电机控制器 | 叉车控制器 | 电动车配件 | 其他              

BMS功能安全开发流程(四):技术安全要求导出

2017-12-09

在《BMS功能安全开发流程(三):ASIL等级》中介绍了功能安全概念的目的是从安全目标(SR)中得出功能安全要求(FSR),并将其分配给相关项的初步架构要素或外部措施。

技术安全要求导出

图1说明了通过分层的方法,从危害分析和风险评估得出安全目标,再由安全目标得出功能安全要求。

图1 安全目标和功能安全要求层级

图2给出了ISO26262相应部分中的安全要求的结构和分布的说明。将功能安全要求分配给初步架构要素。

图2 安全要求的结构

技术安全要求(TSR)是对功能安全要求(FSR)提炼,细化了功能安全的概念,同时考虑功能性的概念和初步的体系架构。通过分析技术安全需要来验证符合功能安全需求。在整个开发生命周期,技术安全需求是要落实功能安全概念的技术要求,其用意是从细节的单级功能安全要求到系统级的安全技术要求。

技术安全要求应根据功能安全概念、相关项的初步架构设想和如下系统特性来定义:

a.   外部接口,如通讯和用户接口,如果适用;

b.   限制条件,例如环境条件或者功能限制;以及

c.    系统配置要求。

在第三篇文章中,从安全目标道出了BMS的一个功能安全要求,图3是对功能安全要求FSR1.2a导出的技术安全要求。

图3

系统设计

基于概念阶段的基本系统架构,功能安全概念,技术安全要求和非功能性要求,按照ISO26262的下一步流程就是系统设计了。在这个阶段,系统及子系统需要上面所定义的贯彻技术安全要求,需要反映前面定义的安全检测及安全机制。

技术安全要求的应分配给系统设计要素,同时系统设计应完成技术安全要求,关于技术安全要求的实现,在系统设计中应考虑如下问题:

a.  系统设计的可验证性

b.  软件硬件的技术实现性

c.  系统集成中的执行测试能力

系统和子系统架构应该满足各自ASIL 等级的技术安全需求,每个元素应实现高的ASIL技术安全需求,如果一个系统包含的子系统有不同的ASIL 等级,或者是安全相关的子系统和非安全相关的子系统,那么这些系统应该以高的ASIL等级来处理。

在系统设计阶段,为了避免系统系失效,ISO26262针对不同的ASIL等级推荐了不同的分析方法,如FMEA,FAT等。如表1。由于内因或者外因而引起系统失效应当避免或者消除。

表1

为减少系统性失效, 宜应用值得信赖的汽车系统设计原则. 这些原则可能包括:

a.   值得信赖的技术安全概念的再利用;

b.   值得信赖的要素设计的再利用, 包括硬件和软件组件;

c.   值得信赖的探测和控制失效的机制的再利用, 及

d.   值得信赖的或标准化接口的再利用。

为了确保值得信赖的设计原则或要素在新相关项中的适用性, 应分析其应用结果, 以及应在再利用之前检查其基本设想。

ASIL A、B、C、D 规定:为避免高复杂性带来的故障,架构设计应该根据表2 中的原则来展现下列的属性:模块化,层次化,简单化

基于上面定义的TSR和概念阶段定义的基本架构图,图4是精炼之后的BMS系统架构图。

图4

下一步是定义系统架构,分配TSR给硬件和软件,同时定义好软件硬件接口HIS。

软硬件接口规范应规定的硬件和软件的交互,并与技术安全的概念是一致的,应包括组件的硬件设备,是由软件和硬件资源控制支持软件运行的。软硬件接口规范应包括下面属性:

a.   硬件设备的工作模式和相关的配置参数, 硬件设备的操作模式,如:缺省模式,

b.   初始化,测试或模式, 配置参数,如:增益控制,带通频率或时钟分频器。

c.    确保单元之间的独立性和支持软件分区的硬件特性

d.   共享和专用硬件资源,如内存映射,寄存器,定时器,中断,I / O 端口的分配。

e.   硬件设备的获取机制,如串口,并口,从,主/从

f.    每个涉及技术安全概念的时序约束

硬件和其使用的软件的相关诊断功能应在软硬件接口规范中规定:

a.   硬件诊断功能应定义,例,检测过流,短路或过热

b.   在软件中实现的硬件诊断功能

软硬件接口规范在系统设计时制定,在硬件开发和软件开发时被进一步细化。应使用表3列出的方法验证系统设计对于技术安全概念的符合性和完备性。

上一篇:
下一篇: