CN109291935B - 用于分析车辆的电子控制系统中的信号链的安全性的方法 - Google Patents

用于分析车辆的电子控制系统中的信号链的安全性的方法 Download PDF

Info

Publication number
CN109291935B
CN109291935B CN201710610759.5A CN201710610759A CN109291935B CN 109291935 B CN109291935 B CN 109291935B CN 201710610759 A CN201710610759 A CN 201710610759A CN 109291935 B CN109291935 B CN 109291935B
Authority
CN
China
Prior art keywords
safety
level
failure
signal chain
fault
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710610759.5A
Other languages
English (en)
Other versions
CN109291935A (zh
Inventor
王方方
林杰同
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Continental Tamic Automotive Systems Shanghai Co ltd
Original Assignee
Continental Tamic Automotive Systems Shanghai Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Continental Tamic Automotive Systems Shanghai Co ltd filed Critical Continental Tamic Automotive Systems Shanghai Co ltd
Priority to CN201710610759.5A priority Critical patent/CN109291935B/zh
Publication of CN109291935A publication Critical patent/CN109291935A/zh
Application granted granted Critical
Publication of CN109291935B publication Critical patent/CN109291935B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/0098Details of control systems ensuring comfort, safety or stability not otherwise provided for

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Control Of Driving Devices And Active Controlling Of Vehicle (AREA)

Abstract

本发明公开了用于优化车辆的电子控制系统的信号链的方法。方法包括:确定信号链的初始安全需求及其安全级别;使用故障树分析法,确定导致初始安全需求不被满足的原因事件,并确定原因事件的安全级别;根据功能安全分解将原因事件的安全级别分解,生成优化信号链,并确定优化信号链的更新安全需求及其安全级别;使用故障树分析法,确定导致更新安全需求不被满足的原因事件,并确定原因事件的安全级别。

