自动驾驶新型验证技术(二):基于仿真FMEDA方法
- 2026-04-17 23:19:23
摘要:本文分为“一、二、三”共三部分,这是文章“第二部分”,我们将重点解析基于仿真的FMEDA方法研究成果。
在后续发布的文章“第三部分”中,我们将基于仿真的HARA方法研究成果,并实时软件验证技术研究成果。
文章“第一部分”已发布,阐述了ISO 26262框架下的部件开发流程。
原文作者:Jacopo Sini
编译:猿东东,猿西西
03. 基于仿真的失效模式、影响与诊断分析(FMEDA)
本篇章介绍提出的、用于实现**基于仿真的失效模式、影响与诊断分析(FMEDA)**方法与成果。
3.1 工业实践
FMEDA(见文章“第一部分”2.7节)是汽车行业用于计算某一部件随机硬件失效指标的工业标准流程,是ISO 26262第5部分的强制要求。流程从物料清单(BOM)与待验证硬件设计原理图开始,借助硬件组件失效模式(FM)发生率库(如IEC 61709)与可靠性计算模型(如FIDES,见文章“第一部分”2.8节)计算组件失效率。
为将失效模式按安全/危险、可检测/不可检测分类(见文章“第一部分”图2.15),设计人员依靠对电路功能的理解与经验对原理图进行人工审查。这种方法易出错,存在三大缺点:
1. 安全关键应用中嵌入式系统复杂度不断提升,人工审查原理图难以有效识别所有异常行为;
2. 基于最坏情况估计,易导致过度设计;
3. 难以考虑嵌入式软件对失效处理的影响(软件可正向缓解/负向加剧故障传播)。
实际上,待验证的原理图常包含集成电路、片上系统、微控制器、微处理器或DSP。人工方法很难评估软件对失效处理的贡献,而软硬件交互对故障传播至关重要。
完成分类后,已知各组件FIT(λᶜ)、失效模式发生率(λᶠ),并完成所有失效模式分类,即可得到λfSD、λfSU、λfDD、λfDU,进而计算ISO 26262要求的指标(见文章“第一部分”2.7.3节)。若指标不满足目标ASIL需求(见文章“第一部分”表2.7),则需重新设计部件。
3.2 自动化FME (D)A的思路
在本章中,使用FME(D)A统称相关研究,以兼顾文献中FMEA与FMEDA混用的情况(区别见文章“第一部分”2.10节)。本研究所述方法更贴近FMEDA定义。
自动化FME(D)A的核心思想来自文献,作者将故障注入用于FMEA部分流程。在此基础上,文献将类似方法应用于生物医学系统,文献提出自动评估硬件失效危害度的工具。
上述三类工作均未考虑嵌入式软件对失效处理的影响。这是本研究方法的出发点:提出可并行仿真硬件组件与嵌入式软件的方法。该点至关重要,因为如第2章所述,软硬件交互分析是 ISO 26262 安全生命周期的核心。
文献 提出软件级FME(D)A框架。其中,文献 评估软件缺陷对依赖组件的影响,但未评估注入故障的有效性文献使用基于最常见编码缺陷的真实软件故障,解决了有效性问题。
本方法具有多学科交叉特性,融合了故障注入、故障建模、仿真、电子PCB设计、嵌入式软件开发等领域知识,因此难以与同类方法或标准基准直接对比。
3.2.1 故障覆盖率测量
数字测试通过故障覆盖率指标评估与对比,标准定义来自IEEE 1804,市场上有多种EDA工具支持。软件测试也有成熟的语句、分支、判定覆盖指标。
但模拟测试本质上更复杂。过去三十年出现多种方法,但尚无统一标准。目前IEEE P2427标准正在制定中。
3.2.2 故障模型
目前IEEE P2427工作组正解决这一问题。工作组的任务与ISO 26262 FMEDA需求高度契合:
· 定义流程:
o 给定电路,生成失效模式全集
o 给定测试集,确定可检测的缺陷
· 标准化信息:
o 缺陷模型与检测判据的定义与传递
o 缺陷覆盖率报告
IEEE P2427故障模型面向缺陷,要求电路级(结构级)模型,考虑缺陷、单次故障、仅制造缺陷,并假设制造缺陷测试可复用于生命周期其他阶段。
缺陷被视为永久性、非预期,可分为两类:
1. 灾难性故障:开路、短路,影响组件或网络拓扑;
2. 参数性故障:组件参数(电阻、电容等)偏离标称范围(标称值±容差)。
需要说明:本文仅采用IEEE P2427的灾难性/参数性分类,具体故障模型由各篇文章作者独立提出或引自相关文献,详见各方案故障模型章节。
目前尚无广泛接受的模拟测试覆盖率计算标准,因此本文不报告模拟测试覆盖率指标。
3.2.3 故障注入
本方案采用的故障注入技术基于文献。相关文献指出,故障注入可实现多种目标:
· 可靠性验证
· 部件级故障预测
· 容错等级评估
文献还考虑了嵌入式软件场景,文献研究软件缺陷对安全关键系统的影响。
从故障注入角度看,主要创新点是提出了在所选仿真环境中实现注入的各类架构,详见各方案描述。
3.3 研究方案
为克服人工硬件审查的局限,本章提出一系列方案。当启动硬件设计验证时,通常已具备部件模型与合适的负载集,因为它们已用于控制算法开发,可作为改进硬件验证的起点。
3.3.1 假设
我们可对通用汽车电子部件的架构做出合理假设:所有部件均可视为由三级构成,如图3.1所示:
1. 输入调理级:通常为模拟电路,将来自环境或其他部件的模拟输入适配至处理级要求的输入范围;
2. 处理级:通常基于片上系统、微处理器或微控制器;
3. 输出调理级:通常为模拟电路,将处理级输出适配至执行器或其他部件要求的范围。
图3.1:项目的一般三阶段结构
3.3.2 所提方法的演进
本方法逐年演进,可归纳为六项方案,从最初的简单迭代到最终应用于移动机器人牵引系统。图3.2按时间顺序展示各方案关系,箭头旁文字说明方案间的创新点。
图3.2:基于模拟的方法演变的工作流程。箭头附近的描述解释了这些提案之间的新颖之处
第一项方案:基于仿真的FME(D)A
第一项方案发表于2017年拉丁美洲测试研讨会(LATS),研究基于级联原理图,为输入/输出级建立SPICE级网表。针对每个组件的每种失效模式,人工修改原理图以模拟故障电路。
用于验证方法的基准部件是安全带提醒装置:负责检测乘客是否就座、安全带是否系好;若未系好则触发报警。
假设HARA将该部件定为ASIL C,因为最坏情况下安全气囊展开时乘客未系安全带,头部撞击气囊会导致严重伤害。
本文仅研究负责检测乘客就座的部分,其输入级如图3.3所示。
图3.3:安全带提醒器的结构
输入级向微控制器提供与乘客重量成正比的输入电压,范围[Wmin, Wmax]。嵌入式软件执行范围检查:
· 输入超出范围→上报故障与错误;
· 输入在范围内→检查安全带状态,乘客就座但未系安全带→触发报警。
3.5.1 故障模型
以图3.3中R1、R2电阻为例,根据失效库可识别三种失效模式:
1. 开路:发生率50%
2. 阻值加倍:发生率25%
3. 阻值减半:发生率25%
电容C1的三种失效模式:
1. 断路:串联开关断开,发生率40%
2. 短路:并联开关闭合,发生率10%
3. 容量减小:容量减半,发生率50%
根据IEEE P2427分类:
· 开路/断路、短路→灾难性缺陷
· 阻值加倍/减半、容量减小→参数性缺陷
U1、U2等集成电路的失效模式统一归类为危险可检测(DD),理由见3.5.3节。
3.5.2 故障注入
本方案无自动故障注入机制:故障注入通过人工修改原理图实现,采用3.5.1节所述模型。该流程需创建10个电路原理图:1个无故障+ 9个R1、R2、C1的失效模式。
3.5.3 失效模式影响评估策略
首次失效模式影响评估流程如下:向部件原理图注入失效模式,分析在设计人员提供的输入激励下,故障如何传播至部件输出。故障传播在混合级仿真环境中完成:
· 影响分立组件的失效模式通过SPICE级仿真分析,研究从部件输入到处理级输入、处理级输出到外部环境(执行器/其他部件)的传播;
· 故障效应从处理级输入到输出(即通过部件软件)的传播在Simulink中完成。
采用Simulink评估软件对输入级故障的缓解作用、运行软件本身,符合当前汽车行业基于模型的软件设计(MBSD)趋势(见文章“第一部分”2.11.3节)。
输入级分析对输入级每种失效模式执行SPICE仿真,使用设计人员提供的负载,计算故障输入级提供给微控制器的输入,完成故障从输入级到微控制器输入的传播。之后,Simulink模型运行嵌入式软件,分析每个故障微控制器输出(可来自仿真注入)对应的无故障输出级SPICE仿真,观察整个部件对输入级故障的响应。
处理级分析处理级失效模式包括:内部计算错误、任意引脚中断、相邻引脚短路。为简化研究,暂不考虑,假设处理级具备完备的自检测能力,可检测所有处理器故障。由于处理级是单点故障源,任何影响它的失效模式均视为危险可检测(DD),除非有反证(如安全手册假设)。
输出级分析为分析输出级失效模式对部件输出的影响,需先获取输入激励:先仿真无故障输入级,再运行嵌入式软件,之后对故障输出进行SPICE仿真。
最终按3.5.4节完成失效模式影响分类。
3.5.4 软件对硬件故障缓解能力的评估
失效模式安全/危险的判别基于仿真输出:对比无故障与故障仿真结果,存在差异则为危险。
仿真必须包含检测机制(软硬件)以完成可检测性评估。部件行为可分类如下:
1. 失效模式触发检测机制+行为不违反安全目标→安全可检测(SD)
2. 失效模式未触发检测+行为不违反安全目标→安全不可检测(SU)
3. 失效模式被检测+行为仍违反安全目标→危险可检测(DD)
4. 失效模式未被检测+行为违反安全目标→危险不可检测(DU)
本方法可识别失效模式→错误→故障的传播链,但因SPICE仿真器与嵌入式软件相互独立,无法用于带反馈的闭环控制器。此外,除无故障/故障误差阈值外,难以提供精确的评估规则。
需要强调:目标是判断失效模式是否会导致一项或多项安全目标被违反。
