首页 > 其他分享 >快速符合ISO26262产品认证——动力域L2监控方案精华分享

快速符合ISO26262产品认证——动力域L2监控方案精华分享

时间:2024-08-15 14:31:13浏览次数:11  
标签:功能 扭矩 产品认证 安全 L2 监控 L1 ISO26262

一、VCU应用层监控方案的ISO26262背景

       “软件定义汽车”趋势下,更多汽车软件问题与消费者生命安全密切相关。而汽车行业ISO 26262《道路车辆功能安全》是一个国际安全标准,对安装在量产道路车辆上的电气、电子系统的功能安全进行了约束和规定,避免对人身的伤害。

       ISO 26262标准将汽车“功能安全(FuSa)”定义为“不存在因电气和电子系统故障所导致的不合理风险”。功能安全问题不是单纯的硬件系统问题,也不是单纯的软件系统问题,它是一个系统性问题,涉及硬件系统和软件系统两方面的具体操作和流程。在功能安全的开发过程中,所有活动的目的都是为了实现概念阶段经过HARA分析后导出的安全目标(SG),对原有的功能系统进行监控,避免由于E/E系统失效而违反安全目标。

       VCU(整车控制器)的SG ,包括避免扭矩输出过大、避免扭矩输出反向等, 大多与扭矩相关。实现VCU的SG,在软件中实现VCU应用层监控的核心,也聚焦在了输出扭矩的监控。就此本文将通过VCU L2应用层监控方案,讲解如何利用扭矩监控来实现功能安全要求。

 

二、基于E-Gas标准的监控方案参考

       上世纪90年代,电子节气门系统逐步在量产车上得到应用,成为汽油发动机控制系统的核心,由此掀起了汽车电气化控制的浪潮。

       与电控系统一并到来的,是人们对电子产品的可靠性的普遍担心,因此几大国际公司联合起草制定了针对发动机的ECU软件架构E-Gas,其中的三层软件架构概念已经得到世界各大OEM和Tier1认可和广泛应用。

  E-Gas三层架构图

 

  • Level 1:功能层

         计算并执行发动机扭矩、组件监控、输入/输出变量诊断及检测到故障时控制系统反应

  • Level 2:功能监控层

         监控L1软件功能故障,比如监控计算的扭矩值或车辆加速度;发生故障时,触发系统响应

  • Level 3:控制器监控层

         功能控制的独立部分,在问答过程中检测程序执行的正确性

       功能安全在L1功能层的基础上,开发完成L2和L3部分工作,本文主要介绍L2应用层监控方案。

 

三、VCU L2应用层监控方案

       在功能安全的整个流程中,包括概念阶段、系统阶段、硬件阶段、软件阶段和支持过程,而L2应用层监控方案的开发主要在软件阶段实现。

 

功能安全开发流程

 

       VCU在进行扭矩管理时,根据司机要求、车辆状态等工况,合理控制电机的工作状态及功率输出,满足驾驶工况要求。包括加减速、恒速、制动和后退的工况。具体的扭矩管理功能如下:

         ① 对驾驶员需求扭矩进行解析,识别工况和计算驾驶员扭矩

         ② 进行扭矩仲裁,协调其他ECU的请求扭矩

         ③ 进行扭矩限制,保证零部件安全

         ④ 进行扭矩滤波,提高驾驶舒适性

 

四、VCU L2应用层监控内容

  • 输入信号监控

         L2监控安全相关输入信号,并进行故障判断和处理,包括踏板、开关硬线信号及电机转速、车速、挡位、ESC请求等CAN信号。比如:加速踏板信号监控—

 

加速踏板信号监控与故障处理

 

  • 扭矩监控

         L2对各种模式下的扭矩进行解析,对L1计算的扭矩进行监控,并最终进行扭矩仲裁。L2层根据车辆状态判断当前驾驶工况,监控L1计算出的扭矩方向正确性。比如:方向性监控—

 

方向性监控流程示意图

 

         比如:绝对量监控-- L2通过扭矩的解析和计算,监控L1计算的MCU目标扭矩是否出现异常偏差,避免非预期加减速(比如:由SG/HARA分析得到的量化值减速度-2m/s²),绝对量监控分两部分,分别是同步前扭矩监控和同步后滤波扭矩监控:

