂層事件��,通常是重大危險或違反安全目標(biāo)的事件(unintended Event)��。 汽車行業(yè)通常采用V流程的開發(fā)模式����,這個思想在系統(tǒng)軟件的開發(fā)流程中比較常用,比如基于ASPICE的開發(fā)流程��,并定義了系統(tǒng)軟件的幾個子開發(fā)流程�;隨著ASPICE把硬件相關(guān)活動也進(jìn)行了定義,如下圖所示�����,汽車電子產(chǎn)品的功能安全硬件開發(fā)通常包括硬件安全需求����,硬件架構(gòu)設(shè)計,硬件電路模塊設(shè)計�,PCB集成和制作,單元及硬件模塊測試��,硬件集成測試,硬件驗證測試等不同的子開發(fā)流程��。在架構(gòu)設(shè)計階段�����,需要引入功能安全分析工具對硬件安全性設(shè)計進(jìn)行分析��,避免后續(xù)設(shè)計時因為沒有進(jìn)行安全分析而引入不安全的硬件設(shè)計�����;常用的安全分析方法包括FTA����,F(xiàn)MEDA,F(xiàn)MEA等���,這個階段所有的安全分析還停留在定性階段��,還沒有深入到定量階段�。需要隨著設(shè)計逐漸凍結(jié)����,逐步引入定量分析,并計算相關(guān)的硬件安全指標(biāo)�����。 引用:網(wǎng)絡(luò)
FTA作為產(chǎn)品硬件架構(gòu)設(shè)計的一部分�,目標(biāo)是分析出導(dǎo)致頂層事件的條件或者根事件,了解了其目的����,我們來看其是如何一步步展開的。 FTA 將系統(tǒng)分解為較小的不同組件����,并分析其故障如何傳播。通常使用AND��,OR等邏輯運算來組合這些組件�,邏輯運算一般包括: 與(AND)門:系統(tǒng)故障必須同時發(fā)生事件 A 和事件 B; 或(或)門:事件 C 或事件 D 都可能導(dǎo)致故障���; 異或門:如果兩個輸入條件相異��,則事件發(fā)生���,如果兩個輸入事件相同��,則事件不發(fā)生�; 優(yōu)先邏輯與門: 一個事件只有在特定的條件序列后才會發(fā)生�����; 禁門: 一個事件需要特定的輸入事件和條件事件所描述的內(nèi)容����。
通過組合這些事件,可以創(chuàng)建一棵故障樹����,顯示導(dǎo)致系統(tǒng)故障的所有可能路徑。簡而言之����,故障樹分析過程如下: 定義頂端事件:明確指出不希望發(fā)生的事件或故障模式; 確定直接原因:確定首要事件的直接原因�; 擴(kuò)展故障樹:針對每個原因,確定更多的子原因���,直至找到基本事件�; 分析邏輯關(guān)系: 使用邏輯門將原因和子原因連接起來�����,說明多個故障如何結(jié)合在一起導(dǎo)致最重要事件的發(fā)生���; 定量評估:如果執(zhí)行定量 FTA��,則為基本事件分配概率����,并計算最高事件的總體概率���。
ISO 26262的核心是確保道路車輛功能安全��,特別是電子電氣相關(guān)故障����,故障樹分析方法可以在以下安全活動中發(fā)揮作用: 評估故障(硬件��,軟件等)對安全目標(biāo)的影響�; 量化硬件故障架構(gòu)指標(biāo)(PMHF):PMHF作為三個硬件架構(gòu)指標(biāo)中其中一個,用以評估硬件的隨機(jī)失效率是否滿足對應(yīng)ASIL定義的目標(biāo)��; 根據(jù)ASIL等級對相關(guān)安全需求進(jìn)行分解或者裁剪�;
接下來通過汽車駐車制動控制器(Electric Parking Brake)的故障樹分析舉例說明如何開展針對功能安全的故障樹分析���,首先簡單介紹EPB的主要功能,然后針對非預(yù)期制動力產(chǎn)生的頂層事件的實例進(jìn)行故障樹安全分析�。
03 EPB功能簡介電子駐車制動器(EPB)系統(tǒng)包括 EPB 開關(guān)、EPB 卡鉗和電子控制單元ECU��, 使用電動機(jī)和減速器對制動片施加壓力��,從而將壓力施加到制動盤�;其中一個關(guān)鍵部件是駐車制動閂,它就像一個棘輪��,可以防止活塞中的壓力使電機(jī)旋轉(zhuǎn)����,從而保持制動。從技術(shù)上講����,該系統(tǒng)是線控制動系統(tǒng)的一個子系統(tǒng),駐車制動器的主要功能是避免車輛在駐停時發(fā)生移動��。 一般來說�����,駐車制動器只在車輛后輪上工作。EPB 功能依賴于四個要素:控制開關(guān)���、車輪速度傳感器���、力傳感器和電機(jī)���。這些元件共同監(jiān)控各種輸入信號�����,并決定何時踩下或松開制動器�����;由于使用了電子元件�����,該系統(tǒng)的運行幾乎是瞬時和高效的��。