3.5.5 实验设置
本节对所提方法在简单部件上进行初步评估。调理级仿真由Analog Device LTSPICE完成,输入级结果导入Simulink运行嵌入式软件。
负载条件评估所用负载为座椅传感器在三种场景下输出的电压波形:
1. 无乘客就座
2. 儿童就座(30kg)
3. 成人就座(90kg)
针对每种失效模式均按上述负载建立模型并仿真。
3.5.6 仿真结果
结果如表3.1所示,包含组件、失效率、失效模式、发生率、故障覆盖率、残余贡献、失效模式分类。
表3.1:模拟结果
仿真时间在2.6GHz Intel Core i7、16GB内存台式机上,全过程仿真约50分钟。
硬件随机失效指标由表3.1仿真结果得到的指标如下:
· 随机硬件失效指标(见文章“第一部分”2.7.3节):rhf = 0.059 FIT ⇒ 满足ASIL D
· 单点故障指标(见文章“第一部分”2.7.3节):spfm = 100% ⇒ 满足ASIL D
· 潜伏故障指标(见文章“第一部分”2.7.3节):lhf = 92% ⇒ 满足ASIL D
对比文章“第一部分”的表2.7可知,本设计满足ISO 26262对ASIL C级的要求。
3.6 第二项方案:FMEDA的真正自动化实现
本节介绍发表于两篇文章的方案:
· 第一篇发表于2018年在线测试与鲁棒系统设计国际研讨会(IOLTS);
· 第二篇发表于2019年IMACS TC1国际会议(ELECTRIMACS),2020年收录于Springer电气工程讲义;
两篇文章所述工具流程如图3.4所示。
图3.4:基于模拟的方法的示意图
故障列表生成模块接收部件BOM与故障库(含组件FIT、失效模式、发生率),结合BOM与故障库生成硬件故障列表。随后,借助已插桩的电路原理图,工具先对**无故障(标准)**状态进行SPICE级仿真,再逐一注入故障。
每次仿真后,分类器根据预设分类规则将仿真结果与标准结果对比,按见文章“第一部分”图2.15为每种失效模式分配影响类型。最后计算指标并生成可读评估报告。
为验证方法,实现了两个版本的基准部件:用于车辆牵引的电机控制单元。标称功能如下:油门踏板提供0~1.2V电压信号,经增益G=4放大至0~5V,由微控制器内置ADC采集。
放大器为基于运算放大器的单元,由分立器件、运算放大器、两个电阻实现,如图3.5。ADC采集放大后的模拟信号,生成与电压成正比的PWM占空比;在输出三种占空比,驱动电机输出与踏板位置成正比的扭矩。
图3.5:所述项目的示意图
假设:受动力总成摩擦与车辆加速限制,最小占空比20%,最大80%;超出范围则软件停止PWM输出。
为保证仿真精度,需建立实际PCB拓扑模型。本文采用汽车级片上系统评估板布局,32位控制器采用100引脚薄型四方扁平封装(LQFP)。油门踏板、逆变器、电机视为部件外部组件。
图3.6:所述项目的示意图
仿真流程类似,但增加以下内容:
· 包含对所考虑部件的手工HARA分析
· 部件采用**三重冗余模块(TRM)**提高输入级可靠性
· 部件集成故障检测与缓解算法
· 采用简化IGBT模型,平衡仿真质量与时间
· 加入被驱动电机模型
· 仿真部分逆变器组件,验证检测算法
如后文所述,得益于TRM与检测缓解算法,可观察到ISO 26262 FMEDA随机硬件失效率指标的变化。
本部件(电动动力总成)的安全目标(SGs)为:
· SG1:电机扭矩(瞬态外转速)应与驾驶员通过油门踏板请求的值一致最严重违例:请求非零扭矩时电机输出为零(请求时不转)
· SG2:油门踏板完全松开时电机扭矩必须为零(或仅回馈制动)最严重违例:车辆非预期加速
如文章“第一部分”2.2节所述,每个安全目标必须分配ASIL等级。SG1定为ASIL B,SG2定为ASIL D。
3.6.1 故障模型
最简单的模型无需在原理图中添加破坏组件,只需根据待注入的**故障模式(FM)**修改受影响组件的标称电气参数即可实现。例如,破坏者可通过改变电阻阻值,来模拟电阻从印刷电路板(PCB)上脱落或引脚间短路的场景。
在IEEE P2427框架下,这类电气参数变更模型被归类为参数缺陷(parametric defect)。
仿真专用组件部分场景下上述方法不足以描述失效模式,需添加非设计内组件模拟故障行为。例如,电容极板短路不能仅修改容量,而需并联电阻。类似方法可模拟集成电路失效,如相邻引脚短路,可在引脚间添加电阻实现。无故障时电阻值设为10⁸Ω,短路时设为1Ω。为加速仿真,可忽略相邻引脚为未使用高阻态的短路故障。这类仿真专用模型在IEEE P2427中属于灾难性缺陷;若在非设计连接节点间注入短路,则为拓扑灾难性缺陷。
固定值仿真专用破坏组件第三种方法通过在集成电路与原理图其他部分之间加入专用破坏组件(Saboteur),模拟引脚永久固定故障。实现为包含多路开关的 Simulink 子层,可将受影响引脚切换至正常(直通)、固定高电平(VCC)、固定低电平(GND)。
