本文要點
在上文(EPB功能安全筆記(6)——什麼是safety concept)中對比和辨析了安全概念開發(Safety Concept Development)中的關鍵概念,為本文對EPB系統的安全概念開發示例說明提供了理論參考。
鑒于EPB系統比較複雜,所涉及的Safety Goal比較多,本文将選取一條Safety Goal作為示例展開說明,重點闡述安全概念開發的步驟,希望能給讀者提供一些參考。
在此需要強調,本文的重點在于介紹分析safety concept的方法論,最終得出的功能安全需求和技術安全需求僅供參考,與實際開發處在差異。
安全概念開發
1.确定Safety Goal
本文将選取《EPB功能安全筆記(3)——如何定義一條完整的Safety Goal?》中分析得出的Safety Goal作為示例。
Safety Goal:EPB應避免錯誤建壓而造成過高的減速度
ASIL: C
FTTI:see safety margin
safe state: EPB shut down and warn driver
safety margin:
ASIL Rating | deceleration | FTTI |
A | < -3m/ss | 600ms |
B | < -5m/ss | 1000ms |
C | < -7m/ss | 1400ms |
2.功能安全概念(Functional Safety Concept)
2.1.功能定義
EPB除了提供靜态功能(卡鉗駐車/卡鉗釋放)外,還能提供動态制動功能。具體來說,法規要求EPB能夠作為第二套行車制動系統,通過拉起EPB開關,可以觸發電控液壓制動單元主動建壓以實作最低1.5m/s2的減速度。
2.2.系統初步架構确定
在《EPB功能安全筆記(4)——EPB系統架構分析和功能總結》中提到,實作動态液壓制動需要Brake Assy和ESC Assy共同完成,實作動态液壓制動功能的信号鍊如下所示。藍色為Brake Assy負責的部分,綠色為ESC Assy負責的部分。
- Brake Assy: 包含制動卡鉗、卡鉗電機、電機控制軟體(PBC, parking brake controller)
- ESC Assy: 又稱Brake Host,提供EPB ECU和供電電源、CAN 通訊接口、硬線接口等外圍裝置
動态液壓制動功能的信号鍊
信号鍊中涉及的關鍵子產品以及各自的作用分别為:
- SSM:識别車輛運動狀态,并将駕駛員的EPB請求傳遞給PBC,發送給PBC的請求信号已經區分了靜态請求還是動态請求
- PBC:結合SSM的請求和車輛診斷子產品結果仲裁控制機械控制或液壓控制。如果診斷子產品回報ESC液壓控制正常,則采用液壓制動;反之采取卡鉗制動
- ESC Control&Actuator:正确地執行PBC的液壓控制請求
2.3.功能邊界條件
功能的關鍵邊界為減速度大小的設定。實際上,OEM要求的動态液壓制動功能所能産生的制動減速度遠大于法規的1.5m/ss要求。下圖是某OEM要求的目标減速度曲線,當駕駛員持續拉起EPB開關時,減速度會随拉起時間增加而增大,最大減速度能達到-8m/ss。結合Safety Goal的safety margin,說明動态液壓制動功能有造成ASIL C的危害的可能。
動态液壓制動目标減速度
2.4.功能安全需求分析
綜合上面的分析,可以得出EPB系統動态液壓制動功能的兩條功能安全需求。
EPB#FSR1:
液壓制動功能應避免在駕駛員沒有請求的情況下非預期激活。
ASIL: C
FTTI:600ms
safe state: fully release hydraulic brake and warn driver
3.技術安全概念(Technical Safety Concept)
3.1.細化系統架構
首先明确在正常情況下執行動态液壓制動功能時對應的信号鍊及接口定義。
(1)駕駛員→EPB系統
接口名 | 接口定義 |
Button state | EPB系統通過判斷EPB開關的狀态來确定駕駛員意圖。 · apply · release · neutral · unavailable |
(2)SSM → PBC
接口名 | 接口定義 |
PbcInApplyReleaseRequest | 結合駕駛員意圖和車輛運動狀态給PBC發送請求。 · None · ParkApply · HoldApply · RollerbenchApply · Release · DynamicApply (動态制動請求) · PadAdjustment · EmergencyParkApply · HapPreparation |
(3)PBC → ESC Control&Actuator
接口名 | 接口定義 |
PbcOutHpsPressure | 動态液壓制動目标主缸壓力值,為模拟量。 範圍:0-100bar |
