博通BroadR-Reach汽車以太網(wǎng)解決方案

 自2003年組建以來，AUTOSAR(汽車開放系統(tǒng)架構(gòu))聯(lián)盟一直致力于改變車載網(wǎng)絡(luò)和電子控制單元(ECU)的設(shè)計方式。AUTOSAR提出了一個符 合業(yè)界標(biāo)準(zhǔn)的車載網(wǎng)絡(luò)設(shè)計方法，使行業(yè)能夠集成、交換和傳輸汽車網(wǎng)絡(luò)內(nèi)的功能、數(shù)據(jù)和信息。這一標(biāo)準(zhǔn)極大地促進(jìn)了汽車原始設(shè)備制造商(OEM)及其一級供 應(yīng)商之間的合作，使他們能夠以一種一致、明確且機器可讀的格式來交換設(shè)計信息。

一輛汽車的不同部分對安全及性能有不同要求，而支持它們的車載網(wǎng)絡(luò)必須具備可預(yù)測的安全性能。隨著汽車技術(shù)的不斷演變，人們已經(jīng)可以用一系列總線技術(shù)來連 接豪華汽車上最多100個不同的ECU，這些總線技術(shù)通常包括LIN、CAN、FlexRay、MOST和基于以太網(wǎng)的架構(gòu)。如果靠手動來管理這些ECU 之間數(shù)以千計的信息和交互操作是不可能的，因此汽車設(shè)計人員必然用自動化設(shè)計和合成工具來預(yù)測網(wǎng)絡(luò)性能和調(diào)整車載功能。

汽車數(shù)據(jù)總線

一輛典型的現(xiàn)代化汽車將同時裝配各類總線和協(xié)議并從LIN、CAN、FlexRay、MOST和以太網(wǎng)中選擇合適的網(wǎng)絡(luò)。多媒體/視聽信號和汽車環(huán)繞攝像 系統(tǒng)需要更高的數(shù)據(jù)速率，因此汽車制造商和OEM廠商在網(wǎng)絡(luò)解決方案上選擇用以太網(wǎng)代替MOST.但對于許多標(biāo)準(zhǔn)汽車功能而言，LIN和CAN提供的帶寬 與性能就足夠了。

在汽車架構(gòu)中，ECU組合在一起形成“集群”，這些集群通過通信“網(wǎng)關(guān)”相連。集群通常會共享同一類型的總線，因此要達(dá)到高可靠性、高速率的標(biāo)準(zhǔn)，就要采 用FlexRay網(wǎng)絡(luò)，但要求沒那么高的門鎖ECU可以由CAN或LIN來負(fù)責(zé)。ECU網(wǎng)關(guān)往往要連接不同類型的信號，并執(zhí)行不同總線架構(gòu)之間的映射和轉(zhuǎn) 換功能。汽車行業(yè)對不斷提高安全性和ISO26262等標(biāo)準(zhǔn)的合規(guī)性提出強烈需求，進(jìn)而提升了車載網(wǎng)絡(luò)的性能，同時也降低了制造和元件成本。不斷進(jìn)步的網(wǎng) 絡(luò)標(biāo)準(zhǔn)可以適應(yīng)越來越高的數(shù)據(jù)傳輸速率，汽車電纜也達(dá)到了安全且低成本的目標(biāo)。典型汽車網(wǎng)絡(luò)方案的特點及應(yīng)用請見表1.

表1：汽車網(wǎng)絡(luò)總線。

FlexRay網(wǎng)絡(luò)：

FlexRay協(xié)議比CAN更具確定性。FlexRay是一種“時間觸發(fā)”協(xié)議，它提供不同選項，讓信息可以在精確的時間框架內(nèi)發(fā)送至目標(biāo)地址——可精確 到1μs.FlexRay信息最多可達(dá)254個字節(jié)，因此需要在ECU之間進(jìn)行交換的復(fù)雜信息的容量很大。與CAN相比，F(xiàn)lexRay的數(shù)據(jù)傳輸速率也 更高。由于時序是預(yù)先確定的，信息的安排需要提前規(guī)劃好，一般由汽車OEM廠商或一級供應(yīng)商合作伙伴預(yù)先配置或設(shè)計。在采用CAN協(xié)議的網(wǎng)絡(luò)中，ECU節(jié) 點只需要知道通信時的正確波特率，但FlexRay網(wǎng)絡(luò)上的ECU節(jié)點在通信時必須知道網(wǎng)絡(luò)各個部分是如何配置和連接的。檢查和驗證FlexRay網(wǎng)絡(luò)的 時序比較耗時——因此，自動化的時序分析和將信息合成打包成時間幀可以減少錯誤和設(shè)計周期時間。

