27 卷Vol.27 第 2 期No.2 第 基于功能安全的 Electronic Design Engineering 电子设计工程 FMEDA 分析在电子换挡机构中的应 2019 1 Jan. 2019 年 月 用研究 宁明志，黄凯龙 201800 ） FMEA FTA [1] （上海汽车乘用车公司技术中心变速箱部 上海 FMEDA ISO26262 3 ， 作为 FTA FTA FMEA FSC FMEDA ）、故障树分析（ ，失效模式、影响及其诊断分析（ 和 。在功能安全概念 种重要的分析技术，在产品功能安全开发过程中发 设计完成后，可以使用安全分析的方法进行验证和完 摘要： 挥了重要的作用 善。常用的安全分析方法有失效模式及影响分析（ ）法除了对功能安全产品的失效风险、是否可诊断进 和 。为 行定性分析，同时也为平均失效概率和安全完整性等级的计算提供了更加有效的数据支撑 了有效限制电子换挡机构功能失效时错误信号引起的异常状况，导致车辆处于不安全状态，本文 通过对 道路车辆功能安全标准中产品研发流程的研究，对电子换挡机构非预期的失效进 行了危害分析和风险评估，设定了安全目标，并以部分模块为例，在电子排挡系统的硬件电路增加 了冗余设计和自动诊断功能。最后根据 分析和故障注入检测结果，证明了电子换挡器硬 件设计符合功能安全完整性等级 关键词：功能安全； 中图分类号： 02-0135-05 1674-6236 ISO26262 IS026262 ；电子换挡机构； U463.23 FMEDA FMEDA 文献标识码： FMEA 文章编号： 2019 。相比于 [2] ） A B （ ） 。 [3] Application of FMEDA in verification of shift by wire function safety NING Ming⁃zhi HUANG Kai⁃long ， 201800 Fault Tree Analysis ， ） ， （ ） （ （ ）， FTA ，China） and FMEDA （SAIC Motor Technical Center Transmission Dept.，Shanghai its failure risk are useful Analytical Failure Mode and Effects Analysis Effects and Diagnosis Analysis method Failure Abstract: FMEA functional safety Mode tools for development[1]. The analytical tools are used to validate the function safety concept design. The most common tools for analysis are FMEA and FTA[2]. Compare with FMEA and FTA FMEDA plays an important role in functional safety development whether for functional safety products as well as average failure probability and the calculation of safety can be qualitative diagnosis analysis integrity level provides the effective data to support[3]. In order to effectively limit the electronic shift institutions function failure time error signal caused by abnormal condition the vehicle is in unsafe through to the IS026262 function of road traffic safety standards in product research and condition development process of research unexpected failure of electronic shift mechanism for the hazard analysis and risk assessment in the electronic gear system increases the redundancy design of hardware circuit and the automatic diagnosis function. the hardware design of the electronic gear shifter Finally can achieve function safety integrity grade B. Key words: functional safety ISO26262 according to the relevant verification results shiftby wire and set the safety goals and part of the module for example FMEDA ， ， ， ， ， ， ， ， ， ， ， ， ； ； ； DOI:10.14022/j.cnki.dzsjgc.2019.02.030 安全在将来的汽车研发中是关键要素之一，新 的功能不仅用于辅助驾驶，也应用于车辆的动态控 。