雷家鑫 裴晓飞

摘 要：在自主设计的旋转变压器解码系统的基础上，根据功能安全标准（ISO26262）中硬件阶段的功能安全研究规范展开了对所设计的解码系统的硬件阶段的功能安全研究。研究过程严格按照功能安全标准的硬件阶段的研究规范（ISO26262-5）执行，同时参考了其他国外的硬件评价指标。通过最后的硬件阶段功能安全研究结果表明，所设计的解码系统能够满足硬件安全需求，并且硬件架构度量评估结果符合相应的汽车完全安全等级（ASIL）的需求。

关键词：功能安全;硬件安全需求;失效率;硬件架构度量

中图分类号：U462.1  文献标识码：A  文章编号：1671-7988（2020）09-80-04

Research of the Functional Safety on Hardware Stage of the Resolver Decoding System

Lei Jiaxin， Pei Xiaofei

（ School of Automotive Engineering， Wuhan University of Technology， Hubei Wuhan 430000）

Abstract： On the basis of the self-designed resolver decoding system， according to the functional safety research specifica -tion in the hardware stage of the functional safety standard （ISO26262）， the functional safety research in the hardware stage of the designed decoding system is carried out. The research process was carried out in strict accordance with the hardware stage research specification （ISO26262-5） of the functional safety standard， and other foreign hardware evaluation indexes were also referred. The results of functional safety research in the final hardware stage show that the designed decoding system can meet the requirements of hardware safety request， and the hardware architecture measurement evaluation results meet the requirements of the corresponding automotive complete safety level （ASIL）.

Keywords： Functional Safety; Hardware Functional Request; Failure Rate; Hardware Architecture Measurement

CLC NO.： U462.1  Document Code： A  Article ID： 1671-7988（2020）09-80-04

前言

随着新能源汽车技術的飞速发展，高效、稳定相关技术已日趋成熟，安全逐渐成为行业内关注的焦点。进入20世纪以来，国际上各大整车厂、零部件供应商都出台了符合自己产品的安全标准，而这并不能满足逐渐全球化的汽车市场需求，于是国际标准化组织（ISO）联合博世、大陆等世界知名汽车零部件供应商在已有标准的基础上制定出了全球化的汽车安全标准—ISO26262，逐渐成为行业内公认的安全规范^[1]。

ISO26262第一版是ISO组织于2011年发布，现已广泛应用于各类汽车电控系统中。功能安全标准中定义了针对某一电控系统功能安全研究的研究过程，主要包括概念阶段、系统阶段、硬件阶段、软件阶段，另外相关的支持过程。

旋转变压器作为新能源汽车电机控制系统的一个重要部件，起到实时检测电机转速、为电机控制策略提供反馈信息的作用。目前电动汽车上比较通用的方法是采用专用的硬件解码芯片对旋转变压器进行解码，而近几年来，随着集成电路技术的突飞猛进，以单片机为载体、通过设计相关程序实现的软件解码方法也逐渐占有一席之地。

本文基于自主设计的旋变解码系统，采用软件解码和硬件解码结合的方法：硬件解码通过专业解码芯片AD2S1210实现，软件解码通过英飞凌单片机TC265的DSADC模块实现。根据解码系统概念阶段确定的安全目标和系统阶段确定的硬件安全需求，按照硬件阶段功能安全研究过程，对所设计的解码系统进行硬件阶段的功能安全研究。

1 启动解码系统硬件阶段功能安全研究

1.1 硬件阶段功能安全研究过程

根据功能安全标准，硬件阶段功能安全研究过程主要包括：技术安全概念的硬件实现、潜在的硬件故障、与软件开发的协调。启动硬件阶段功能安全研究的原则是制定满足安全要求的硬件开发所需的活动和流程的计划。图1简要阐述了硬件开发流程。

1.2 定义解码系统硬件安全需求

硬件安全要求由技术安全要求和系统设计规范导出，并把在系统阶段定义的、既分配给硬件又分配给软件的技术安全要求进一步划分出仅针对硬件的安全要求，在此基础上对硬件安全要求进行进一步细化^[2]。

硬件安全需求规范即硬件上的技术安全需求。根据对解码系统概念阶段研究，明确了硬件上的技术安全需求分别是“对解码芯片工作状态进行检测”和“提高随机硬件可靠性”。前者主要是通过在AD2S1210解码芯片的底层驱动程序中设计一个状态机函数，检测解码芯片的工作状态来实现，这一过程主要是在软件阶段实现，在此不做过多论述;而后者无法通过制定有效的安全机制，因为系统的随机硬件失效不属于硬件上的技术安全需求，只有通过随机硬件故障率进行对随机硬件失效进行适当预测，从而实现因随机硬件失效导致违背安全目标的评估，根据评估结果选用更可靠的器件。

