Белая книга: Инверторная эталонная конструкция сочетает в себе концепции системной безопасности

-
21:15
88
Белая книга: Инверторная эталонная конструкция сочетает в себе концепции системной безопасности

Одним из неоспоримых фактов в автомобильной промышленности является то, что общее содержание электронных систем в автомобилях увеличивается. По мере того, как автомобили становятся все более сложными и включают в себя функции, которые чувствуют, думают и действуют в интересах водителя, тип электронного контента меняется. В частности, будет наблюдаться массовый рост содержания гибридных и электрических автомобилей, а также функций автоматического привода.

Однако ключевым вопросом, который необходимо решить, является то, что нынешняя бизнес-модель электромобилей не является выгодной в долгосрочной перспективе для OEM-производителей. Средняя оценочная стоимость базовых электромобилей по-прежнему вызывает серьезную озабоченность. OEM-производители будут искать пути устранения этого пробела путем возврата большего количества конструкций внутри компании или путем обхода поставщиков первого уровня, чтобы поговорить напрямую с поставщиками интегральных схем. Разрушитель здесь будет интегрировать встроенные электронные архитектуры, комбинируя ECU и кластерные функции по-новому.

Вот почему NXP тесно сотрудничает с партнерами по всей отрасли, чтобы ускорить преодоление этих ограничений. Одним из способов является разработка эталонных конструкций, которые объединяют наши системные ноу-хау с нашим ноу-хау в области безопасности. Это означает, что эталонные проекты с самого начала включают в себя ключевые элементы системы безопасности. Для разработки концепций безопасности для системных референтных конструкций, NXP должна быть в состоянии определить цели безопасности, концепцию и функции предполагаемого изделия, чтобы иметь возможность определить правильное внедрение системы в нашу системную конструкцию.

Мы делаем это, следуя процессу разработки ISO 26262. Это дает рекомендации для каждого этапа процесса разработки продуктов системы безопасности с помощью инструмента управления проектами V-цикла. V-цикл группирует каждый шаг как часть, и на каждом уровне ожидаются конкретные рабочие продукты. Поставщики микросхем, такие как NXP, могут предвидеть и разрабатывать системные ECU точно так же, как и поставщики 1-го уровня. Таким образом, мы можем ускорить время разработки и обеспечить стандартные поставки, которые приносят пользу на протяжении всей цепочки разработки. Цель не в том, чтобы предоставить решение с тем же уровнем зрелости, который может обеспечить 1-й уровень, а в том, чтобы ускорить разработку рабочих продуктов для 1-го уровня.

Рассмотрим в качестве примера, как разработать концепцию безопасности для модуля силового инвертора в виде SEooC для EV-приложений. Как поставщик ИС, мы бы работали через части 3, 4, 5, 6 и 7 цикла V и обеспечивали бы рабочие продукты, связанные с каждой частью. Мы начинаем с определения элемента в рамках целевой системы — т.е. каковы потенциальные опасности и цели безопасности, которые мы хотим применить к нашей эталонной конструкции?

Рисунок 1: Инвертор высокого напряжения для электромагнитных клапанов

Как показано на рисунке 1, силовой инвертор является главной тяговой системой электромобиля. Он управляет преобразованием энергии между источником электрической энергии и механическим валом электродвигателя на основании запроса на крутящий момент от блока управления транспортным средством (VCU). Блок управления транспортным средством (VCU) интерпретирует потребности водителя в ускорении или замедлении электродвигателя. Преобразователь преобразует запрос на крутящий момент в фазовые токи, подаваемые на тяговый электродвигатель. В аккумуляторном электромобиле такое соединение обычно выполняется с простой коробкой передач без сцепления. Это наше первое предположение. Здесь важно быть точным, так как в случае автомобиля со сцеплением, предохранительный футляр был бы другим. В нашем случае, если возникает опасность, водитель или электрическая система не могут остановить сцепление автомобиля, просто открыв соединение между электродвигателем и колесами автомобиля.

Нам также необходимо определить возможные источники неисправности EE — как по причине вождения, так и не вождения автомобиля. Затем эти опасности ранжируются по уровню риска в соответствии с уровнями ASIL, изложенными в стандарте ISO 26262. Как показано на рисунке 2, в этом случае целью безопасности может быть предотвращение непреднамеренного ускорения, если автомобиль остановлен.

Рисунок 2: Примеры опасностей и целей безопасности для инвертора EV HV

Эти цели в области безопасности приводят к архитектуре функциональной безопасности с функциональными требованиями (FR) и требованиями функциональной безопасности (FSR) с соответствующими уровнями ASIL и FTTI, например:

FR1: Инвертор должен проанализировать запрос, поступивший от Блок управления VCU, а затем подать соответствующие команды на выполнение следующих функций: тяговое усилие, торможение и рекуперация батарей. ASIL D. FTTI 200 мс.

FSR1: Инвертор проверяет запрос на выдачу крутящего момента от Блокнота VCU и подает сигнал в случае непредвиденного значения. ASIL D. FTTI 200 мс.

Рисунок 3: Архитектура функциональной безопасности

Теперь, когда у нас есть архитектура функциональной безопасности, рисунок 3, мы должны продемонстрировать, что архитектура системы будет в состоянии соответствовать требованиям безопасности и проектным ограничениям. Для этого мы вывели концепцию технической безопасности из концепции функциональной безопасности. Она объединяет функции аппаратных и программных подэлементов, которые будут использоваться для достижения желаемого элемента и функциональности системы.

Затем выполняется анализ безопасности, чтобы убедиться в том, что все возможные системные сбои выявлены, а также в наличии соответствующих механизмов безопасности. Это может привести к тому, что архитектуре безопасности будут присвоены новые требования безопасности. Таким образом, техническое определение может предоставить необходимые доказательства того, что соответствующие реакции были идентифицированы и что безопасное состояние может быть достигнуто за меньшее время, чем FTTI: следовательно, нет нарушения целей безопасности изделия.

В нашем примере безопасное состояние является сложным из-за большого количества энергии, поступающей в электродвигатель. Безопасное состояние здесь означает остановку движения транспортного средства, путем открытия или замыкания трех фаз двигателя в зависимости от скорости двигателя.

По мере того, как мы продвигаемся по V-образному циклу, разрабатываются рабочие продукты, чтобы обеспечить выполнение требований безопасности, которые могут быть выполнены заказчиком. Аппаратный проект покрывается таким же образом; концепция безопасности сокращает этап разработки и создания прототипа для заказчика на три-шесть месяцев. В эталонном проекте NXP вся архитектура безопасности построена с использованием микросхем NXP, диагностика и реакция на безопасное состояние тестируются. Эталонное проектирование помогает ускорить разработку и обеспечивает уровень технической безопасности архитектуры наряду с подтверждением уровня целостности безопасности как части общего пакета.

RSS
Нет комментариев. Ваш будет первым!
Загрузка...