将来， 制和涉及到安全工程领域的主动安全系统 201804199 [4] 稿件编号： —），男，江苏泗阳人，硕士研究生，工程师。研究方向：动力操纵传动系统。 2018-04-23 1980 收稿日期： 作者简介：宁明志（ -135 - 

2019 《电子设计工程》 2 期 年第 ISO 26262 这些功能的研发和集成必将加强安全系统研发过程 的需求，同时，也为满足所有预期的安全目的提供证 据。随着系统复杂性的提高，软件和机电设备的应 用，来自系统失效和随机硬件失效的风险也日益增 加，制定 标准的目的是使得人们对安全相 关功能有一个更好的理解，并尽可能明确地对它们 进行解释，同时提供了汽车电子电气产品功能安全 开发的过程体系和方法论 。 道路车辆功能安全标准 在概念阶段分析可能存在的安全风险并设定安全目 标，确定产品研发中每个项目元素的功能安全需求； 在产品研发过程中采用满足技术安全规范的流程， 并提供满足功能安全需求的有效措施。 1 电子换挡机构的功能安全 1.1 ISO 26262 本研究通过 [5] ISO 26262 标准简介 ISO 26262 [6] IEC 61508 ASILs ASILs 产品功能安全的国际标准 是从电子、电气及可编程控制器功能 派生出来的，主要定位在汽车行 安全标准 业中特定的电气器件、电子设备、可编程电子器件等 专门用于汽车领域的器件，旨在提高汽车电子、电气 。其主要提供了汽 车生命周期（管理、研发、生产、运行、服务、拆解）和 生命周期中必要的改装活动；提供了决定风险等级 的具体风险评估方法（汽车安全综合等级 ）；通 过使用 方法来确定获得可接受的残余风险的 必要安全需求；提供了确保获得足够的和可接受的 安全等级的有效性和确定性措施。 1.2 功能安全需求分析及安全目标设定 ASILA 个等级， 、 [7] 是最高的安全等级 是最 。除了这 表示与安全无关。在风险分析过程中， 和具体的操作 要确保对每个危险事件，根据 条件和模式确定的 等级不低于其安全目标的 要求。同时，相似的安全目标也可以合并为一个安 等级应该是合并项目中最 全目标，但要达到的 ASIL ASIL A ASIL D 低的安全等级， ASIL 等级分为 个等级 D 4 QM E C B C 4 S 、 、 、 、 高的。如果安全目标可以被分解到具体的状态中， 那么每个安全目标也要转换成达到安全目标的具体 安全状态下的具体要求。 R N S3 E2 如本项目中，在整车系统功能级别考虑安全性， 当 档和 档可以随意切换，将会导致车辆无意识 的加速，和无意识的失去动力，对于严重度来说，为 严重及危及到生命安全，所以严重度为 。另在设 计合理的情况下，根据以往项目的经验，元器件的失 效率并不会那么高，我们定义为中等失效的发生频 度 。但这样的错误发生，驾驶员一般在车内，会 有更好的控制，所以可控性较强，为 等级判定的 ASIL B 和可控程度（ 全级别 1.3 电子排挡的安全问题 ）、 。可以得出：该项目的换档功能安 个因素：严重程度（ [8] ） Safety Goal ASIL E ）、发生频度（ 3 C 。根据 C2 S 为 。 TCU CAN PRND 信号传递的方式 传统的汽车排挡以机械零件为主，整体为机构 设计，通过物理拉索连接变速箱的摇臂，通过改变摇 臂的角度，变速箱采集换挡摇臂的 位置，从而 通过 控制改变变速箱的齿轮组合，进而达到变 速的目的。随着汽车电子的不断发展，传统的机械 排挡被电子排挡所替代，驾驶员档位请求由换挡控 制器来执行，档位请求的方式由纯机械触发转变为 [9] 。电子换挡的安全性所带来的 隐患是各个整车厂以及供应商所需要攻克的难题。 图示是某车型第一代的电子换档器，模拟信号 输出，换挡机构控制单元 通过采集电子排挡不 同的输出组合，得到换档信号，电子换档器的采集原 理是通过一个 霍尔传感器和线性开关霍尔传感 器，采集换挡杆上磁铁的位置状态，根据设计转换成 左为一个移动磁铁， 右为一个旋转磁铁，旋转磁铁通过改变磁场的角度， 的档位输出，移动磁铁通过 换算为 在移动过程中改变磁通量密度，换算为 的手 动模式输出。 信号发送给整车。如图 CAN SCU M+ 3D M R N D P 1 、 、 、 、 、 M- SPI 3D 霍尔传感器对磁场角度的采集，通过 总 -136 - 1 图 电子换挡机构原理图 

