個(gè)人網(wǎng)站備案信息北京網(wǎng)站制作推廣
目錄
01 系統(tǒng)架構(gòu)介紹
02 投票邏輯架構(gòu)介紹
03 SIS架構(gòu)
04 ADS域控制器架構(gòu)設(shè)計(jì)
01 系統(tǒng)架構(gòu)介紹
法規(guī)GBT 34590 Part4
part10定義的軟件要求、設(shè)計(jì)和測試子階段之間的關(guān)系(其中的3-7個(gè)人建議翻譯為初始架構(gòu)設(shè)計(jì)更合理????)
系統(tǒng)架構(gòu)的作用(借鑒 MUNIK)
架構(gòu)模型
根據(jù)ISO26262中的定義,相關(guān)項(xiàng)由一個(gè)或者多個(gè)系統(tǒng)組成,而一一個(gè)系統(tǒng)應(yīng)該至少包括1個(gè)傳感器、1個(gè)控制單元和1個(gè)執(zhí)行器,如下所示。
1、傳感器部分??? (借鑒 AUTO世代)
首先,我們在系統(tǒng)中融入傳感器部分安全機(jī)制,需要注意的是,此處的傳感器代表廣義的輸入信息,可以是具體傳感器信號,也可以是其他類型通訊信息,例如CAN,SENT等。
傳感器的硬件冗余(當(dāng)然傳感器必須獨(dú)立供電)多適用于對于ASIL等級要求非常高的信號,如ASIL ?C, D,尤其是D,其主要目的是為避免傳感器硬件隨機(jī)失效,通過信號相互校驗(yàn),增加系統(tǒng)輸入信息可靠性。
這里的傳感器硬件冗余采集,可以是利用相同的兩個(gè)傳感器,對同一信號進(jìn)行重復(fù)采集(例如,踏板信號),也可以是利用不同類型傳感器,對強(qiáng)相關(guān)的兩個(gè)信號分別進(jìn)行采集(例如,制動(dòng)踏板位置和壓力信息等)。
當(dāng)然,傳感器輸入冗余信息,在控制單元中,必須進(jìn)行多路采集,除傳感器本身提供診斷信息外,還需要對其信號有效性進(jìn)行檢驗(yàn),包括數(shù)值有效范圍檢測,在線監(jiān)控,Test Pattern,輸入對比,相關(guān)性,合理性檢測等。
2、控制單元???
控制單元屬于整個(gè)系統(tǒng)中最重要的部分,控制單元相關(guān)的安全機(jī)制其實(shí)很大程度上決定了系統(tǒng)安全架構(gòu)和系統(tǒng)復(fù)雜程度。
提到控制單元相關(guān)的安全機(jī)制,很多朋友第一反應(yīng)是,控制器軟件分層,控制器硬件冗余(雙控制器,Dual Core LockStep雙核鎖步等),看門狗,程序流監(jiān)控等。
雖然這些都是控制單元常用的安全機(jī)制,但從系統(tǒng)角度而言,它們相對過于具體,只是針對某一類故障而設(shè)計(jì)的軟件或硬件安全機(jī)制,需要在系統(tǒng)安全架構(gòu)基礎(chǔ)上具體明確。
接下來我們從系統(tǒng)角度,先看看系統(tǒng)級別安全架構(gòu),后續(xù)無非就是將具體的軟件和硬件安全機(jī)制逐步應(yīng)用于系統(tǒng)架構(gòu)當(dāng)中去。
一般來說,所有的安全機(jī)制本質(zhì)上都服務(wù)于兩類安全架構(gòu):
? Fail to safe
? Fail to operational
Fail to safe
?Fail to operational
3、執(zhí)行器
4、通信安全
在一個(gè)系統(tǒng)中有幾種經(jīng)典的架構(gòu),通常會見到這幾個(gè)名詞faii-safe、fail-silent和fail-operational。畫個(gè)圖來簡單示意下這幾種架構(gòu)設(shè)計(jì)的相
互關(guān)系。如下圖所示,Fail-Safe包含:fail-operational和fail-silent兩種,它們都屬于是安全的失效。
