向右滑动:上一篇 向左滑动:下一篇 我知道了
广告

汽车人机交互系统的功能安全

时间:2019-11-25 作者:Kishore Kumar Sukumar、Martin Oberkönig博士、Sivaguru 阅读:
当今汽车应用中的大量处理器及部件终将能够降低驾乘危险系数,但前提是它们必须可靠运行且可预测。本文将对功能安全的作用进行探讨。功能安全的概念不仅涉及到汽车HMI系统,还适用于范围更加广泛的应用与行业。如今我们愈发依赖于通过系统来执行日常任务,反过来,这些系统也需要通过交付安全性及可靠性来赢得我们的信任。

当今汽车应用中的大量处理器及部件终将能够降低驾乘危险系数,但前提是它们必须可靠运行且可预测。6OtEETC-电子工程专辑

如今,汽车行业正飞速发展,汽车的先进性、自动化程度及舒适度日益提升。汽车应用中的处理器、传感器、存储器及其它电子器件的数量与日俱增,驾乘危险系数不断下降。纵然这些汽车子系统可以利用连接性和自动驾驶技术来提高驾驶员的安全性,但这必须以其可靠性及可预测性为前提。6OtEETC-电子工程专辑

汽车座舱内的人机交互(HMI)随着新功能和信息娱乐系统的日益发展而不断改善。电容式感应按钮和触摸屏已非常普遍,例如,播放/暂停歌曲或选择AM/FM频道收听广播。此外,它们也越来越多地被应用于安全关键型功能,如发动机启动/停止按钮和巡航控制。6OtEETC-电子工程专辑

除汽车行业以外,还有许多应用领域都无法承受任何可能导致人身伤害和/或财产损失的故障的发生。核电站、某些工业机械和飞机的关键系统都是非常典型的例子。即便是像微波炉或洗衣机这样的日常家用电器,在发生故障时也可能对人造成伤害。有可能对人造成伤害的系统都需要伤害缓解措施,且任何功能安全设计的目的,都是将人身伤害、财产损失及责任因素的风险降至最低。6OtEETC-电子工程专辑

本文将对功能安全的作用进行探讨。功能安全的概念不仅涉及到汽车HMI系统,还适用于范围更加广泛的应用与行业。如今我们愈发依赖于通过系统来执行日常任务,反过来,这些系统也需要通过交付安全性及可靠性来赢得我们的信任。6OtEETC-电子工程专辑

功能安全

当我们对系统的正常运行存在依赖时,就需要对功能安全格外关注,并将故障对人员造成的风险降至最低。而为了保证功能安全,就必须着手解决两个方面的问题:6OtEETC-电子工程专辑

预防:预防措施能够避免或至少能够减少系统开发阶段的系统故障。如果规定、设计或执行出错,那么系统就可能会出现故障。预防措施落实得越到位,系统发生故障的风险就越低。6OtEETC-电子工程专辑

检测:第二类故障是随机硬件故障。这类故障发生于系统运行期间,且只有在生产及质检之后才能被察觉到。例如,随机硬件故障的源头可能是温度、压力、振动、辐射、污染或老化等环境因素。这类故障可能是永久性的,只能通过维修或更换设备来解决;也可能是暂时性的,像“存储器位反转”(bit flip)这类故障,过一段时间后就会消失。任何系统都可能在某一时刻发生故障,我们需要采取措施来检测或控制此类故障,以防止系统危及人身安全。6OtEETC-电子工程专辑

标准

功能安全的标准因领域而异。这些标准提供了指南,可对不同系统予以比较。6OtEETC-电子工程专辑

IEC 61508标准于1998年首次发布,是电气、电子和可编程电子安全相关系统(E/E/PE)的核心标准。该标准可以被看作是基本标准,其它用于大量特定应用的标准均由其衍生而来。这些标准已经发布,并提供了特定应用领域功能安全问题的解决指南。6OtEETC-电子工程专辑

ISO 26262标准是专为道路车辆电气和/或电子系统(E/E)应用领域而设计的国际功能安全标准,适用于最大毛重不超过3,500 kg的量产型乘用车上的安全相关的电气和电子系统。ISO 26262标准于2011年首次发布,第二版于2018年发布,是适用于汽车HMI系统的标准。6OtEETC-电子工程专辑

系统需要达到“何种安全程度”取决于汽车安全完整性等级(ASIL)。该ASIL等级通过危险分析和风险评估来确定,并需要考虑危险状况的严重性、常见性及可控性。6OtEETC-电子工程专辑

ISO 26262给出了三个关键指标:6OtEETC-电子工程专辑

1.单点故障指标(SPFM):单个故障直接导致违反安全目标。例如:喷油线圈故障可能会直接阻塞发动机并致使汽车熄火,从而对驾驶员造成严重伤害。6OtEETC-电子工程专辑

2.潜在故障指标(LFM):由独立故障组合引起的多点故障,这类故障安全机制检测不到,驾驶员在多点故障检测间隔内也察觉不到。例如:单个近光灯/远光灯不亮,不会对驾驶员造成危险情况,因为作为安全机制,失效灯可以由正常工作灯替换。但是,如果近光灯/远光灯都停止工作,则可能会导致重大事故。6OtEETC-电子工程专辑

3.随机硬件失效指标(PMHF):以给定时间内的故障次数(FIT)表示硬件故障概率。FIT是每运行十亿小时内的故障次数。6OtEETC-电子工程专辑

下表为不同ASIL级别的ISO 26262指标:6OtEETC-电子工程专辑

6OtEETC-电子工程专辑

 6OtEETC-电子工程专辑

6OtEETC-电子工程专辑

6OtEETC-电子工程专辑
图1: ASIL和残余风险6OtEETC-电子工程专辑

汽车HMI系统与安全

随着电容式HMI系统与关键功能的集成度日益提高,可靠的功能性(或安全操作)已成为必需,且不能对驾驶员/乘客的健康造成影响。因此,汽车制造商们开始纷纷对电容式HMI系统提出功能安全要求。6OtEETC-电子工程专辑

对于大多数HMI系统而言,安全完整性等级将达到ASIL B,在某些情况下甚至达到ASIL C。最严格的ASIL D等级主要适用于与汽车行为直接相关的系统,如转向、发动机控制和变速箱。6OtEETC-电子工程专辑

20191125-102.png6OtEETC-电子工程专辑
图2:典型HMI应用6OtEETC-电子工程专辑

需要功能安全的典型HMI应用(图2),其安全相关故障模式包括:6OtEETC-电子工程专辑
• 方向盘触摸按钮——一些用于巡航控制的按钮或小触摸板:需达到ASIL B/C级别6OtEETC-电子工程专辑
o 故障模式:检测到意外的提高巡航控制速度的触摸6OtEETC-电子工程专辑
• 方向盘握力检测——自动驾驶功能,须可靠地检测手的存在/不存在:通常需达到ASIL B级别6OtEETC-电子工程专辑
o 故障模式:禁用驾驶辅助功能时未检测到触摸6OtEETC-电子工程专辑
• 天窗控制/车窗控制模块按钮/滑块6OtEETC-电子工程专辑
o 故障模式:检测到意外的关闭车窗的触摸6OtEETC-电子工程专辑
• 发动机启动/停止按钮:通常需要达到ASIL B级别6OtEETC-电子工程专辑
o 故障模式:检测到意外的启动发动机的触摸6OtEETC-电子工程专辑
• 变速器挡位盖板按钮6OtEETC-电子工程专辑
o 故障模式:检测到意外的换档触摸6OtEETC-电子工程专辑

20191125-103.jpg6OtEETC-电子工程专辑
图3:采用了HMI控制器的典型HMI系统框图6OtEETC-电子工程专辑

图3为此类系统的详细示意图。就配备了电容式触摸按钮的HMI应用而言,我们可以将功能性概括为两大安全功能:6OtEETC-电子工程专辑

1.确保触摸事件确实由手指触摸而引发6OtEETC-电子工程专辑
2.确保检测系统能够识别触摸事件6OtEETC-电子工程专辑

第一项功能,要求必须对所有潜在触摸事件进行评估,以确定其究竟是属于主动性触摸,还是由故障或环境条件而引发。事件的触发原因有多种,例如:6OtEETC-电子工程专辑

• 传感器上的水滴6OtEETC-电子工程专辑
• 电磁干扰噪声6OtEETC-电子工程专辑
• 温度骤变6OtEETC-电子工程专辑
• 传感器/电容器/电线/焊接损坏6OtEETC-电子工程专辑
• 高能粒子导致存储单元发生位反转6OtEETC-电子工程专辑

