人机交互系统的功能安全设计

《人机交互系统的功能安全设计》由会员分享，可在线阅读，更多相关《人机交互系统的功能安全设计（13页珍藏版）》请在装配图网上搜索。

1、Cir情报局人机交互系统的功能安全设计 前言 当今汽车应用中的大量处理器及部件终将能够降低驾乘危险系数，但前提是 它们必须可靠运行且可预测。本文将对功能安全的作用进行探讨。功能安全 的概念不仅涉及到汽车HMI系统，还适用于范围更加广泛的应用与行业。如今我们愈发依赖于通过系统来执行日常任务，反过来，这些系统也需要通 过交付安全性及可靠性来赢得我们的信任。当今汽车应用中的大量处理器及部件终将能够降低驾乘危险系数，但前提 是它们必须可靠运行且可预测。如今，汽车行业正飞速发展，汽车的先进性、自动化程度及舒适度日益提 升。汽车应用中的处理器、传感器、存储器及其它电子器件的数量与日俱 增，驾乘危险系数不断

2、下降。纵然这些汽车子系统可以利用连接性和自动驾驶技术来提高驾驶员的安全性，但这必须以其可靠性及可预测性为前 提。汽车座舱内的人机交互（HMI）随着新功能和信息娱乐系统的日益发展而 不断改善。电容式感应按钮和触摸屏已非常普遍，例如，播放 /暂停歌曲或 选择AM/FM频道收听广播。此外，它们也越来越多地被应用于安全关键 型功能，如发动机启动/停止按钮和巡航控制。除汽车行业以外，还有许多应用领域都无法承受任何可能导致人身伤害和/或财产损失的故障的发生。核电站、某些工业机械和飞机的关键系统都是 非常典型的例子。即便是像微波炉或洗衣机这样的日常家用电器，在发生 故障时也可能对人造成伤害。有可能对人造成伤

3、害的系统都需要伤害缓解 措施，且任何功能安全设计的目的，都是将人身伤害、财产损失及责任因 素的风险降至最低。本文将对功能安全的作用进行探讨。功能安全的概念不仅涉及到汽车HMI系统，还适用于范围更加广泛的应用与行业。如今我们愈发依赖于通过系 统来执行日常任务，反过来，这些系统也需要通过交付安全性及可靠性来 赢得我们的信任。功能安全当我们对系统的正常运行存在依赖时，就需要对功能安全格外关注，并将 故障对人员造成的风险降至最低。而为了保证功能安全，就必须着手解决 两个方面的问题:预防：预防措施能够避免或至少能够减少系统开发阶段的系统故障。如果规定、设计或执行出错，那么系统就可能会出现故障。预防措施落

4、实得越到位，系统发生故障的风险就越低。检测：第二类故障是随机硬件故障。这类故障发生于系统运行期间，且只 有在生产及质检之后才能被察觉到。例如，随机硬件故障的源头可能是温 度、压力、振动、辐射、污染或老化等环境因素。这类故障可能是永久性 的，只能通过维修或更换设备来解决；也可能是暂时性的，像“存储器位反 转”（bit flip ）这类故障，过一段时间后就会消失。任何系统都可能在某一 时刻发生故障，我们需要采取措施来检测或控制此类故障，以防止系统危 及人身安全。标准功能安全的标准因领域而异。这些标准提供了指南，可对不同系统予以比 较。IEC 61508标准于1998年首次发布，是电气、电子和可编程

5、电子安全相 关系统（E/E/PE ）的核心标准。该标准可以被看作是基本标准，其它用于 大量特定应用的标准均由其衍生而来。这些标准已经发布，并提供了特定 应用领域功能安全问题的解决指南。ISO 26262标准/FSE培训/是专为道路车辆电气和/或电子系统（E/E）应 用领域而设计的国际功能安全标准，适用于最大毛重不超过3,500 kg的量产型乘用车上的安全相关的电气和电子系统。ISO 26262标准于2011年首次发布，第二版于2018年发布，是适用于汽车HMI系统的标准。系统需要达到“何种安全程度”取决于汽车安全完整性等级（ASIL ）。该ASIL等级通过危险分析和风险评估来确定，并需要考虑危

