旋變解碼系統(tǒng)研究硬件階段功能安全研究

雷家鑫 裴曉飛

摘 要：在自主設計的旋轉變壓器解碼系統(tǒng)的基礎上，根據(jù)功能安全標準（ISO26262）中硬件階段的功能安全研究規(guī)范展開了對所設計的解碼系統(tǒng)的硬件階段的功能安全研究。研究過程嚴格按照功能安全標準的硬件階段的研究規(guī)范（ISO26262-5）執(zhí)行，同時參考了其他國外的硬件評價指標。通過最后的硬件階段功能安全研究結果表明，所設計的解碼系統(tǒng)能夠滿足硬件安全需求，并且硬件架構度量評估結果符合相應的汽車完全安全等級（ASIL）的需求。

關鍵詞：功能安全;硬件安全需求;失效率;硬件架構度量

中圖分類號：U462.1 ?文獻標識碼：A ?文章編號：1671-7988（2020）09-80-04

Research of?the Functional Safety on?Hardware Stage?of the Resolver?Decoding System

Lei?Jiaxin， Pei?Xiaofei

（?School of Automotive Engineering， Wuhan University of Technology， Hubei Wuhan 430000）

Abstract：?On the basis of the self-designed resolver?decoding system， according to the functional safety research specifica?-tion in the hardware stage of the functional safety standard （ISO26262）， the functional safety research in the hardware stage of the designed decoding system is carried out. The research process was carried out in strict accordance with the hardware stage research specification （ISO26262-5） of the functional safety standard， and other foreign hardware evaluation indexes were also referred. The results of functional safety research in the final hardware stage show that the designed decoding system can meet the requirements of hardware safety?request， and the hardware architecture measurement evaluation results meet the requirements of the corresponding automotive complete safety level （ASIL）.

Keywords： Functional Safety; Hardware?Functional?Request; Failure?Rate; Hardware Architecture Measurement

CLC NO.： U462.1??Document Code： A??Article ID： 1671-7988（2020）09-80-04

前言

隨著新能源汽車技術的飛速發(fā)展，高效、穩(wěn)定相關技術已日趨成熟，安全逐漸成為行業(yè)內關注的焦點。進入20世紀以來，國際上各大整車廠、零部件供應商都出臺了符合自己產品的安全標準，而這并不能滿足逐漸全球化的汽車市場需求，于是國際標準化組織（ISO）聯(lián)合博世、大陸等世界知名汽車零部件供應商在已有標準的基礎上制定出了全球化的汽車安全標準—ISO26262，逐漸成為行業(yè)內公認的安全規(guī)范^[1]。

ISO26262第一版是ISO組織于2011年發(fā)布，現(xiàn)已廣泛應用于各類汽車電控系統(tǒng)中。功能安全標準中定義了針對某一電控系統(tǒng)功能安全研究的研究過程，主要包括概念階段、系統(tǒng)階段、硬件階段、軟件階段，另外相關的支持過程。

旋轉變壓器作為新能源汽車電機控制系統(tǒng)的一個重要部件，起到實時檢測電機轉速、為電機控制策略提供反饋信息的作用。目前電動汽車上比較通用的方法是采用專用的硬件解碼芯片對旋轉變壓器進行解碼，而近幾年來，隨著集成電路技術的突飛猛進，以單片機為載體、通過設計相關程序實現(xiàn)的軟件解碼方法也逐漸占有一席之地。

本文基于自主設計的旋變解碼系統(tǒng)，采用軟件解碼和硬件解碼結合的方法：硬件解碼通過專業(yè)解碼芯片AD2S1210實現(xiàn)，軟件解碼通過英飛凌單片機TC265的DSADC模塊實現(xiàn)。根據(jù)解碼系統(tǒng)概念階段確定的安全目標和系統(tǒng)階段確定的硬件安全需求，按照硬件階段功能安全研究過程，對所設計的解碼系統(tǒng)進行硬件階段的功能安全研究。

