汽車人機介面系統的功能安全

2019-11-14
作者 Kishore Kumar Sukumar、Martin Oberkonig、Sivaguru Noopuran,賽普拉斯(Cypress)

當今汽車應用中的大量處理器及元件終將能夠降低駕乘危險係數,但前提是它們必須可靠運作且可預測。

如今,汽車產業正飛速發展,汽車的先進性、自動化程度及舒適度日益提升。汽車應用中的處理器、感測器、記憶體及其他電子元件的數量與日俱增,乘駕危險係數不斷下降。縱然這些汽車子系統可以利用連線性和自動駕駛技術來提高駕駛的安全性,但這必須以其可靠性及可預測性為前提。

汽車座艙內的人機介面(HMI)隨著新功能和資訊娛樂系統的日益發展而不斷改善。電容式感應按鈕和觸控式螢幕已非常普遍,例如,播放/暫停歌曲或選擇AM/FM頻道收聽廣播。此外,它們也越來越多地被應用於安全關鍵型功能,如引擎啟動/停止按鈕和巡航控制。

除汽車產業以外,還有許多應用領域都無法承受任何可能導致人身傷害和/或財產損失故障的發生。核電廠、某些工業機械和飛機的關鍵系統都是非常典型的例子,即便是像微波爐或洗衣機這樣的日常家用電器,在發生故障時也可能對人造成傷害。有可能對人造成傷害的系統都需要傷害緩解措施,且任何功能安全設計的目的,都是將人身傷害、財產損失及責任因素的風險降至最低。

本文將對功能安全的作用進行探討。功能安全的概念不僅涉及到汽車HMI系統,還適用於範圍更加廣泛的應用與產業。如今我們愈發依賴於透過系統來執行日常任務,反過來,這些系統也需要利用提供安全性及可靠性來贏得信任。

功能安全

當我們對系統的正常運作存在依賴時,就需要對功能安全格外關注,並將故障對人員造成的風險降至最低。而為了保證功能安全,就必須著手解決兩個方面的問題:

預防:預防措施能夠避免或至少能夠減少系統開發階段的系統故障。如果規定、設計或執行出錯,那麼系統就可能會出現故障。預防措施落實得越到位,系統發生故障的風險就越低。

檢測:第二類故障是隨機硬體故障。這類故障發生於系統執行期間,且只有在生產及品質檢驗之後才能被察覺到。例如,隨機硬體故障的源頭可能是溫度、壓力、振動、輻射、污染或老化等環境因素。這類故障可能是永久性的,只能透過維修或更換設備來解決;也可能是暫時性的,像記憶體位元反轉(bit flip)這類故障,過一段時間後就會消失。任何系統都可能在某一時刻發生故障,需要採取措施來檢測或控制此類故障,以防止系統危及人身安全。

20191114TA31P1-1
表1 ASIL不同等級標準要求。

標準

功能安全的標準因領域而異。這些標準提供了指南,可對不同系統予以比較。

IEC 61508標準於1998年首次發佈,是電氣、電子和可程式設計電子安全相關系統(E/E/PE)的核心標準。該標準可以被看作是基本標準,其他用於大量特定應用的標準均由其衍生而來。這些標準已經發佈,並提供了特定應用領域功能安全問題的解決指南。

ISO 26262標準是專為道路車輛電氣和/或電子系統(E/E)應用領域而設計的國際功能安全標準,適用於最大毛重(G.W.)不超過3,500kg的量產型乘用車上的安全相關電氣和電子系統。ISO 26262標準於2011年首次發佈,第二版於2018年發佈,是適用於汽車HMI系統的標準。

系統需要達到「何種安全程度」取決於車輛安全完整性等級(ASIL)。該ASIL等級利用危險分析和風險評估來確定,並需要考慮危險狀況的嚴重性、常見性及可控性。

ISO 26262提供了三個關鍵指標:

1.單點故障指標(SPFM):單個故障直接導致違反安全目標。例如:噴油線圈故障可能會直接阻塞引擎並致使汽車熄火,從而對駕駛造成嚴重傷害;

