當(dāng)前位置:首頁 > 汽車電子 > 汽車安全系統(tǒng)設(shè)計
[導(dǎo)讀]   在汽車中采用電子系統(tǒng)已經(jīng)有幾十年的歷史,它們使汽車安全、節(jié)能與環(huán)保方面的性能有大幅度的提高。隨著研究的深入,許多系統(tǒng)需要共享和交換信息,為了節(jié)省線纜,就形成了依賴于通信的分布式嵌入系統(tǒng)。目前

  在汽車中采用電子系統(tǒng)已經(jīng)有幾十年的歷史,它們使汽車安全、節(jié)能與環(huán)保方面的性能有大幅度的提高。隨著研究的深入,許多系統(tǒng)需要共享和交換信息,為了節(jié)省線纜,就形成了依賴于通信的分布式嵌入系統(tǒng)。目前,世界上90%的都采用基于CAN總線的系統(tǒng)。FlexRay是下一代通信協(xié)議事實上的標準,它的功能安全性如何是至關(guān)重要的。

  1 IEC61508功能安全的要求

  目前車控系統(tǒng)正在向線控技術(shù)(xbywire)過渡,例如線控轉(zhuǎn)向與線控剎車。線控系統(tǒng)最終目標是取消機械后備,因為取消這些后備可以降低成本,增強設(shè)計的靈活性,擴大適用范圍,為以后新添功能創(chuàng)造條件。但是取消機械后備就對電子系統(tǒng)的可信賴性(dependability)要求大為提高。車是一個運動的物體,處于運動的環(huán)境之中,它因故障可能傷及自身及別人。取消機械后備,就將電子系統(tǒng)由今天的故障靜默(failsilent)要求提升到故障仍工作(failoperaTIonal)的要求。

  國際上對工業(yè)應(yīng)用的功能安全要求已制定了標準IEC61508,它主要關(guān)心被控設(shè)備及其控制系統(tǒng)的安全。雖然它也適用于汽車,但汽車不僅有上述功能安全問題,而且要關(guān)心由于功能變化造成的整車系統(tǒng)安全,所以汽車業(yè)內(nèi)正在制定相應(yīng)的標準ISO26262。汽車的功能安全等級分為4級,要求最高的是 ASILD,相應(yīng)的失效概率<10-8/h,它相當(dāng)于IEC61508的SIL3。根據(jù)實踐經(jīng)驗,分配給通信的失效概率<10-10/h。有關(guān)這方面的介紹可參見參考文獻。

  現(xiàn)在安全攸關(guān)的應(yīng)用系統(tǒng)的范圍有所擴大,以前不算在內(nèi)的一些系統(tǒng)現(xiàn)在都要算了。例如安全預(yù)先動作系統(tǒng)(presafe)中座椅調(diào)整子系統(tǒng)、剎車輔助系統(tǒng)中的燈光控制子系統(tǒng)、碰撞后telemaTIc自動呼叫求援的子系統(tǒng),都將視為安全攸關(guān)系統(tǒng)。

  1.1 引起系統(tǒng)安全風(fēng)險的通信故障

  通信故障有5種表現(xiàn)形式,第1種是造成值域的錯誤。第2種是造成時域的錯誤,這是工業(yè)不同于民用的部分。一條消息不能在預(yù)定的時限前送達就失去了實用意義,例如與安全氣囊引爆有關(guān)的傳感器消息不能在數(shù)ms內(nèi)送達就引起安全問題。在多播或廣播通信中還有第3種錯誤:數(shù)據(jù)完整性錯(拜占庭錯),即各節(jié)點收到的結(jié)果不一致。它會引起系統(tǒng)性的失效,應(yīng)對的策略必須將所有有關(guān)節(jié)點同時考慮。第4種是系統(tǒng)崩潰,除硬件失效外,也有干擾或軟件引起的,例如饒舌錯(babbling idiot)阻止通信。第5種是丟幀,短時間失效,例如可恢復(fù)的離線或bug引起的等效離線狀態(tài),又如小集團錯。