1 啟動解碼系統(tǒng)硬件階段功能安全研究

1.1 硬件階段功能安全研究過程

根據(jù)功能安全標準，硬件階段功能安全研究過程主要包括：技術安全概念的硬件實現(xiàn)、潛在的硬件故障、與軟件開發(fā)的協(xié)調。啟動硬件階段功能安全研究的原則是制定滿足安全要求的硬件開發(fā)所需的活動和流程的計劃。圖1簡要闡述了硬件開發(fā)流程。

1.2 定義解碼系統(tǒng)硬件安全需求

硬件安全要求由技術安全要求和系統(tǒng)設計規(guī)范導出，并把在系統(tǒng)階段定義的、既分配給硬件又分配給軟件的技術安全要求進一步劃分出僅針對硬件的安全要求，在此基礎上對硬件安全要求進行進一步細化^[2]。

硬件安全需求規(guī)范即硬件上的技術安全需求。根據(jù)對解碼系統(tǒng)概念階段研究，明確了硬件上的技術安全需求分別是“對解碼芯片工作狀態(tài)進行檢測”和“提高隨機硬件可靠性”。前者主要是通過在AD2S1210解碼芯片的底層驅動程序中設計一個狀態(tài)機函數(shù)，檢測解碼芯片的工作狀態(tài)來實現(xiàn)，這一過程主要是在軟件階段實現(xiàn)，在此不做過多論述;而后者無法通過制定有效的安全機制，因為系統(tǒng)的隨機硬件失效不屬于硬件上的技術安全需求，只有通過隨機硬件故障率進行對隨機硬件失效進行適當預測，從而實現(xiàn)因隨機硬件失效導致違背安全目標的評估，根據(jù)評估結果選用更可靠的器件。

2 硬件設計與硬件安全分析

根據(jù)功能安全標準，硬件設計這一子階段完成的主要工作是根據(jù)硬件設計規(guī)范和硬件安全需求設計硬件。硬件設計有劃分為硬件架構設計和硬件詳細設計：通過硬件結構設計來表示出所有硬件單元及彼此間的關系;硬件詳細設計測試完成系統(tǒng)的電氣原理圖、PCB的設計，而這些工作不是本文重點研究內容，不在此贅述，所以在本小節(jié)中，主要通過硬件安全需求，對所設計的硬件進行安全分析。

安全分析的目的在于識別解碼系統(tǒng)失效的原因和故障的影響。對每個安全相關的硬件組件或者元器件，在確定的安全目標下，安全分析需要識別故障（失效）類型。對解碼系統(tǒng)硬件的故障（失效）類型識別流程如圖2所示;通過該流程，對解碼系統(tǒng)硬件的故障（失效）類型識別的結果如表1所示。

在確定了硬件故障（失效）類別后，就可以開始安全分析。本文安全分析方法采用功能安全標準中推薦的故障樹分析法。故障樹分析（Fault Tree Analysis，F(xiàn)TA）是美國貝爾電報公司在1961年提出的一種用在安全工程以及可靠度工程的領域的分析方法^[3]。故障樹主要由時間和邏輯門組成，事件是描述各層次上所產生的事件或事件所發(fā)生的條件，而各層次上的事件通過邏輯門連接形成故障樹。

考慮本文所設計的解碼系統(tǒng)，針對解碼系統(tǒng)所建立的故障樹如圖3所示。按照故障樹分析步驟，以解碼系統(tǒng)因故障而停止工作為頂事件，然后分解到硬件解碼和軟件解碼中，并依次向下分解，直至可直接影響頂事件的底層事件。硬件解碼中主要考慮解碼芯片的故障和單片機的控制故障;軟件解碼中主要考慮單片機故障，軟件故障不屬于硬件安全范疇，不再向下進行分解。

根據(jù)解碼系統(tǒng)的故障樹模型分析，在硬件解碼中，針對解碼芯片故障，可以設計的安全機制主要是通過解碼芯片的底層軟件對解碼芯片的工作狀態(tài)進行監(jiān)控;針對單片機控制的故障而言，設計時所選用的英飛凌在單片機設計之初就已經完成了對單片的功能安全開發(fā)，所以單片機本身已經具備相關安全機制，不再重復研究。在軟件解碼中，針對單片機故障，也是利用單片機本身的功能安全機制，而對于軟件故障，詳細安全機制則在功能安全研究軟件階段制定。