2 硬件设计与硬件安全分析

根据功能安全标准，硬件设计这一子阶段完成的主要工作是根据硬件设计规范和硬件安全需求设计硬件。硬件设计有划分为硬件架构设计和硬件详细设计：通过硬件结构设计来表示出所有硬件单元及彼此间的关系;硬件详细设计测试完成系统的电气原理图、PCB的设计，而这些工作不是本文重点研究内容，不在此赘述，所以在本小节中，主要通过硬件安全需求，对所设计的硬件进行安全分析。

安全分析的目的在于识别解码系统失效的原因和故障的影响。对每个安全相关的硬件组件或者元器件，在确定的安全目标下，安全分析需要识别故障（失效）类型。对解码系统硬件的故障（失效）类型识别流程如图2所示;通过该流程，对解码系统硬件的故障（失效）类型识别的结果如表1所示。

在确定了硬件故障（失效）类别后，就可以开始安全分析。本文安全分析方法采用功能安全标准中推荐的故障树分析法。故障树分析（Fault Tree Analysis，FTA）是美国贝尔电报公司在1961年提出的一种用在安全工程以及可靠度工程的领域的分析方法^[3]。故障树主要由时间和逻辑门组成，事件是描述各层次上所产生的事件或事件所发生的条件，而各层次上的事件通过逻辑门连接形成故障树。

考虑本文所设计的解码系统，针对解码系统所建立的故障树如图3所示。按照故障树分析步骤，以解码系统因故障而停止工作为顶事件，然后分解到硬件解码和软件解码中，并依次向下分解，直至可直接影响顶事件的底层事件。硬件解码中主要考虑解码芯片的故障和单片机的控制故障;软件解码中主要考虑单片机故障，软件故障不属于硬件安全范畴，不再向下进行分解。

根据解碼系统的故障树模型分析，在硬件解码中，针对解码芯片故障，可以设计的安全机制主要是通过解码芯片的底层软件对解码芯片的工作状态进行监控;针对单片机控制的故障而言，设计时所选用的英飞凌在单片机设计之初就已经完成了对单片的功能安全开发，所以单片机本身已经具备相关安全机制，不再重复研究。在软件解码中，针对单片机故障，也是利用单片机本身的功能安全机制，而对于软件故障，详细安全机制则在功能安全研究软件阶段制定。

3 解码系统硬件架构度量评估

根据上节的分析，解码系统无安全机制应对的硬件故障主要是随机硬件失效，根据功能安全标准，硬件随机失效发生的概率应以硬件架构度量为依据，而硬件架构度量表示评估硬件体系结构在安全性方面的有效性的度量标准，评估方法主要是利用失效率对单点故障度量和潜伏故障度量进行计算，这些度量所针对的随机硬件失效仅限于对安全目标有影响的元器件。所以本小节中，以“随机硬件可靠性”为安全目标，对解码系统硬件架构度量进行评估。首先对失效率和故障度量的概念进行相关介绍。

3.1 失效率

在功能安全标准中，失效率表示故障的概率密度除以硬件元素的生存概率，通常用λ表示，单位是FIT（Failures In Time），1FIT=10^-9次/小时。根据功能安全标准，λ可表示为所有类型的失效率之和;再根据图2，分析得到解码系统故障分类如表2所示，于是有：

3.2 故障度量

在功能安全标准中，故障度量分为单点故障度量和潜伏故障度量。单点故障度量（single-point fault matrices，SPFM）反映了相关项通过安全机制覆盖或通过设计手段（主要为安全故障）实现的对单点故障和残余故障的鲁棒性，高的单点故障度量值意味着相关项硬件的单点故障和残余故障所占的比例低;潜伏故障度量（latent fault matrices，LFM）反映了相关项通过安全机制覆盖、通过驾驶员在安全目标违背之前识别、或通过设计手段（主要为安全故障）实现的对潜伏故障的鲁棒性，高的潜伏故障度量值意味着硬件的潜伏故障所占的比例低。功能安全标准给出了二者的计算公式，分别如式（2）、（3）所示。

3.3 诊断覆盖率

在功能安全标准中，诊断覆盖率表示硬件组件或元器件失效时，可以由安全机制检测或控制的失效率所占的比例。诊断覆盖率有划分为单点故障的诊断覆盖率K_{DC， RF}和潜伏故障的诊断覆盖率K_{DC， MPF， latent}，功能安全标准给出了二者的计算公式。需要说明的是，在功能安全标准中二者的计算公式中的残余故障失效率λ_RF和潜伏故障失效率λ_{MPF， latent}是采用的估计值，为简化计算过程，本设计中直接使用分析得到的残余故障失效率和潜伏故障失效率，省略的估算的过程。

在明确了相关概念后，就可以对解码系统硬件架构度量的评估进行展开。在功能安全标准中给出了硬件架构度量评估的各项内容，分别为：失效率、失效模式、失效率分布、有无安全机制、缺少安全机制是否有违背安全目标的可能、违背安全目标的失效模式覆盖率（残余故障诊断覆盖率）、单点故障失效率、考虑潜伏故障的失效模式覆盖率、潜伏故障失效率。

