基于功能安全的汽車全液晶儀表電源供電系統(tǒng)設(shè)計

郭健忠，張 舉，閔 銳，謝 斌

(1.武漢科技大學(xué)汽車與交通工程學(xué)院，湖北 武漢 430065；2.武漢保華液晶顯示科技有限公司，湖北 武漢 430082)

隨著汽車電子技術(shù)的發(fā)展，電子產(chǎn)品的廣泛性和復(fù)雜度不斷提高，系統(tǒng)失效、部件失效等功能安全問題日益嚴(yán)峻[1]。汽車電子行業(yè)因此推出最新道路車輛功能安全國際標(biāo)準(zhǔn)ISO 26262，國內(nèi)把ISO 26262 標(biāo)準(zhǔn)國有化，發(fā)布了GB/T 34590 標(biāo)準(zhǔn)[2]。ISO 26262 是從電子、電氣及可編程器件功能安全基本標(biāo)準(zhǔn)IEC 61508 中派生出來，主要定位在汽車行業(yè)中特定的電氣器件、電子設(shè)備、可編程電子器件等專門用于汽車領(lǐng)域的部件，旨在提高汽車電子、電氣產(chǎn)品功能安全的國際標(biāo)準(zhǔn)[3-4]。

汽車儀表在開發(fā)和運(yùn)行的過程中，常常因為電路損壞或電子元器件焊接不良，導(dǎo)致電源供電系統(tǒng)失效，造成供電電壓不符合汽車儀表的工作電壓范圍，最后導(dǎo)致儀表系統(tǒng)損壞，而造成巨大的經(jīng)濟(jì)損失和安全風(fēng)險[5]。對于汽車儀表電源供電系統(tǒng)而言，開發(fā)使之符合ISO 26262 標(biāo)準(zhǔn)是非常有必要的。本文參考ISO 26262 道路車輛功能安全標(biāo)準(zhǔn)的要求，利用功能安全標(biāo)準(zhǔn)開發(fā)流程[6]，設(shè)計出符合功能安全標(biāo)準(zhǔn)的電源供電系統(tǒng)。

1 汽車儀表電源供電系統(tǒng)架構(gòu)

如圖1 所示，本文汽車儀表以MCU FS32K144為主芯片，其電源供電系統(tǒng)的功能由電源(BAT)給MPQ3367、MPQ4470、MPQ2172、LTE4275 供電，MPQ3367給LCD 供電，MPQ4470 給PMIC PFB200 供電，PMIC PFB200 給EMMC、Nor Flash、LPDDR4、顯示ECU 供電，MPQ2172 給MCU FS32K144 供 電，LTE4275 給CAN 通訊模塊、AD/IO 采集模塊、RTC 模塊供電。

圖1 汽車儀表電源供電系統(tǒng)架構(gòu)

1.1 危害分析與風(fēng)險評估

危害分析與風(fēng)險評估(hazard analysis and risk assesment，HARA)給出一種功能失效的危害及風(fēng)險的評估方法，需要對系統(tǒng)的風(fēng)險進(jìn)行評估分析，識別及分類，最終確定相關(guān)項的汽車安全完整性等級[7]。HARA 要求對于每個危害事件從嚴(yán)重度(S)、暴露度(E)、可控度(C)3 個維度進(jìn)行分析。嚴(yán)重度S 是指危害事件對駕駛員、乘客或行人造成的人身傷害的程度，分為S0、S1、S2、S3 4 個等級；暴露度E 是指危害事件在運(yùn)行場景中的暴露概率，分為E0、E1、E2、E3、E4 5 個等級；可控度C 是指危害事件發(fā)生時駕駛員、乘客或行人能夠充分控制危害事件以避免傷害的可能性，分為CO、C1、C2、C3 4 個等級。然后依據(jù)風(fēng)險矩陣確定汽車安全完整性等級(automobile safety integrity level，ASIL)，如表1 所示，ASIL 等級越高[8]，表示危害事件的風(fēng)險越高。