此外����,由于沒有機(jī)械連接,它還提高了制動的可靠性���,當(dāng)駕駛員踩下加速踏板時��,制動器會自動停用����。 下圖是一個符合ISO 26262標(biāo)準(zhǔn)的故障樹示例�����,其頂部事件為非預(yù)期的電子制動功能使能����。定性故障樹分析(FTA)的主要目的是找到稱為 “最小切割集 ”的最小事件組;當(dāng)所有這些事件一起發(fā)生時��,就會導(dǎo)致大問題(頂端事件)���,下面是一個從上圖故障樹得出的割集示例����。 | | | | | | | | | | | | | SM2:通過uC監(jiān)控驅(qū)動芯片狀態(tài)���; | | | | | | | | | | | |
頂部事件:非預(yù)期電子制動器使能�����;任何非預(yù)期的EPB電子駐車制動器應(yīng)用都可能對車內(nèi)人員造成嚴(yán)重后果����,因此該頂部事件被評定為ASIL D等級(ISO 26262標(biāo)準(zhǔn)中最高風(fēng)險等級)�����。意外EPB使能可能會導(dǎo)致突然和意外的制動事件,造成車輛失控�、潛在碰撞以及對車內(nèi)人員和其他道路使用者造成重大傷害。ASIL D 代表 ISO 26262 標(biāo)準(zhǔn)中的最高風(fēng)險級別���,表明需要采取最嚴(yán)格的安全措施�����。從上圖中可以看出��,意外使能 EPB 主要涉及以下三種故障:H 橋是一種電子電路�,可在負(fù)載兩端任一方向施加電壓��,它用于控制 EPB 中電機(jī)的方向���;H 橋輸出故障是指 H 橋電路輸出級的故障�����,該電路用于控制電子駐車制動器 (EPB) 中流向電機(jī)的電流方向和功率; 輸出級通常由晶體管或開關(guān)組成��,用于管理流向電機(jī)的電流�����。- H橋組件隨機(jī)硬件失效(EV1): H橋組件(晶體管��、二極管等)的隨機(jī)硬件故障可能導(dǎo)致電機(jī)非預(yù)期激活����。此類故障主要源于兩類原因:
- 短路:晶體管內(nèi)部短路會導(dǎo)致電機(jī)持續(xù)通電,從而引發(fā)非預(yù)期制動�����;
- 開路:電路斷路可能導(dǎo)致控制信號丟失�����,引發(fā)制動意外觸發(fā)����;
緩解措施:采用高質(zhì)量可靠組件���,并集成保險絲���、限流電路等保護(hù)功能以防止損壞���。- H橋信號反饋監(jiān)控失效(SM1): H橋的反饋監(jiān)控系統(tǒng)負(fù)責(zé)實時輸出狀態(tài)數(shù)據(jù),若反饋機(jī)制失效����,可能導(dǎo)致向EPB電機(jī)發(fā)送錯誤信號。引發(fā)此類故障的兩大主要原因為:
- 傳感器器故障:傳感器失效會導(dǎo)致反饋數(shù)據(jù)不準(zhǔn)確���,使系統(tǒng)誤判電機(jī)狀態(tài)并意外觸發(fā)制動���;
- 信號完整性受損:電磁干擾(EMI)可能導(dǎo)致反饋信號失真;
緩解措施:采用高質(zhì)量可靠組件��,并集成保險絲����、限流電路等保護(hù)功能以防止損壞。H橋輸入信號異?����?赡軐?dǎo)致EPB非預(yù)期啟動�����。例如在行駛過程中,駐車制動可能因信號干擾�����、軟件漏洞或控制電路硬件問題而突然觸發(fā)��。在本FTA案例中��,以最常見的原因進(jìn)行分析:- H橋驅(qū)動芯片失效: 驅(qū)動H橋的專用集成電路(ASIC)負(fù)責(zé)向EPB電機(jī)發(fā)送功率與方向信號����。ASIC故障可能導(dǎo)致非預(yù)期制動。此類故障主要源于兩類原因:
- 邏輯錯誤:ASIC邏輯缺陷可能發(fā)送錯誤指令��,引發(fā)電機(jī)誤動作�����;
- 電源波動:ASIC供電不穩(wěn)定會導(dǎo)致功能異常�;
緩解措施:設(shè)計ASIC時需強(qiáng)化邏輯驗證與電源穩(wěn)定性,對關(guān)鍵邏輯功能采用三重模塊冗余(TMR)等技術(shù)���,增加電源監(jiān)控,驅(qū)動信號回讀監(jiān)控及芯片自檢等安全機(jī)制�����。H橋驅(qū)動芯ASIC故障可進(jìn)一步歸因于兩類問題:- H橋驅(qū)動ASIC隨機(jī)硬件故障(EV2): ASIC隨機(jī)硬件失效可能導(dǎo)致H橋驅(qū)動時不想要的行為,進(jìn)而影響EPB電機(jī)正常工作�。
電遷移:長期電流引發(fā)導(dǎo)電路徑退化����;