6、险状况的严重性、常见性及可控性。ISO 26262给出了三个关键指标：1单点故障指标：单个故障直接导致违反安全目标。例如：喷油线圈故障 可能会直接阻塞发动机并致使汽车熄火，从而对驾驶员造成严重伤害。2潜在故障指标：由独立故障组合引起的多点故障，这类故障安全机制检 测不到，驾驶员在多点故障检测间隔内也察觉不到。例如：单个近光灯/远光灯不亮，不会对驾驶员造成危险情况，因为作为安全机制，失效灯可以 由正常工作灯替换。但是，如果近光灯/远光灯都停止工作，则可能会导致 重大事故。3随机硬件失效指标：以给定时间内的故障次数（FIT ）表示硬件故障概 率。FIT是每运行十亿小时内的故障次数。下表为不同ASI

7、L级别的ISO 26262指标：。雪團歪吐悴母出孕、回飾曲骇麦胡 关目*尋阜M马古号壬宙團豆王邈琵a usv &9MW。d usv盾？吏冒 丄MSI帝背丑/ g iisv 盾？瞬琵刃耀兰苇至旱翌骇麦INH糜多壬理。來豆苇至韻辽串制骇麦IWH竿晶曲理筋筋前肛翌票悴SM 聊冈。斶簷型票蚩劉胡邑堂/酉趣誘4X黑业目墨0M型日（出蛰苇至華）网黑辽胡辈巨置制異日翌縛胡韻碧关号骇麦INH竿晶毎辱翦环陶漫II/MH却usv: l 園、UIJBH jO A1|JOA$平勘ZUJiti Az此Aiqmad AVihpQbab-lty IV图2:典型HMI应用需要功能安全的典型HMI应用（图2）,其安全相关故障模

8、式包括：方向盘触摸按钮一些用于巡航控制的按钮或小触摸板：需达到ASILB/C级别o故障模式：检测到意外的提高巡航控制速度的触摸方向盘握力检测一一自动驾驶功能，须可靠地检测手的存在/不存在：通常需达到ASIL B级别o故障模式：禁用驾驶辅助功能时未检测到触摸天窗控制/车窗控制模块按钮/滑块o故障模式：检测到意外的关闭车窗的触摸发动机启动/停止按钮：通常需要达到 ASIL B级别o故障模式：检测到意外的启动发动机的触摸变速器挡位盖板按钮o故障模式：检测到意外的换档触摸PowerClockCommunication图3:采用了 HMI控制器的典型HMI系统框图图3为此类系统的详细示意图。就配备了电容

9、式触摸按钮的HMI应用而言，我们可以将功能性概括为两大安全功能：1确保触摸事件确实由手指触摸而引发2确保检测系统能够识别触摸事件第一项功能，要求必须对所有潜在触摸事件进行评估，以确定其究竟是属 于主动性触摸，还是由故障或环境条件而引发。事件的触发原因有多种， 例如：传感器上的水滴电磁干扰噪声 温度骤变传感器/电容器/电线/焊接损坏高能粒子导致存储单元发生位反转这里进一步说明一下噪声源对性能所产生的影响。电容式感应技术可通过 将传感器（按钮）电容转换为数字或原始计数值来检测触摸事件。原始计 数值可理解为传感器的“触摸”或“非触摸”两种状态。电容式HMI系统可能有多个噪声源（如前所述），这些噪声源

