基于功能安全的汽车全液晶仪表电源供电系统设计

郭健忠，张 举，闵 锐，谢 斌

(1.武汉科技大学汽车与交通工程学院，湖北 武汉 430065；2.武汉保华液晶显示科技有限公司，湖北 武汉 430082)

随着汽车电子技术的发展，电子产品的广泛性和复杂度不断提高，系统失效、部件失效等功能安全问题日益严峻[1]。汽车电子行业因此推出最新道路车辆功能安全国际标准ISO 26262，国内把ISO 26262 标准国有化，发布了GB/T 34590 标准[2]。ISO 26262 是从电子、电气及可编程器件功能安全基本标准IEC 61508 中派生出来，主要定位在汽车行业中特定的电气器件、电子设备、可编程电子器件等专门用于汽车领域的部件，旨在提高汽车电子、电气产品功能安全的国际标准[3-4]。

汽车仪表在开发和运行的过程中，常常因为电路损坏或电子元器件焊接不良，导致电源供电系统失效，造成供电电压不符合汽车仪表的工作电压范围，最后导致仪表系统损坏，而造成巨大的经济损失和安全风险[5]。对于汽车仪表电源供电系统而言，开发使之符合ISO 26262 标准是非常有必要的。本文参考ISO 26262 道路车辆功能安全标准的要求，利用功能安全标准开发流程[6]，设计出符合功能安全标准的电源供电系统。

1 汽车仪表电源供电系统架构

如图1 所示，本文汽车仪表以MCU FS32K144为主芯片，其电源供电系统的功能由电源(BAT)给MPQ3367、MPQ4470、MPQ2172、LTE4275 供电，MPQ3367给LCD 供电，MPQ4470 给PMIC PFB200 供电，PMIC PFB200 给EMMC、Nor Flash、LPDDR4、显示ECU 供电，MPQ2172 给MCU FS32K144 供 电，LTE4275 给CAN 通讯模块、AD/IO 采集模块、RTC 模块供电。

图1 汽车仪表电源供电系统架构

1.1 危害分析与风险评估

危害分析与风险评估(hazard analysis and risk assesment，HARA)给出一种功能失效的危害及风险的评估方法，需要对系统的风险进行评估分析，识别及分类，最终确定相关项的汽车安全完整性等级[7]。HARA 要求对于每个危害事件从严重度(S)、暴露度(E)、可控度(C)3 个维度进行分析。严重度S 是指危害事件对驾驶员、乘客或行人造成的人身伤害的程度，分为S0、S1、S2、S3 4 个等级；暴露度E 是指危害事件在运行场景中的暴露概率，分为E0、E1、E2、E3、E4 5 个等级；可控度C 是指危害事件发生时驾驶员、乘客或行人能够充分控制危害事件以避免伤害的可能性，分为CO、C1、C2、C3 4 个等级。然后依据风险矩阵确定汽车安全完整性等级(automobile safety integrity level，ASIL)，如表1 所示，ASIL 等级越高[8]，表示危害事件的风险越高。

表1 汽车安全完整性等级确定表

整车通过危害分析与风险评估，汽车仪表系统被分配ASILB 的安全等级，再分配到电源供电系统，确定本文所设计的电源供电系统为ASILB 的安全等级，电源供电系统根据危害分析与风险评估，确定其相关功能的安全等级，从而得到安全目标，再得到功能安全需求[9]。

1.2 功能安全需求

1.2.1 安全目标

根据危害分析与风险评估，得到下表2 安全目标。

表2 安全目标表

1.2.2 功能安全需求

电源供电系统要达到相应的安全等级，设计相应的安全机制满足安全目标。本文通过监控各个电源芯片的输出电压及其失效响应，来达到满足安全目标[10]。在电压采集上，设计冗余采集电路，保证各个电压信号准确无误，冗余采集电路符合其安全等级的硬件指标。MCU 收到AD 模块采集的电压信息，对比冗余的电压信息，只要有一条线路有电压信号，即为有效电压且需要与有效电压范围进行对比判断，与标准电压进行对比，当电压过高或过低，MCU 需要做出响应，及时中断相关电源芯片供电。

2 基于功能安全的电源供电系统硬件设计

2.1 电源供电系统整体的硬件架构

电源供电系统硬件架构见图2，主要包括电压采集电路和MCU 控制各个供电单元电路。MCU 采用FS32K144 芯片，FS32K144 符合ASILB 等级的要求。硬件设计主要实现以下功能:AD 采集模块能够采集各个电源芯片和BAT 的输出电压。

图2 电源供电系统硬件架构图

2.2 相关电路设计及硬件验证指标计算

2.2.1 硬件验证指标

ISO 26262 要求硬件架构和单元应实现硬件的安全要求，通过硬件架构指标和随机硬件失效指标来对硬件总体结构进行定量评估，以确定相关的硬件是否满足各指标的要求。其中硬件架构指标包括单点故障指标和潜在故障指标，这些考核指标均只适用于ASIL 等级高于A 级的系统。系统硬件指标详细规定见表3。

表3 系统硬件指标

在确定的安全目标下，对每个安全相关的硬件部件进行安全分析应考虑以下因素[11]:

(1)安全故障:不会导致系统违背安全目标的故障，由λS表示其失效率。

(2)残余/单点故障:在一个未被安全机制完全覆盖的单元中，能直接引起系统违背安全目标的硬件故障，由λSPF表示其失效率。

(3)多点故障:只有当多个故障同时发生时，才会导致系统违背安全目标的失效形式，由λMPF表示其失效率。

(4)可探测或感知的多点故障:不管是否被安全机制所覆盖，但可被驾驶员很明确地觉察到的多点故障，由λMPF，DP表示其失效率。

(5)潜在多点故障:既没有被安全机制所覆盖，也不能被驾驶员直接感知到的多点故障，由λMPF，L表示其失效率。

(6)诊断测试覆盖:系统硬件能够被安全机制所探测或控制到的百分比，由C表示。对系统硬件采用不同的安全机制或策略，就会相应得到不同的诊断测试覆盖率。

由定义可知，可探测的多点故障率与潜在多点故障率的和就是多点故障率，故总的故障率λ＝λS+λSPF+λMPF。

单点故障指标是指除残余/单点故障外，其他故障率占总故障率的百分比，即

潜在故障指标是指可探测、感知的多点故障和安全故障，占多点故障和安全故障的百分比，即

随机硬件失效指标(MPMHF)与系统残余/单点故障、两点故障以及系统工作寿命、安全机制等有关，随机硬件失效指标第三项值由λ3表示，计算公式如下:

式中:所有失效率的单位均为FIT，1FIT＝10-9h-1。

2.2.2 电压采集电路

采集电源电压信号采用平行冗余采集电路。图3 所示为12 V 电压采集电路，其输出的两路冗余信号分别由两个AD 模块采集，该信号可以相互校验，既可以探测传感器故障，又可以检测AD 模块的故障。5 V 采集电路调节R1138或R1140电阻值即可，采用相同的电路，1 V 到3.3 V 的电压直接采用AD模块采集，不用设计降压电路。

图3 电源电压信号采集电路

根据ISO26262-5 中列出的电子元器件的失效模式及其分布律和各失效模式下适用的安全机制及其诊断覆盖率，再结合GB/T 37963-2019 标准中对电子元器件失效率的标准规定[12]，编制出了加速踏板信号采集电路的硬件指标计算表格，如表4 所示。

表4 硬件指标计算参数表

由硬件指标计算参数表和硬件指标计算公式，可以得到与安全相关的总失效率为142 FIT，非安全相关总失效率为0 FIT，单点故障失效率为6.12 FIT，多点故障失效率为6.14 FIT，随机硬件失效度量为6.120 014 4 FIT，单点故障度量为95.69%，潜在故障度量为95.81%。安全目标被分配为ASILB，对于ASILB，随机硬件失效度量小于1×10-7单点故障度量推荐为≥90%，以及潜伏故障度量推荐为≥60%。随机硬件失效度量计算值为6.120 014 4 FIT，单点故障度量的计算值为95.69%，表明此度量已被满足；同时潜伏故障度量的计算值为95.81%，表明潜伏故障度量也被满足。所以设计的硬件指标满足安全目标。

3 基于功能安全的电源供电系统软件设计

3.1 电源供电系统软件架构

电源供电系统软件体系结构可分为底层、中间层和应用层[13]。底层主要用于芯片内存分配和芯片输入输出功能的初始配置；中间层涉及许多软件编写协议，当它处于开发阶段时，软件编写的相关功能可以暂时在仿真器中进行处理，这部分是为以后的开发保留的；应用层主要涉及电源供电系统相关性能参数的采样、检测、计算和安全控制。基于功能安全，电源供电系统软件模块主要基于电压的采样和失效响应功能，以保证电源供电在安全范围内。根据ISO 26262 标准，与功能安全相关的软件模块包括自诊断功能模块，电压采样和信息处理模块软件设计。根据安全机制，设计上述软件模块，满足功能安全和软件安全设计的要求。

3.2 自诊断功能模块软件设计

由于MCU 对电压的监控依赖于其自身运行环境，因此需检查自身的硬件环境(RAM/ROM 等)。自诊断内容包括:(1)在初始化阶段或者每次复位操作后，MCU 都要执行一次完整的ROM 区检查，通过检查当前Checksum(校验和)和记录的Checksum 是否相符，从而判断ROM 是否正常；(2)在每一个通信过程中，需要对被使用的RAM 区进行一次检查。通过对其执行读写操作，若能进行正确的读写则表示RAM 正常，否则将执行复位操作并重新检查[14]。