            ① L2通过输入计算驾驶员需求扭矩Tor_L2,若L1计算的驾驶员需求扭矩Tor_L1在Tor_L2加一个安全范围内,则同步前扭矩监控无异常;通过同步前的比较实现较为宽泛的监控,这时只要L2的误差不是特别大,那么L1违背安全目标的非预期加速都能在此时的比较中被监测到

            ② 在同步前的比较无故障的前提下,对扭矩进行同步,消除L2扭矩计算的容差,提高监控的精度和准确性、鲁棒性。再通过滤波对扭矩变化趋势做了限定,此时去监控L1的滤波扭矩,可以实现更精准的监控

         具体滤波同步的解决方案,可联系经纬恒润进一步沟通。

 

绝对量监控流程示意图

 

  • 扭矩仲裁

         通过仲裁条件,决定VCU扭矩监控模块的输出。若监控无故障,则L1扭矩正常输出;若监控有故障,则进入对应的跛行模式,对输出扭矩进行限制:

            ① 根据双路加速踏板信号和车速信号监控结果判断进入何种模式,再根据对应的跛行模式的故障处理方式,判定L2计算的扭矩结果

            ② 得到L2计算的扭矩结果后,对L1输出的扭矩进行监控,若出现方向性故障,则直接进入安全模式,关断扭矩输出,若出现绝对量监控故障,则根据差值阈值进入相应的跛行模式,对扭矩输出进行降级处理

 

信号监控对应模式   扭矩监控对应模式   不同模式(Mode)下的故障处理方式

 

         根据以上结果,L2进行扭矩仲裁,若无故障则输出L1请求扭矩,若有故障则按对应方式进行故障处理。

 

L2扭矩仲裁

 

         采用L2应用层监控方案收益:

            ① 对功能开发维护:通过E-Gas架构实现在L1功能层的基础上增加L2功能监控层,实现功能安全功能与原有预期功能的解耦,避免对原预期功能的全生命周期破坏介入式的影响、所有功能的全新开发测试。只需要开发独立的L2功能补丁,并进行补丁部分的安全功能验证,减少大量全功能的开发修改及功能安全测试工作量

            ② 对功能平台化拓展:方便L1层、L2层功能的移植和拓展,以及平台化和模块化建设。采用L2监控并设计相应的降级策略,在不降低用户使用体验和可用性的基础上,提高安全性,并且可以再持续维护优化降级策略

 

五、项目实施应用

       在某自主动力域控制器项目中,经纬恒润助力用户实现ASILC等级的VCU产品功能安全开发并且拿到认证公司的认证。

 

  • 用户现状

            ① 已实现自主动力域控制器的所有功能(QM),完成实车测试。前期开发、测试投入大量的人力、物力、时间等

            ② 为满足市场、OEM要求,对产品升级达到 ISO26262产品认证要求

 

  • 项目要求

            ① 经纬恒润需提供ISO26262功能安全方案,负责软件中安全相关部分开发验证,尽量避免软件做大量调整,减少原有功能的修改、测试工作;在满足功能安全的情况,选择可以缩短工期的实施方案

            ② 该项目为量产项目,因此功能安全的实现需考量软件的可用性和用户的使用体验;经纬恒润需支持从监控组件开发到整车测试阶段安全相关阈值标定的工作

 

  • 项目成果

         该项目参考E-Gas标准、符合AUTOSAR架构规范,采用L2应用层监控策略及解决方案,对其原有功能(L1)的监控,实现了对应的安全目标(ASILC)。

         经纬恒润帮助用户提出恰当的安全监控策略、完成L2相关功能的开发、单元与集成测试,同时,在安全监控方案中考虑合理降级策略,平衡可用性&安全性。

 

L1-L2总体架构图   L2监控层  

       如需获取更新方案信息,可在经纬恒润官网观看8月8日在线研讨会《如何快速开发量产级别功能安全应用软件》和相关主题《智能汽车域控中间件功能安全方案设计及应用》研讨会回放。

 了解更多:

       请致电 010-64840808转6116或发邮件至[email protected](联系时请说明来自博客园)

标签:功能,扭矩,产品认证,安全,L2,监控,L1,ISO26262
From: https://www.cnblogs.com/hirain123/p/18360819