Description

用于分析车辆的电子控制系统中的信号链的安全性的方法
技术领域
本发明涉及车辆技术领域,具体地,涉及用于分析车辆的电子控制系统中的信号链的安全性的方法和设备。
背景技术
随着公共道路基础设施水平的提高和机动车辆使用的普及,交通运输日益繁忙,交通事故日趋增多,所引起的人员伤亡和财产损失越来越被社会关注,车辆的安全性已成为突出的世界性问题。
车辆的安全性是指车辆在行驶过程中避免事故,保障行人和驾驶员、车辆成员安全的性能。在研发设计车辆时,应重点确保车辆的机械结构和控制系统的安全性。为了使车辆控制系统达到较高的安全级别,需要提高对车辆的各部件的安全参数的要求,因此设计难度大、研发成本高并且价格昂贵。
发明内容
本发明的实施例提供了一种用于分析车辆的电子控制系统中的信号链的安全性的方法和设备,能够降低对安装在车辆上的装置的安全级别的要求,同时确保车辆的电子控制系统的安全性。
根据本发明的一个方面,提供了一种用于分析车辆的电子控制系统中的信号链的安全性的方法。该方法可包括:确定信号链的初始安全需求,并确定初始安全需求的安全级别为第一安全完整性等级,其中,信号链包括安装在车辆上的装置、处理装置输出的信号的逻辑处理单元、以及输出信号链的输出信号的输出单元。基于信号链的初始安全需求,使用故障树分析法,确定导致初始安全需求不被满足的原因事件与装置的故障、逻辑处理单元的故障和输出单元的故障相关,并确定与装置的故障相关的原因事件的安全级别、与逻辑处理单元的故障相关的原因事件的安全级别和与输出单元的故障中的一者相关的原因事件的安全级别分别是第一安全完整性等级。将与装置的故障相关的原因事件的第一安全完整性等级分解成第二安全完整性等级和第三安全完整性等级,将用于监控装置的安全监控装置加入信号链中,以生成优化信号链,确定优化信号链的更新安全需求,并确定更新安全需求的安全级别为第一安全完整性等级。基于优化信号链的更新安全需求,使用故障树分析法,确定导致更新安全需求不被满足的原因事件与装置的故障、逻辑处理单元的故障、输出单元的故障、安全监控装置的故障、以及安全监控装置对装置的故障的监控相关,其中,与逻辑处理单元的故障相关的原因事件的安全级别是第一安全完整性等级,与输出单元的故障相关的原因事件的安全级别是第一安全完整性等级,与装置的故障相关的原因事件的安全级别是第二安全完整性等级,与安全监控装置的故障相关的原因事件的安全级别是第三安全完整性等级。
根据本发明的另一个方面,提供了一种用于分析车辆的电子控制系统中的信号链的安全性的设备。该设备包括一个或多个处理器和存储器。存储器与处理器耦接,并存储有计算机程序指令。计算机程序指令在被处理器执行时使得设备:确定信号链的初始安全需求,并确定初始安全需求的安全级别为第一安全完整性等级,其中,信号链包括安装在车辆上的装置、处理装置输出的信号的逻辑处理单元、以及输出信号链的输出信号的输出单元。基于信号链的初始安全需求,使用故障树分析法,确定导致初始安全需求不被满足的原因事件与装置的故障、逻辑处理单元的故障和输出单元的故障相关,并确定与装置的故障相关的原因事件的安全级别、与逻辑处理单元的故障相关的原因事件的安全级别和与输出单元的故障中的一者相关的原因事件的安全级别分别是第一安全完整性等级。将与装置的故障相关的原因事件的第一安全完整性等级分解成第二安全完整性等级和第三安全完整性等级,将用于监控装置的安全监控装置加入信号链中,以生成优化信号链,确定优化信号链的更新安全需求,并确定更新安全需求的安全级别为第一安全完整性等级。基于优化信号链的更新安全需求,使用故障树分析法,确定导致更新安全需求不被满足的原因事件与装置的故障、逻辑处理单元的故障、输出单元的故障、安全监控装置的故障、以及安全监控装置对装置的故障的监控相关,其中,与逻辑处理单元的故障相关的原因事件的安全级别是第一安全完整性等级,与输出单元的故障相关的原因事件的安全级别是第一安全完整性等级,与装置的故障相关的原因事件的安全级别是第二安全完整性等级,与安全监控装置的故障相关的原因事件的安全级别是第三安全完整性等级。
根据本发明的实施例的用于分析车辆的电子控制系统中的信号链的安全性的方法和设备基于故障树分析法和功能安全分解的概念,能够降低对安装在车辆上的装置的安全级别的要求,并且不降低车辆电子控制系统的安全性,从而降低研发设计的难度和成本。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例的附图进行简单说明。应当知道,以下描述的附图仅仅是本发明的一些实施例,而非对本发明的限制,其中:
图1示出了根据本发明的实施例的用于分析车辆的电子控制系统中的信号链的安全性的方法的流程图;
图2示出了车辆的电子控制系统中的信号链的示意图;
图3示出了用于分析图2所示的信号链的故障树的示意图;
图4示出了车辆的电子控制系统中的优化信号链的示意图;
图5示出了用于分析图4所示的优化信号链的故障树的示意图;
图6示出了根据本发明的实施例的用于分析车辆的电子控制系统中的信号链的安全性的设备的示意图。
具体实施方式
为了使本发明的实施例的目的、技术方案和优点更加清楚,下面将结合附图,对本发明的实施例的技术方案进行清楚、完整的描述。显然,所描述的实施例仅仅是本发明的一部分实施例,而并非全部的实施例。基于所描述的实施例,本领域的普通技术人员在无需创造性劳动的前提下所获得的所有其它实施例,也都属于本发明的范围。
道路车辆功能安全标准ISO26262根据危害和风险程度对车辆控制系统的安全性进行了评级,划分为从ASILA到ASILD四个安全完整性等级(Automotive Safety IntegrityLevel,简称为ASIL),其中ASIL D为最高等级,安全要求最高。
根据道路车辆功能安全标准ISO26262,不同的安全完整性等级被设置有不同的安全参数要求,例如衡量硬件架构的设计合理性的单点故障指标(Single Point FaultMetric,简称为SPFM)和衡量随机硬件失效整体水平的随机硬件失效目标值(Probabilistic Metric for random Hardware Failures,简称为PMHF),具体参数见表1。
表1:道路车辆功能安全标准ISO26262中的安全参数指标
ASILB ASILC ASILD
单点故障指标 ≥90% ≥97% ≥99%
随机硬件失效目标值 <10<sup>-7</sup>/h <10<sup>-7</sup>/h <10<sup>-8</sup>/h
图1示出了用于分析车辆的电子控制系统中的信号链的安全性的方法的流程图。车辆的电子控制系统通常包括传感器、电子控制单元(ECU)和执行机构。车辆在运行时,各传感器不断检测车辆运行的工况信息,并将这些信息实时地通过输入接口传送给ECU。ECU接收到这些信息时,根据内部预先编写好的控制程序,进行相应的决策和处理,并通过其输出接口输出控制信号给相应的执行器,执行器接收到控制信号后,执行相应的动作,实现预定的功能。在车辆的电子系统中,可将接收信号、处理信号以及输出信号表示为一条完整的信号链。通过提高信号链的安全性来确保车辆的电子控制系统的安全性。
在步骤S110中,确定信号链的初始安全需求,以及初始安全需求的安全级别,其中安全级别可以由安全完整性等级(ASIL)表示。例如,将初始安全需求的ASIL等级设置为第一ASIL等级。在信号链中,通过安装在车辆上的装置获取信号链的输入信号,通过逻辑处理单元处理该装置输出的信号,并且由输出单元接收所处理的信号并输出信号链的输出信号。装置例如包括用于检测车辆的各种工况信息的传感器,诸如方向盘转角传感器、离合踏板传感器、油门踏板传感器等。逻辑处理单元和输出单元可通过软件或者软硬件结合的方式实现。
在步骤S120中,基于信号链的初始安全需求,使用故障树分析法,确定导致初始安全需求不被满足的原因事件。这些原因事件与装置的故障、逻辑处理单元的故障和输出单元的故障相关。在步骤S120中,还确定与装置的故障相关的原因事件的安全级别、与逻辑处理单元的故障相关的原因事件的安全级别、以及与输出单元的故障中相关的原因事件的安全级别分别是第一ASIL等级。
在步骤S130中,将与装置的故障相关的原因事件的第一ASIL等级分解成第二ASIL等级和第三ASIL等级,将用于监控装置的安全监控装置加入信号链中,以生成优化信号链。安全监控装置用于对装置所接收的信号进行冗余校验,例如在接收方向盘转角信号时,安全监控装置可利用车辆上已安装的装置所检测到的横摆角速度信号、横向加速度信号、侧向加速度信号进行模拟计算,进而与方向盘转角信号进行比较。确定优化信号链的更新安全需求,并确定更新安全需求的安全级别为第一ASIL等级。