  1.2 通信的容許失效率

  在通信故障對系統(tǒng)安全影響的分析上,參考文獻提供了一種方法,根據(jù)瞬態(tài)干擾出現(xiàn)的可能長度,計算通信失效的時段長,在假定的通信失效率下,推出系統(tǒng)的失效率。在該實例中,路段上電場超100 V/m的區(qū)間有可能引起通信失效,失效率近似5&TImes;10-3,車速為90 km/h,識別出的可能失效時間約74 s。通信以6 ms為周期,連續(xù)7個周期丟幀視為系統(tǒng)失效,在此條件下系統(tǒng)失效率為1.640 9&TImes;10-10,認為可以達到SIL4的安全要求。這種分析方法是有效的,但是假設(shè)的條件太多,例如:誤碼率有很大的變化區(qū)間;幀長的變化影響一次傳送的失效率;干擾持續(xù)時間的假定;連續(xù)丟7幀也與應(yīng)用的場合有關(guān),對90 km/h的車42 ms的失控對剎車系統(tǒng)而言有約1 m的距離,恐怕對撞擊的后果有完全不同的評估;還假設(shè)SIL4完全分配給通信,將CPU與軟件有關(guān)的部分失效率忽略不計,在軟件規(guī)模越來越大的今天,這個假設(shè)是不合理的。另一方面,決定系統(tǒng)失效率時還應(yīng)考慮其他的通信故障形式,例如出現(xiàn)小集團錯到發(fā)生沖突的時間取決于相對的時鐘漂移,越精確,其間時間越長,失效的時間就越長,參考文獻中在人為制造出小集團后需300 ms才發(fā)現(xiàn)沖突,遠遠超出上述的42 ms。所以一般討論系統(tǒng)安全的文章中都單獨規(guī)定通信的失效率是相應(yīng)安全等級失效率的1/100。

  1.3 影響通信失效率的因素

  功能安全等級與故障檢測的覆蓋率有關(guān),如果有的故障未被檢查到(未認識到或做不到),當(dāng)然那種失效情景就不可能計算在內(nèi),安全等級的劃分就有錯。

  參考文獻介紹了SFF(Safety Failure Fraction)的概念:失效分為引起危害的失效和安全失效,它們又各分為能檢測出和未檢測出兩種。安全失效比例SFF是能檢測出危害失效與安全失效在總的失效中的份額。診斷覆蓋率DC(Diagnostic Coverage)是能檢測出的危害失效占總危害失效的份額??蓪?dǎo)出SFF與DC有線性關(guān)系。而SFF又與SIL有關(guān)。IEC61508的SIL等級與 SFF有關(guān),在SFF占90%~99%時SIL3可容許1個故障。因此DC也決定了能達到的SIL等級。根據(jù)有關(guān)文章介紹,瞬態(tài)故障的概率比硬件失效概率大2個數(shù)量級,因此可大致推斷瞬態(tài)故障診斷覆蓋率應(yīng)達到90%~99%。危害失效可能由通信失效引起,診斷覆蓋率也就成了評價通信協(xié)議的重要一環(huán)。

  在通信中,由于CRC有漏檢,這是明顯的診斷未覆蓋區(qū),診斷未覆蓋率就相當(dāng)于錯幀漏檢率,例如CAN的錯幀漏檢。

  在通信中發(fā)生值域錯或時域錯而丟幀是能診斷出的危害失效(這是本文分析的主要對象)。而假冒錯、拜占庭錯等應(yīng)屬于未檢測出的危害失效。發(fā)生小集團錯時既可能產(chǎn)生丟幀,也可能產(chǎn)生拜占庭錯。CAN的等效離線失效也屬于未覆蓋的診斷引起的危害失效。要計算這些未覆蓋的診斷引起的危害失效占總危害失效的比例還相當(dāng)困難,因為確定故障概率模型很難。但從定性上講,只有盡量排除假冒錯、拜占庭錯和小集團錯,才能使診斷覆蓋率提高(SIL等級提高)。

