سپیدنامه: ترکیب مفاهیم ایمنی سیستم توسط طرح مرجع اینورتر

مفهوم سیستم ایمنی اینورتر قدرت برای استاندارد ISO 26262

توسط اریک سانتیاگو و آنتوان دوبوآ، نیمه هادی NXP

یکی از واقعیت‌های انکار ناپذیر صنعت خودرو، افزایش روز افزون محتوای کلّی سیستم الکترونیکی است. با پیشرفته‌تر شدن وسایل نقلیه و به دست آوردن ویژگی‌هایی که برای راننده حس، فکر و عمل می‌کنند، نوع محتوای الکترونیکی تغییر می‌کند. به طور خاص، در تولید خودروهای هیبریدی و محتوای الکترونیکی خودرو، و همچنین برای عملکرد راننده خودکار، رشد گسترده‌ای در این زمینه انتظار می‌رود.

با این حال، مسئله کلیدی که باید مورد توجه قرار گیرد این است که الگوی فعلی تجارت و کسب و کار مورد استفاده برای تولیدکنندگان مرجع تجهیزات، در طولانی مدت سودآور نخواهد بود. متوسط هزینه برآورد شده برای وسایل نقلیه الکتریکی همچنان از نگرانی‌های تولیدکنندگان است. تولیدکنندگان تجهیزات هر روز بیش از پیش به دنبال بازگرداندن دپارتمان طراحی به سیستم داخلی شرکت خود و همچنین رد شدن از سد تأمین کنندگان دسته اول به تولیدکنندگان تجهیزات و معامله مستقیم با تأمین کنندگان مدار یکپارچه (IC) هستند. اختلالی که در اینجا ایجاد می‌شود، یکپارچه سازی معماری‌های الکترونیکی تعبیه شده با ترکیب Engine Control Unit یا (ECU) و توابع خوشه‌بندی به روشی جدید است.

عناصر اصلی

به همین دلیل است که NXP برای تسریع در چگونگی برطرف کردن این محدودیت‌ها، همکاری نزدیکی با شرکای خود در سراسر صنعت دارد. یک راه حلی که اتخاذ شده این است که طرح‌های مرجع که دانش سیستم ما را با تخصص ایمنی ترکیب می‌کند، توسعه دهیم. این بدان معناست که طرح‌های مرجع از ابتدا عناصر اصلی سیستم ایمنی را شامل شوند. برای توسعه مفاهیم ایمنی برای طرح‌های مرجع سیستم، NXP باید بتواند اهداف ایمنی، مفهوم و کارکردهای مورد نظر را تعریف کند تا بتواند اجرای صحیح سیستم را در طراحی سیستم ما تشخیص دهد.

ما این کار را با دنبال کردن روند توسعه استاندارد ISO 26262 انجام می‌دهیم. دنبال کردن این روند توصیه‌هایی را برای هر مرحله در طول فرایند توسعه برای محصولات سیستم ایمنی با ابزار مدیریت پروژه چرخه V ارائه می‌دهد. هر مرحله از گروه‌های چرخه مدیریتی V، به عنوان یک قسمت شمرده می‌شوند و محصولات کاری خاص و منحصر به فردی در هر سطح از آن انتظار می‌رود. تأمین کنندگان مدار مجتمع مانند NXP می توانند واحد کنترل موتور سیستم را، دقیقاً مانند یک تامین کننده ردیف 1 پیش بینی و توسعه دهند. با این کار می توان زمان توسعه را سرعت بخشید و تحویل های استانداردی را ارائه داد که در کل زنجیره توسعه سودمند باشد. هدف این کار لزوماً ارائه راه حل با همان سطح بلوغ ارائه شده توسط تأمین کنندگان ردیف 1 نیست، بلکه تسریع در توسعه محصولات برای تأمین کنندگان ردیف 1 است.

چرخه V

بیایید به عنوان نمونه، چگونگی توسعه یک مفهوم ایمنی برای یک ماژول اینورتر قدرت را به عنوان یک SEOOC –  عنصر ایمنی خارجی برای برنامه EV (خودروی برقی) در نظر بگیریم. به عنوان یک تأمین کننده IC (مدار مجتمع)، ما قسمت‌های 3، 4، 5، 6 و 7 چرخه V را تکمیل و محصولات مرتبط با هر قسمت را ارائه می‌دهیم. ما با تعریف آیتم مورد نظر در سیستم هدف شروع می کنیم – یعنی خطرات احتمالی و اهداف ایمنی که می‌خواهیم در طراحی مرجع خود اعمال کنیم چیست؟

اینورتر HV برای خودروهای برقی

واحد کنترل وسیله نقلیه

همانطور که شکل 1 نشان می‌دهد، اینورتر قدرت سیستم کشش و یا انقباض اصلی یک وسیله نقلیه الکتریکی است. اینورتر قدرت را بر اساس درخواست گشتاور از واحد کنترل وسیله نقلیه (VCU)، تبدیل انرژی بین منبع انرژی الکتریکی و شافت مکانیکی موتور الکتریکی را کنترل می‌نماید. واحد کنترل وسیله نقلیه نیاز راننده به سرعت و یا کاهش سرعت موتور الکتریکی تفسیر و تعبیر می کند. اینورتر درخواست گشتاور را به جریان‌های فاز که وارد موتور کششی می شود را ترجمه می کند.