在步骤S140中,基于优化信号链的更新安全需求,使用故障树分析法,确定导致更新安全需求不被满足的原因事件。这些原因事件与装置的故障、逻辑处理单元的故障、输出单元的故障、安全监控装置的故障、以及安全监控装置对装置的故障的监控相关。与逻辑处理单元的故障相关的原因事件的安全级别是第一ASIL等级,与输出单元的故障相关的原因事件的安全级别是第一ASIL等级,与装置的故障相关的原因事件的安全级别是第二ASIL等级,与安全监控装置的故障相关的原因事件的安全级别是第三ASIL等级。
在本发明的实施例中,优化信号链的更新安全需求包括初始安全需求和用于在不满足初始安全需求时在指定时间内报警的安全机制。指定时间也可被称为失效安全监测时间,其可以通过在实车上测量或者采用模型计算得到。
当初始安全需求不被满足时,在失效安全监测时间内将报警信号发送给电子稳定性控制系统(ESC,在此增加英文全称)。ESC系统主要用作监测车辆轮速、偏转角速度、横摆角速度等车辆运行状况,并根据方向盘转角及转弯角度来判断驾驶员的驾驶意图,对制动系统和动力系统进行适当的控制,从而保证车辆表现出驾驶员所期望的行为并保持一定的稳定性和舒适性。ESC响应于报警信号,执行使用默认信号或者系统所存储的之前的信号链的输出信号来替代此次信号链的输出信号的安全机制。以这种方式,车辆可进入安全状态,并且不违背整车的安全目标。
在本发明的实施例中,故障可以由随机硬件失效率或者单点故障指标表示。例如,可采用方向盘转角传感器的随机硬件失效率作为评定与方向盘转角传感器的故障相关的原因事件的安全级别的指标。
下面以装置是方向盘转角传感器为例,结合信号链和故障树分析的示意图来详细描述用于分析车辆的电子控制系统中的信号链的安全性的方法。
对于步骤S110,可使用图2所示的车辆的电子控制系统中的信号链。信号链是电子控制系统中信号从输入到输出的路径。如图2所示,信号链包括方向盘转角传感器、处理方向盘转角传感器的输出信号的逻辑处理单元、以及接收所处理的信号并输出信号链的输出信号的输出单元。对于该信号链,初始安全需求为输出的方向盘转角信号偏差不超过(-a°,a°)。在示例中,将信号链的初始安全需求的安全级别设定为ASILD等级,因此方向盘转角传感器、逻辑处理单元和输出单元的ASIL等级也被配置为ASILD等级。
对于步骤S120,可使用图3所示的故障树分析图2所示的信号链的初始安全需求。故障树分析(Fault TreeAnalysis,简称FTA)是安全系统工程中的一种分析方法,其从一个可能的事故(作为顶事件Top Event)开始,自上而下地逐层寻找顶事件的直接原因和间接原因事件,直到根本原因事件,并用逻辑图把这些事件之间的逻辑关系表达出来。故障树通常是一种特殊的倒立树状逻辑因果关系图,采用事件符号、逻辑门符号和转移符号描述系统中各种事件之间的因果关系。采用故障树分析车辆的电子控制系统中的信号链,可以直观、清晰地分析信号链的安全需求以及导致其不被满足的原因。
如图3所示,故障树的顶事件为信号链的初始安全需求不被满足的情况,即输出的方向盘转角信号偏差超过(-a°,a°)。由上,顶事件的安全级别被设置为ASIL D等级。根据分析,可导致顶事件的原因事件可包括方向盘转角传感器的故障、逻辑处理单元的故障和输出单元的故障。可通过逻辑门将这三个原因事件与顶事件联系起来。具体地,将三个原因事件分别连接到或门T1的输入端,或门T1的输出端连接顶事件。将随机硬件失效率作为评定方向盘转角传感器的故障、逻辑处理单元的故障和输出单元的故障的指标。由于顶事件的安全级别为ASILD等级,方向盘转角传感器的随机硬件失效率fSR-S、逻辑处理单元的随机硬件失效率fSR-L和输出单元的随机硬件失效率fSR-O也需满足ASILD等级。
根据表1,ASIL D级别对应的随机硬件失效目标值为<10-8/h,当该信号链在其相关的整体功能安全的安全目标所占配比为10%,因此将顶事件的随机硬件失效率设置为PMHF=1x10-9/h,其由方向盘转角传感器的随机硬件失效率fSR-S、逻辑处理单元的随机硬件失效率fSR-L和输出单元的随机硬件失效率fSR-O三者相加构成,具体设置如下:
fSR-S=KSx10-9/h,
fSR-L=KLx10-9/h,
fSR-O=KOx10-9/h。
KS、KL和KO分别表示装置、逻辑处理单元和输出单元的随机硬件失效率占比,即分别导致顶事件发生的比例。0<KS<1,0<KL<1,0<KO<1,并且KS+KL+KO=1。
