用于分析车辆的电子控制系统中的信号链的安全性的方法技术方案

本发明专利技术公开了用于优化车辆的电子控制系统的信号链的方法。方法包括：确定信号链的初始安全需求及其安全级别；使用故障树分析法，确定导致初始安全需求不被满足的原因事件，并确定原因事件的安全级别；根据功能安全分解将原因事件的安全级别分解，生成优化信号链，并确定优化信号链的更新安全需求及其安全级别；使用故障树分析法，确定导致更新安全需求不被满足的原因事件，并确定原因事件的安全级别。

A Method for Analyzing the Safety of Signal Chain in Vehicle Electronic Control System

The invention discloses a method for optimizing the signal chain of an electronic control system of a vehicle. The methods include: determining the initial security requirement and security level of the signal chain; using fault tree analysis method to determine the cause events that cause the initial security requirement not to be satisfied, and determining the security level of the cause events; decomposing the security level of the cause events according to the functional security decomposition, generating the optimized signal chain, and determining the updated security requirement and security level of the optimized signal chain. The fault tree analysis method is used to determine the cause events that lead to the unsatisfactory update security requirements, and to determine the security level of the cause events.

【技术实现步骤摘要】
用于分析车辆的电子控制系统中的信号链的安全性的方法
本专利技术涉及车辆
，具体地，涉及用于分析车辆的电子控制系统中的信号链的安全性的方法和设备。
技术介绍
随着公共道路基础设施水平的提高和机动车辆使用的普及，交通运输日益繁忙，交通事故日趋增多，所引起的人员伤亡和财产损失越来越被社会关注，车辆的安全性已成为突出的世界性问题。车辆的安全性是指车辆在行驶过程中避免事故，保障行人和驾驶员、车辆成员安全的性能。在研发设计车辆时，应重点确保车辆的机械结构和控制系统的安全性。为了使车辆控制系统达到较高的安全级别，需要提高对车辆的各部件的安全参数的要求，因此设计难度大、研发成本高并且价格昂贵。
技术实现思路
本专利技术的实施例提供了一种用于分析车辆的电子控制系统中的信号链的安全性的方法和设备，能够降低对安装在车辆上的装置的安全级别的要求，同时确保车辆的电子控制系统的安全性。根据本专利技术的一个方面，提供了一种用于分析车辆的电子控制系统中的信号链的安全性的方法。该方法可包括：确定信号链的初始安全需求，并确定初始安全需求的安全级别为第一安全完整性等级，其中，信号链包括安装在车辆上的装置、处理装置输出的信号的逻辑处理单元、以及输出信号链的输出信号的输出单元。基于信号链的初始安全需求，使用故障树分析法，确定导致初始安全需求不被满足的原因事件与装置的故障、逻辑处理单元的故障和输出单元的故障相关，并确定与装置的故障相关的原因事件的安全级别、与逻辑处理单元的故障相关的原因事件的安全级别和与输出单元的故障中的一者相关的原因事件的安全级别分别是第一安全完整性等级。将与装置的故障相关的原因事件的第一安全完整性等级分解成第二安全完整性等级和第三安全完整性等级，将用于监控装置的安全监控装置加入信号链中，以生成优化信号链，确定优化信号链的更新安全需求，并确定更新安全需求的安全级别为第一安全完整性等级。基于优化信号链的更新安全需求，使用故障树分析法，确定导致更新安全需求不被满足的原因事件与装置的故障、逻辑处理单元的故障、输出单元的故障、安全监控装置的故障、以及安全监控装置对装置的故障的监控相关，其中，与逻辑处理单元的故障相关的原因事件的安全级别是第一安全完整性等级，与输出单元的故障相关的原因事件的安全级别是第一安全完整性等级，与装置的故障相关的原因事件的安全级别是第二安全完整性等级，与安全监控装置的故障相关的原因事件的安全级别是第三安全完整性等级。