逆变器IGBT中同时考虑影响逆变器IGBT的失效模式模型。
如文献所述,完整详尽的故障模型难以获取,也无法覆盖所有场景。无论如何,本方案无需探究故障边界条件(过流、结击穿等),只需复现IGBT损坏,研究其失效模式对部件行为的影响。更精确的故障模型见3.9.2节、图3.28。
为实现本方案所用模型,采用SimScape MOSFET 模块,大幅降低故障模型复杂度与仿真时间。设计人员可轻松实现:在微控制器输出 PWM 信号的引脚与 MOSFET 栅极之间加入固定值破坏模块,由sabouter在仿真中任意时刻触发。
由于本方案 IGBT 故障模型比现有技术简化,将微控制器引脚(固定故障)与IGBT的失效率合并:固定开路故障占86%,固定闭合故障占14%。逆变器示意图如图3.7。IGBT仅考虑灾难性失效。
图3.7:与星形绕组无刷直流(BLDC)永磁电机连接的逆变器的示意图
3.6.2 故障注入
破坏器(Saboteur)每次注入一种失效模式,通过修改电气参数、合理控制破坏组件与仿真专用组件实现。
标称参数修改修改标称参数的故障注入策略:由Simulink从MATLAB工作空间获取sabouter设定的值。该策略用于模拟影响中油门踏板采集运算放大器反馈网络的失效,如图3.8。
图3.8:描述的模拟调节阶段的示意图。电阻器R1和R2周围的红色边界表示其电阻值没有定义的参数,因为它是由sabouter在运行时计算的
仿真专用组件如3.6.1节故障模型所述,必要时需手动添加非原始设计组件,模拟失效模式注入。典型用于电容极板短路或集成电路引脚短路,如图3.11。
破坏模块(SB)破坏模块是专为特定目的设计的仿真专用组件,本方案中用于注入固定故障。本方案所用 SB 如图3.9(品红色),图3.9 为外部接口,图3.10 为内部实现,包含切换正常(直通)、固定高电平(VCC)、固定低电平(GND)的开关。
附加组件与破坏模块的组合使用如图3.11。
图3.9:用于注入卡在FM的SB外部接口。FaultInjectiorSelector常量周围的红色边框表示存在已定义的值,因为它是由sabouter在运行时计算的
图3.10:用于注入卡住的FM的SB的实施
图3.11:SB的示例,用于在引脚上注入卡住的FM,以及仅模拟的组件(在这种情况下是电阻器),用于在商用微控制器的相邻引脚之间注入短路
3.6.3 失效模式影响评估策略
从风险评估角度,电机输出错误角速度/扭矩视为危险,零扭矩视为安全。可检测/不可检测分类直接由运行嵌入式软件的仿真结果得出,包含故障检测系统作为部件一部分。安全/不安全分类通过将计算出的触发信号传递至逆变器开关,进而传递至电机模型实现。部件行为(传播至电机,即转速与扭矩)存入数据库,并与部件行为分类规则对比。IGBT故障检测算法如图3.12。
图3.12:IGBT检测算法的实现
3.6.4 软件对硬件失效缓解能力的评估
失效模式按安全/不安全(见文章“第一部分”图2.15)分类,通过对比系统输出与预期输出、或对比无故障(标准)与故障注入后输出实现。可检测/不可检测分类则由运行嵌入式软件、包含故障检测系统的仿真结果得出。
安全/不安全分类通过将计算出的触发信号传播至逆变器开关,进而传播至电机模型实现。部件行为(传播至电机,即转速与扭矩)存入数据库,并与部件行为分类规则对比。用于检测失效模式、触发缓解措施的算法如图3.12。
3.6.5 实验设置
所提方法通过FMEDA自动化工具实现,完全基于MATLAB/Simulink环境。待评估部件原理图用Simulink SimScape工具箱建模,部件软件如为手写代码则用MATLAB函数建模,如为基于模型设计则直接用Simulink建模。故障列表生成器、破坏器、分类器模块均以MATLAB函数实现,可获得捕获软硬件关键特性的统一可执行模型。
本版工具中,如需为模型插桩以模拟部分失效模式,需将这些破坏组件(见3.6.2 节)加入BOM。
仿真按图3.4运行,结果存入MATLAB结构体数组。每个结构体对应一种负载,顶层每行对应BOM中一个组件,包含组件名称、标称值、类别、FIT,以及第二层结构体,每行对应组件一种失效模式,包含失效模式概率、注入值、故障覆盖率,以及由分类器运行时填充的Safe、Detected、Residual contribution字段。
借助该结构,多负载仿真可计算指标并分别评估,最终合并为总结报告,帮助设计人员考虑所有负载下的最坏情况。对每行,按严重度降序选择最坏失效影响:危险不可检测(DU)、安全不可检测(SU)、危险可检测(DD)、安全可检测(SD)。
SU 比 DD 更关键,因为失效模式每次单独注入,仿真无法提供多失效同时发生的信息。无论如何,ISO 26262 第 5 部分不鼓励 SU 存在,因其会增大设计潜伏故障指标(见 2.7.3 节)。