  2 FlexRay介紹

  由于線控技術(shù)可以提高車的操控性能,降低生產(chǎn)和使用成本,提升安全性、節(jié)能、環(huán)保和舒適度,成為整車技術(shù)進步的重要一環(huán)。但是為了取消機械或液壓的后備,對控制裝置及其通信的可靠性的要求大為提高。這就對通信的帶寬和確定性有更嚴的要求,CAN總線不能滿足這個帶寬要求,在確定性上也不足,于是就產(chǎn)生了 FlexRay技術(shù)。根據(jù)標準,F(xiàn)lexRay可以有總線、星型、樹狀等拓撲結(jié)構(gòu)。它提供了雙通道的控制器結(jié)構(gòu),可組態(tài)為冗余通信,也可各通道獨立運行,有很大的靈活性。每個通道最高可組態(tài)工作于10 Mb/s。FlexRay是時間觸發(fā)通信協(xié)議,由分布式時鐘實現(xiàn)同步。系統(tǒng)的調(diào)度表由cycle\static slot\minislot確定。一個cycle有固定數(shù)目的static slot和minislot,它們的時間長度都是均等的,由組態(tài)時確定。一個節(jié)點在一個cycle中可以占用多個static slot,static slot可以散接(multiplxing),即各個cycle的同一static slot可以用于不同節(jié)點。FlexRay幀的數(shù)據(jù)域(payload)可達254字節(jié),它的頭部為標識符及幀長等控制信息,有獨立的CRC檢驗,尾部有覆蓋全幀的24位CRC檢驗。FlexRay有對抗時域錯的Bus Guardian設(shè)計。

  關(guān)于FlexRay的缺點或弱點,參考文獻提到物理層連接的困難,影響到信號完整性,實際上能較易使用的是有源星型,但這帶來成本的提高;cycle設(shè)計約束多,帶來困難;同步和啟動節(jié)點配置與容錯有關(guān),是挑戰(zhàn);由于資源有限,升級演進時很困難(并非像以前強調(diào)時間觸發(fā)協(xié)議的 composability優(yōu)點——筆者注)。參考文獻介紹了在FlexRay中產(chǎn)生各自獨立的時鐘同步小集團的可能性,也就是說雖然各節(jié)點都在通信,但是2個集團間無有效通信,是一種故障狀態(tài)。解決辦法是用3個冷啟動節(jié)點、3個同步節(jié)點,但是這與時間同步容錯的要求矛盾。還有就是將調(diào)度表排滿,以免形成小集團,這也與留有余地供將來升級擴充的要求矛盾??傊袩o徹底解決方案。再有就是時鐘可能產(chǎn)生同向漂移,與應(yīng)用時鐘的差造成幀未能就緒或覆蓋引起漏幀。FlexRay雖然是為高可信性設(shè)計的,但是在傳送中出錯后處理要通過應(yīng)用層解決,這帶來新的問題,本文將分析如果不作處理會怎么樣。

  3 Audi和BMW的FlexRay總線應(yīng)用的功能安全等級

  BMW和Audi是首批批量使用FlexRay總線的車廠,它們的具體用法尚未查到,但是參考文獻給出了部分使用參數(shù),可以以此作一些初步分析。

  3.1 Audi的參數(shù)

  Audi的cycle為5 ms,每個cycle有62個static slot,slot用于傳送42字節(jié)payload的幀,靜態(tài)段為4.03 ms。有8個ECU共傳送220個協(xié)議數(shù)據(jù)單元(PDU)。這些PDU經(jīng)組合,最后在27個slot中傳送。由提供的周期分布可見5 ms消息為8個,10 ms消息為1個,20 ms消息為7個,40 ms消息為6個,其余更長周期的消息先忽略。

  由payload可以算出使用的幀長為500位,假定誤碼率為ber=1×10-7(這在銅線中已是相當(dāng)好的了),那么誤幀率為fer=5×10-5/frame。

  由周期可算出每小時傳送的幀數(shù)為n=7.92×105frame/h。假定通信用2個通道同時傳送,那么同時失敗的概率為fer2=2.5×10-9/frame。1小時內(nèi)所有幀均成功傳送的概率為:P=(1-fer2)n。

  1小時內(nèi)有1次以上錯的概率為1-P≈fer2×n=2.5×10-9×7.92×105/h=1.98×10-3/h。SIL2的安全等級要求是系統(tǒng)失效概率為10-7/h,分配到通信上為10-9/h,由此可見存在巨大的差距。