汽車通信矩陣合成

汽車網(wǎng)絡(luò)時序安排的總體定義通常存儲在作為中央網(wǎng)關(guān)ECU一部分的“通信矩陣”中。明導(dǎo)所開發(fā)的設(shè)計工具解決方案可用于自動合成這個數(shù)據(jù)庫并按正確順序?qū)⑺胁煌男畔⒋虬蓭?/p>

AUTOSAR信號信息組合成協(xié)議數(shù)據(jù)單元(PDU)，然后這些數(shù)據(jù)單元再組合成傳輸幀。對于CAN和LIN幀而言，每個幀都有一個PDU，但一個FlexRay幀可能含有多個信號PDU.

在FlexRay架構(gòu)中，時序是確定的，而設(shè)計人員主要面臨的不確定性就是幀打包和傳輸順序。汽車OEM廠商和設(shè)計人員要投入大量時間來測試汽車所有可能 出現(xiàn)的情況，以確定最壞情況下的行為，并確保信息傳輸有較大的安全范圍。這意味著，為了確保較高的時序安全范圍，不能占用數(shù)據(jù)總線的全部容量。合成工具查 找具有相似路徑以及對于在相似的幀時間空隙中進(jìn)行打包和安排有時序要求的信號，以此來優(yōu)化幀利用率。在使用明導(dǎo)的時序合成工具時，設(shè)計輸入將包括信號和 PDU定義、幀的優(yōu)先級和有關(guān)可行的信號路徑的具體OEM設(shè)計決策。在生成完整的時序體系時要將這些都考慮進(jìn)去。

在安裝一個完全定義的通信體系時會面臨一個難題，即后續(xù)很難有架構(gòu)上的變化，并可能需要對網(wǎng)絡(luò)進(jìn)行全面的重新設(shè)計，但傳輸?shù)母咚俸痛_定性等優(yōu)勢讓這種方法 對FlexRay應(yīng)用形成了極大的吸引力，能夠確保汽車的對安全要求非常高的功能。用該合成工具重新建立更先進(jìn)的通信體系可以縮短修復(fù)周期。

FlexRay已開始在單通道高速動力傳動、駕駛輔助和提高舒適程度的汽車電子應(yīng)用中大展身手。在BMW X5汽車中，F(xiàn)lexRay用于懸架控制之中，這樣就可以在利用雙通信信道和總線監(jiān)控把這種具有容錯功能的確定性協(xié)議運用在安全駕駛功能中之前，讓工程師和開發(fā)人員有一個逐漸適應(yīng)的學(xué)習(xí)過程，降低了相關(guān)風(fēng)險。

在FlexRay應(yīng)用的開發(fā)過程中，設(shè)計工程師可以通過五個基本步驟來構(gòu)建一個穩(wěn)健的網(wǎng)絡(luò)拓樸。

步驟1：首先必須定義車輛底盤上節(jié)點的數(shù)量及其假定位置，然后才能確定實現(xiàn)無stub(一種被稱為“菊花鏈”的拓樸結(jié)構(gòu))無源總線所需的線纜長度，該總線終端即是線纜終端處，如圖1所示。如果線纜長度小于10米，則拓樸完成，其被認(rèn)為可用于系列生產(chǎn)。

步驟2：一旦發(fā)現(xiàn)線纜長度大于10米，就應(yīng)該考慮采用“主動星型”拓樸(參見圖2)。如果線纜長度超過20米，則必須引入主動星型了。最簡單的主動 星型只有兩個分支，把線束??為兩個電氣去耦部件。因為可通過NXP的TJA1080收發(fā)器(用于BMW X5的首批同類器件)來增強主動星型，故所需收發(fā)器總數(shù)只增加了一個。

步驟3：若應(yīng)用在車輛發(fā)生碰撞事故之后還能夠繼續(xù)工作，系統(tǒng)的碰撞靈敏節(jié)點應(yīng)分布在不同的分支上(見圖3)。這樣一來，一旦線纜被擠壓或被鉗位在一個差分電壓上，只有受影響的分支的數(shù)據(jù)傳輸被中斷，但主動星型將保證網(wǎng)絡(luò)中其它分支的通訊不受影響。