3.6.6 仿真结果
由表3.2仿真结果得到的FMEDA指标:
· 随机硬件失效指标(见文章“第一部分”2.7.3节):rhf = 7.75 FIT ⇒ ASIL D
· 单点故障指标(见文章“第一部分”2.7.3节):spfm = 6.06% ⇒ QM
· 潜伏故障指标(见文章“第一部分”2.7.3节):lhf = 93.94% ⇒ ASIL D
表3.2:给出的工具在考虑5种不同工作负载的情况下获得的FMEDA评估结果
在2.6GHz Intel Core i7(6代)笔记本上,获得表中仿真结果约需40分钟。
仿真结果表明,指标不满足ASIL D要求(见文章“第一部分”表2.7):14种失效中有8种会直接导致安全目标违例(本简化部件中为电机输出错误转速),因此归类为危险不可检测(DU)。
分析可知,5种与输入级R1、R2相关。这两个电阻构成放大器反馈网络,增益G由式3.1计算:
其失效模式导致增益变化,使ADC采集的占空比请求电压失真,处理器生成错误PWM占空比,最终导致电机输出错误扭矩/转速。
这说明本设计的范围检查故障检测机制无法在所有负载条件下检测输入级故障。另外两种失效与半桥连接引脚相关,微控制器无法控制电机;最后一种DU与电源故障相关,导致PCB上所有组件关闭。
3.6.7 仿真结果
由表3.3仿真结果得到的 FMEDA 指标:
· 随机硬件失效指标(见文章“第一部分”2.7.3节):rhf = 1.21 FIT ⇒ 满足ASIL D
· 单点故障指标(见文章“第一部分”2.7.3节):spfm = 99% ⇒ 满足ASIL D(电源单元按 SEooC 处理,随机硬件失效率 ≤ 0.45 FIT)
· 潜伏故障指标(见文章“第一部分”2.7.3 节):lfm = 100% ⇒ 满足ASIL D
表3.3:提供的工具获得的FMEDA评估结果
3.7 第三项方案:人工分析 vs 仿真方法对比
文章同期发表于2018年,目的是在工业实例上验证所提仿真方法的有效性,将仿真方法分类结果与行业专家人工分析结果进行对比。方法流程沿用第二项方案,如图3.4。
所分析部件由企业提供,是视频接口功耗监测电路,用于自动驾驶车辆摄像头驱动算法,若测量功耗超出预期范围,必须检测出故障。
HARA最终将视频接口功能缺失导致的最严重安全目标违例定为ASIL D,因此本监测部件需满足ASIL B要求(见文章“第一部分”2.5节潜伏故障控制机制)。
部件在MATLAB/Simulink中的原理图如图3.13所示,图中可见用于模拟电容极板短路的仿真专用组件C₁ᵣ。
图3.13:提出的基于模拟的方法的示意图
3.7.1 故障模型
故障模型与3.6.1节一致。
3.7.2 故障注入
故障注入方式与3.6.2节一致。
3.7.3 失效模式影响评估策略
安全/危险分类基于与无故障结果的对比:
· 故障电路输出信号与无故障状态偏差≤ 5%
· 运算放大器输出电流≤无故障状态的2倍
满足以上条件则为安全,否则为危险。
3.7.4 软件对硬件故障缓解能力的评估
本套系统无故障检测机制,因此不评估软件缓解能力。
3.7.5 实验设置
所用工具一致,架构如图3.4。Simulink 模型如图3.14,图3.13为模拟电路部分(对应图3.14绿色子系统内容)。
图3.14:执行所述模拟的Simulink模型
3.7.6 仿真结果
自动工具与专家分析得到的硬件故障指标(见文章“第一部分”2.7.3节)如表3.4,各失效模式分类如表3.6,人工分类附带专家说明。
表3.4:手工和自动执行的FMEDA评估结果比较
表3.5:自动工具和专家获得的失效分类比较
表3.6:手工评估和自动评估的比较。突出了这两种分类之间的差异
通过对比表格可知:
· 18种失效模式中(含2个IC共5种人工评估模式),11种分类完全一致
· 仿真方法有2种 将SU判为DU(更保守)
· 仿真方法有5种 将DU判为SU(不够保守)
总结:
· 与专家一致率61%
· 比专家更保守(判危险):28%
· 比专家更宽松(判安全):11%
宽松分类原因:
1. 6%情况:分类规则无法识别监测电路在故障下无法正常工作
2. 6%情况:仿真无法覆盖电流读数低于真实值的场景
说明仅基于无故障对比的分类规则仍有优化空间。
3.8 第四项方案:从部件级失效模式分级升级到整车级
文章主要贡献:
· 将失效模式影响传播至整车,评估对驾驶性能的影响
· 支持在整车层面评估嵌入式软件的缓解能力
方法流程:
1. 从BOM与故障库开始,用FIDES手工计算FIT
2. 生成故障列表,由破坏器注入仿真
3. 结构级仿真器加载部件SPICE模型,可插桩仿真专用组件
4. 整车仿真器加载场景,开始仿真