因此,顶事件的随机硬件失效率PMHF为:
PMHF=fSR-S+fSR-L+fSR-O=(KS+KL+KO)x10-9/h。
由于方向盘转角传感器、逻辑处理单元和输出单元的ASIL等级均为ASILD等级,对方向盘转角传感器的安全级别要求很高,这将增加原材料成本,并提高车辆的电子控制系统的设计难度。
对于步骤S130,可使用图4所示的信号链作为电子控制系统中的优化信号链。根据功能安全分解,将方向盘转角传感器的ASIL D等级分解为方向盘转角传感器的ASIL B(D)等级和用于监控方向盘转角传感器的安全监控装置的ASIL B(D)等级,ASIL B(D)等级低于ASILD等级。此外,逻辑处理单元和输出单元的ASIL等级保持为ASILD等级。
应理解的是,功能安全分解的方法不限于上述方法,可根据表2将各高级别的ASIL等级分解为两个低级别的ASIL等级。例如,可将ASILD等级分解为ASIL C(D)等级和ASILA(D)等级,以此类推。
表2
Figure BDA0001359463490000081
如图4所示,优化信号链是在图2的信号链的基础上添加了用于监控方向盘转角传感器的安全监控装置,安全监控装置输出的信号也传递至逻辑处理单元。方向盘转角传感器的安全监控装置可包括横摆角速度传感器、横向加速度传感器和侧向加速度传感器,其使用所检测的车辆的横摆角速度信号、横向加速度信号和侧向加速度信号来计算转角信号,并将其与方向盘转角传感器检测的信号进行比较,以实现对方向盘转角传感器的冗余校验。
优化信号链的更新安全需求可被确定为输出的方向盘转角信号偏差未超过(-a°,a°),或者在方向盘转角信号偏差超过(-a°,a°)时在失效安全监测时间内报警。以这种方式,使优化信号链的更新安全需求的安全级别保持为ASILD等级。
对于步骤S140,可使用图5所示的故障树分析图4所示的优化信号链的更新安全需求。如图5所示,故障树的顶事件为信号链的更新安全需求不被满足的情况,即输出的方向盘转角信号偏差超过(-a°,a°)并且未在失效安全监测时间内报警。顶事件的安全级别为ASILD等级。
与图3类似,导致图5所示的故障树的顶事件的原因事件可包括方向盘转角传感器的故障、逻辑处理单元的故障和输出单元的故障,并通过或门T1将这三个原因事件与顶事件联系起来。因此,方向盘转角传感器、逻辑处理单元和输出单元的随机硬件失效率仍需满足ASIL D等级,具体的参数设置与图3相同,不再赘述。逻辑处理单元的随机硬件失效率FSR-L和输出单元的随机硬件失效率FSR-O保持为ASILD等级。
将方向盘转角传感器的故障作为二级事件,根据故障树分析法进一步分析。可导致二级事件的原因事件包括方向盘转角传感器的残余故障、以及方向盘转角传感器与安全监控装置的同时故障,并采用方向盘转角传感器的残余失效率f1和方向盘转角传感器与安全监控装置的同时失效率f2表示。将这两者通过或门T2连接到二级事件,即fSR-S’=f1+f2。
一方面,方向盘转角传感器的残余故障表现为方向盘转角传感器故障并且安全监控装置不能检测到方向盘转角传感器故障。将方向盘转角传感器的残余故障作为第一三级事件,并分析可导致第一三级事件的原因事件包括方向盘转角传感器的故障和安全监控装置未检测到装置故障。采用方向盘转角传感器的失效率fSR-S2表示评定可导致第一三级事件中的方向盘转角传感器的故障的指标,并采用安全监控装置未检测到装置故障的比例KDC表示可导致安全监控装置未检测到装置故障的指标。如图5所示,将这两者通过与门T3连接到第一三级事件,即f1=fSR-S2xKDC。安全监控装置未检测到装置故障的比例KDC可根据安全监控装置的诊断覆盖率DC而获得,即将其设置为KDC=1-DC。安全监控单元的诊断率通常可达97%-99%,因此KDC的范围为0.01-0.03,即1x10-2数量级。
另一方面,方向盘转角传感器与安全监控装置的同时故障表现为方向盘转角传感器并且安全监控装置故障。将方向盘转角传感器与安全监控装置的同时故障作为第二三级事件,并分析可导致第二三级事件的原因事件包括方向盘转角传感器的故障和安全监控单元的故障。采用安全监控单元的失效率fSR-SM表示评定安全监控单元的故障的指标。如图5所示,将这两者作通过与门T4连接到第二三级事件,即f2=fSR-S2xfSR-SM