3.4 解码系统的故障度量的计算

首先确定硬件架构度量评估过程中与安全相关的所有器件。根据确定的技术安全需求，与硬件相关的技术安全需求主要包括对解码芯片的工作状态进行监控以及提高随机硬件的可靠性。

根据解码系统的硬件设计以及解码系统故障树分析可以得知，与硬件安全相关的内容有：单片机、解码芯片的引脚连接、供电状态;与单片机、解码芯片的工作或者供电状态相关的元器件的工作状态。由此可以得出，硬件架构度量评估中所设计到的元器件如表3所示。

确定了元器件件之后，就可以计算器件的失效率、失效模式以及失效率分布。功能安全标准中推荐使用一些可靠性的评估手册进行計算。本文使用的评估手册是国际电工委员会IEC（International Electrotechnical Commission）在2011年发布的《电气元件可靠性——故障率和转换应力模型的参考条件IEC61709-2011》。在IEC61709给出了各种类型器件的失效模式和失效率分布，同时规定当器件工作在参考条件下时，器件失效率就是参考条件下的失效率^[4]。为简化计算过程，认定器件工作条件处于参考条件下。而对于参考失效率，则采用德国西门子公司在2004年发布的标准SN29500，该标准定义了各类元器件的参考失效率^[5]，[6]。由此即确定了解码系统硬件架构中各器件的失效率。

然后再分析器件的诊断覆盖率。诊断覆盖率可以分为考虑安全机制的诊断覆盖率和考虑潜伏故障的诊断覆盖率。在考虑安全机制的诊断覆盖率中，对于没有安全机制的器件，安全机制的诊断覆盖率为0%，有安全机制的器件，则根据其ASIL等级进行划分。其中，单片机TC265本身已经完成功能安全开发，满足ASIL-D等级^[7]，所以其考虑安全机制的诊断覆盖率为99%;在安全目标确定中，解码芯片工作状态需要达到ASIL-D等级，所以其考虑安全机制的诊断覆盖率为99%。在考虑潜伏故障的诊断覆盖率中，对于电阻和电容而言，本身无法识别潜伏故障，所以考虑潜伏故障的诊断覆盖率都为0%;而对于AD2S1210和TC265而言，都考虑了潜伏故障，所以二者的诊断覆盖率为100%。

最后判断器件的失效模式在缺少安全机制时是否有可能违背安全目标，以及结合其他失效时是否有违背安全目标的可能。若失效在缺少安全机制时不会违背安全目标，则不存在单点失效，无需计算单点故障失效率;若失效结合其他失效时不违背其他安全机制，则不存在潜伏失效，无需计算潜伏故障失效率。具体结果如表4所示。

根据表4的分析，可以得出公式（2）、（3）的各项因子的值：

（1）与安全相关的硬件结构总失效率：

（2）单点故障总失效率：

（3）潜伏故障总失效率：

再根据公式（2）、（3），就可以得出解码系统硬件架构度量中的单片失效率和潜伏故障失效率，分别为：SPFM= 99.5%，LFM=98.2%。根据功能安全标准给出的单点故障度量目标值和潜伏故障度量目标值可以得知，当安全目标的ASIL等级为ASIL-D时，SPFM≥99%，LMF≥90%。通过公式（2）、（3）计算得出的SPFM和LMF符合目标值要求，所以通过对解码系统的硬件架构度量的评估可以得出，解码系统硬件架构能符合所设计的安全目标的要求。

4 结论

在解码系统硬件阶段功能安全研究中，将系统阶段得到的技术安全需求分解出硬件安全需求。根据解码系统中的硬件设计内容，进行相关功能安全研究，主要包括解码系统失效类别划分和硬件的故障树分析;另外对解码系统进行了硬件架构度量的评估，评估结果表明，所设计的解码系统硬件结构度量能符合安全目标对应的ASIL-D等级。

参考文献

[1] 史学玲.功能安全标准的历史过程与发展趋势[J].仪器仪表标准化与计量，2006（02）：6-8.

[2] ISO26262-5， Road vehicles  Functional safety Part 5： Product devel -opment at the hardware level [S].Switzerland：ISO，2011.

[3] 故障树分析法[OL].百度百科，2019. https：//baike.baidu.com/item/.

[4] IEC61709，Electric components-Reliability-Reference conditions for fail ure rates and stress models for conversion[S].Switzerland： IEC， 2011.

[5] SN29500-2，Failure rates of components Part 2：Expected values for integrate circuits[S].German：Siemens，2004.

[6] SN29500-4，Failure rates of components Part 4：Expected values for passive component[S].German：Siemens，2004.

[7] 英飞凌. Aurix Product Brochure New TriCore Family Brochure [Z].德国：英飞凌，2015.