5. 结构级仿真器与整车仿真器交互,获取输入、驱动执行器,形成闭环
6. 仿真开始(或指定时刻),破坏器向组件注入失效模式
7. 仿真结束存储结果,按规则分类
微控制器级别的硅故障不考虑,现代汽车级MCU集成故障检测缓解机制,视为SEooC(见文章“第一部分”2.2.3节)。
基准应用:电动车驱动桥,后轮独立电机,无机械差速器,软件模拟差速器。扭矩不平衡会导致车辆意外转向,引发安全问题。部件框图如图3.16,整体方法如图3.15。
图3.15:提案的框图
图3.16:基准应用程序的框图
3.8.1 故障模型
故障模型与3.6.1节一致。本方案只考虑影响动力总成ECU与两个逆变器PCB上模拟器件的故障,不考虑板间布线与PCB走线故障。
3.8.2 故障注入
故障注入方式与3.6.2节一致。
本方案局限:无法在传感器/机电执行器层面注入故障,尽管这些部件在部件外,但会影响功能实现。这类故障的注入与评估在第六项方案(3.10节)实现。
3.8.3 失效模式影响评估策略
所分析部件共68种失效模式:
· 30种:油门踏板位置采集电路
· 2种:电源
· 36种:双电机驱动(每电机18种)
只对左电机IGBT注入开路故障,短路故障会烧断保险丝,软件无法缓解。IGBT故障检测算法与3.6.3节一致,半形式化模型如图3.12。
油门-微控制器链路不再评估,已在第二项方案验证。
本方案核心:改进失效模式对车辆驾驶性影响的评估。由于单电机故障会导致扭矩不平衡引发车辆突然转向,软件需像双发飞机调整舵量一样自动扭矩矢量控制。
风险等级由驾驶员可控性决定。仿真中驾驶员用带延迟的PID控制器表示,反应时间符合人类特性,目标跟踪预设轨迹。
评估两项指标:
1. 与理想中心线的横向误差
2. 无故障/故障状态的横摆角差值
3.8.4 软件对硬件故障缓解能力的评估
整车级故障运行策略基于假设:带故障IGBT的电机无法输出满扭矩,因此需限制健康电机的速度,减小轮端扭矩差。
缓解算法半形式化表示如图3.17。UpperLimit/LowerLimit=故障电机速度Detection=检测算法输出NormalReference=驾驶员速度请求
故障检测后,Detection置真,驾驶员请求被饱和限制。一旦触发,即使检测消失,缓解算法保持降级状态。
图3.17:缓解算法
3.8.5 实验设置
基准应用包括:
· 双逆变器系统嵌入式软件
· 逆变器结构模型(含故障模型)
· 电机模型
· 驾驶员模型(PID控制器)
· 车辆与环境物理模型(CarSim™)
· 测试场景
· 车辆行为分类规则
各模块实现:
· 故障列表生成器、破坏器、分类器 ⇒ MATLAB脚本
· 结构级仿真 ⇒ Simulink + SimScape
· 整车级仿真 ⇒ CarSim™
3.8.6 仿真结果
评估五种场景:a) 130km/h直线行驶b) 0→130km/h加速c) 100km/h连续弯道d) 130→0km/h直线再生制动e) 100→0km/h弯道再生制动
最有价值的为b、c、e。
图3.18:三曲线模拟轨道。箭头指示游乐设施的方向
情况b:0→130km/h加速仿真约2秒检测到故障,缓解算法明显限制横向误差,尤其高速时更关键。横摆角误差从[-0.5, 0.6°]降至[-0.2, 0.2°]。简单缓解算法显著提升稳定性。
表3.7:模拟结果。条件:FA表示在没有限制算法的情况下受影响的故障,而M表示启用了缓解算法的故障条件
情况c:连续弯道缓解算法改善横向误差,但略微恶化横摆角,属于预期折中:故障轮速度被限制,瞬态控制更保守。
情况e:弯道再生制动缓解算法对横向误差无明显改善,横摆角略有恶化,但仍在可接受范围。结果提醒:缓解算法可能在特定场景无效甚至起反作用,必须大量场景测试。
图3.19:情况b相对于理想轨迹的横向误差
图3.20:情况b相对于理想轨迹切线测量的偏航角
图3.21:情况c相对于理想轨迹的横向位移
图3.22:情况c相对于理想轨迹切线测量的偏航角
图3.23:相对于理想轨迹切线测量的情况e偏航角
3.9 第五项方案:从安全到任务关键度:需求与模型精度的权衡
本方案研究对象是复杂信息物理系统,由多个独立设计的子系统互联构成。
主要创新:
· 使用工业界通用EDA工具,支持模拟/功率/数字/机电多领域复杂系统分析
· 可精细评估目标子系统故障对整个系统的影响:故障子系统用结构模型,其余用行为模型
· 自动化、加速FMECA过程
· 实验证明:本方法能更轻松识别关键故障,且数量显著减少(闭环控制系统会自发补偿)
本结构可与通用传感器-计算单元-执行器结构结合,从全局视角评估失效模式影响。
聚焦功能安全,本方案聚焦任务关键度,提升系统可用性。
本方案将低层故障注入(同前几项方案)与系统级分类(第四项方案)结合,评估软件缓解能力。
图3.24:拟议方法的表示
方法共8步,如图3.24灰色圆圈标注:
1. 生成复杂系统框图
2. 准备各子系统行为模型
3. 行为系统仿真(无故障,获取标准响应)
4. 选定被测子系统(SSUT),替换为结构模型
5. 模型检查(无故障仿真,确认与行为模型一致)
6. 生成失效模式列表
7. 仿真失效模式影响
8. 失效模式影响分类
案例:工业用三相电机控制系统(压缩机/强制通风),非安全关键,但停机造成经济损失(任务关键)。
系统如图3.25,SSUT为电源单元(PSU),需输出400V直流,最大纹波±7V,最大电流12A,输入110~250V交流(50/60Hz)。PSU由整流桥、三个升压单元、FAN9673模拟控制器构成,原理图如图3.26。
图3.25:电机控制系统案例研究的框图表示
图3.26:PSU示意图
3.9.1 故障模型
本方案特色:双层次模型
· 行为级(高层)
· 结构级(低层)
仅对无故障子系统使用行为模型,不使用行为级故障模型。仅在结构模型域表示失效模式。
破坏器向SSUT结构模型注入灾难性失效,与前方案不同,本方案用电子开关实现,便于自动化。
按PCOLA/SOQ标准生成故障列表,仅考虑影响功率器件的失效模式。
升压单元故障9种故障,三个升压单元并联相同,仅分析一个。由电感L₁、二极管D₁、IGBT T₁组成,加入9个开关,对应9种失效模式,如图3.27。
IGBT故障IGBT等效模型如图3.28,含23个开关,对应23种灾难性缺陷,物理意义见。
图3.27:PSU的升压单元配备了仅模拟开关
图3.28:PSU示意图
3.9.2 故障注入
通过改变以下开关状态实现故障注入:
· 串联在器件两端的开关
· 并联在器件两端的开关
· 电路不同节点之间的开关(正常无连接)
3.9.3 失效模式影响评估策略
本方法目标是识别关键失效模式:导致系统违反规格、无法提供功能(驱动电机)。
仅在系统可访问点观察:输出电压 / 电流、机械执行器物理量。若响应不符合设计规格,则判定为关键。
按数值标准判断,每项物理量设最大容差,超出则关键,见表3.8。
表3.8:系统设计阶段(由复杂系统设计师定义)定义的分类标准及其公差
3.9.4 软件对硬件故障缓解能力的评估
本系统嵌入式软件负责管理所有子系统(含硬件通路检测故障),配置逆变器IGBT触发信号。系统为故障安全型,无降级缓解策略,关键故障直接关停电机与PSU。
3.9.5 实验设置
方法在PLECS仿真器中实现,集成于MATLAB/Simulink,全程由MATLAB脚本自动管理:仿真、故障注入、数据采集、分类。
PLECS专为电力电子、模拟电路、机械执行器设计,支持C脚本调用C代码,可直接运行生产级嵌入式软件。
真实系统中,微控制器定时器以16kHz周期运行电机控制软件,仿真中完全复现:每62.5μs调用控制程序,修改输出,恢复仿真。
3.9.6 仿真结果
共考虑PSU的32种失效模式,每次注入一种。结果自动由MATLAB脚本分类,见表3.9。
表3.9:失效模式分类结果
仿真时间:
· 全结构模型仿真20s ⇒ 约170分钟
· 混合层级仿真 ⇒ 约30分钟速度提升约6倍。
结果:6种关键故障,26种非关键。6种关键故障对系统影响显著,必须设计缓解措施。非关键故障被 FAN9673 模拟控制器补偿,看似提高可用性,但长期会导致器件过应力,必须全部检测,提前维护。
3.10 第六项方案:在移动机器人中的应用
因知识产权保护,难以获取复杂工业案例,因此选用都灵理工大学DIANA学生团队的火星探测机器人作为基准。
本方案重点:评估嵌入式软件对传感器 / 执行器故障的检测与缓解能力。检测能力自动评估,缓解能力人工评估。
遵循标准:
· AIAG&VDA FMEA手册
· ISO 26262 HARA流程(见文章“第一部分”2.2.2节)
· ECSS-Q-ST-30-02C软硬件交互分析
主要贡献:
1. 用仿真方法提升FMEA与HARA的客观性
2. 从早期开发到最终设计,持续验证安全需求满足情况
3. 简化机械/电气/软件复杂系统的HSIA安全评估
方法流程如图3.29:加载子系统故障列表→电子与机械模型仿真→无故障仿真(标准)→逐一注入电子/机械故障→系统级分类器对比检测信号与需求库→判断是否检测→计算指标→生成报告。
图3.29:系统级开发过程及主要涉及的文件
3.10.1 机器人描述
机器人采用摇臂-转向架悬挂系统,六轮,可翻越两倍轮径障碍。固定车架搭载机械臂与科学仪器,包含控制计算机。
移动系统组成:
· 6个牵引无刷直流电机(TM)
· 6个牵引减速齿轮(TRG)
· 6个牵引离合器(TC)
· 4个转向步进电机(SM)
· 4个转向减速齿轮(SRG)
· 各类编码器、霍尔传感器共计23个
执行器:六轮独立牵引电机,四轮独立转向,无机械差速/连杆,全软件协同。
传感器:
· 牵引:绝对/相对编码器、霍尔传感器,测角度/角速度