PbcInHpsAvailability | ESC液壓控制和執行子產品的狀态。 · available · unavailable |
其次,當系統因為故障無法支援動态液壓制動功能時,功能應該及時退出并告知駕駛員。對系統故障的檢測由診斷子產品完成;故障狀态則由HMI接口傳遞給駕駛員。
(4)Brake Assy與ESC Assy診斷
PBC自身不包含故障管理子產品,但是包含所有必要的PBC故障監控邏輯。PBC故障螢幕将故障發送給ESC HOST故障管理子產品進行統一處理,由Host來做出正确的降級控制。
ESC Host的系統診斷由System Wide Services完成,包括對液壓系統的狀态監控和診斷。System Wide Services相當于是EPB系統(包含ESC Assy和Brake Assy)統一的故障管理子產品,彙總并處理所有的故障診斷結果。
接口名 | 接口定義 |
PbcOutFaultStatus | PBC目前故障狀态。 |
(5)HMI
無論ESC Assy或是Brake Assy出現故障,System Wide Services會将故障狀态發送給HMI,由HMI以亮燈或者其他報警方式提醒駕駛員。
接口名 | 接口定義 |
Status Info | EPB系統(包括ESC Assy和Brake Assy)的目前狀态 |
3.2.FTTI配置設定
FTTI(fault tolerant time interval,故障容錯時間間隔)為在沒有安全機制的情況下從相關項出現故障到危害事件發生的最小事件間隔。換句話說,在加了安全措施(safety mechanism)的情況下,必須在小于等于FTTI的時間内解除故障才能避免危害。安全措施包括故障探測和故障響應,也就是說應滿足:
FDTI + FRTI ≤ FTTI
其中,
- FDTI:fault detection time interval, 故障探測時間
- FRTI:fault reaction time interval, 故障反應時間
截圖來自ISO 26262,2018
為了友善接下來定義技術安全需求,我們對動态液壓制動功能作如下假設:
1.EPB button故障診斷時間:200ms
2.PBC故障診斷時間:100ms
3.ESC Assy故障診斷時間:200ms
4.動态液壓制動功能所涉及的函數的運作周期均為20ms
5.-8m/ss減速度的輪缸壓力最長洩壓時間:200ms
3.3.技術安全需求分析
綜合上面的分析,我們可以得出如下技術安全需求。
Note:如果能夠細化具體的故障以及故障對應的失效模式,技術安全需求應該更具體,本文重點在于說明方法,不對具體失效模式進行細究,是以需求中使用比較粗略的定義。
EPB button#TSR1:
EPB button應能夠在200ms内診斷出故障.
ASIL C
EPB button#TSR2:
當診斷出故障後, EPB button應在20ms内發送’EPB_button = unavailable’.
ASIL C
SSM#TSR3:
當車速大于20kh時, SSM隻有在收到’ EPB_button = apply’時才能發送動态制動請求’ PbcInApplyReleaseRequest= DynamicApply’.
ASIL C
PBC#TSR4:
PBC隻有在收到PbcInApplyReleaseRequest= DynamicApply’且ESC狀态正常’PbcInHpsAvailability = available’的情況下才能發送液壓制動請求.
ASIL C
ESC_#TSR5:
ESC應正确地執行來自PBC的液壓請求.
ASIL C
PBC#TSR6:
PBC應在100ms内檢測到故障.
ASIL C
PBC #TSR7:
當診斷出故障後PBC應在20ms内報告給ESC host.
ASIL C
ESC_Host_#TSR8:
ESC Host應在200ms内檢測出ESC液壓制動子產品的故障.
ASIL C
ESC_#TSR9:
當檢測出液壓制動系統故障時,ESC應在200ms内釋放輪缸壓力.
ASIL C
ESC_Host_#TSR10:
當檢測出ESC故障或者收到PBC故障後,ESC host應在20ms内報告給HMI.
ASIL C
4.技術安全需求的傳遞
一個完善的功能安全開發團隊通常定義三個角色:
- 系統功能安全工程師
- 軟體功能安全工程師
- 硬體功能安全工程師
每個角色負責下圖中的一個V模型開發活動。
功能安全開發中的三個V模型 (截圖來自GB/T 34590)
系統安全工程師分析出技術安全需求後,将需求遞交給軟體工程師和硬體工程師,由它們來實作需求。
下篇預告
本文以一條Safety Goal為例,結合系統架構和功能定義與邊界分析出功能安全需求,最終得到技術安全需求。
下一期将繼續以EPB系統的動态液壓制動功能為例,介紹FMEA在功能安全開發中的價值和實際運用。