本站聲明: 本文章由作者或相關(guān)機構(gòu)授權(quán)發(fā)布,目的在于傳遞更多信息,并不代表本站贊同其觀點,本站亦不保證或承諾內(nèi)容真實性等。需要轉(zhuǎn)載請聯(lián)系該專欄作者,如若文章內(nèi)容侵犯您的權(quán)益,請及時聯(lián)系本站刪除。
換一批
延伸閱讀

9月2日消息,不造車的華為或?qū)⒋呱龈蟮莫毥谦F公司,隨著阿維塔和賽力斯的入局,華為引望愈發(fā)顯得引人矚目。

關(guān)鍵字: 阿維塔 塞力斯 華為

加利福尼亞州圣克拉拉縣2024年8月30日 /美通社/ -- 數(shù)字化轉(zhuǎn)型技術(shù)解決方案公司Trianz今天宣布,該公司與Amazon Web Services (AWS)簽訂了...

關(guān)鍵字: AWS AN BSP 數(shù)字化

倫敦2024年8月29日 /美通社/ -- 英國汽車技術(shù)公司SODA.Auto推出其旗艦產(chǎn)品SODA V,這是全球首款涵蓋汽車工程師從創(chuàng)意到認證的所有需求的工具,可用于創(chuàng)建軟件定義汽車。 SODA V工具的開發(fā)耗時1.5...

關(guān)鍵字: 汽車 人工智能 智能驅(qū)動 BSP

北京2024年8月28日 /美通社/ -- 越來越多用戶希望企業(yè)業(yè)務(wù)能7×24不間斷運行,同時企業(yè)卻面臨越來越多業(yè)務(wù)中斷的風(fēng)險,如企業(yè)系統(tǒng)復(fù)雜性的增加,頻繁的功能更新和發(fā)布等。如何確保業(yè)務(wù)連續(xù)性,提升韌性,成...

關(guān)鍵字: 亞馬遜 解密 控制平面 BSP

8月30日消息,據(jù)媒體報道,騰訊和網(wǎng)易近期正在縮減他們對日本游戲市場的投資。

關(guān)鍵字: 騰訊 編碼器 CPU

8月28日消息,今天上午,2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會開幕式在貴陽舉行,華為董事、質(zhì)量流程IT總裁陶景文發(fā)表了演講。

關(guān)鍵字: 華為 12nm EDA 半導(dǎo)體

8月28日消息,在2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會上,華為常務(wù)董事、華為云CEO張平安發(fā)表演講稱,數(shù)字世界的話語權(quán)最終是由生態(tài)的繁榮決定的。

關(guān)鍵字: 華為 12nm 手機 衛(wèi)星通信

要點: 有效應(yīng)對環(huán)境變化,經(jīng)營業(yè)績穩(wěn)中有升 落實提質(zhì)增效舉措,毛利潤率延續(xù)升勢 戰(zhàn)略布局成效顯著,戰(zhàn)新業(yè)務(wù)引領(lǐng)增長 以科技創(chuàng)新為引領(lǐng),提升企業(yè)核心競爭力 堅持高質(zhì)量發(fā)展策略,塑強核心競爭優(yōu)勢...

關(guān)鍵字: 通信 BSP 電信運營商 數(shù)字經(jīng)濟

北京2024年8月27日 /美通社/ -- 8月21日,由中央廣播電視總臺與中國電影電視技術(shù)學(xué)會聯(lián)合牽頭組建的NVI技術(shù)創(chuàng)新聯(lián)盟在BIRTV2024超高清全產(chǎn)業(yè)鏈發(fā)展研討會上宣布正式成立。 活動現(xiàn)場 NVI技術(shù)創(chuàng)新聯(lián)...

關(guān)鍵字: VI 傳輸協(xié)議 音頻 BSP

北京2024年8月27日 /美通社/ -- 在8月23日舉辦的2024年長三角生態(tài)綠色一體化發(fā)展示范區(qū)聯(lián)合招商會上,軟通動力信息技術(shù)(集團)股份有限公司(以下簡稱"軟通動力")與長三角投資(上海)有限...

關(guān)鍵字: BSP 信息技術(shù)
關(guān)閉
關(guān)閉