由上,作为二级事件的方向盘转角传感器的失效率可表示为:
fSR-S’=f1+f2=(fSR-S2xKDC)+(fSR-S2xfSR-SM)
由于KDC为1x10-2数量级,所以fSR-S2仅需达到1x10-8数量级,便可使f1达到1x10-10数量级,对方向盘转角传感器的硬件失效率要求降低了2个数量级。将fSR-SM也设定为1x10-8数量级,f2可达到1x10-16数量级,其影响因素较小。
因此,在方向盘转角传感器和安全监控单元的ASIL等级例如为ASIL B(D)等级(即,失效率为1x10-8数量级)时,可使作为二级事件的方向盘转角传感器的失效率为fSR-S’=f1+f2,即作为二级事件的方向盘转角传感器的故障的ASIL等级满足ASIL D等级。进一步,图5的顶事件的安全级别也可达到ASIL D等级。因此,对方向盘转角传感器的随机硬件失效率的要求显著降低。
应理解的是,本发明的实施例不限于对包括方向盘转角传感器的信号链的分析,可也适用于其它一些传感器或开关装置。例如,安装在车辆上的装置可以是离合踏板传感器或油门踏板传感器,其相对应的安全监控装置可包括轮速传感器。在示例中,通过加入轮速传感器的冗余校验和定时报警,可降低对离合踏板传感器或油门踏板传感器的安全级别的要求,并保证安全性。
根据本发明的实施例,在信号链设计之初使用故障树分析的方法,分析出对信号链所采用的装置故障的要求。根据功能安全分解对信号链的功能安全需求进行分解,降低了对装置的安全功能需求。在优化设计以后再次采用故障树的方法对优化后的设计进行分析,再次得出对信号链所采用的装置失效的具体要求,该要求可指导装置选型。而不是像传统设计一样在信号链设计好之后才对失效数据和安全参数进行计算,发现不满足功能安全完整性的要求才加以改进。因此,根据本发明的实施例可避免二次设计,节省研发时间和研发成本。
图6示出了根据本发明的实施例的发明用于分析车辆的电子控制系统中的信号链的安全性的设备600的示意图。设备600包括一个或多个处理器610和存储器620。存储器620与处理器610通过总线与I/O接口耦接,并存储计算机程序指令。
计算机程序指令在被处理器610执行时使设备600执行:
确定信号链的初始安全需求,并确定初始安全需求的安全级别为第一安全完整性等级(ASIL等级),其中,信号链包括安装在车辆上的装置、处理装置输出的信号的逻辑处理单元、以及输出信号链的输出信号的输出单元;
基于信号链的初始安全需求,使用故障树分析法,确定导致初始安全需求不被满足的原因事件与装置的故障、逻辑处理单元的故障和输出单元的故障相关,并确定与装置的故障相关的原因事件的安全级别、与逻辑处理单元的故障相关的原因事件的安全级别和与输出单元的故障中的一者相关的原因事件的安全级别分别是第一ASIL等级;
将与装置的故障相关的原因事件的第一ASIL等级分解成第二ASIL等级和第三ASIL等级,将用于监控装置的安全监控装置加入信号链中,以生成优化信号链,确定优化信号链的更新安全需求,并确定更新安全需求的安全级别为第一ASIL等级;以及
基于优化信号链的更新安全需求,使用故障树分析法,确定导致更新安全需求不被满足的原因事件与装置的故障、逻辑处理单元的故障、输出单元的故障、安全监控装置的故障、以及安全监控装置对装置的故障的监控相关,其中,与逻辑处理单元的故障相关的原因事件的安全级别是第一ASIL等级,与输出单元的故障相关的原因事件的安全级别是第一ASIL等级,与装置的故障相关的原因事件的安全级别是第二ASIL等级,与安全监控装置的故障相关的原因事件的安全级别是第三ASIL等级。
在本发明的实施例中,更新安全需求包括初始安全需求和用于在不满足初始安全需求时在指定时间内报警的安全机制。
在本发明的实施例中,故障可由随机硬件失效率或者单点故障指标表示。
在本发明的实施例中,装置是方向盘转角传感器,则安全监控装置可包括横摆角速度传感器、横向加速度传感器、和侧向加速度传感器中的至少一者。
在本发明的实施例中,装置是离合踏板传感器或油门踏板传感器,则安全监控装置包括轮速传感器。
以上对本发明的若干实施方式进行了详细描述,但本发明的保护范围并不限于此。显然,对于本领域的普通技术人员来说,在不脱离本发明的精神和范围的情况下,可以对本发明的实施例进行各种修改、替换或变形。本发明的保护范围由所附权利要求限定。