相关文章

  • 用html2canvas转当前网页为图片的流程
    1、从canvas中直接提取图片元数据//图片导出为png格式vartype='png';varimgData=canvas.toDataURL(type);上面的代码得到的数据格式为:data:image/png;base64,.....2、将mime-type改为image/octet-stream,强制让浏览器直接download**获取mimeType@param{Str......
  • ISO26262-MBD-静态验证在V左的布局考量
    一、ISO26262-MBD-静态验证的迷惑    模型的开发方法(Model-BasedDesign,MBD)在汽车行业嵌入式软件开发中扮演着重要的角色,功能安全ISO26262要求对我们搭建的模型进行规范检查。合规检查我们可以借助第三方工具来实现静态检查,而模型设计V左过程自动合规、如何快速合规,是我们......
  • wsl2 安装 xfce4 桌面
    在WSL2(WindowsSubsystemforLinux2)上安装和配置XFCE4桌面环境可以让你在Windows上运行一个完整的Linux桌面环境。以下是一个步骤指南来帮助你完成这个任务。1.安装WSL2首先,确保你已经安装并配置好WSL2。如果你还没有安装WSL2,可以按照以下步骤进行操作:启用WSL和虚拟机......
  • L2-009 抢红包
    L2-009抢红包分数25全屏浏览切换布局作者 陈越单位 浙江大学没有人没抢过红包吧……这里给出N个人之间互相发红包、抢红包的记录,请你统计一下他们抢红包的收获。输入格式:输入第一行给出一个正整数N(≤104),即参与发红包和抢红包的总人数,则这些人从1到N编号。随后N......
  • AutoCAD Electrical2023 AutoCAD电气版软件下载安装-亲测可用
    AutoCADElectrical是Autodesk公司推出的一款专门用于电气工程设计的AutoCAD垂直解决方案。它在AutoCAD的CAD平台上,集成了强大的电气设计和智能化功能。纯净直装全版本(包含2023最新版)软件地址: http://321.pwAutoCADElectrical的主要功能包括:-电气符号库-内置完整......
  • linux笔记(1):ubuntu环境下,基于SDL2运行lvgl+ffmpeg播放mp4
    文章目录1.ubuntu安装ffmpeg1.1源码安装1.1克隆ffmpeg源码1.2配置编译条件,编译,安装1.2直接安装依赖包2.下载lvgl源码2.1测试原始代码2.2运行lv_example_ffmpeg_2()例程2.2.1配置LV_USE_FFMPEG为12.2.2lv_example_ffmpeg_2()替换lv_demo_widgets()2.2.3链接......
  • ISO26262 Part 9 之 相关失效分析DFA/FFI的适用场景
    1.标准要求通过分析其潜在原因或引发因素,确认设计中充分体现了要求的独立性和免于干扰;如有必要,定义安全措施,以减轻可能的相关失效;免于干扰FFI:用于证明分配了不同ASIL等级的,或者无ASIL等级和有ASIL等级的要素可以共存;免于干扰和不存在共因失效DFA:用于证明在进行ASIL等......
  • ISO26262 Part6 之 免于干扰FFI
    1.标准要求在AnnexD中,有解释避免软件要素之间的相互干扰,主要包括三块:Timingandexecution时序和执行—死锁;—活锁;—执行时间的不正确分配;或—软件要素间的不正确同步。Memory存储—内容损坏;—数据不一致(例如,由于数据获取期间发生更新);—堆栈上......
  • WSL2Linux 子系统(九)
    WSL挂载硬盘/U盘/SD卡上一篇文章《WSL2Linux子系统(八)》讲解WSL与Windows之间端口转发规则和正向端口代理。《WSL2Linux子系统(六)》中仅仅简单讲解WSL(WindowsSubsystemforLinux)挂载硬盘,本篇继续详细讲解几种常见硬盘挂载使用。挂载外部硬盘到WSL不仅可以扩......
  • SQL2017 安装教程图解(详细到每一个细节)
    SQL2017安装教程图解(详细到每一个细节)----bayaim----2024年8月5日15:27:41----借鉴网址:https://blog.csdn.net/weixin_39665379/article/details/111100754 一、程序准备JDK:jdk-7u80-windows-x64(官网可以下最新的,JDK7以上就可以,其他版本没试过不知道可不可以,等我试过......