Concepto de sistema de seguridad del inversor de potencia para ISO 26262

Concepto de sistema de seguridad del inversor de potencia para ISO 26262


Uno de los hechos indiscutibles sobre la industria automotriz es que el contenido general del sistema electrónico en los vehículos está aumentando.

A medida que los vehículos se vuelven más sofisticados e incluyen características que perciben, piensan y actúan para el conductor, el tipo de contenido electrónico cambia. En particular, habrá un crecimiento masivo en el vehículo eléctrico híbrido y el contenido del vehículo eléctrico, así como para las funciones de conducción automatizada.

Sin embargo, una cuestión clave que debe abordarse es que el modelo de negocio actual para vehículos eléctricos no es rentable a largo plazo para los OEM. El costo promedio estimado de los vehículos eléctricos básicos sigue siendo una gran preocupación.

Los OEM buscarán cerrar esta brecha al traer más diseño a la empresa o al pasar por alto a los proveedores de Nivel 1 para hablar directamente con los proveedores de IC. El disruptor aquí será integrar arquitecturas electrónicas integradas mediante la combinación de ECU y funciones de agrupación en una nueva forma.

Es por eso que NXP está trabajando estrechamente con socios en toda la industria para acelerar cómo se cumplen estas limitaciones. Una forma es mediante el desarrollo de diseños de referencia que combinen nuestro conocimiento del sistema con nuestra experiencia en seguridad. Esto significa que los diseños de referencia incluyen elementos clave del sistema de seguridad desde el principio.

Para desarrollar conceptos de seguridad para diseños de referencia del sistema, NXP debe ser capaz de definir los objetivos, el concepto y las funciones de seguridad para el elemento deseado para poder identificar la implementación correcta del sistema en nuestro diseño del sistema.

Hacemos esto siguiendo el proceso de desarrollo ISO 26262. Esto proporciona recomendaciones para cada paso a lo largo del proceso de desarrollo de productos de sistemas de seguridad con una herramienta de gestión de proyectos de ciclo V.

El ciclo V agrupa cada paso como una Parte y se esperan productos de trabajo específicos en cada nivel. Los proveedores de CI como NXP pueden anticipar y desarrollar las ECU del sistema al igual que lo hace un proveedor de Nivel 1. Al hacer esto, podemos acelerar el tiempo de desarrollo y proporcionar entregas estándar que son beneficiosas a lo largo de la cadena de desarrollo.

El objetivo no es necesariamente proporcionar una solución con el mismo nivel de madurez que un Nivel 1 podría proporcionar, sino acelerar el desarrollo de los productos de trabajo para el Nivel 1.

Consideremos como ejemplo, cómo desarrollar un concepto de seguridad para un módulo inversor de potencia como SEooC para una aplicación EV. Como proveedor de IC, trabajaríamos en las partes 3, 4, 5, 6 y 7 del ciclo V y proporcionaríamos los productos de trabajo asociados a cada parte. Comenzamos definiendo el elemento dentro del sistema objetivo, es decir, ¿cuáles son los posibles peligros y objetivos de seguridad que queremos aplicar a nuestro diseño de referencia?

Figura 1: Inversor de alto voltaje para vehículos eléctricos

Como muestra la figura 1, el inversor de potencia es el sistema de tracción principal de un vehículo eléctrico. Controla la conversión de energía entre la fuente de energía eléctrica y el eje mecánico del motor eléctrico, en función de la solicitud de par de la Unidad de Control del Vehículo (VCU).

La VCU interpreta las necesidades del conductor en la aceleración o desaceleración del motor eléctrico. El inversor traduce la solicitud de par en corrientes de fase que van al motor de tracción.

En un vehículo eléctrico con batería, esta conexión generalmente se realiza con una caja de cambios simple sin embrague. Esta es nuestra primera suposición. Es importante ser específico aquí, ya que el caso de seguridad sería diferente si el vehículo tiene un embrague.
En nuestro caso, si ocurriera un peligro, es imposible para el conductor o el sistema eléctrico detener la tracción del vehículo simplemente abriendo la conexión entre el motor eléctrico y las ruedas del automóvil.

También necesitamos identificar posibles fuentes de mal funcionamiento de EE, ya sea debido a situaciones de manejo o no. Estos peligros se clasifican por nivel de riesgo de acuerdo con los niveles de ASIL establecidos en ISO 26262. Como se muestra en la figura 2, en este caso un objetivo de seguridad podría ser evitar la aceleración involuntaria si el vehículo se detiene.

Figura 2: Ejemplos de riesgos y objetivos de seguridad para un inversor EV HV

Estos objetivos de seguridad conducen a una arquitectura de seguridad funcional con requisitos funcionales (FR) y requisitos de seguridad funcional (FSR) con niveles ASIL y FTTI asociados, tales como:

FR1 El inversor analizará la solicitud de VCU, luego ordenará las siguientes funciones en consecuencia: tracción, freno y regeneración de la batería. ASIL D FTTI
200 ms
FSR1 El inversor verificará la solicitud de torque del VCU y alertará en caso de un valor inesperado. ASIL D FTTI
200 ms

Figura 3: arquitectura de seguridad funcional

Ahora que tenemos la arquitectura de seguridad funcional, figura 3, debemos demostrar que la arquitectura del sistema podrá cumplir los requisitos de seguridad y las restricciones de diseño.

Para hacer esto, derivamos un concepto de seguridad técnica del concepto de seguridad funcional. Esto combina las funciones de los subelementos de hardware y software que se utilizarán para lograr el elemento deseado y la funcionalidad del sistema.

Luego se ejecuta un análisis de seguridad para verificar que se hayan identificado todas las fallas posibles del sistema y que se hayan implementado los mecanismos de seguridad apropiados. Esto puede dar lugar a que se asignen nuevos requisitos de seguridad a la arquitectura de seguridad.

Al hacer esto, la definición técnica puede proporcionar la evidencia necesaria de que se han identificado las reacciones apropiadas y que se puede lograr un estado seguro en menos tiempo que FTTI: por lo tanto, no hay violación de los objetivos de seguridad del artículo.

En nuestro ejemplo, el estado seguro es complejo debido a la gran cantidad de energía que fluye hacia el motor eléctrico. Un estado seguro aquí significa detener la propulsión del vehículo, abriendo o acortando las tres fases del motor, dependiendo de la velocidad del motor.

A medida que avanzamos en el ciclo V, los productos de trabajo se desarrollan para garantizar que se cumplan las preocupaciones de seguridad que un cliente pueda tener. El proceso cubre un diseño de hardware de la misma manera; El concepto de seguridad reduce la fase de desarrollo y creación de prototipos para los clientes de tres a seis meses.

En el diseño de referencia NXP, la arquitectura de seguridad completa se construye utilizando circuitos integrados NXP y se prueban diagnósticos y reacciones al estado seguro. El diseño de referencia ayuda a acelerar el desarrollo y proporciona un nivel de arquitectura de seguridad técnica, junto con evidencia del nivel de integridad de seguridad como parte del paquete general.

Obtenga más información sobre el diseño de referencia del inversor de potencia aquí.



Acerca de

Pilar Benegas es una reconocida periodista con amplia experiencia en importantes medios de USA, como LaOpinion, Miami News, The Washington Post, entre otros. Es editora en jefe de Es de Latino desde 2019.