Claims (10)

1.一种用于分析车辆的电子控制系统中的信号链的安全性的方法,包括:
确定所述信号链的初始安全需求,并确定所述初始安全需求的安全级别为第一安全完整性等级,其中,所述信号链包括安装在所述车辆上的装置、处理所述装置输出的信号的逻辑处理单元、以及输出所述信号链的输出信号的输出单元;
基于所述信号链的所述初始安全需求,使用故障树分析法,确定导致所述初始安全需求不被满足的原因事件与所述装置的故障、所述逻辑处理单元的故障和所述输出单元的故障相关,并确定与所述装置的故障相关的原因事件的安全级别、与所述逻辑处理单元的故障相关的原因事件的安全级别和与所述输出单元的故障中的一者相关的原因事件的安全级别分别是所述第一安全完整性等级;
将与所述装置的故障相关的原因事件的第一安全完整性等级分解成第二安全完整性等级和第三安全完整性等级,将用于监控所述装置的安全监控装置加入所述信号链中,以生成优化信号链,确定所述优化信号链的更新安全需求,并确定所述更新安全需求的安全级别为所述第一安全完整性等级;以及
基于所述优化信号链的所述更新安全需求,使用故障树分析法,确定导致所述更新安全需求不被满足的原因事件与所述装置的故障、所述逻辑处理单元的故障、所述输出单元的故障、所述安全监控装置的故障、以及所述安全监控装置对所述装置的故障的监控相关,其中,与所述逻辑处理单元的故障相关的原因事件的安全级别是所述第一安全完整性等级,与所述输出单元的故障相关的原因事件的安全级别是所述第一安全完整性等级,与所述装置的故障相关的原因事件的安全级别是第二安全完整性等级,与所述安全监控装置的故障相关的原因事件的安全级别是第三安全完整性等级。
2.根据权利要求1所述的方法,其中,所述更新安全需求包括所述初始安全需求和用于在不满足所述初始安全需求时在指定时间内报警的安全机制。
3.根据权利要求1所述的方法,其中,所述故障由随机硬件失效率或者单点故障指标表示。
4.根据权利要求1所述的方法,其中,所述装置是方向盘转角传感器,则所述安全监控装置包括横摆角速度传感器、横向加速度传感器和侧向加速度传感器中的至少一者。
5.根据权利要求1所述的方法,其中,所述装置是离合踏板传感器或油门踏板传感器,则所述安全监控装置包括轮速传感器。
6.一种用于分析车辆的电子控制系统中的信号链的安全性的设备,包括:
一个或多个处理器;
存储器,其与所述处理器耦接,并存储有计算机程序指令,
其中,所述计算机程序指令在被所述处理器执行时使得所述设备:
确定所述信号链的初始安全需求,并确定所述初始安全需求的安全级别为第一安全完整性等级,其中,所述信号链包括安装在所述车辆上的装置、处理所述装置输出的信号的逻辑处理单元、以及输出所述信号链的输出信号的输出单元;
基于所述信号链的所述初始安全需求,使用故障树分析法,确定导致所述初始安全需求不被满足的原因事件与所述装置的故障、所述逻辑处理单元的故障和所述输出单元的故障相关,并确定与所述装置的故障相关的原因事件的安全级别、与所述逻辑处理单元的故障相关的原因事件的安全级别和与所述输出单元的故障中的一者相关的原因事件的安全级别分别是所述第一安全完整性等级;
将与所述装置的故障相关的原因事件的第一安全完整性等级分解成第二安全完整性等级和第三安全完整性等级,将用于监控所述装置的安全监控装置加入所述信号链中,以生成优化信号链,确定所述优化信号链的更新安全需求,并确定所述更新安全需求的安全级别为所述第一安全完整性等级;以及
基于所述优化信号链的所述更新安全需求,使用故障树分析法,确定导致所述更新安全需求不被满足的原因事件与所述装置的故障、所述逻辑处理单元的故障、所述输出单元的故障、所述安全监控装置的故障、以及所述安全监控装置对所述装置的故障的监控相关,其中,与所述逻辑处理单元的故障相关的原因事件的安全级别是所述第一安全完整性等级,与所述输出单元的故障相关的原因事件的安全级别是所述第一安全完整性等级,与所述装置的故障相关的原因事件的安全级别是第二安全完整性等级,与所述安全监控装置的故障相关的原因事件的安全级别是第三安全完整性等级。
7.根据权利要求6所述的设备,其中,所述更新安全需求包括所述初始安全需求和用于在不满足所述初始安全需求时在指定时间内报警的安全机制。
8.根据权利要求6所述的设备,其中,所述故障由随机硬件失效率或者单点故障指标表示。
9.根据权利要求6所述的设备,其中,所述装置是方向盘转角传感器,则所述安全监控装置包括横摆角速度传感器、横向加速度传感器和侧向加速度传感器中的至少一者。
10.根据权利要求6所述的设备,其中,所述装置是离合踏板传感器或油门踏板传感器,则所述安全监控装置包括轮速传感器。
CN201710610759.5A 2017-07-25 2017-07-25 用于分析车辆的电子控制系统中的信号链的安全性的方法 Active CN109291935B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710610759.5A CN109291935B (zh) 2017-07-25 2017-07-25 用于分析车辆的电子控制系统中的信号链的安全性的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710610759.5A CN109291935B (zh) 2017-07-25 2017-07-25 用于分析车辆的电子控制系统中的信号链的安全性的方法

