硬件的詳細安全需求來自于TSR，系統(tǒng)架構及系統(tǒng)邊界HSI。

硬件系統(tǒng)功能安全設計

根據(jù)ISO 26262-8章節(jié)6.4.2 硬件安全需求規(guī)范應包括與安全相關的每一條硬件要求，包括以下：

a.   為控制要素硬件內(nèi)部失效的安全機制的硬件安全要求和相關屬性，這包括用來覆蓋相關瞬態(tài)故障(例如，由于所使用的技術而產(chǎn)生的瞬態(tài)故障)的內(nèi)部安全機制；

b.   為確保要素對外部失效容錯的硬件安全要求和安全機制的相關屬性。

c.    為符合其它要素的安全要求的硬件安全要求和安全機制的相關屬性；

d.   為探測內(nèi)外部失效和發(fā)送失效信息的硬件安全要求及安全機制的相關屬性；及

e.   沒有定義安全機制的硬件安全要求。

硬件安全要求應按照ISO26262-8第6章和第9章的要求進行驗證，以提供證據(jù)證明。硬件設計可以硬件功能方塊圖開始，硬件方塊圖的所有的元素和內(nèi)部接口應當展示出來。然后設計和驗證詳細的電路圖，最后通過演繹法（FTA）或者歸納法（FMEA）等方法來驗證硬件架構可能出現(xiàn)的故障。

對系統(tǒng)設計來講最大的挑戰(zhàn)是滿足ISO26262硬件架構度量。針對ASIL C或D，ISO26262強烈推薦計算單失效和潛在失效概率。具體計算法見ISO26262-8附件。針對單點故障SPF (single-point faults),被稱為單點故障度量（single-pointfault metric -SPFM)，針對潛在失效故障，被稱為潛在故障度量（ latent-faultmetric-LFM）。對于每一個安全目標，由ISO26262要求的“潛伏故障度量”的定量目標值應基于下列參考目標值：

表1 SPFM和LFM推薦值

對BMS系統(tǒng)來講，電池包電壓傳感器是一個非常重要的傳感器，因此針對不同的ASIL等級需要分析電池包電壓傳感器不同的失效模式。下表是不同的ASIL級別所需要覆蓋到失效模式。

表2 電池包電壓傳感器常見失效模式及覆蓋度

ISO26262推薦用兩個可選的方法以評估違背安全目標的殘余風險是否足夠低。

兩個方法都評估由單點故障、殘余故障和可能的雙點故障導致的違背安全目標的殘余風險。如果顯示為與安全概念相關，也可考慮多點故障。在分析中，對殘余和雙點故障，將考慮安全機制的覆蓋率，并且，對雙點故障也將考慮暴露持續(xù)時間。

第一個方法包括使用概率的度量，即“隨機硬件失效概率度量”（probabilisticmetric for random hardware failures-PMHF），通過使用例如定量故障樹分析（FTA）或者（Failure Mode Effects and Diagnostic Analysis - FMEDA)及將此計算結果與目標值相比較的方法，評估是否違背所考慮的安全目標。

第二個方法包括獨立的評估每個殘余和單點故障，及每個雙點失效是否導致違背所考慮的安全目標。此分析方法也可被考慮為割集分析。推薦的隨機失效目標值如下表3。在文章[1]中選用第二種方法來驗證BMS均衡電路的隨機失效，單點失效等。

表3 隨機失效目標值

在前面幾章分析過從HARA分析得到Safe Goal，從Safe Goal推導出FSR，從FSR推導出TSR。并以BMS的過充作為例子進行了詳細的介紹。文章[1]選取了TI公司的BQ20Z80芯片，監(jiān)控四個cell電壓，管理均衡。圖1是電路原圖（表示看不清，可以看參考文獻[2]的高清大圖），該電路的核心元器件是ICBQ20Z80，BQ2940是過充二級保護芯片。文章針對過充保護功能，選擇方法2展開對安全目標-“Battery overcharging shallbe prevented ”的隨機失效失效評估。該方法不僅考慮到錯誤發(fā)生的可能性同時還考慮到安全機制的有效性。文章評估了芯片BQ2940及采樣芯片BQ2931。

圖1 電芯電壓采樣均衡架構圖

ISO 26262標準中引入了失效率等級。硬件元器件失效率的失效率等級評級應按如下確定：

a.   失效率等級1 對應的失效率應少于ASILD 的目標除以100（見表3）

b.   失效率等級2 對應的失效率應少于或等于10倍的失效率等級1 對應的失效率（見表4）

表4 失效率等級

如果單點失效違背ASILC的安全目標，那個對應的合適的失效率等級為FRC 1或者有其他額外測量的FRC2

采樣均衡電路的失效可能會導致電芯過充，進一步引起熱失控。因此根據(jù)SafetyGoal推導出的安全要求如圖2。

圖2 功能安全要求

根據(jù)FSR可以推導出TSR，TSR見圖3

圖3 技術安全要求

這是安全目標所導出想系統(tǒng)的TSR，需要從中分離出單獨跟硬件相關的或者和軟件硬件都相關的TSR，因此硬件的TSR為：

·        Overcharge condition shall be detectedwithin Y ms and,

·        Current to the battery shall beinterrupted within Z ms.

·        根據(jù)上面的分析有兩條TSR分配給了硬件系統(tǒng)。在文檔[1]中歸納總結了安全目標的安全機制，見表5：

表5 分配給硬件的過充保護安全機制

·        實施安全機制中需要用到的硬件元器件預估失效率(failurein time- FIT)。用于確定硬件元器件失效率和失效模式分布的業(yè)界公認的來源包括IEC/TR62380, IEC 61709, MIL HDBK 217 F notice 2, RIAC HDBK 217 Plus, UTE C80-811,NPRD 95, EN 50129:2003, Annex C, IEC 2061:2005, Annex D, RIAC FMD97 和 MIL HDBK 338。文章[1]中選取數(shù)據(jù)庫MILHDBK 217和芯片供應商所提供的數(shù)據(jù)來評估安全機制。 

·        文章[1]中采用AFEBQ2931（TI）作為過充二級保護芯片，表是對過充保護的安全機制的評估。從下表格可以看出，安全目標的失效模式覆蓋率為99%，針對不同的與之安全相關的部件。

表6 安全機制評估

·        一旦完成硬件架構的設計和樣件設計，與之對應的不同的元素，系統(tǒng)集成測試也應該定義好。在ISO26262-8中，針對不同的ASIL等級推薦了不同的測試方法。

參考文檔

[1] Gerhard Hofmann, Prof. Georg Scharfenberg: Random Hardware failure complianceof a cell balancing circuit with the requirements of automotive functionalsafety

[2] Cell Balancing Using the bq20zxx

[3] 道路車輛 功能安全 第5部分：產(chǎn)品開發(fā)：硬件層面

返回第一電動網(wǎng)首頁 >