这里进一步说明一下噪声源对性能所产生的影响。电容式感应技术可通过将传感器(按钮)电容转换为数字或原始计数值来检测触摸事件。原始计数值可理解为传感器的“触摸”或“非触摸”两种状态。电容式HMI系统可能有多个噪声源(如前所述),这些噪声源可能会因此类故障而导致触摸性能不可靠。基于大量有关电容式传感应用的实验与专业知识,赛普拉斯建议最小的信噪比(SNR)为5:1,确保噪声和信号之间存在足够的裕度,以便进行可靠的开/关操作,并确保触摸事件确实是由手指触摸而引发(图4)。6OtEETC-电子工程专辑
20191125-104.jpg6OtEETC-电子工程专辑
图4:“触摸”与“非触摸”状态下的原始计数值6OtEETC-电子工程专辑

根据FMEA来设计可满足功能安全需求的汽车HMI系统

设计具备功能安全的电容式感应HMI系统时,我们建议遵循FMEA(故障模式失效分析)流程,以确定特定安全级别所需的故障模式与安全机制。以电容式HMI系统为例,典型FMEA流程中应遵循的步骤如下:6OtEETC-电子工程专辑

• 定义HMI系统的安全目标6OtEETC-电子工程专辑
• 为实现安全目标,则需要确定并归档系统与芯片的所有安全关键型组件(SCE)。图5为电容式传感应用(赛普拉斯PSoC 4)的芯片架构示意图,所有安全关键型组件均已标记为蓝色。6OtEETC-电子工程专辑
o 就电容式感应触摸控制器而言,安全关键型元件包括:6OtEETC-电子工程专辑
• 电容式感应硬件核心、IDAC、Analog Mux 总线路由和GPIO6OtEETC-电子工程专辑
• 存储器:闪存(代码存储)和SRAM(配置寄存器、数据结构、变量)6OtEETC-电子工程专辑
• 系统资源:电源控制、睡眠控制、时钟发生器、参考电压发生器6OtEETC-电子工程专辑
• CPU6OtEETC-电子工程专辑
o 以下是控制器的外部组件,对系统安全至关重要:6OtEETC-电子工程专辑
• 将传感器及其他外部电容器路由至控制器的布线6OtEETC-电子工程专辑
• 控制器的电源和接地6OtEETC-电子工程专辑
• 确定并归档每个安全关键型模块的潜在故障模式及其原因与影响:可归类为系统级故障模式或芯片级或硬件/固件级故障。在这项操作中,我们需要为每个潜在故障模式分配一个严重性、发生率和检测级别(遵循典型的FMEA指南)。以下为故障模式示例:6OtEETC-电子工程专辑
o 负责驱动外部传感器及运行计数器(对应于传感器+寄生电容)的电容式感应硬件模块可能会发生故障。6OtEETC-电子工程专辑
o 传感器电容充、放电所需的IDAC可能会产生错误的电流输出。6OtEETC-电子工程专辑
o Analog Mux 总线路由可能存在短路或开路,从而将外部电容器及传感器与内部硬件模块相连接。6OtEETC-电子工程专辑
o 外部电容器和传感器可能对Vdd、接地及其他GPIO短路,也可能开路。6OtEETC-电子工程专辑
o 带隙基准电压可能会卡在Vdd、接地或其他一些意外电压上。6OtEETC-电子工程专辑
o 内部时钟可能偏离其配置频率。负责保存配置设置及临时扫描状态的数据结构和变量可能会损坏。存储于闪存中的API可能会损坏。6OtEETC-电子工程专辑
o CPU可能卡在某个未知的闪存位置。6OtEETC-电子工程专辑
o 温度、湿度等外部环境可能发生剧烈变化,从而导致寄生电容发生巨大变化。6OtEETC-电子工程专辑