10、可能会因此类故障而导致触摸性 能不可靠。基于大量有关电容式传感应用的实验与专业知识，赛普拉斯建 议最小的信噪比（SNR）为5:1，确保噪声和信号之间存在足够的裕度，以 便进行可靠的开/关操作，并确保触摸事件确实是由手指触摸而引发（图 4）。Car情报局XUFI0U蛊二 Indsc令岸#图4:“触摸”与“非触摸”状态下的原始计数值功能安全根据FMEA来设计可满足功能安全需求的汽车 HMI系统设计具备功能安全的电容式感应 HMI系统时，我们建议遵循FMEA （故障 模式失效分析）流程，以确定特定安全级别所需的故障模式与安全机制。以电容式HMI系统为例，典型FMEA流程中应遵循的步骤如下：定义HMI

11、系统的安全目标为实现安全目标，则需要确定并归档系统与芯片的所有安全关键型组件（SCE ）。图5为电容式传感应用（赛普拉斯PSoC 4 ）的芯片架构示意 图，所有安全关键型组件均已标记为蓝色。o就电容式感应触摸控制器而言，安全关键型元件包括：电容式感应硬件核心、IDAC、Analog Mux总线路由和GPIO存储器：闪存（代码存储）和SRAM （配置寄存器、数据结构、变量）系统资源：电源控制、睡眠控制、时钟发生器、参考电压发生器CPUo以下是控制器的外部组件，对系统安全至关重要：将传感器及其他外部电容器路由至控制器的布线控制器的电源和接地确定并归档每个安全关键型模块的潜在故障模式及其原因与影响：

12、可归类为系统级故障模式或芯片级或硬件/固件级故障。在这项操作中，我们需 要为每个潜在故障模式分配一个严重性、发生率和检测级别（遵循典型的 FMEA指南）。以下为故障模式示例：o负责驱动外部传感器及运行计数器（对应于传感器 +寄生电容）的电容 式感应硬件模块可能会发生故障。o传感器电容充、放电所需的IDAC可能会产生错误的电流输出。o Analog Mux总线路由可能存在短路或开路，从而将外部电容器及传感 器与内部硬件模块相连接。o外部电容器和传感器可能对 Vdd、接地及其他GPI0短路，也可能开 路。o带隙基准电压可能会卡在Vdd、接地或其他一些意外电压上。o内部时钟可能偏离其配置频率。负责保

13、存配置设置及临时扫描状态的数据结构和变量可能会损坏。存储于闪存中的 API可能会损坏。o CPU可能卡在某个未知的闪存位置。o温度、湿度等外部环境可能发生剧烈变化，从而导致寄生电容发生巨大变化。CGntni. IWflMChSRAMRONafWjW-lJrFFoibrLEi；LSJtffi 如ri?IErjii1VE二 BOD和ib|QlWt|Wpr妄小出he別POR -Qr RniMQiflirir-iii Man QtecilMDrA*巾 知OrMiPi,!liJ3 wruhuAi4L社nrKill -阡哄咖 CAulf图5:电容式传感应用芯片架构示例图，所有安全关键型组件均已标记为蓝色

14、大多数系统都拥有一个能够降低此类风险、记录潜在原因并分配检测级别 的既定流程。确定并归档检测及报告（或检测、纠正/克服故障及报告）的安全机制。 例如：o BIST （内置自检）检测传感器和其他外部组件是否对vdd或接地短路。检测通过Analog Mux总线或GPIO的模拟路由是否对Vdd/Gnd短路 或开路。检测闪存中存储的配置寄存器是否损坏。其中有些位错误可以通过使用CRC（循环冗余校验）计算轻松地检测并纠正。检测保存配置设置及运行时按钮触摸状态的数据结构与变量是否损坏。o自动校准检测环境与原始校准环境之间是否存在显著差异。自动校准有助于根据特定寄生电容及特定环境来调整系统，从而校正变化。o多项检测可以将按钮构造成两个不同的传感器，并由两个不同的固件进行扫描，采取双管齐下的确认方式，进而成功地抑制噪声脉冲。o冗余与多项检测类似，在同一芯片上安装第二套传感硬件也有助于确认触摸 状态。在确定并归档汽车HMI系统的安全目标、安全关键型要素、潜在故障模式及安全机制之后，我们就可以根据这些功能安全的要求来设计与开发系 统。