Publications (2)

Publication Number Publication Date
CN109291935A CN109291935A (zh) 2019-02-01
CN109291935B true CN109291935B (zh) 2020-07-03

Family

ID=65167944

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710610759.5A Active CN109291935B (zh) 2017-07-25 2017-07-25 用于分析车辆的电子控制系统中的信号链的安全性的方法

Country Status (1)

Country Link
CN (1) CN109291935B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109849935B (zh) * 2019-02-20 2021-02-02 百度在线网络技术(北京)有限公司 一种安全控制方法、装置及存储介质
CN111483469B (zh) * 2020-04-27 2021-08-03 湖南大学 一种用于电动汽车整车控制器故障诊断的分析与测试方法
CN116384755A (zh) * 2023-06-02 2023-07-04 国汽(北京)智能网联汽车研究院有限公司 车路云协同驾驶安全的确定方法、装置、车辆及存储介质

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8953047B2 (en) * 2012-05-02 2015-02-10 Aptina Imaging Corporation Imaging systems with signal chain verification circuitry
KR101469757B1 (ko) * 2013-04-23 2014-12-05 국방과학연구소 3차원 객체의 교차를 이용한 통신 가능 영역 연산 방법 및 이의 저장 매체
CN103745113B (zh) * 2014-01-16 2017-03-29 大陆泰密克汽车系统(上海)有限公司 用于确定信号链的残余失效率的方法
CN103921693B (zh) * 2014-04-02 2016-03-02 中联重科股份有限公司 一种电动汽车电机控制方法及装置、系统
DE112016000264T5 (de) * 2015-03-04 2017-09-28 Abb Ag Sicherheitssteuersystem und Verfahren zum Betrieb eines Sicherheitssteuersystems
US9586591B1 (en) * 2015-05-04 2017-03-07 State Farm Mutual Automobile Insurance Company Real-time driver observation and progress monitoring

Also Published As

Publication number Publication date
CN109291935A (zh) 2019-02-01

Similar Documents

Publication Publication Date Title
CN109291935B (zh) 用于分析车辆的电子控制系统中的信号链的安全性的方法
US11360864B2 (en) Vehicle safety electronic control system
US20210031792A1 (en) Vehicle control device
US20140351658A1 (en) Redundant computing architecture
US20170169628A1 (en) Risk-based control of a motor vehicle
US20210089018A1 (en) Method for controlling a motor vehicle remotely
Munir Safety Assessment and Design of Dependable Cybercars: For today and the future
CN108146250B (zh) 一种基于多核cpu的汽车扭矩安全控制方法
Ji et al. Reliability improvement of electric power steering system based on ISO 26262
CN108287931B (zh) 用于优化车辆电子控制系统安全参数的方法
Garro et al. Enhancing the RAMSAS method for system reliability analysis-an exploitation in the automotive domain
JP7310891B2 (ja) モビリティ制御システム、方法、および、プログラム
US10266132B2 (en) Method for operating driver assistance systems in a motor vehicle, and motor vehicle
CN117576804A (zh) 一种车辆自适应阈值的告警方法、装置、设备及存储介质
JP2007506591A (ja) ソフトウェアベースの電子システムの安全性と信頼性を検査する方法
JP5226653B2 (ja) 車載制御装置
Byun et al. Reliability evaluation of steering system using dynamic fault tree
CN114911982A (zh) 一种车辆故障预警方法、装置、终端设备及存储介质
CN111144681B (zh) 一种电动车辆的关键重要度的计算方法以及电动车辆
US20160011932A1 (en) Method for Monitoring Software in a Road Vehicle
JP4356650B2 (ja) データ通信方法及びデータ通信システム
JP7415686B2 (ja) 事故パターン判定装置、事故パターン判定方法、及び事故パターン判定プログラム
WO2022024634A1 (ja) 演算装置および車両制御装置
US20210089044A1 (en) Method for controlling a motor vehicle remotely
US20230282033A1 (en) System and method for validating diagnostic trouble codes generated by onboard diagnostics systems of vehicles

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant