BMS功能安全開(kāi)發(fā)流程(五):硬件系統(tǒng)功能安全設(shè)計(jì)
2017-12-15
上一篇介紹了《BMS功能安全開(kāi)發(fā)流程(三):ASIL等級(jí)》,這一篇介紹 《硬件系統(tǒng)功能安全設(shè)計(jì)》
硬件的詳細(xì)安全需求來(lái)自于TSR,系統(tǒng)架構(gòu)及系統(tǒng)邊界HSI。
根據(jù)ISO 26262-8章節(jié)6.4.2 硬件安全需求規(guī)范應(yīng)包括與安全相關(guān)的每一條硬件要求,包括以下:
a.???為控制要素硬件內(nèi)部失效的安全機(jī)制的硬件安全要求和相關(guān)屬性,這包括用來(lái)覆蓋相關(guān)瞬態(tài)故障(例如,由于所使用的技術(shù)而產(chǎn)生的瞬態(tài)故障)的內(nèi)部安全機(jī)制;
b.???為確保要素對(duì)外部失效容錯(cuò)的硬件安全要求和安全機(jī)制的相關(guān)屬性。
c.????為符合其它要素的安全要求的硬件安全要求和安全機(jī)制的相關(guān)屬性;
d.???為探測(cè)內(nèi)外部失效和發(fā)送失效信息的硬件安全要求及安全機(jī)制的相關(guān)屬性;及
e.???沒(méi)有定義安全機(jī)制的硬件安全要求。
硬件安全要求應(yīng)按照ISO26262-8第6章和第9章的要求進(jìn)行驗(yàn)證,以提供證據(jù)證明。硬件設(shè)計(jì)可以硬件功能方塊圖開(kāi)始,硬件方塊圖的所有的元素和內(nèi)部接口應(yīng)當(dāng)展示出來(lái)。然后設(shè)計(jì)和驗(yàn)證詳細(xì)的電路圖,后通過(guò)演繹法(FTA)或者歸納法(FMEA)等方法來(lái)驗(yàn)證硬件架構(gòu)可能出現(xiàn)的故障。
對(duì)系統(tǒng)設(shè)計(jì)來(lái)講大的挑戰(zhàn)是滿足ISO26262硬件架構(gòu)度量。針對(duì)ASIL C或D,ISO26262強(qiáng)烈推薦計(jì)算單失效和潛在失效概率。具體計(jì)算法見(jiàn)ISO26262-8附件。針對(duì)單點(diǎn)故障SPF (single-point faults),被稱為單點(diǎn)故障度量(single-pointfault metric -SPFM),針對(duì)潛在失效故障,被稱為潛在故障度量( latent-faultmetric-LFM)。對(duì)于每一個(gè)安全目標(biāo),由ISO26262要求的“潛伏故障度量”的定量目標(biāo)值應(yīng)基于下列參考目標(biāo)值:
表1 SPFM和LFM推薦值
對(duì)BMS系統(tǒng)來(lái)講,電池包電壓傳感器是一個(gè)非常重要的傳感器,因此針對(duì)不同的ASIL等級(jí)需要分析電池包電壓傳感器不同的失效模式。下表是不同的ASIL級(jí)別所需要覆蓋到失效模式。
表2?電池包電壓傳感器常見(jiàn)失效模式及覆蓋度
ISO26262推薦用兩個(gè)可選的方法以評(píng)估違背安全目標(biāo)的殘余風(fēng)險(xiǎn)是否足夠低。
兩個(gè)方法都評(píng)估由單點(diǎn)故障、殘余故障和可能的雙點(diǎn)故障導(dǎo)致的違背安全目標(biāo)的殘余風(fēng)險(xiǎn)。如果顯示為與安全概念相關(guān),也可考慮多點(diǎn)故障。在分析中,對(duì)殘余和雙點(diǎn)故障,將考慮安全機(jī)制的覆蓋率,并且,對(duì)雙點(diǎn)故障也將考慮暴露持續(xù)時(shí)間。
個(gè)方法包括使用概率的度量,即“隨機(jī)硬件失效概率度量”(probabilisticmetric for random hardware failures-PMHF),通過(guò)使用例如定量故障樹(shù)分析(FTA)或者(Failure Mode Effects and Diagnostic Analysis – FMEDA)及將此計(jì)算結(jié)果與目標(biāo)值相比較的方法,評(píng)估是否違背所考慮的安全目標(biāo)。
第二個(gè)方法包括獨(dú)立的評(píng)估每個(gè)殘余和單點(diǎn)故障,及每個(gè)雙點(diǎn)失效是否導(dǎo)致違背所考慮的安全目標(biāo)。此分析方法也可被考慮為割集分析。推薦的隨機(jī)失效目標(biāo)值如下表3。在文章[1]中選用第二種方法來(lái)驗(yàn)證BMS均衡電路的隨機(jī)失效,單點(diǎn)失效等。