3 解碼系統(tǒng)硬件架構度量評估

根據(jù)上節(jié)的分析，解碼系統(tǒng)無安全機制應對的硬件故障主要是隨機硬件失效，根據(jù)功能安全標準，硬件隨機失效發(fā)生的概率應以硬件架構度量為依據(jù)，而硬件架構度量表示評估硬件體系結構在安全性方面的有效性的度量標準，評估方法主要是利用失效率對單點故障度量和潛伏故障度量進行計算，這些度量所針對的隨機硬件失效僅限于對安全目標有影響的元器件。所以本小節(jié)中，以“隨機硬件可靠性”為安全目標，對解碼系統(tǒng)硬件架構度量進行評估。首先對失效率和故障度量的概念進行相關介紹。

3.1 失效率

在功能安全標準中，失效率表示故障的概率密度除以硬件元素的生存概率，通常用λ表示，單位是FIT（Failures In Time），1FIT=10^-9次/小時。根據(jù)功能安全標準，λ可表示為所有類型的失效率之和;再根據(jù)圖2，分析得到解碼系統(tǒng)故障分類如表2所示，于是有：

3.2 故障度量

在功能安全標準中，故障度量分為單點故障度量和潛伏故障度量。單點故障度量（single-point fault matrices，SPFM）反映了相關項通過安全機制覆蓋或通過設計手段（主要為安全故障）實現(xiàn)的對單點故障和殘余故障的魯棒性，高的單點故障度量值意味著相關項硬件的單點故障和殘余故障所占的比例低;潛伏故障度量（latent fault matrices，LFM）反映了相關項通過安全機制覆蓋、通過駕駛員在安全目標違背之前識別、或通過設計手段（主要為安全故障）實現(xiàn)的對潛伏故障的魯棒性，高的潛伏故障度量值意味著硬件的潛伏故障所占的比例低。功能安全標準給出了二者的計算公式，分別如式（2）、（3）所示。

3.3 診斷覆蓋率

在功能安全標準中，診斷覆蓋率表示硬件組件或元器件失效時，可以由安全機制檢測或控制的失效率所占的比例。診斷覆蓋率有劃分為單點故障的診斷覆蓋率K_{DC， RF}和潛伏故障的診斷覆蓋率K_{DC， MPF， latent}，功能安全標準給出了二者的計算公式。需要說明的是，在功能安全標準中二者的計算公式中的殘余故障失效率λ_RF和潛伏故障失效率λ_{MPF， latent}是采用的估計值，為簡化計算過程，本設計中直接使用分析得到的殘余故障失效率和潛伏故障失效率，省略的估算的過程。

在明確了相關概念后，就可以對解碼系統(tǒng)硬件架構度量的評估進行展開。在功能安全標準中給出了硬件架構度量評估的各項內容，分別為：失效率、失效模式、失效率分布、有無安全機制、缺少安全機制是否有違背安全目標的可能、違背安全目標的失效模式覆蓋率（殘余故障診斷覆蓋率）、單點故障失效率、考慮潛伏故障的失效模式覆蓋率、潛伏故障失效率。

3.4 解碼系統(tǒng)的故障度量的計算

首先確定硬件架構度量評估過程中與安全相關的所有器件。根據(jù)確定的技術安全需求，與硬件相關的技術安全需求主要包括對解碼芯片的工作狀態(tài)進行監(jiān)控以及提高隨機硬件的可靠性。

根據(jù)解碼系統(tǒng)的硬件設計以及解碼系統(tǒng)故障樹分析可以得知，與硬件安全相關的內容有：單片機、解碼芯片的引腳連接、供電狀態(tài);與單片機、解碼芯片的工作或者供電狀態(tài)相關的元器件的工作狀態(tài)。由此可以得出，硬件架構度量評估中所設計到的元器件如表3所示。