根据本专利技术的另一个方面，提供了一种用于分析车辆的电子控制系统中的信号链的安全性的设备。该设备包括一个或多个处理器和存储器。存储器与处理器耦接，并存储有计算机程序指令。计算机程序指令在被处理器执行时使得设备：确定信号链的初始安全需求，并确定初始安全需求的安全级别为第一安全完整性等级，其中，信号链包括安装在车辆上的装置、处理装置输出的信号的逻辑处理单元、以及输出信号链的输出信号的输出单元。基于信号链的初始安全需求，使用故障树分析法，确定导致初始安全需求不被满足的原因事件与装置的故障、逻辑处理单元的故障和输出单元的故障相关，并确定与装置的故障相关的原因事件的安全级别、与逻辑处理单元的故障相关的原因事件的安全级别和与输出单元的故障中的一者相关的原因事件的安全级别分别是第一安全完整性等级。将与装置的故障相关的原因事件的第一安全完整性等级分解成第二安全完整性等级和第三安全完整性等级，将用于监控装置的安全监控装置加入信号链中，以生成优化信号链，确定优化信号链的更新安全需求，并确定更新安全需求的安全级别为第一安全完整性等级。基于优化信号链的更新安全需求，使用故障树分析法，确定导致更新安全需求不被满足的原因事件与装置的故障、逻辑处理单元的故障、输出单元的故障、安全监控装置的故障、以及安全监控装置对装置的故障的监控相关，其中，与逻辑处理单元的故障相关的原因事件的安全级别是第一安全完整性等级，与输出单元的故障相关的原因事件的安全级别是第一安全完整性等级，与装置的故障相关的原因事件的安全级别是第二安全完整性等级，与安全监控装置的故障相关的原因事件的安全级别是第三安全完整性等级。根据本专利技术的实施例的用于分析车辆的电子控制系统中的信号链的安全性的方法和设备基于故障树分析法和功能安全分解的概念，能够降低对安装在车辆上的装置的安全级别的要求，并且不降低车辆电子控制系统的安全性，从而降低研发设计的难度和成本。附图说明为了更清楚地说明本专利技术的技术方案，下面将对实施例的附图进行简单说明。应当知道，以下描述的附图仅仅是本专利技术的一些实施例，而非对本专利技术的限制，其中：图1示出了根据本专利技术的实施例的用于分析车辆的电子控制系统中的信号链的安全性的方法的流程图；图2示出了车辆的电子控制系统中的信号链的示意图；图3示出了用于分析图2所示的信号链的故障树的示意图；图4示出了车辆的电子控制系统中的优化信号链的示意图；图5示出了用于分析图4所示的优化信号链的故障树的示意图；图6示出了根据本专利技术的实施例的用于分析车辆的电子控制系统中的信号链的安全性的设备的示意图。具体实施方式为了使本专利技术的实施例的目的、技术方案和优点更加清楚，下面将结合附图，对本专利技术的实施例的技术方案进行清楚、完整的描述。显然，所描述的实施例仅仅是本专利技术的一部分实施例，而并非全部的实施例。基于所描述的实施例，本领域的普通技术人员在无需创造性劳动的前提下所获得的所有其它实施例，也都属于本专利技术的范围。道路车辆功能安全标准ISO26262根据危害和风险程度对车辆控制系统的安全性进行了评级，划分为从ASILA到ASILD四个安全完整性等级(AutomotiveSafetyIntegrityLevel，简称为ASIL)，其中ASILD为最高等级，安全要求最高。根据道路车辆功能安全标准ISO26262，不同的安全完整性等级被设置有不同的安全参数要求，例如衡量硬件架构的设计合理性的单点故障指标(SinglePointFaultMetric，简称为SPFM)和衡量随机硬件失效整体水平的随机硬件失效目标值(ProbabilisticMetricforrandomHardwareFailures，简称为PMHF)，具体参数见表1。表1：道路车辆功能安全标准ISO26262中的安全参数指标ASILBASILCASILD单点故障指标≥90％≥97％≥99％随机硬件失效目标值＜10-7/h＜10-7/h＜10-8/h图1示出了用于分析车辆的电子控制系统中的信号链的安全性的方法的流程图。车辆的电子控制系统通常包括传感器、电子控制单元(ECU)和执行机构。车辆在运行时，各传感器不断检测车辆运行的工况信息，并将这些信息实时地通过输入接口传送给ECU。ECU接收到这些信息时，根据内部预先编写好的控制程序，进行相应的决策和处理，并通过其输出接口输出控制信号给相应的执行器，执行器接收到控制信号后，执行相应的动作，实现预定的功能。在车辆的电子系统中，可将接收信号、处理信号以及输出信号表示为一条完整的信号链。通过提高信号链的安全性来确保车辆的电子控制系统的安全性。在步骤S110中，确定信号链的初始安全需求，以及初始安全需求的安全级别，其中安全级别可以由安全完整性等级(ASIL)表示。例如，将初始安全需求的ASIL等级设置为第一AS本文档来自技高网...