3.3 电压采样和信息处理模块软件设计

本设计关键在于电压信息采集和信息处理策略[15]，如图4 为电压采样和信息处理模块的策略:

图4 电压采样和信息处理策略

(1)MCU 没有采集到电压信号，采集模块会一直持续采集2 s，当一直采集不到信号会判定电路硬件断路或电源芯片输出电压失效，生成相应故障码，并报警。

(2)采用冗余电路采集每个电源芯片的输出电压，当采集到电压为V1、V2，与工作电压范围进行对比，是否过高或过低，当V1、V2任何一个值超限，持续采集2 s，当继续超限，生成相应故障码，并报警。

(3)V1、V2有一个符合标定范围内，判定电源芯片输出电压正常，当2 个值都失效，判定2 条电路失效，生成相应故障码，并报警。

4 功能安全测试

4.1 试验模型

该实验通过模拟电源供电系统在工作中出现的各种故障状态，从而检验设计的安全机制，以及失效响应的控制措施和策略[16]。功能安全测试关键在于测试安全机制，测试安全机制能满足安全需求和安全目标。如图5 所示为安全机制的故障响应时间和容错时间间隔需求。安全机制能够在诊断测试时间内检测到故障，在故障响应时间内做出响应，最后通过响应措施减低或消除故障，从而保障电源供电系统处于安全状态，最后保障汽车仪表处于安全状态[17]。

图5 故障响应和故障容错时间

本次测试模型为测试电源供电系统在不同的故障状态下，安全机制是否满足安全需求，以下为电源供电系统的不同的工作状态:

(1)确定电源供电系统各部件和线路工作正常，可以得到电源供电系统正常工作状态下，冗余采集机制所采集的正确电压。

(2)确定电源供电系统各部件和线路工作正常，用直流可调电源调节BAT 输出电压，可以得到系统处于不同工作电压下的工作状态。

(3)确定电源供电系统各部件和线路工作正常，将采集电路的线路断开和短路，得到采集电路故障的工作状态。

4.2 试验验证

(1)在正常工作状态下，冗余采集机制采集的BAT 和各个电源芯片的电压，经过电压采集与处理后所确定的有效电压，如图6 所示。

图6 正常工作下采集的有效电压

BAT 的额度供电电压为12 V，当BAT 正常工作时，其他电源芯片能以所需求的输出电压进行输出，为其他模块供电。

(2)BAT 调节输入电压，在超限的情况下(过高或过低)，采集BAT 和各个电源芯片的电压，经过电压采集与处理后所确定的有效电压，如图7、图8所示。

图7 BAT 欠压工作下采集的有效电压

图8 BAT 过压工作下采集的有效电压

当BAT 的输出电压从额定电压调节到限定电压之下，电压过低时，采集电路会立即采集到电压值，安全机制会判定电压过低，采集电路会持续采集2 s；当电压还是过低，MCU 会控制其他各个电源芯片，让电源芯片停止工作，保护汽车仪表，避免因为欠压而损坏。

当BAT 的输出电压从额定电压调节到限定电压之上，电压过高时，采集电路会立即采集到电压值，安全机制会判定电压过高，采集电路会持续采集2 s；当电压还是过高，MCU 会控制其他各个电源芯片，让电源芯片停止工作，保护汽车仪表不会因为过压而损坏。

(3)当冗余机制中一条电路损坏，采集BAT 和各个电源芯片的电压，经过电压采集与处理后所确定的有效电压，如图9 所示。

图9 冗余机制中一条电路损坏工作下采集的有效电压

BAT 的额度供电电压为12 V，当BAT 正常工作时，其他电源芯片能以所需求的输出电压进行输出，为其他模块供电；当冗余采集电路中有一条电路失效时，MCU 接收到信息和处理信息，安全机制会判断另外一条正常电路电压为有效电压。

5 总结

电源供电系统的安全运行是整个汽车全液晶仪表正常工作的基础，本研究针对ISO 26262 道路车辆功能安全标准的要求，参考功能安全标准开发流程，基于功能安全设计了电源供电系统，对电源供电系统的硬件设计方面进行了安全指标的计算验证，并满足设计的安全目标，最后通过采用故障注入实验，建立了模型仿真和试验验证，成功地检测了电源供电系统的安全机制确实可行。

研究结果表明:在汽车全液晶仪表的电源供电电路的基础上，加入电压监控单元组成电源供电系统，能够避免电源供电电路失效而造成仪表系统其他模块损坏；并在电压监控单元的电压采集电路上采用冗余设计，能够提高AD 采集模块的准确性，极大提高了整个汽车全液晶仪表电源供电系统的功能安全，从而提高汽车仪表的安全性、整车的安全性，实现了预期的安全目标。本文能够为汽车电子的其他系统的设计提供借鉴。