2.潛在故障指標(LFM):由獨立故障組合引起的多點故障,這類故障安全機制檢測不到,駕駛在多點故障檢測間隔內也察覺不到。例如:單個近光燈/遠光燈不亮,不會對駕駛造成危險情況,因為作為安全機制,失效燈可以由正常工作燈替換。但是,如果近光燈/遠光燈都停止工作,則可能會導致重大事故。

3.隨機硬體失效指標(PMHF):以給定時間內的故障次數(FIT)表示硬體故障概率,FIT是每運作10億小時內的故障次數。

圖1為不同ASIL等級的ISO 26262指標。

20191114TA31P1
圖1 ASIL和殘餘風險。

汽車HMI系統與安全

隨著電容式HMI系統與關鍵功能的整合度日益提高,可靠的功能性(或安全操作)已成為必需,且不能對駕駛/乘客的健康造成影響。因此,汽車製造商們開始紛紛對電容式HMI系統提出功能安全要求。

對於大多數HMI系統而言,安全完整性等級將達到ASIL B,在某些情況下甚至達到ASIL C。最嚴格的ASIL D等級主要適用於與車輛行為直接相關的系統,如轉向、引擎控制和變速箱。

需要功能安全的典型HMI應用(圖2),其安全相關故障模式包括:

1.方向盤觸控按鈕:一些用於巡航控制的按鈕或小觸控板,需達到ASIL B/C等級。故障模式:檢測到意外提高巡航控制速度的觸控。

2.方向盤握力檢測:自動駕駛功能,須可靠地檢測手的存在/不存在,通常需達到ASIL B等級。故障模式:禁用駕駛協助工具時未檢測到觸控。

3.天窗控制/車窗控制模組按鈕/滑塊的故障模式:檢測到意外關閉車窗的觸控。

4.引擎啟動/停止按鈕:通常需要達到ASIL B等級。故障模式:檢測到意外啟動引擎的觸控。

5.變速器擋位蓋板按鈕的故障模式:檢測到意外的換檔觸控。

20191114NT31P2
圖2 典型HMI應用。

圖3為此類系統的詳細示意圖。就配備了電容式觸控按鈕的HMI應用而言,可以將功能性概括為兩大安全功能:

1.確保觸控事件確實由手指觸控而引發;

2.確保檢測系統能夠辨識觸控事件。

20191114NT31P3
圖3 採用了HMI控制器的典型HMI系統框架圖。

第一項功能,要求必須對所有潛在觸控事件進行評估,以確定其究竟是屬於主動性觸控,還是由故障或環境條件而引發。事件的觸發原因有多種,例如:感測器上的水滴、電磁干擾雜訊、溫度驟變、感測器/電容/電線/焊接損壞,以及高能粒子導致儲存單元發生位元反轉。

這裡進一步說明雜訊源對性能所產生的影響。電容式感測技術可透過將感測器(按鈕)電容轉換為數位或原始計數值來檢測觸控事件。原始計數值可理解為感測器的「觸控」或「非觸控」兩種狀態。電容式HMI系統可能有多個雜訊源(如前所述),這些雜訊源可能會因此類故障而導致觸控性能不可靠。基於大量有關電容式感測應用的實驗與專業知識,賽普拉斯建議最小的訊噪比(SNR)為5:1,確保雜訊和訊號之間存在足夠的裕度,以便進行可靠的開/關操作,並確保觸控事件確實是由手指觸控而引發(圖4)。

20191114TA31P4
圖4 「觸控」與「非觸控」狀態下的原始計數值。

設計可滿足功能安全需求的汽車HMI系統

設計具備功能安全的電容式感測HMI系統時,建議遵循故障模式失效分析(FMEA)流程,以確定特定安全等級所需的故障模式與安全機制。以電容式HMI系統為例,典型FMEA流程中應遵循的步驟如下:

1.定義HMI系統的安全目標;

2.為實現安全目標,則需要確定並歸檔系統與晶片的所有安全關鍵型元件(SCE)。圖5為電容式感測應用(賽普拉斯PSoC 4)的晶片架構示意圖,所有安全關鍵型元件均已標記為藍色。就電容式感應觸控控制器而言,安全關鍵型元件包括:

·電容式感測硬體核心、IDAC、Analog Mux總線路由和GPIO;

·記憶體:快閃記憶體(程式碼儲存)和SRAM(配置寄存器、資料結構、變數);