· 转向:绝对编码器,保证转向角度正确(Ackermann模型)
· 被动关节:3个绝对编码器,测摇臂-转向架姿态
3.10.2 机器人FMEA
本方案分析软件如何检测并缓解硬件故障(编码器、电机、离合器),目标:减少损坏,兼顾可用性(火星环境优先故障运行)。
与前方案不同,本方案包含完整 FMEA 流程(见文章“第一部分”2.10节)。FMEA手册7步中1、7步不考虑,5步简述,重点在第6步:优化,评估软件对 AP 为中/高故障的检测、隔离、缓解能力。
**软硬件交互分析(HSIA)**在风险分析(5)与优化(6)之间进行,确定严重度与软件检测能力。
评分:
· 严重度S:1~10,1无影响,8功能丧失,9违规,10伤人
· 可检测性D:1~10,仿真直接评估
· 发生率O:1~10,手工统计确定
行动优先级AP:高H/中M/低L,优先顺序:严重度→发生率→可检测性。
图3.30:都灵理工大学D.I.A.N.A.学生团队开发的Ardito Rover的3D渲染图
3.10.3 故障模型
全部为行为级模型:
· 绝对编码器:故障输出0°
· 相对编码器/霍尔:故障输出0转速
· 减速齿轮:卡死
· 离合器:常开,故障无法接合
· 牵引/转向电机:卡死
3.10.4 故障注入
在仿真环境中替换信号值实现故障注入。
3.10.5 失效模式影响评估策略
FMEA第5步不考虑软件检测机制,纯手工仿真评估。第6步加入缓解算法,反复迭代仿真,直到达到预期检测/缓解能力。
软件动作(SW action)分为:
· 故障安全:进入安全状态
· 故障隔离:阻止故障传播
· 优雅降级:降级运行
机器人共55个影响移动性的组件,组合爆炸,因此按子域分组。
3.10.6 软件对硬件故障缓解能力的评估
牵引子系统分为6个相同子域,每轮最多10个组件,1024种组合归为13 组故障,见表3.10。
图3.31:系统级开发过程及主要涉及的文件
表3.10:故障分组汇总
上表中的字符a、b、x用于标识各组中可能发生故障的组件:标记为x的组件:可同时发生故障的数量为0到9个(任意数量);标记为a的组件:最多可同时发生2个故障;标记为b的组件:在编号为3、5、6、7、8的组中,最多可同时发生3个故障;在编号为10、11、12的组中,最多可同时发生2个故障
一级检测算法(牵引)6个比较逻辑,两两比对:指令、E-TM、H-TM、E-TRG,共C (4,2)=6种组合,见表3.11。差异超限则置位标志(TF1~TF6)。
表3.11:标志失效关联
6个标志共64种组合,归为7类状态:
· 全清:无故障
· 1/2标志:容忍,无动作
· 3标志:6种可定位故障,14种无法定位
· 4标志:参考3标志子集
· 5标志:全部可定位
· 全置:无法监测
14种可管理组合见表3.12。
表3.12:所有组件的标记失效关联
内部/外部缓解策略内部:仅使用本轮子传感器外部:需其他轮子信息
共4级缓解,见表3.13。检测到故障后输出状态请求与缓解等级。
表3.13:牵引子系统缓解等级
表3.14:失效状态缓解关联
表3.15:所有组件的标记失效关联
转向子系统3个检测标志(SF1~SF3),部分故障无法区分,统一判定并停车。
3.10.7 实验设置
仿真环境:CoppeliaSim + MATLAB/Simulink机械:CoppeliaSim电子/控制/检测/缓解:Simulink通信:MQTT(真实机器人协议)
3.10.8 仿真结果
牵引子系统:
· 共22种故障组合正确检测(75%)
· 5种未检测(25%)未检测均与离合器故障相关,但不会导致危险行为,仅丢失单轮扭矩,机器人可正常行驶。
转向子系统:所有注入故障均可检测。
图3.32:一般项目的三个阶段结构
表3.17:转向子系统的仿真结果
3.11 本篇章小结
六项方案从部件级仿真逐步演进到整车/全系统级故障影响评估。
1. 第一项:手动SPICE注入,验证可行性
2. 第二项:全自动FMEDA工具,支持闭环系统
3. 第三项:与人工专家对比,验证准确性
4. 第四项:扩展到整车级,评估驾驶性与软件缓解
5. 第五项:混合层级仿真,大幅提速,面向任务关键系统
6. 第六项:面向移动机器人,覆盖传感器/执行器/机械故障,完整FMEA +检测+缓解。
整套方法体系完整覆盖ISO 26262 FMEDA从部件到系统的全流程需求,可用于汽车、工业、机器人等安全/任务关键系统。
在该系列文的后续“第三部分”中,我们将基于仿真的HARA方法研究成果,并实时软件验证技术研究成果。请持续关注“猿力部落”公众号后续发布的该系列文章后续篇章。
免责声明:文中观点仅供分享交流,文章版权及解释权归原作者及发布单位所有,如涉及版权等问题,请您联系TechApe@yeah.net告知,我们会在第一时间做出处理。
相关推荐 ●●