Fail-Safe:該架構(gòu)通常芯片設(shè)計(jì)層級使用較多,當(dāng)芯片發(fā)生error時(shí),芯片會執(zhí)行POWER down、Reset、緊急運(yùn)行等的操作?;蛘弋?dāng)程序輪詢監(jiān)控到對應(yīng)的寄存器有問題時(shí)請求MCU判斷執(zhí)行后續(xù)操作(MCU的操作要在合理的FTTI之內(nèi)完成才有效),從而使得IC進(jìn)入安全的靜默(silent)狀態(tài)。
Fail-Operational:?該架構(gòu)通常整車層級和系統(tǒng)層級使用較多,該架構(gòu)通常應(yīng)用MooN(D)架構(gòu)可以實(shí)現(xiàn)不同形式的fail-operational架構(gòu)。簡單的Fail-?Operational可以理解為當(dāng)通道1失效后,作為冗余的通道2還可以接替它的工作,使得整個(gè)系統(tǒng)處于安全的狀態(tài)。
舉個(gè)域控制器中我們實(shí)際研發(fā)的例子讓大家感受下MOON(D)的概念。
1oo2D域控制器架構(gòu)示例:
此架構(gòu)方案由并聯(lián)的兩個(gè)通道組成,在其中一個(gè)失效后,啟用另外一個(gè)。冗余的傳感器可以是雷達(dá)模組或者其他傳感器的系統(tǒng)。對于該系統(tǒng)而言在MCU檢測出main SOC出問題時(shí)啟動(dòng)fullback 的SOC并關(guān)閉main SOC(前提是兩個(gè)SOC的設(shè)計(jì)不會發(fā)生DFA的相關(guān)性失效)以此來保證系統(tǒng)的正常運(yùn)行。
系統(tǒng)架構(gòu)層級的相關(guān)安全機(jī)制梳理
上文NO2.1開頭提到一個(gè)系統(tǒng)的簡單組成至少包括:一個(gè)傳感器、一個(gè)處理器和一個(gè)執(zhí)行器,那么在系統(tǒng)層級我們來分析下它都有哪些安全機(jī)制。
3個(gè)模塊之間少不了有通訊或者系統(tǒng)層級需要有程序的燒錄等情況出現(xiàn),模塊可能會通過CAN,CAN-FD,UART,I2C,SPI,PHY等進(jìn)行片內(nèi)或片外、板內(nèi)或板外的通訊或者程序的燒錄,下面以串口UART舉例說明通訊模塊的安全機(jī)制都有哪些。
注釋:以上是基于ISO26262標(biāo)準(zhǔn)及經(jīng)驗(yàn)的總結(jié),僅供參考,具體項(xiàng)目還需實(shí)際分析及動(dòng)態(tài)調(diào)整。
對于軟件層級(Auto sar)來說它的核心安全機(jī)制可以分為以下幾類供大家參考:
(1)內(nèi)存分區(qū)
(2)邏輯監(jiān)控
(3)E2E 保護(hù)
(4)Timing?Monitor
(5)CRC等
fail-safe、fail-operational、fail-secure、fail-silent介紹(借鑒知乎WF.WANG)
fail-safe — 失效安全
fail-operational — 失效可運(yùn)行
fail-silent — 失效靜默
fail-secure — 失效安保
MooN — N選M架構(gòu)
Designated architecture — 指定架構(gòu)
E-GAS 監(jiān)控架構(gòu)【功能安全】E-GAS架構(gòu)設(shè)計(jì)
架構(gòu)模型
fail-safe 架構(gòu)
fail-operational 架構(gòu)
fail-operational架構(gòu)涉及到冗余,由于冗余的方式多種多樣,所以這種架構(gòu)的表現(xiàn)形式也是多樣化的,通常應(yīng)用MooN(D)架構(gòu)可以實(shí)現(xiàn)不同形式的fail-operational架構(gòu),所以這里我們就談?wù)劜煌琈ooN(D)架構(gòu)模型。