20191125-105.jpg6OtEETC-电子工程专辑

图5:电容式传感应用芯片架构示例图,所有安全关键型组件均已标记为蓝色6OtEETC-电子工程专辑

大多数系统都拥有一个能够降低此类风险、记录潜在原因并分配检测级别的既定流程。6OtEETC-电子工程专辑

• 确定并归档检测及报告(或检测、纠正/克服故障及报告)的安全机制。例如:6OtEETC-电子工程专辑
o BIST(内置自检)6OtEETC-电子工程专辑
• 检测传感器和其他外部组件是否对Vdd或接地短路。6OtEETC-电子工程专辑
• 检测通过Analog Mux 总线或GPIO的模拟路由是否对Vdd/Gnd短路或开路。6OtEETC-电子工程专辑
• 检测闪存中存储的配置寄存器是否损坏。其中有些位错误可以通过使用CRC(循环冗余校验)计算轻松地检测并纠正。6OtEETC-电子工程专辑
• 检测保存配置设置及运行时按钮触摸状态的数据结构与变量是否损坏。6OtEETC-电子工程专辑
o 自动校准6OtEETC-电子工程专辑
• 检测环境与原始校准环境之间是否存在显著差异。自动校准有助于根据特定寄生电容及特定环境来调整系统,从而校正变化。6OtEETC-电子工程专辑
o 多项检测6OtEETC-电子工程专辑
• 可以将按钮构造成两个不同的传感器,并由两个不同的固件进行扫描,采取“双管齐下”的确认方式,进而成功地抑制噪声脉冲。6OtEETC-电子工程专辑
o 冗余6OtEETC-电子工程专辑
• 与多项检测类似,在同一芯片上安装第二套传感硬件也有助于确认触摸状态。6OtEETC-电子工程专辑

在确定并归档汽车HMI系统的安全目标、安全关键型要素、潜在故障模式及安全机制之后,我们就可以根据这些功能安全的要求来设计与开发系统。为进一步支持功能安全,赛普拉斯等芯片制造商能够提供诸多资源,例如安全触摸按钮系统应用笔记、设计FMEA、安全手册、FMEDA(故障模式、影响及诊断分析),以及指导OEM为汽车应用开发安全H MI系统的培训服务。6OtEETC-电子工程专辑

本文为《电子工程专辑》11月刊杂志文章,版权所有,禁止转载。点击申请免费杂志订阅6OtEETC-电子工程专辑

责编:Yvonne Geng6OtEETC-电子工程专辑

本文为EET电子工程专辑 原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
您可能感兴趣的文章
  • 2019年EDA/IP收购业务盘点 2019年半导体市场EDA/IP行业依旧火热,当然也出现了一些并购案。本文对2019年EDA/IP收购业务进行简要的盘点。
  • 2020趋势预测:AIoT硬件创新+软件定义的汽车 本文转载自:Imgtec《Imagination:关于2020年的预测》,内容略有删改。 2020年这些领域将会出现什么新的技术和应用趋势? 1. 汽车不再需要汽油,软件可以定义未来的车辆;2. WiFi 6和蓝牙;3. 隐私推动边缘计算发展;4. 供应链安全;5. 中美贸易创造更多机会......
  • 汽车市场寒冬,为何Mentor还在加大投入? 全球汽车行业的下滑是个共识:几乎所有统计机构给出的数据都显示,2019年成为全球汽车行业的寒冬;而且在不同时间节点,这些统计机构还在持续下调预期。
  • 激光雷达竞争白热化,第一波洗牌序幕悄然拉开 钢铁侠伊隆·马斯克(Elon Musk)曾经在公开场合对车载激光雷达技术进行毫不留情的鞭挞和鄙视,但其实他也不是完全不认可激光雷达,在谈到SpaceX公司使用激光雷达时,他就说这是有意义的,只是用在汽车上显得很愚蠢而已。不过,12月7日凌晨,一辆处于自动驾驶模式的特斯拉Model 3在美国95号州际公路上发生撞车事故,从另一个侧面说明……
  • 图文详解汽车仪表板背后的车规级安全设计要求 车辆中的电子组件数量不断增长,不仅增加故障率,也给驾驶员和乘客带来更大风险。这种风险的增大迫使汽车行业将功能安全标准融入到汽车设计中。
  • 上海厂Model 3交付特斯拉股价大涨,马斯克脱衣跳舞感谢 1月7日,特斯拉在上海超级工厂庆祝了Model 3的首次交付,马斯克专程从美国洛杉矶来到中国上海。会上除了透露有关Model Y的更多信息,马斯克还兴奋地脱掉了自己的西装来了一场尬舞,对比一年前特斯拉深陷产能地狱、股价被做空和破产传闻,如今马斯克感到高兴并真心实意“感谢中国”是有理由的……
相关推荐
    广告
    近期热点
    广告
    广告
    广告
    可能感兴趣的话题
    广告