毫無疑問,汽車行業的一個現狀就是:整個內部電子系統在不斷升級。隨著汽車構造變得越來越複雜,其功能也越來越複雜,包括為駕駛員感知、思考和行動,電子內容的類型也隨之發生了變化。特別是,混合動力汽車和電動汽車的內容和自動駕駛功能都會得到極大擴充。
然而,需要解決的一個關鍵問題是,目前電動汽車行業的商業模式對原始設備製造商而言無法長期盈利。基本電動汽車的平均估計成本偏高仍然是一個主要問題。
原始設備製造商將承擔更多設計任務,或繞過一級供應商直接與集成電路(IC)供應商談判,以減少成本,增加盈利。他們面臨的挑戰是以一種新的方式將電子控制裝置(ECU)和聚類功能結合,集成嵌入式電子結構。
這就是為什麼恩智浦(NXP)與整個行業的公司密切合作,以加快突破這些限制。我們使用的方法之一是:結合我們的系統知識和安全專業知識,開發出參考設計(reference designs)。這意味著參考設計從一開始就包含了關鍵的安全系統元素。
要開發系統參考設計的安全概念,恩智浦必須能夠定義安全目標、概念和功能,以便能夠在我們的系統設計中確定正確的系統實現。
我們遵循ISO 26262的開發流程。在開發過程中,我們使用V循環(V Cycle)項目管理工具,為安全系統產品開發過程中的每一步提供建議。
V循環將每個步驟作為一個部分分成一個組,希望每組能夠生產出具體的工作產品。像恩智浦這樣的集成電路供應商可以像一級供應商一樣預測和開發系統電子控制裝置(ECU)。如此一來,我們可以縮短開發時間,並提供對整個開發鏈有益的標準交付成果。
我們的目標不一定非得是像一級供應商一樣,提供成熟的解決方案,而是加快一級供應商工作產品的開發。
比如,如何按照SEooC(Safety Element out of Context)流程為電動汽車應用開發一個電源逆變模塊(power inverter)的安全概念。作為集成電路供應商,我們將完成V循環的第3、4、5、6和7部分,並提供與每個部分相關的工作產品。我們首先要定義目標系統中的項目——即,將安全概念應用到參考設計中,有什麼潛在的危險?我們的目標是什麼?
圖1:電動汽車的高壓變頻器
如圖1所示,功率逆變器是電動汽車的主要牽引系統。它根據車輛控制單元(VCU)的轉矩要求,控制電能源與電機機械軸之間的能量轉換。
車輛控制單元將駕駛員的需要理解為電機的加速或減速。逆變器將轉矩請求轉換為進入牽引電機的相電流。
在純電動汽車中,這種連接通常是通過一個沒有離合器的簡單變速箱進行的。這是我們的第一個假設。重要的是在這裡我們要具體化,因為如果車輛有離合器,那麼安全情況將是不同的。
在我們的案例中,如果發生危險,駕駛者或電氣系統不可能僅僅通過打開電機和車輪之間的連接來停止車輛的牽引力。
我們還需要確定EE(電子電氣)系統故障的可能來源——無論是駕駛場景還是非駕駛場景。然後,根據ISO 26262中列出的ASIL(車輛安全完整性等級)等級,將這些危害按風險級別進行排序。如圖2所示,在這種情況下,安全目標可以是在車輛停止時避免意外加速。
圖2:電動汽車高壓逆變器的危害和安全目標示例
這些安全目標將形成具有與ASIL等級和FTTI(fault tolerant time interval故障容忍時間間隔)相關的,且符合功能要求(FR)和功能安全要求(FSR)的功能安全架構,如:
圖3:功能安全架構
現在我們有了功能安全架構(圖3),我們需要演示系統架構能夠滿足安全需求和設計約束。
為此,我們從功能安全概念中衍生出技術安全概念。這結合了硬體和軟體子元素功能,將用於實現預期的項目和系統功能。
然後進行安全分析,以檢查所有可能的系統故障都已證實,適當的安全機制已就位。這可能產生被分配到安全架構的新的安全要求。
如此,技術定義可以有力證明,已經確認做出了適當反應,可以在比故障容忍時間間隔更短的時間內達到安全狀態:因此沒有違反該項目的安全目標。
在我們的例子中,由於大量的能量流入電動機,所以導致安全狀態很複雜。一個安全的狀態意味著,根據電機轉速,斷開或短路三相電機,停止推進車輛。
隨著在V循環中的進展,我們開發出能滿足客戶安全需求的工作產品。硬體設計也以同樣的方式在這個過程中完成;安全概念將客戶的開發和原型設計階段縮短了三到六個月。
在恩智浦參考設計中,我們使用恩智浦集成電路建立了完整的安全架構,並測試了對安全狀態的診斷和反應。參考設計有助於加快開發,並提供了技術安全架構的級等級,同時,作為整個項目的一部分,也驗證了整個項目的安全完整性等級。