在講這些架構(gòu)模型之前,我們先了解下可靠性框圖中操作模式/模型概念
> 串聯(lián)模型
> 并聯(lián)模型
>混聯(lián)模型
MooN(D) 之 1oo1 — 一選一架構(gòu)
MooN(D) 之 1oo1D — 一選一診斷架構(gòu)
MooN(D) 之 1oo2 — 二選一架構(gòu)
MooN(D) 之 2oo2 — 二選二架構(gòu)
由上面描述可知,1oo2架構(gòu)能夠降低系統(tǒng)發(fā)生危險(xiǎn)失效(fail positive)的概率,2oo2架構(gòu)能夠降低系統(tǒng)發(fā)生安全失效(fail negative)的概率(即降低誤停率)。簡單講,1oo2架構(gòu)讓危險(xiǎn)失效發(fā)生的難度加大,2oo2讓安全失效發(fā)生的難度加大,它們都只能對單一的可靠性指標(biāo)進(jìn)行改進(jìn)。
MooN(D) 之 1oo2D — 二選一診斷架構(gòu)
MooN(D) 之 2oo2D — 二選二診斷架構(gòu)
MooN(D) 之 2oo3 — 三選二架構(gòu)
02 投票邏輯架構(gòu)介紹
在安全儀表系統(tǒng)(SIS)中,1oo1、1oo2、2oo2和2oo3是常見的投票邏輯架構(gòu),用于提高系統(tǒng)的可靠性和安全性。以下是對這些架構(gòu)的詳細(xì)解釋:
-
1oo1(One-out-of-One):
-
這是最簡單的投票邏輯,只有一個(gè)通道。它沒有冗余,因此無法提供故障容錯(cuò)能力。這種架構(gòu)適用于對安全要求不高的場景,但成本最低。
-
-
1oo2(One-out-of-Two):
-
這種架構(gòu)使用兩個(gè)通道,其中一個(gè)通道發(fā)生故障時(shí),另一個(gè)通道可以繼續(xù)工作。它提供了基本的冗余,減少了誤動(dòng)作的概率。1oo2架構(gòu)的硬件故障容忍度(HFT)為1,即一個(gè)通道可以故障而系統(tǒng)仍能正常工作。
-
-
2oo2(Two-out-of-Two):
-
這種架構(gòu)使用兩個(gè)通道,要求兩個(gè)通道都正常工作才能輸出信號。它提供了更高的安全性和可靠性,因?yàn)榧词挂粋€(gè)通道發(fā)生故障,系統(tǒng)也不會誤動(dòng)作。2oo2架構(gòu)的HFT為0,即兩個(gè)通道都必須正常工作。
-
-
2oo3(Two-out-of-Three):
-
這種架構(gòu)使用三個(gè)通道,要求至少兩個(gè)通道正常工作才能輸出信號。它提供了最高的安全性和可靠性,因?yàn)榧词箖蓚€(gè)通道發(fā)生故障,系統(tǒng)也不會誤動(dòng)作。2oo3架構(gòu)的HFT為1,即一個(gè)通道可以故障而系統(tǒng)仍能正常工作。
-
這些投票邏輯架構(gòu)的選擇取決于系統(tǒng)的安全完整性等級(SIL)要求和成本考慮。例如,對于高安全要求的場景,通常會選擇2oo3架構(gòu),而對于成本敏感的場景,可能會選擇1oo2或1oo1架構(gòu)。
在實(shí)際應(yīng)用中,這些架構(gòu)的性能可以通過可靠性框圖計(jì)算推導(dǎo)出的平均失效概率(PFDavg)來評估。例如,1oo1結(jié)構(gòu)的PFDavg較低,而2oo3結(jié)構(gòu)的PFDavg較高,但誤動(dòng)作率也較低。
1oo1、1oo2、2oo2和2oo3是根據(jù)不同的安全需求和成本考慮設(shè)計(jì)的投票邏輯架構(gòu),每種架構(gòu)都有其特定的應(yīng)用場景和性能特點(diǎn)。
03 SIS架構(gòu)
基本SIS架構(gòu)