·系統資源:電源控制、睡眠控制、時脈產生器、參考電壓產生器與CPU。

以下是控制器的外部元件,對系統安全至關重要:

·將感測器及其他外部電容路由至控制器的佈線;

·控制器的電源和接地。

3.確定並歸檔每個安全關鍵型模組的潛在故障模式及其原因與影響:可歸類為系統級故障模式或晶片級或硬體/韌體級故障。在這項操作中,需要為每個潛在故障模式分配一個嚴重性、發生率和檢測等級(遵循典型的FMEA指南)。以下為故障模式示例:

·負責驅動外部感測器及運作計數器(對應於感測器+寄生電容)的電容式感測硬體模組可能會發生故障;

·感測器電容充、放電所需的IDAC可能會產生錯誤的電流輸出;

·Analog Mux總線路由可能存在短路或開路,從而將外部電容及感測器與內部硬體模組相連接;

·外部電容和感測器可能對Vdd、接地及其他GPIO短路,也可能開路;

·能隙基準電壓可能會卡在Vdd、接地或其他一些意外電壓上。

·內部時脈可能偏離其配置頻率。負責保存配置設置及臨時掃描狀態的資料結構和變數可能會損壞,儲存於快閃記憶體中的API可能會損壞;

·CPU可能卡在某個未知的快閃記憶體位置;

·溫度、濕度等外部環境可能發生劇烈變化,從而導致寄生電容發生巨大變化。

20191114TA31P5
圖5 電容式感測應用晶片架構示例圖,所有安全關鍵型元件均已標記為藍色。

大多數系統都擁有一個能夠降低此類風險、記錄潛在原因並分配檢測等級的既定流程。

  1. 確定並歸檔檢測及報告(或檢測、糾正/克服故障及報告)的安全機制。例如:

·內建自我測試(BIST):

a.檢測感測器和其他外部元件是否對Vdd或接地短路;

b.檢測通過Analog Mux匯流排或GPIO的類比路由是否對Vdd/Gnd短路或開路;

c.檢測快閃記憶體中儲存的配置寄存器是否損壞。其中有些位元錯誤可以透過使用迴圈冗餘校驗(CRC)計算輕鬆地檢測並糾正;

d.檢測保存配置設置及運作時按鈕觸控狀態的資料結構與變數是否損壞。

·自動校準:檢測環境與原始校準環境之間是否存在顯著差異。自動校準有助於根據特定寄生電容及特定環境來調整系統,從而校正變化。

·多項檢測:可以將按鈕架構成兩個不同的感測器,並由兩個不同的韌體進行掃描,採取「雙管齊下」的確認方式,進而成功地抑制雜訊脈衝。

·冗餘:與多項檢測類似,在同一晶片上安裝第二套感測硬體也有助於確認觸控狀態。

在確定並歸檔車輛HMI系統的安全目標、安全關鍵型要素、潛在故障模式及安全機制之後,就可以根據這些功能安全的要求來設計與開發系統。為進一步支援功能安全,賽普拉斯等晶片製造商能夠提供諸多資源,例如安全觸控按鈕系統應用筆記、設計FMEA、安全手冊、故障模式、影響及診斷分析(FMEDA),以及指導OEM為汽車應用開發安全HMI系統的培訓服務。

(參考原文: Functional Safety for Automotive HMI Systems,by Kishore Kumar Sukumar、Martin Oberkonig、Sivaguru Noopuran)

本文同步刊登於EE Times Taiwan 11月號雜誌

活動簡介

人工智慧(AI)無所不在。這一波AI浪潮正重塑並徹底改變科技產業甚至整個世界的未來。如何有效利用AI協助設計與開發?如何透過AI從設計、製造到生產創造增強的體驗?如何以AI作為轉型與變革的力量?打造綠色永續未來?AI面對的風險和影響又是什麼?

AI⁺ 技術論壇聚焦人工智慧/機器學習(AI/ML)技術,涵蓋從雲端到邊緣、從硬體到軟體、從演算法到架構的AI/ML技術相關基礎設施之設計、應用與部署,協助您全面掌握AI最新技術趨勢與創新,接軌AI生態系佈局,讓機器學習更快速、更經濟、更聰明也更有效率。

贊助廠商

發表評論

訂閱EETT電子報