表1 汽車安全完整性等級確定表

整車通過危害分析與風(fēng)險評估，汽車儀表系統(tǒng)被分配ASILB 的安全等級，再分配到電源供電系統(tǒng)，確定本文所設(shè)計的電源供電系統(tǒng)為ASILB 的安全等級，電源供電系統(tǒng)根據(jù)危害分析與風(fēng)險評估，確定其相關(guān)功能的安全等級，從而得到安全目標(biāo)，再得到功能安全需求[9]。

1.2 功能安全需求

1.2.1 安全目標(biāo)

根據(jù)危害分析與風(fēng)險評估，得到下表2 安全目標(biāo)。

表2 安全目標(biāo)表

1.2.2 功能安全需求

電源供電系統(tǒng)要達(dá)到相應(yīng)的安全等級，設(shè)計相應(yīng)的安全機(jī)制滿足安全目標(biāo)。本文通過監(jiān)控各個電源芯片的輸出電壓及其失效響應(yīng)，來達(dá)到滿足安全目標(biāo)[10]。在電壓采集上，設(shè)計冗余采集電路，保證各個電壓信號準(zhǔn)確無誤，冗余采集電路符合其安全等級的硬件指標(biāo)。MCU 收到AD 模塊采集的電壓信息，對比冗余的電壓信息，只要有一條線路有電壓信號，即為有效電壓且需要與有效電壓范圍進(jìn)行對比判斷，與標(biāo)準(zhǔn)電壓進(jìn)行對比，當(dāng)電壓過高或過低，MCU 需要做出響應(yīng)，及時中斷相關(guān)電源芯片供電。

2 基于功能安全的電源供電系統(tǒng)硬件設(shè)計

2.1 電源供電系統(tǒng)整體的硬件架構(gòu)

電源供電系統(tǒng)硬件架構(gòu)見圖2，主要包括電壓采集電路和MCU 控制各個供電單元電路。MCU 采用FS32K144 芯片，F(xiàn)S32K144 符合ASILB 等級的要求。硬件設(shè)計主要實(shí)現(xiàn)以下功能:AD 采集模塊能夠采集各個電源芯片和BAT 的輸出電壓。

圖2 電源供電系統(tǒng)硬件架構(gòu)圖

2.2 相關(guān)電路設(shè)計及硬件驗證指標(biāo)計算

2.2.1 硬件驗證指標(biāo)

ISO 26262 要求硬件架構(gòu)和單元應(yīng)實(shí)現(xiàn)硬件的安全要求，通過硬件架構(gòu)指標(biāo)和隨機(jī)硬件失效指標(biāo)來對硬件總體結(jié)構(gòu)進(jìn)行定量評估，以確定相關(guān)的硬件是否滿足各指標(biāo)的要求。其中硬件架構(gòu)指標(biāo)包括單點(diǎn)故障指標(biāo)和潛在故障指標(biāo)，這些考核指標(biāo)均只適用于ASIL 等級高于A 級的系統(tǒng)。系統(tǒng)硬件指標(biāo)詳細(xì)規(guī)定見表3。

表3 系統(tǒng)硬件指標(biāo)

在確定的安全目標(biāo)下，對每個安全相關(guān)的硬件部件進(jìn)行安全分析應(yīng)考慮以下因素[11]:

(1)安全故障:不會導(dǎo)致系統(tǒng)違背安全目標(biāo)的故障，由λS表示其失效率。

(2)殘余/單點(diǎn)故障:在一個未被安全機(jī)制完全覆蓋的單元中，能直接引起系統(tǒng)違背安全目標(biāo)的硬件故障，由λSPF表示其失效率。

(3)多點(diǎn)故障:只有當(dāng)多個故障同時發(fā)生時，才會導(dǎo)致系統(tǒng)違背安全目標(biāo)的失效形式，由λMPF表示其失效率。