緩解措施:優(yōu)化散熱設(shè)計(如散熱片、冷卻系統(tǒng))���,選用抗電遷移材料���。 - 電機(jī)驅(qū)動狀態(tài)監(jiān)控失效(SM2): 電機(jī)驅(qū)動狀態(tài)監(jiān)控系統(tǒng)確保相關(guān)操作被正確執(zhí)行,系統(tǒng)中的失效可以導(dǎo)致錯誤的電機(jī)行為����。
- 信號處理錯誤:信號解析錯誤導(dǎo)致狀態(tài)誤判����;
緩解措施:升級故障檢測算法,采用高精度ADC與可靠軟件確保信號處理準(zhǔn)確性����。
微控制器負(fù)責(zé)控制整個EPB系統(tǒng)��,其故障可能導(dǎo)致非預(yù)期制動觸發(fā)�����,具體問題取決于MCU設(shè)計��、布局�����、環(huán)境條件��、熱管理及固件漏洞等因素��;以下是兩類常見故障:- 固件漏洞:軟件缺陷可能導(dǎo)致向EPB系統(tǒng)發(fā)送錯誤控制指令����;
- 硬件故障:執(zhí)行全面的固件驗證��,并采用內(nèi)置錯誤檢測機(jī)制的穩(wěn)健MCU設(shè)計方案�;
緩解措施:執(zhí)行全面的固件驗證,并采用內(nèi)置錯誤檢測機(jī)制的穩(wěn)健MCU設(shè)計方案���。- 微控制器隨機(jī)硬件故障(EV3): 微控制器隨機(jī)硬件失效會導(dǎo)致EPB意外激活���,此類故障通常由靜電放電(ESD)、過熱或制造缺陷引發(fā)���。例如:
- 靜電放電(ESD):ESD事件可能損壞MCU元件�����;
- 老化效應(yīng):長期運行可能導(dǎo)致性能下降�����。
緩解措施:采用ESD防護(hù)策略(如TVS二極管)���,并選用高耐久性、高可靠性MCU���。- 微控制器看門狗監(jiān)控失效(SM3): 看門狗定時器用于監(jiān)控微控制器運行狀態(tài)并在必要時重置系統(tǒng)�����。若看門狗失效(如未檢測到微控制器卡死)�����,可能導(dǎo)致EPB異常����。可能產(chǎn)生的原因有:
- 超時錯誤:看門狗定時器參數(shù)設(shè)置不當(dāng)����,無法及時復(fù)位;
- 信號干擾:信號噪聲引發(fā)誤觸發(fā)復(fù)位�;
緩解措施:優(yōu)化看門狗定時器配置,確保響應(yīng)靈敏度��;使用防抖電路過濾信號噪聲���。當(dāng)電機(jī)驅(qū)動器的供電不穩(wěn)定或失效時����,即發(fā)生電機(jī)驅(qū)動供電故障��。在故障樹分析(FTA)中�,此類故障可能通過以下兩種途徑顯現(xiàn):- 電源輸出故障(EV4): 電源為EPB電機(jī)驅(qū)動器提供必要的電壓與電流, 其故障可能導(dǎo)致非預(yù)期制動觸發(fā);
- 電壓尖峰:瞬時電壓突增可能導(dǎo)致電機(jī)意外啟動;
- 電源掉電:完全斷電可能觸發(fā)制動系統(tǒng)的安全保護(hù)機(jī)制(如強(qiáng)制駐車)��;
緩解措施:使用浪涌保護(hù)器(如TVS二極管)抑制電壓尖峰,同時使用冗余電源架構(gòu)����,確保供電穩(wěn)定性��。- 供電電壓監(jiān)控失效(SM4): 電壓監(jiān)測系統(tǒng)負(fù)責(zé)確保電機(jī)驅(qū)動器接收正確的電壓, 若監(jiān)測失效���,可能導(dǎo)致制動系統(tǒng)誤動作;
- 傳感器精度不足:傳感器誤差可能導(dǎo)致電壓讀數(shù)異常��;
- 監(jiān)控電路故障:電路缺陷可能無法檢測電壓異常�;
緩解措施:采用高精度電壓傳感器并設(shè)計冗余監(jiān)控電路��。故障樹分析是實現(xiàn)汽車開發(fā)中ISO 26262功能安全標(biāo)準(zhǔn)的核心方法�����。它通過識別和分析潛在失效模式�����、確定根本原因���,并計算非預(yù)期事件的發(fā)生概率���,確保系統(tǒng)安全性����;FTA在ISO 26262框架中扮演關(guān)鍵角色��,通過對每個組件和系統(tǒng)進(jìn)行徹底的安全風(fēng)險驗證��,保障全生命周期內(nèi)的功能安全���。FTA需與FMEA(失效模式與影響分析)���、DFA(相關(guān)失效分析)、FMEDA(失效模式與影響診斷分析)等安全分析方法結(jié)合使用����,共同構(gòu)建安全可靠的汽車解決方案;這種多維度分析方法為汽車電子系統(tǒng)(如制動���、ADAS���,動力域控)的安全設(shè)計提供完整驗證,確保符合ISO 26262的ASIL(汽車安全完整性等級)要求��。
|