圖1

圖2

圖3

步驟4：鑒于共振的出現(xiàn)，暴露在非常惡劣的RF場中的節(jié)點或布線也應(yīng)該分布到不同的分支上(見圖4)。在線纜兩端各利用一個??終端(FlexRay電氣物理層規(guī)范v2.1修訂版B)，把RF感應(yīng)電流轉(zhuǎn)移到接地位。這就使得線纜上的共模電壓幅度更低，同時不影響與其它分支相連接的節(jié)點。因此，接收到的數(shù)據(jù)流中的抖動可以控制在合理的范圍內(nèi)。

圖4

步驟5：為了確保在線纜兩端始終有合適的終端(見圖5)，中繼電纜的末端節(jié)點不應(yīng)是可選節(jié)點。節(jié)點的電氣位置沿線纜的移動不得致使線纜長度超過10米過多。在非可選節(jié)點上，可引入短的stub(《1米)。即使有更大的靈活性，主動星型也不必在線纜度終端處。

圖5

驗證與優(yōu)化

遵照這五個步驟，有助于構(gòu)建在電子特性方面穩(wěn)健的FlexRay拓樸結(jié)果。建議進(jìn)行仿真以對定義后的拓樸做進(jìn)一步驗證和優(yōu)化。開采用蒙特卡羅(Monte-Carlo)仿真法來估算線束、產(chǎn)量范圍以及依賴于收發(fā)器和主動星型的溫度等各項制造公差。

此外，F(xiàn)lexRay聯(lián)盟已推出了一種涵蓋線束趨膚效應(yīng)在內(nèi)的復(fù)雜完善的線纜模型。在支持汽車制造商引入FlexRay的同時，NXP也在不斷提高自己在FlexRay拓樸仿真領(lǐng)域的專業(yè)能力。

關(guān)于FlexRay應(yīng)用的終端、線纜和連接器的更多信息可參見FlexRay電氣物理層規(guī)范v2.1修訂版B。電氣物理層應(yīng)用說明v2.1修訂 版B給出了一些有關(guān)拓樸設(shè)計的建議。這兩份規(guī)范都可通過FlexRay聯(lián)盟網(wǎng)站獲得。至于TJA1080 FlexRay收發(fā)器的技術(shù)細(xì)節(jié)，可查詢NXP網(wǎng)站。

在汽車中采用電子系統(tǒng)已經(jīng)有幾十年的歷史，它們使汽車安全、節(jié)能與環(huán)保方面的性能有大幅度的提高。隨著研究的深入，許多系統(tǒng)需要共享和交換信息，為了節(jié)省 線纜，就形成了依賴于通信的分布式嵌入系統(tǒng)。目前，世界上90%的都采用基于CAN總線的系統(tǒng)。FlexRay是下一代通信協(xié)議事實上的標(biāo)準(zhǔn)，它的功能安 全性如何是至關(guān)重要的。

1 引起系統(tǒng)安全風(fēng)險的通信故障

通信故障有5種表現(xiàn)形式，第1種是造成值域的錯誤。第2種是造成時域的錯誤，這是工業(yè)不同于民用的部分。一條消息不能在預(yù)定的時限前送達(dá)就失去了實用 意義，例如與安全氣囊引爆有關(guān)的傳感器消息不能在數(shù)ms內(nèi)送達(dá)就引起安全問題。在多播或廣播通信中還有第3種錯誤：數(shù)據(jù)完整性錯(拜占庭錯)，即各節(jié)點收到的結(jié)果不一致。它會引起系統(tǒng)性的失效，應(yīng)對的策略必須將所有有關(guān)節(jié)點同時考慮。第4種是系統(tǒng)崩潰，除硬件失效外，也有干擾或軟件引起的，例如饒舌錯(babbling idiot)阻止通信。第5種是丟幀，短時間失效，例如可恢復(fù)的離線或bug引起的等效離線狀態(tài)，又如小集團(tuán)錯。

