首页 > 汽车技术 > 正文

关于MCU的安全状态和系统的安全状态

2019-08-17 11:50:38·  来源:IND4汽车人  
 
开发的功能安全控制器的主控制芯片MCU,其安全状态与系统的安全状态怎样配合在一起,需要考虑哪些因素?首先明确MCU通常定义的5种安全状态中除去正常运行状态,
开发的功能安全控制器的主控制芯片MCU,其安全状态与系统的安全状态怎样配合在一起,需要考虑哪些因素?
首先明确MCU通常定义的5种安全状态中除去正常运行状态,当发生故障或失效时,MCU进入另外4种安全状态的某种时,开发人员需要保证整个系统能够进入系统的安全状态。
为了系统安全状态与MCU安全状态能够匹配在一起,可以通过以下步骤分析并开发:
步骤一:首先确定MCU在各故障或失效情况下需要进入哪种MCU安全状态
1)MCU的安全手册上面定义了相应的安全机制来处理MCU内部的故障或失效,这些机制的描述里面会有推荐采用哪种处理方式,优先采用推荐方式(比如当检测到供电电压过低时MCU复位;或者MCU检测到内部错误通过专门的故障指示引脚对外指示内部错误信号)。
2)对于安全状态可选的MCU内部故障或失效,先设为待定;
步骤二:匹配系统安全状态与MCU安全状态
利用FMEA分析的方式,分析步骤一里面MCU不同的故障和失效发生时,在系统层面会引发的系统失效是怎样的,并根据设定的安全目标来反过来验证MCU进入的安全状态是否能够保证系统也能进入安全状态。这里分情况讨论:
1)对于采用MCU安全手册里给明的要进入的安全状态,此时主要检查系统设计,确认MCU的安全状态进入并保持时,系统能够进入系统安全状态并保持;
2)对于步骤一的第二种情况,先看失效在系统层面的影响——>结合系统安全目标——>选定MCU需要进入的安全状态——>进一步检查系统机制设计是否能够保证不违反安全目标;如不满足,则需要考虑更改系统层设计。
举例:比如MCU发生内存随机错误,导致软件输出的控制指令异常,此时可以采用的MCU安全状态有:对外报告错误、复位、断电或关闭MCU所有输出及通讯功能。
此时要看发生错误时控制指令输出异常会不会导致严重的系统故障并违反安全目标,比如电动助力转向EPS的助力电机控制指令发生异常潜在会导致严重问题,应对这种情况,一个合适的MCU安全状态选择是对外报告错误并切断MCU的指令输出,并在系统层面上保证此时助力电机不工作。
步骤三:检查并确认系统的FTTI, L-FTTI指标能够满足
由于MCU探测到自身故障并驱动进入MCU安全状态,再到系统进入其安全状态,整个过程需要一定的时间。该步骤就是要保证针对单点失效,从MCU发生故障到系统进入其安全状态耗时在系统FTTI之内。而针对潜在故障,相应指标也能满足在L-FTTI内。
完成上面三个步骤,基本上可以做到MCU故障或失效进入的MCU安全状态与系统安全状态之间匹配,从而指导开发人员依据MCU手册来实现MCU的安全机制,并且和系统层面的安全机制结合在一起。 
分享到:
 
反对 0 举报 0 收藏 0 评论 0
沪ICP备11026620号