確定了元器件件之后，就可以計算器件的失效率、失效模式以及失效率分布。功能安全標準中推薦使用一些可靠性的評估手冊進行計算。本文使用的評估手冊是國際電工委員會IEC（International Electrotechnical Commission）在2011年發(fā)布的《電氣元件可靠性——故障率和轉換應力模型的參考條件IEC61709-2011》。在IEC61709給出了各種類型器件的失效模式和失效率分布，同時規(guī)定當器件工作在參考條件下時，器件失效率就是參考條件下的失效率^[4]。為簡化計算過程，認定器件工作條件處于參考條件下。而對于參考失效率，則采用德國西門子公司在2004年發(fā)布的標準SN29500，該標準定義了各類元器件的參考失效率^[5]，[6]。由此即確定了解碼系統(tǒng)硬件架構中各器件的失效率。

然后再分析器件的診斷覆蓋率。診斷覆蓋率可以分為考慮安全機制的診斷覆蓋率和考慮潛伏故障的診斷覆蓋率。在考慮安全機制的診斷覆蓋率中，對于沒有安全機制的器件，安全機制的診斷覆蓋率為0%，有安全機制的器件，則根據(jù)其ASIL等級進行劃分。其中，單片機TC265本身已經完成功能安全開發(fā)，滿足ASIL-D等級^[7]，所以其考慮安全機制的診斷覆蓋率為99%;在安全目標確定中，解碼芯片工作狀態(tài)需要達到ASIL-D等級，所以其考慮安全機制的診斷覆蓋率為99%。在考慮潛伏故障的診斷覆蓋率中，對于電阻和電容而言，本身無法識別潛伏故障，所以考慮潛伏故障的診斷覆蓋率都為0%;而對于AD2S1210和TC265而言，都考慮了潛伏故障，所以二者的診斷覆蓋率為100%。

最后判斷器件的失效模式在缺少安全機制時是否有可能違背安全目標，以及結合其他失效時是否有違背安全目標的可能。若失效在缺少安全機制時不會違背安全目標，則不存在單點失效，無需計算單點故障失效率;若失效結合其他失效時不違背其他安全機制，則不存在潛伏失效，無需計算潛伏故障失效率。具體結果如表4所示。

根據(jù)表4的分析，可以得出公式（2）、（3）的各項因子的值：

（1）與安全相關的硬件結構總失效率：

（2）單點故障總失效率：

（3）潛伏故障總失效率：

再根據(jù)公式（2）、（3），就可以得出解碼系統(tǒng)硬件架構度量中的單片失效率和潛伏故障失效率，分別為：SPFM=?99.5%，LFM=98.2%。根據(jù)功能安全標準給出的單點故障度量目標值和潛伏故障度量目標值可以得知，當安全目標的ASIL等級為ASIL-D時，SPFM≥99%，LMF≥90%。通過公式（2）、（3）計算得出的SPFM和LMF符合目標值要求，所以通過對解碼系統(tǒng)的硬件架構度量的評估可以得出，解碼系統(tǒng)硬件架構能符合所設計的安全目標的要求。

4 結論

在解碼系統(tǒng)硬件階段功能安全研究中，將系統(tǒng)階段得到的技術安全需求分解出硬件安全需求。根據(jù)解碼系統(tǒng)中的硬件設計內容，進行相關功能安全研究，主要包括解碼系統(tǒng)失效類別劃分和硬件的故障樹分析;另外對解碼系統(tǒng)進行了硬件架構度量的評估，評估結果表明，所設計的解碼系統(tǒng)硬件結構度量能符合安全目標對應的ASIL-D等級。

參考文獻

[1] 史學玲.功能安全標準的歷史過程與發(fā)展趨勢[J].儀器儀表標準化與計量，2006（02）：6-8.

[2] ISO26262-5， Road vehicles ?Functional safety Part 5： Product devel?-opment at the hardware level [S].Switzerland：ISO，2011.

[3] 故障樹分析法[OL].百度百科，2019. https：//baike.baidu.com/item/.

[4] IEC61709，Electric components-Reliability-Reference conditions for fail?ure rates and stress models for conversion[S].Switzerland：?IEC，?2011.

[5] SN29500-2，F(xiàn)ailure rates of components Part 2：Expected values for integrate circuits[S].German：Siemens，2004.

[6] SN29500-4，F(xiàn)ailure rates of components Part 4：Expected values for passive?component[S].German：Siemens，2004.

[7] 英飛凌.?Aurix Product Brochure New TriCore Family Brochure?[Z].德國：英飛凌，2015.