در یک وسیله نقلیه الکتریکی باتری دار، این اتصال معمولا با یک گیربکس ساده بدون کلاچ ساخته می‌شود. این اولین فرض ما است. لازم است که از این نکته به راحتی نگذریم، زیرا در صورت داشتن کلاچ، موارد و سیستم ایمنی متفاوت خواهد بود. در وضعیت و شرایط ما، در صورت بروز خطر، غیرممکن است که راننده یا سیستم الکتریکی بتواند با باز کردن اتصال بین موتور الکتریکی و چرخ‌های خودرو، کشش خودرو را متوقف کند.

سطح تطبیق ایمنی خودرو

ما همچنین باید منابع احتمالی نقص EE چه به خاطر سناریو در حال رانندگی و یا غیر رانندگی را شناسایی کنیم. این خطرات با توجه به میزان ASIL در ISO 26262 و با توجه به میزان ریسک رتبه‌بندی می‌شوند. (ASIL: سطح تطبیق ایمنی خودرو) همانطور که در شکل 2 نشان داده شده است، و در این حالت هدف ایمنی به منظور جلوگیری از شتاب ناخواسته وسیله نقلیه در صورت متوقف شدن است.

نمونه‌هایی از خطرات و اهداف ایمنی برای یک اینورتر HV در یک خودروی الکتریکی

این اهداف ایمنی منجر به یک معماری ایمنی عملکردی با الزامات عملکردی (FR) و الزامات ایمنی عملکردی (FSR) مرتبط با سطح ASIL و FTTI می‌شود، مانند:

FR1: اینورتر باید درخواست مرکز سلامت VCU را تجزیه و تحلیل و سپس دستور اجرایی زیر را به ترتیب عملکرد صادر کند: کشش و یا انقباض، ترمز و بازسازی باتری. ASIL D. FTTI 200 ms.

FSR1: اینورتر باید در صورت اعداد و مقادیر غیر منتظره، درخواست گشتاور را از VCU را بررسی و اعلام هشدار نماید.  ASIL D. FTTI 200 ms

معماری عملکرد ایمنی

حال که شکل 3، معماری عملکرد ایمنی را برای ما به تصویر کشیده است، باید ثابت کنیم که معماری سیستم قادر خواهد بود الزامات ایمنی و محدودیت‌های طراحی را به انجام برساند. برای این کار، ما مفهوم ایمنی فنی را از مفهوم ایمنی عملکردی بدست آوردیم. این ترکیب عملکردهای زیر عنصر سخت افزاری و نرم افزاری است که برای دستیابی به آیتم مورد نظر و عملکرد سیستم، مورد استفاده قرار می‌گیرد.

سپس تجزیه و تحلیل ایمنی برای بررسی و شناسایی تمام خرابی‌های احتمالی سیستم و مکانیزم‌های ایمنی مناسب انجام می‌شود. این ممکن است منجر به اختصاص الزامات ایمنی جدید به معماری ایمنی شود. با انجام این کار، تعریف فنی می‌تواند شواهد لازم مبنی بر شناسایی واکنش‌های مناسب را ارائه دهد و وضعیت ایمنی در کم‌تر از زمان FTTI حاصل شود: در نتیجه نقض اهداف ایمنی آیتم وجود نخواهد داشت.

در مثال ما، به دلیل زیاد بودن انرژی وارد شده به موتور الکتریکی، شرایط ایمنی آیتم پیچیده است. شرایط ایمنی در اینجا به معنی متوقف کردن نیروی محرکه خودرو، با باز کردن و یا کوتاه کردن 3 فاز موتور، بسته به سرعت موتور است.

همانطور که در چرخه V پیش می‌رویم، محصولات برای اطمینان خاطر مشتری از نگرانی‌های ایمنی، توسعه داده می‌شود. طراحی سخت افزار نیز با همین فرآیند توسعه داده می‌شود؛ مفهوم ایمنی، مرحله توسعه و نمونه سازی را برای مشتریان به مدت سه تا شش ماه کاهش می‌دهد. در طراحی مرجع NXP، معماری ایمنی کامل با استفاده از ICهای NXP ساخته شده است و تشخیص و واکنش به شرایط ایمنی آزمایش می‌شوند. طراحی مرجع به سرعت گرفتن توسعه کمک می کند و یک سطح از معماری ایمنی فنی را به همراه شواهدی از سطح یکپارچگی ایمنی به عنوان بخشی از بسته های کلی ارائه می‌دهد.