【技术保护点】
1.一种用于分析车辆的电子控制系统中的信号链的安全性的方法，包括：确定所述信号链的初始安全需求，并确定所述初始安全需求的安全级别为第一安全完整性等级，其中，所述信号链包括安装在所述车辆上的装置、处理所述装置输出的信号的逻辑处理单元、以及输出所述信号链的输出信号的输出单元；基于所述信号链的所述初始安全需求，使用故障树分析法，确定导致所述初始安全需求不被满足的原因事件与所述装置的故障、所述逻辑处理单元的故障和所述输出单元的故障相关，并确定与所述装置的故障相关的原因事件的安全级别、与所述逻辑处理单元的故障相关的原因事件的安全级别和与所述输出单元的故障中的一者相关的原因事件的安全级别分别是所述第一安全完整性等级；将与所述装置的故障相关的原因事件的第一安全完整性等级分解成第二安全完整性等级和第三安全完整性等级，将用于监控所述装置的安全监控装置加入所述信号链中，以生成优化信号链，确定所述优化信号链的更新安全需求，并确定所述更新安全需求的安全级别为所述第一安全完整性等级；以及基于所述优化信号链的所述更新安全需求，使用故障树分析法，确定导致所述更新安全需求不被满足的原因事件与所述装置的故障、所述逻辑处理单元的故障、所述输出单元的故障、所述安全监控装置的故障、以及所述安全监控装置对所述装置的故障的监控相关，其中，与所述逻辑处理单元的故障相关的原因事件的安全级别是所述第一安全完整性等级，与所述输出单元的故障相关的原因事件的安全级别是所述第一安全完整性等级，与所述装置的故障相关的原因事件的安全级别是第二安全完整性等级，与所述安全监控装置的故障相关的原因事件的安全级别是第三安全完整性等级。...

【技术特征摘要】
1.一种用于分析车辆的电子控制系统中的信号链的安全性的方法，包括：确定所述信号链的初始安全需求，并确定所述初始安全需求的安全级别为第一安全完整性等级，其中，所述信号链包括安装在所述车辆上的装置、处理所述装置输出的信号的逻辑处理单元、以及输出所述信号链的输出信号的输出单元；基于所述信号链的所述初始安全需求，使用故障树分析法，确定导致所述初始安全需求不被满足的原因事件与所述装置的故障、所述逻辑处理单元的故障和所述输出单元的故障相关，并确定与所述装置的故障相关的原因事件的安全级别、与所述逻辑处理单元的故障相关的原因事件的安全级别和与所述输出单元的故障中的一者相关的原因事件的安全级别分别是所述第一安全完整性等级；将与所述装置的故障相关的原因事件的第一安全完整性等级分解成第二安全完整性等级和第三安全完整性等级，将用于监控所述装置的安全监控装置加入所述信号链中，以生成优化信号链，确定所述优化信号链的更新安全需求，并确定所述更新安全需求的安全级别为所述第一安全完整性等级；以及基于所述优化信号链的所述更新安全需求，使用故障树分析法，确定导致所述更新安全需求不被满足的原因事件与所述装置的故障、所述逻辑处理单元的故障、所述输出单元的故障、所述安全监控装置的故障、以及所述安全监控装置对所述装置的故障的监控相关，其中，与所述逻辑处理单元的故障相关的原因事件的安全级别是所述第一安全完整性等级，与所述输出单元的故障相关的原因事件的安全级别是所述第一安全完整性等级，与所述装置的故障相关的原因事件的安全级别是第二安全完整性等级，与所述安全监控装置的故障相关的原因事件的安全级别是第三安全完整性等级。2.根据权利要求1所述的方法，其中，所述更新安全需求包括所述初始安全需求和用于在不满足所述初始安全需求时在指定时间内报警的安全机制。3.根据权利要求1所述的方法，其中，所述故障由随机硬件失效率或者单点故障指标表示。4.根据权利要求1所述的方法，其中，所述装置是方向盘转角传感器，则所述安全监控装置包括横摆角速度传感器、横向加速度传感器和侧向加速度传感器中的至少一者。5.根据权利要求4所述的方法，其中，所述装置是离合踏板传感器或油门踏板传感器，则所述安全监控装置包括轮速传感器。6.一种用于分析车辆的电子控制系统中的信号链的安全性的设备，包括...

【专利技术属性】
技术研发人员：王方方，林杰同，
申请(专利权)人：大陆泰密克汽车系统上海有限公司，
类型：发明
国别省市：上海,31