FMEDA MCU AD MISO SCLK 宁明志，等 基于功能安全的 MCSI SSI MCU : 的 、 、 、 CAN MCU 判断处理后，由 ）将数字信号送与 线（ 线性霍尔传感器以模拟信号输入给 采集。 ； 口做 总线输出给整车。 如果从汽车功能安全来考虑，传统电器设计的 就 存 在 很 多 潜 在 的 风 险 排 挡 的 一 些 元 器 件 失 效 ， 会导致人身危害，比如传感器失效，将原有的档位 错误输出，此时变速箱就会由倒车挡换为空挡，导 致整车失去动力，影响人身安全。那该失效概率为 多少，是否可接受？这些问题的评估是我们下面要 关注的。 2 电子换挡机构的硬件设计和改进 1[10] ISO26262 规定了功能安全等级的量化指标如表 ： 表 1 功能安全量化指标 随机硬件失效率 (PMHF Probabilistic Metric for random Hardware Failures) 单点故障度量 指标 (SPFM- Single Point Fault Metric) 汽车安全完整 ： 性等级 (ASIL Automotive safety Integrity level) D C B 分析在电子换挡机构中的应用研究 化指标。FMEDA 分析法的步骤如图 2 所示： 2 FMEDA 分析法步骤 2.1 划分安全相关模块STEP1 图 FMEDA 按照 的设计步骤，第一步是要根据前面 定义的功能安全级别，在硬件设计原理图中识别哪 些元器件是安全相关器件，哪些元器件不是安全相 关器件。如下以电源及标定、主芯片两个单元为例 列出相关设计进行判断和分析。 ）电源及其标定模块 所有这个模块的的元器件并不是安全器件，这 个模块的元器件是用于生产线的校准，并不影响档 1 潜在故障度 量指标 (LFM- Latent Fault Metric) ≥90% ≥80% ≥60% 10-8h-1 10-7h-1 10-7h-1 ≥99% ≥97% ≥90% B modes effects and diagnostic analysis 险分析，我们有了功能安全等级 过 一 系 列 的 仿 真 和 计 算 ，进 行 经过上文对电子换挡机构简略的危害评估和风 的目标，就可以经 FMEDA Failure （ 控制器硬件是否达到安全等级 ASILB ）分析来评估换挡 要求的这些量 位输出。2 ）控制器模块 3 图 电源和校准模块原理图 -137 - 

2019 《电子设计工程》 2 期 年第 4 图 控制器模块电路 控制器 MCU 所有这个模块的元器件被定义为相关的安全器 件，元器件的失效将会影响正常的档位输出。 2.2 判断失效类型、计算失效率STEP2 在确认了哪些控制模块是和所定义的功能安全 目标相关后，需要判断，哪些元器件的失效会直接影 响安全，哪些元器件的失效，并不会直接的影响安 全，进而区分类别，进行分析和计算。 对于比较复杂的元器件或者电路，不可能检测 到 所 有 的 故 障 原 因 。 诊 断 覆 盖 率 就 不 会 达 到 这 个 值，往往考虑最大的诊断覆盖率为 ％。以单片机 99 为例进行阐述。 2.1 以下内容针对 分析所得的控制器核心处理 模块（影响功能安全的元器件）进行失效分析，失效 模式将在下面文件中描述。 控制器模块主要的元器件是微控制器，这个控 ，微 ）分析分为外部器件和内部器 制单元的微控制器是微型集成芯片 控制器的失效率（ 件，内部器件由由供应商提供。 PIC16F1518 FIT 2 MCU 如表 列出了部分 元器件的失效率（ ） FIT 计算，包括单点失效和多点失效。 component MCU_SPI MCU_flash . Compon ent type type uC uC . λ (Failure in time) 1.168 35.456 . Safety relevant (0/1) 1 1 . Λsafety (FIT) 1.168 35.456 . 表 2 元器件失效率计算表 Single Failure point mode fault 1 MF/OC MF/OC 1 Failure mode (%) 100 100 ΛFailure mode(FIT) 1.168 35.456 . DC(%) 90 99 ΛRF 0.1168 0.35456 Multi point fault 0 0 DC(%) 1 1 ΛLF 0 0 1 2 （ ） （ ） 标准，单点失效的公式定义如式 根据 ISO26262 2.3 计算FMEDA 最终计算结果STEP3 1 : 2 ）所示，多点失效的公式定义如式（ λRF + ） （ SPFM =1- Σ( =1- Σ( Σ( ) ) ) Σ λSPF λ - λMPFLatent RF λ - λSPF 5 LFM 2 5 1 根据分析完整的换挡控制器的元器件失效计算 ）（ 所示。 经过图 表，由式（ ）计算所得如图 计算和分析，在硬件设计中考虑安全 相关机制，增加一些诊断和冗余设计，增加失效的检 测机制，降低失效所带来的风险。根据如上计算结 果，可以满足根据功能安全的定义所指定的安全目 标 LFM 60% and SPFM 90% 的 量 化 指 标 ： ， ASIL B -138 - DCRF 98.18 PMHF[10e-9 Failure/h] LFM 72.64 Unintended/erroneous display of any gear lever position(P,R,N,D,M) SAFE State:Gearchange disable and Driver warning (to inform driver if present) Fault Tolerance Time:50ms 60 SPFM 91.24 38.76 ASIL B ASIL B LFM 计算 SPFM PMHF <10-7 。 图 90 5 FMEDA 

宁明志，等 基于功能安全的 FMEDA 分析在电子换挡机构中的应用研究 3 故障注入试验及结果 FMEDA 故障注入试验中的故障设置实际是对 FMEDA 理论分析中的故障在实际 分析的检验，验证 [11-13] 情况下是否能够被检测到 。设置故障的方式有 多种，但结果唯一，即当故障发生时，电子换挡机构 将通知整车进入安全状态。 注入故障后，系统应能对这些故障进行正确探 测，并采取恰当的响应。对故障注入测试结果进行 评估应遵循的最高准则是，注入故障后系统不能产 生任何违背车辆安全目标的失效行为 。 [14] 从硬件和软件两个角度进行故障设置，以旋转 霍尔双路信号校验机制和副芯片复位为例，进行相 应的故障注入试验，并测出相应的故障实施结果，如 图 所绘示例。 6 6 图 故障注入流程图 6 按照图 的故障注入方式，对系统进行故障注 3 入测试，部分举例见表 。 表 3 故障注入试验及结果 故障注入措施 实验结果 控制器实际值超出标定范围，换挡控 制器进入安全状态请求并记录故障 码。 控制器实际值超出标定范围，换挡控 制器进入安全状态并记录故障码。 SPI 通信失败，换挡控制器进入安全 状态并记录故障码。 磁铁偏置 标定值偏移 SPI 错误报文 4 结束语 FMEDA [15] 失效模式、影响及其诊断分析（ ）法在功 能安全验证的过程中具有很强的实用性 。在具体 功能安全项目开发中，需要结合整体的设计要求，列 举出所有存在的失效模式对产品功能安全模块的每 一个元器件。进行分析和探讨，为硬软件安全完整 47-50. [5] [6] . [J]. ISO 26262 ） （ 5 FMEDA [J]. 在汽车工业产品设计中的应用 汽车实用技术， 基于 .FMEDA . 等级的验证提供了大量的数据支撑。在车辆安全领 域的相关研究，应该不断完善 的分析过程和 分析结果。使得设计出来的产品能够更好地符合功 能安全的要求。 参考文献: [1] 陈修锋 [2] [3] [4] 2016 :5-8. ISO 26262 [J]. 2017 .FMEDA 2014 6 [J]. ISO 26262 . [J]. ISO 26262 曾艾，杨永光 矩安全概念设计 朱杰，刘黎，董良健，等 设计中的应用 基于 纪宏岩，崔书超，孙灿，等 车辆功能安全开发流程解读 （ 郭辉，刘佳熙，于世涛，等 电子功能安全解决方案 在功能安全产品 （ 10 14-16. 的动力总成系统扭 25-29. 57-59. 汽车电器， 上海汽车， 上海汽车， 仪器仪表， 2015 2016 的道路 符合 ）： ）： ）： 7 3 （ 的汽车 ）： （ . :31-34. [J]. [J]. . . : . （ （ （ ） （ 4 ）： 基于 系统 [7] 2013 2014 功能安全标准的汽 电子产品世界， 杨国青，厉蒋 车电子系统测试方法（上） 佳木斯大学学报， 自动控制与检测， 农业装备与车辆工程， 整车控制器功能安全设计和 一种基于功能安全的汽 ） 李娟，王宏大，祝慧，等 车 张戟，万祥，朱翔宇 研究 孙伟杰，黄凯龙 化 4 PEPS 57-59. [8] [J]. [9] [J]. [10]ISO 26262 Road vehicles—Functional safety-part 5: Product development at the hardware level [S]. 2011. . [J]. [J]. 电子专用测试设备故障诊断中容错控制 电子设计工程， 683-687. 64-67. 9 2016 12 2015 换挡机构电路板失效分析与优 的智能车辆主动转向系统 3 :71-75. [J]. 2018 10 .Haar EPs 2018 张小冰 系统 张晓，杨明 设计 任亮朴，徐美华，陈高攀 工程及前方车辆检测系统实现 程， 尚世亮，王雷雷，赵向东 子电气系统故障注入测试方法 ISO26262 [J]. 核设计 电子设计工 [11] [12] [13] :107-111. 的车辆电 实验测试， :24-27. 电子科技， 2018 特征提取 14 基于 基于 IP ）： （ ） （ ） （ ） . . [14] [15] 2015 12 :49-58. （ ） 陆妹，蔡福全，孙京诰 变送器验证中的应用 37-43. .FMEDA [J]. 在功能安全温度 ）： 2015 （ 自动化仪表， 4 -139 -