表3?隨機(jī)失效目標(biāo)值
在前面幾章分析過(guò)從HARA分析得到Safe Goal,從Safe Goal推導(dǎo)出FSR,從FSR推導(dǎo)出TSR。并以BMS的過(guò)充作為例子進(jìn)行了詳細(xì)的介紹。文章[1]選取了TI公司的BQ20Z80芯片,監(jiān)控四個(gè)cell電壓,管理均衡。圖1是電路原圖(表示看不清,可以看參考文獻(xiàn)[2]的高清大圖),該電路的核心元器件是ICBQ20Z80,BQ2940是過(guò)充二級(jí)保護(hù)芯片。文章針對(duì)過(guò)充保護(hù)功能,選擇方法2展開(kāi)對(duì)安全目標(biāo)-“Battery overcharging shallbe prevented ”的隨機(jī)失效失效評(píng)估。該方法不僅考慮到錯(cuò)誤發(fā)生的可能性同時(shí)還考慮到安全機(jī)制的有效性。文章評(píng)估了芯片BQ2940及采樣芯片BQ2931。
圖1?電芯電壓采樣均衡架構(gòu)圖
ISO 26262標(biāo)準(zhǔn)中引入了失效率等級(jí)。硬件元器件失效率的失效率等級(jí)評(píng)級(jí)應(yīng)按如下確定:
a.???失效率等級(jí)1 對(duì)應(yīng)的失效率應(yīng)少于ASILD 的目標(biāo)除以100(見(jiàn)表3)
b.???失效率等級(jí)2 對(duì)應(yīng)的失效率應(yīng)少于或等于10倍的失效率等級(jí)1 對(duì)應(yīng)的失效率(見(jiàn)表4)
表4?失效率等級(jí)
如果單點(diǎn)失效違背ASILC的安全目標(biāo),那個(gè)對(duì)應(yīng)的合適的失效率等級(jí)為FRC 1或者有其他額外測(cè)量的FRC2
采樣均衡電路的失效可能會(huì)導(dǎo)致電芯過(guò)充,進(jìn)一步引起熱失控。因此根據(jù)SafetyGoal推導(dǎo)出的安全要求如圖2。
圖2?功能安全要求
根據(jù)FSR可以推導(dǎo)出TSR,TSR見(jiàn)圖3
圖3?技術(shù)安全要求
這是安全目標(biāo)所導(dǎo)出想系統(tǒng)的TSR,需要從中分離出單獨(dú)跟硬件相關(guān)的或者和軟件硬件都相關(guān)的TSR,因此硬件的TSR為:
·????????Overcharge condition shall be detectedwithin Y ms and,
·????????Current to the battery shall beinterrupted within Z ms.
·????????根據(jù)上面的分析有兩條TSR分配給了硬件系統(tǒng)。在文檔[1]中歸納總結(jié)了安全目標(biāo)的安全機(jī)制,見(jiàn)表5:
表5?分配給硬件的過(guò)充保護(hù)安全機(jī)制
·????????實(shí)施安全機(jī)制中需要用到的硬件元器件預(yù)估失效率(failurein time- FIT)。用于確定硬件元器件失效率和失效模式分布的業(yè)界公認(rèn)的來(lái)源包括IEC/TR62380, IEC 61709, MIL HDBK 217 F notice 2, RIAC HDBK 217 Plus, UTE C80-811,NPRD 95, EN 50129:2003, Annex C, IEC 2061:2005, Annex D, RIAC FMD97 和 MIL HDBK 338。文章[1]中選取數(shù)據(jù)庫(kù)MILHDBK 217和芯片供應(yīng)商所提供的數(shù)據(jù)來(lái)評(píng)估安全機(jī)制。
·????????文章[1]中采用AFEBQ2931(TI)作為過(guò)充二級(jí)保護(hù)芯片,表是對(duì)過(guò)充保護(hù)的安全機(jī)制的評(píng)估。從下表格可以看出,安全目標(biāo)的失效模式覆蓋率為99%,針對(duì)不同的與之安全相關(guān)的部件。
表6?安全機(jī)制評(píng)估
一旦完成硬件架構(gòu)的設(shè)計(jì)和樣件設(shè)計(jì),與之對(duì)應(yīng)的不同的元素,系統(tǒng)集成測(cè)試也應(yīng)該定義好。在ISO26262-8中,針對(duì)不同的ASIL等級(jí)推薦了不同的測(cè)試方法。
下一篇: BMS功能安全開(kāi)發(fā)流程(六):汽車軟件開(kāi)發(fā)