(4)可探測或感知的多點(diǎn)故障:不管是否被安全機(jī)制所覆蓋，但可被駕駛員很明確地覺察到的多點(diǎn)故障，由λMPF，DP表示其失效率。

(5)潛在多點(diǎn)故障:既沒有被安全機(jī)制所覆蓋，也不能被駕駛員直接感知到的多點(diǎn)故障，由λMPF，L表示其失效率。

(6)診斷測試覆蓋:系統(tǒng)硬件能夠被安全機(jī)制所探測或控制到的百分比，由C表示。對系統(tǒng)硬件采用不同的安全機(jī)制或策略，就會相應(yīng)得到不同的診斷測試覆蓋率。

由定義可知，可探測的多點(diǎn)故障率與潛在多點(diǎn)故障率的和就是多點(diǎn)故障率，故總的故障率λ＝λS+λSPF+λMPF。

單點(diǎn)故障指標(biāo)是指除殘余/單點(diǎn)故障外，其他故障率占總故障率的百分比，即

潛在故障指標(biāo)是指可探測、感知的多點(diǎn)故障和安全故障，占多點(diǎn)故障和安全故障的百分比，即

隨機(jī)硬件失效指標(biāo)(MPMHF)與系統(tǒng)殘余/單點(diǎn)故障、兩點(diǎn)故障以及系統(tǒng)工作壽命、安全機(jī)制等有關(guān)，隨機(jī)硬件失效指標(biāo)第三項值由λ3表示，計算公式如下:

式中:所有失效率的單位均為FIT，1FIT＝10-9h-1。

2.2.2 電壓采集電路

采集電源電壓信號采用平行冗余采集電路。圖3 所示為12 V 電壓采集電路，其輸出的兩路冗余信號分別由兩個AD 模塊采集，該信號可以相互校驗，既可以探測傳感器故障，又可以檢測AD 模塊的故障。5 V 采集電路調(diào)節(jié)R1138或R1140電阻值即可，采用相同的電路，1 V 到3.3 V 的電壓直接采用AD模塊采集，不用設(shè)計降壓電路。

圖3 電源電壓信號采集電路

根據(jù)ISO26262-5 中列出的電子元器件的失效模式及其分布律和各失效模式下適用的安全機(jī)制及其診斷覆蓋率，再結(jié)合GB/T 37963-2019 標(biāo)準(zhǔn)中對電子元器件失效率的標(biāo)準(zhǔn)規(guī)定[12]，編制出了加速踏板信號采集電路的硬件指標(biāo)計算表格，如表4 所示。

表4 硬件指標(biāo)計算參數(shù)表

由硬件指標(biāo)計算參數(shù)表和硬件指標(biāo)計算公式，可以得到與安全相關(guān)的總失效率為142 FIT，非安全相關(guān)總失效率為0 FIT，單點(diǎn)故障失效率為6.12 FIT，多點(diǎn)故障失效率為6.14 FIT，隨機(jī)硬件失效度量為6.120 014 4 FIT，單點(diǎn)故障度量為95.69%，潛在故障度量為95.81%。安全目標(biāo)被分配為ASILB，對于ASILB，隨機(jī)硬件失效度量小于1×10-7單點(diǎn)故障度量推薦為≥90%，以及潛伏故障度量推薦為≥60%。隨機(jī)硬件失效度量計算值為6.120 014 4 FIT，單點(diǎn)故障度量的計算值為95.69%，表明此度量已被滿足；同時潛伏故障度量的計算值為95.81%，表明潛伏故障度量也被滿足。所以設(shè)計的硬件指標(biāo)滿足安全目標(biāo)。

3 基于功能安全的電源供電系統(tǒng)軟件設(shè)計

3.1 電源供電系統(tǒng)軟件架構(gòu)

