1

安全目标及安全完整性等級ASIL

控制系統的功能是“提供所需要的轉矩”，對其進行危害與可操作性分析（HOZAP）的關鍵詞可定義為“轉矩”，HOZAP 分析的目的是用于識别控制系統功能的失效。圖示出對于電機驅動控制器的HOZAP 分析。

圖1 電機驅動控制器轉矩HOZAP 分析

HARA 分析是功能安全開發中非常重要而且複雜的工作，本文主要對分析方法進行研究，所做的HARA分析是基于“非預期的轉矩增加”幾個典型場景，而最終的ASIL 等級确定需要綜合考慮所有場景。

圖2 “非預期的轉矩增加”典型場景的HARA 分析

2

微處理器分析

目前符合ASIL D 等級的微處理器主要有單核鎖步型（如TI 公司的TMS570 系列芯片）和多核鎖步型（如NXP 公司的MPC5746R 系列芯片，Infineon 公司的TC27x 系列芯片等）兩種。針對于不同數量的内核，功能安全架構的實現方式和難度也各異。

3

EGAS 架構

電機驅動控制器EGAS 架構主要設計理念是将控制系統進行分層設計，即分為功能層（Level 1）、功能監控層（Level 2）和處理器監控層（Level 3），如圖所示。

圖3 EGAS 架構圖

功能層（Level 1）主要實現控制系統的基本功能，對電機驅動控制器而言，即執行轉矩的輸出；此外，其還包含了組件監控、輸入/ 輸出變量診斷以及當檢測到故障後執行系統的故障響應功能。功能監控層（Level 2）主要實現對Level 1 的監控，例如，通過監控計算轉矩的實際輸出值判斷Level 1 軟件是否正确等，而一旦診斷出故障，将觸發系統的故障響應，并由Level 1 或Level 2 執行。處理器監控層（Level 3）主要是通過問答的形式監控Level 2 處理器是否出現故障，需要由一個獨立的ASIC 或微處理器實現；當出現故障後，觸發系統的故障響應，并獨立于Level 1 去執行。因此，可以将Level 1 定義為基本功能（QM），而Level 2 和Level 3 定義為安全功能（ASIL）。

電機驅動控制器的安全目标是“避免非預期的轉矩增加”，将其分解到2.1 節EGAS 架構中的Level 2 層，對應的安全目标為“實現轉矩的正确監控”。因此，要實現電機驅動控制器的功能安全，需要對輸出轉矩進行實時監控。

4

不同安全架構分析

4.1 單核鎖步微處理器的安全架構實現

單核鎖步微處理器的系統安全架構如圖所示。圖中虛線框内的部分為實現該安全目标所需要考慮的架構部分。其中，藍色陰影部分的為通過ASIL 分解後需要按照ASIL C（C）進行開發的模塊，其他為按照QM（C）進行開發的模塊。

圖4 單核微處理器的系統安全架構

4.2 多核鎖步微處理器的安全架構實現

以多核鎖步處理器MPC5746R 和TC27x 為例進行分析，其中，MPC5746R 為雙核芯片（1 個普通核，1個帶鎖步核的安全核），TC27x 為三核芯片（1 個普通核，2 個帶鎖步核的安全核）。采用雙核微處理器與三核微處理器的電機驅動控制器的系統安全架構實現方式。

圖5 雙核微處理器的系統安全架構

圖6 三核微處理器的系統安全架構

4.3 雙芯片微處理器的安全架構實現

雙芯片微處理器的安全架構如圖所示。該架構在原理上與多核架構類似，但它實現了芯片硬件資源與軟件代碼的完全獨立，對于EGAS 架構的實現更加簡單可靠，且在硬件結構方面較前兩種架構略顯複雜。此外，該架構還可以實現安全産品與非安全産品的标準化設計：對于安全産品，其系統架構與圖所示一緻；而對于非安全産品，隻需要去掉圖13 中“電源 時窗狗”與“安全芯片”模塊即可，無需重新對軟硬件進行開發。

圖7 雙芯片微處理器的系統安全架構

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!