2 通信的容許失效率

在通信故障對系統(tǒng)安全影響的分析上，參考文獻(xiàn)提供了一種方法，根據(jù)瞬態(tài)干擾出現(xiàn)的可能長度，計算通信失效的時段長，在假定的通信失效率下，推出系統(tǒng)的 失效率。在該實例中，路段上電場超100 V/m的區(qū)間有可能引起通信失效，失效率近似5×10-3，車速為90 km/h，識別出的可能失效時間約74 s。通信以6 ms為周期，連續(xù)7個周期丟幀視為系統(tǒng)失效，在此條件下系統(tǒng)失效率為1.640 9×10-10，認(rèn)為可以達(dá)到SIL4的安全要求。這種分析方法是有效的，但是假設(shè)的條件太多，例如：誤碼率有很大的變化區(qū)間;幀長的變化影響一次傳送的失效率;干擾持續(xù)時間的假定;連續(xù)丟7幀也與應(yīng)用的場合有關(guān)，對90 km/h的車42 ms的失控對剎車系統(tǒng)而言有約1 m的距離，恐怕對撞擊的后果有完全不同的評估;還假設(shè)SIL4完全分配給通信，將CPU與軟件有關(guān)的部分失效率忽略不計，在軟件規(guī)模越來越大的今天，這個假設(shè)是不合理的。另一方面，決定系統(tǒng)失效率時還應(yīng)考慮其他的通信故障形式，例如出現(xiàn)小集團(tuán)錯到發(fā)生沖突的時間取決于相對的時鐘漂移，越精確，其間時間越 長，失效的時間就越長，參考文獻(xiàn)中在人為制造出小集團(tuán)后需300 ms才發(fā)現(xiàn)沖突，遠(yuǎn)遠(yuǎn)超出上述的42 ms。所以一般討論系統(tǒng)安全的文章中都單獨規(guī)定通信的失效率是相應(yīng)安全等級失效率的1/100。

3 影響通信失效率的因素

功能安全等級與故障檢測的覆蓋率有關(guān)，如果有的故障未被檢查到(未認(rèn)識到或做不到)，當(dāng)然那種失效情景就不可能計算在內(nèi)，安全等級的劃分就有錯。

參考文獻(xiàn)介紹了SFF(Safety Failure Fraction)的概念：失效分為引起危害的失效和安全失效，它們又各分為能檢測出和未檢測出兩種。安全失效比例SFF是能檢測出危害失效與安全失效在總的失效中的份額。診斷覆蓋率DC(Diagnostic Coverage)是能檢測出的危害失效占總危害失效的份額?？蓪?dǎo)出SFF與DC有線性關(guān)系。而SFF又與SIL有關(guān)。IEC61508的SIL等級與 SFF有關(guān)，在SFF占90%~99%時SIL3可容許1個故障。因此DC也決定了能達(dá)到的SIL等級。根據(jù)有關(guān)文章介紹，瞬態(tài)故障的概率比硬件失效概率 大2個數(shù)量級，因此可大致推斷瞬態(tài)故障診斷覆蓋率應(yīng)達(dá)到90%~99%。危害失效可能由通信失效引起，診斷覆蓋率也就成了評價通信協(xié)議的重要一環(huán)。

在通信中，由于CRC有漏檢，這是明顯的診斷未覆蓋區(qū)，診斷未覆蓋率就相當(dāng)于錯幀漏檢率，例如CAN的錯幀漏檢。

在通信中發(fā)生值域錯或時域錯而丟幀是能診斷出的危害失效(這是本文分析的主要對象)。而假冒錯、拜占庭錯等應(yīng)屬于未檢測出的危害失效。發(fā)生小集團(tuán)錯時 既可能產(chǎn)生丟幀，也可能產(chǎn)生拜占庭錯。CAN的等效離線失效也屬于未覆蓋的診斷引起的危害失效。要計算這些未覆蓋的診斷引起的危害失效占總危害失效的比例 還相當(dāng)困難，因為確定故障概率模型很難。但從定性上講，只有盡量排除假冒錯、拜占庭錯和小集團(tuán)錯，才能使診斷覆蓋率提高(SIL等級提高)。

關(guān)于FlexRay的缺點或弱點，參考文獻(xiàn)提到物理層連接的困難，影響到信號完整性，實際上能較易使用的是有源星型，但這帶來成本的提高;cycle設(shè)計 約束多，帶來困難;同步和啟動節(jié)點配置與容錯有關(guān)，是挑戰(zhàn);由于資源有限，升級演進(jìn)時很困難(并非像以前強調(diào)時間觸發(fā)協(xié)議的 composability優(yōu)點——筆者注)。參考文獻(xiàn)介紹了在FlexRay中產(chǎn)生各自獨立的時鐘同步小集團(tuán)的可能性，也就是說雖然各節(jié)點都在通信，但 是2個集團(tuán)間無有效通信，是一種故障狀態(tài)。解決辦法是用3個冷啟動節(jié)點、3個同步節(jié)點，但是這與時間同步容錯的要求矛盾。還有就是將調(diào)度表排滿，以免形成 小集團(tuán)，這也與留有余地供將來升級擴(kuò)充的要求矛盾。總之尚無徹底解決方案。再有就是時鐘可能產(chǎn)生同向漂移，與應(yīng)用時鐘的差造成幀未能就緒或覆蓋引起漏幀。