電源供電系統(tǒng)軟件體系結(jié)構(gòu)可分為底層、中間層和應(yīng)用層[13]。底層主要用于芯片內(nèi)存分配和芯片輸入輸出功能的初始配置；中間層涉及許多軟件編寫協(xié)議，當(dāng)它處于開發(fā)階段時，軟件編寫的相關(guān)功能可以暫時在仿真器中進(jìn)行處理，這部分是為以后的開發(fā)保留的；應(yīng)用層主要涉及電源供電系統(tǒng)相關(guān)性能參數(shù)的采樣、檢測、計算和安全控制?；诠δ馨踩娫垂╇娤到y(tǒng)軟件模塊主要基于電壓的采樣和失效響應(yīng)功能，以保證電源供電在安全范圍內(nèi)。根據(jù)ISO 26262 標(biāo)準(zhǔn)，與功能安全相關(guān)的軟件模塊包括自診斷功能模塊，電壓采樣和信息處理模塊軟件設(shè)計。根據(jù)安全機(jī)制，設(shè)計上述軟件模塊，滿足功能安全和軟件安全設(shè)計的要求。

3.2 自診斷功能模塊軟件設(shè)計

由于MCU 對電壓的監(jiān)控依賴于其自身運(yùn)行環(huán)境，因此需檢查自身的硬件環(huán)境(RAM/ROM 等)。自診斷內(nèi)容包括:(1)在初始化階段或者每次復(fù)位操作后，MCU 都要執(zhí)行一次完整的ROM 區(qū)檢查，通過檢查當(dāng)前Checksum(校驗和)和記錄的Checksum 是否相符，從而判斷ROM 是否正常；(2)在每一個通信過程中，需要對被使用的RAM 區(qū)進(jìn)行一次檢查。通過對其執(zhí)行讀寫操作，若能進(jìn)行正確的讀寫則表示RAM 正常，否則將執(zhí)行復(fù)位操作并重新檢查[14]。

3.3 電壓采樣和信息處理模塊軟件設(shè)計

本設(shè)計關(guān)鍵在于電壓信息采集和信息處理策略[15]，如圖4 為電壓采樣和信息處理模塊的策略:

圖4 電壓采樣和信息處理策略

(1)MCU 沒有采集到電壓信號，采集模塊會一直持續(xù)采集2 s，當(dāng)一直采集不到信號會判定電路硬件斷路或電源芯片輸出電壓失效，生成相應(yīng)故障碼，并報警。

(2)采用冗余電路采集每個電源芯片的輸出電壓，當(dāng)采集到電壓為V1、V2，與工作電壓范圍進(jìn)行對比，是否過高或過低，當(dāng)V1、V2任何一個值超限，持續(xù)采集2 s，當(dāng)繼續(xù)超限，生成相應(yīng)故障碼，并報警。

(3)V1、V2有一個符合標(biāo)定范圍內(nèi)，判定電源芯片輸出電壓正常，當(dāng)2 個值都失效，判定2 條電路失效，生成相應(yīng)故障碼，并報警。

4 功能安全測試

4.1 試驗?zāi)Ｐ?/h3>

該實(shí)驗通過模擬電源供電系統(tǒng)在工作中出現(xiàn)的各種故障狀態(tài)，從而檢驗設(shè)計的安全機(jī)制，以及失效響應(yīng)的控制措施和策略[16]。功能安全測試關(guān)鍵在于測試安全機(jī)制，測試安全機(jī)制能滿足安全需求和安全目標(biāo)。如圖5 所示為安全機(jī)制的故障響應(yīng)時間和容錯時間間隔需求。安全機(jī)制能夠在診斷測試時間內(nèi)檢測到故障，在故障響應(yīng)時間內(nèi)做出響應(yīng)，最后通過響應(yīng)措施減低或消除故障，從而保障電源供電系統(tǒng)處于安全狀態(tài)，最后保障汽車儀表處于安全狀態(tài)[17]。

圖5 故障響應(yīng)和故障容錯時間

本次測試模型為測試電源供電系統(tǒng)在不同的故障狀態(tài)下，安全機(jī)制是否滿足安全需求，以下為電源供電系統(tǒng)的不同的工作狀態(tài):

(1)確定電源供電系統(tǒng)各部件和線路工作正常，可以得到電源供電系統(tǒng)正常工作狀態(tài)下，冗余采集機(jī)制所采集的正確電壓。

(2)確定電源供電系統(tǒng)各部件和線路工作正常，用直流可調(diào)電源調(diào)節(jié)BAT 輸出電壓，可以得到系統(tǒng)處于不同工作電壓下的工作狀態(tài)。

(3)確定電源供電系統(tǒng)各部件和線路工作正常，將采集電路的線路斷開和短路，得到采集電路故障的工作狀態(tài)。

4.2 試驗驗證

(1)在正常工作狀態(tài)下，冗余采集機(jī)制采集的BAT 和各個電源芯片的電壓，經(jīng)過電壓采集與處理后所確定的有效電壓，如圖6 所示。

圖6 正常工作下采集的有效電壓

BAT 的額度供電電壓為12 V，當(dāng)BAT 正常工作時，其他電源芯片能以所需求的輸出電壓進(jìn)行輸出，為其他模塊供電。

(2)BAT 調(diào)節(jié)輸入電壓，在超限的情況下(過高或過低)，采集BAT 和各個電源芯片的電壓，經(jīng)過電壓采集與處理后所確定的有效電壓，如圖7、圖8所示。

圖7 BAT 欠壓工作下采集的有效電壓

圖8 BAT 過壓工作下采集的有效電壓

當(dāng)BAT 的輸出電壓從額定電壓調(diào)節(jié)到限定電壓之下，電壓過低時，采集電路會立即采集到電壓值，安全機(jī)制會判定電壓過低，采集電路會持續(xù)采集2 s；當(dāng)電壓還是過低，MCU 會控制其他各個電源芯片，讓電源芯片停止工作，保護(hù)汽車儀表，避免因為欠壓而損壞。

當(dāng)BAT 的輸出電壓從額定電壓調(diào)節(jié)到限定電壓之上，電壓過高時，采集電路會立即采集到電壓值，安全機(jī)制會判定電壓過高，采集電路會持續(xù)采集2 s；當(dāng)電壓還是過高，MCU 會控制其他各個電源芯片，讓電源芯片停止工作，保護(hù)汽車儀表不會因為過壓而損壞。

(3)當(dāng)冗余機(jī)制中一條電路損壞，采集BAT 和各個電源芯片的電壓，經(jīng)過電壓采集與處理后所確定的有效電壓，如圖9 所示。

圖9 冗余機(jī)制中一條電路損壞工作下采集的有效電壓

BAT 的額度供電電壓為12 V，當(dāng)BAT 正常工作時，其他電源芯片能以所需求的輸出電壓進(jìn)行輸出，為其他模塊供電；當(dāng)冗余采集電路中有一條電路失效時，MCU 接收到信息和處理信息，安全機(jī)制會判斷另外一條正常電路電壓為有效電壓。

5 總結(jié)

電源供電系統(tǒng)的安全運(yùn)行是整個汽車全液晶儀表正常工作的基礎(chǔ)，本研究針對ISO 26262 道路車輛功能安全標(biāo)準(zhǔn)的要求，參考功能安全標(biāo)準(zhǔn)開發(fā)流程，基于功能安全設(shè)計了電源供電系統(tǒng)，對電源供電系統(tǒng)的硬件設(shè)計方面進(jìn)行了安全指標(biāo)的計算驗證，并滿足設(shè)計的安全目標(biāo)，最后通過采用故障注入實(shí)驗，建立了模型仿真和試驗驗證，成功地檢測了電源供電系統(tǒng)的安全機(jī)制確實(shí)可行。

研究結(jié)果表明:在汽車全液晶儀表的電源供電電路的基礎(chǔ)上，加入電壓監(jiān)控單元組成電源供電系統(tǒng)，能夠避免電源供電電路失效而造成儀表系統(tǒng)其他模塊損壞；并在電壓監(jiān)控單元的電壓采集電路上采用冗余設(shè)計，能夠提高AD 采集模塊的準(zhǔn)確性，極大提高了整個汽車全液晶儀表電源供電系統(tǒng)的功能安全，從而提高汽車儀表的安全性、整車的安全性，實(shí)現(xiàn)了預(yù)期的安全目標(biāo)。本文能夠為汽車電子的其他系統(tǒng)的設(shè)計提供借鑒。