??????? 1oo1——這種單輸出電路能夠安全地?cái)嚅_開關(guān),使設(shè)備斷電并停止工藝過程。所謂安全的失效就是觸點(diǎn)在沒有原因的情況下打開了,雖然此類事件對于整個(gè)過程設(shè)施仍舊具有負(fù)面的經(jīng)濟(jì)影響,但是我們還是將其定義為誤觸發(fā)。危險(xiǎn)失效就是在確實(shí)有安全關(guān)斷的原因時(shí)觸點(diǎn)無法打開,這種情況可能由觸電過熱熔接導(dǎo)致。此類事件被定義為無法按需動(dòng)作。
??????? 1oo2——這種方法將兩個(gè)輸出(1oo1)串聯(lián),構(gòu)成常閉帶電的安全關(guān)斷電路。任何一個(gè)SIS動(dòng)作都會導(dǎo)致電路斷開。當(dāng)然,采用兩個(gè)1oo1電路也會引入雙倍誤觸發(fā)的可能,有可能對整個(gè)工藝過程帶來高昂的損失。但是,這種方法確實(shí)更加安全,因?yàn)橹恍枰粋€(gè)觸點(diǎn)動(dòng)作就可以實(shí)現(xiàn)關(guān)斷,無法按需動(dòng)作的危險(xiǎn)失效的可能性低得多。不管是1oo1還是1oo2都無法消除誤觸發(fā)的隱患。
??????? 2oo2——這些系統(tǒng)的輸出并聯(lián)設(shè)置,兩個(gè)觸點(diǎn)同時(shí)動(dòng)作才能將過程關(guān)斷。由于觸點(diǎn)是并聯(lián)的,所以誤觸發(fā)的可能性降低了,但是明顯的缺點(diǎn)就是危險(xiǎn)失效的可能性加倍了,系統(tǒng)的安全性降低。
????????可以看到,1oo2和2oo2系統(tǒng)都無法有效滿足安全性和誤觸發(fā)的要求。但是,如果能夠增加診斷功能就能夠獲得更高的可用性了,這就是所謂的1oo2D(帶診斷功能的1oo2)。
????????高級SIS架構(gòu)
??????? 2oo3或者三重模塊冗余(TMR)安全關(guān)斷系統(tǒng)通常被用于燃?xì)鉁u輪機(jī)、壓縮機(jī)和加熱器,也常被用于精煉廠中的獨(dú)立過程單元,例如焦化單元。
????????正如本文下頁開關(guān)圖所示,在2oo3配置下,只要有兩個(gè)通道同時(shí)觸發(fā),即使第三個(gè)通道并未觸發(fā),那么輸出動(dòng)作也會被觸發(fā)。如果只有一個(gè)SIS的兩組觸點(diǎn)被觸發(fā)了,那么有一條引線仍舊處于閉合狀態(tài),所以過程繼續(xù)工作。在現(xiàn)實(shí)世界中采用表決機(jī)制來確定2oo3架構(gòu)的輸出,而第三個(gè)信號被忽略,允許容錯(cuò)配置。
2oo3三重化冗余系統(tǒng)???????
??? 每一個(gè)三重化冗余系統(tǒng)都包含三個(gè)主處理器(MP)A、B和C。每一個(gè)MP控制獨(dú)立的通道并與其他兩個(gè)MP并行工作。每個(gè)MP上的專用I/O控制處理器對MP和I/O模塊之間的數(shù)據(jù)交換進(jìn)行管理。在系統(tǒng)主板上使用I/O總線電纜將每一列I/O模塊連接起來形成三重化的I/O總線。
??????? I/O控制處理器選擇輸入模塊,并將輸入數(shù)據(jù)發(fā)送給MP。MP隨后將輸入數(shù)據(jù)制表存儲到內(nèi)存當(dāng)中,用于選擇過程使用。使用三重化總線將每一個(gè)MP當(dāng)中的輸入表轉(zhuǎn)移給相鄰的MP,轉(zhuǎn)移之后就可以進(jìn)行選擇。三重化總線采用具有直接讀取內(nèi)存功能的可編程器件,在三個(gè)MP之間完成數(shù)據(jù)的同步、傳輸和比對。
????????如果有不一致出現(xiàn),那么就以2oo3表格的信號結(jié)果為準(zhǔn),然后MP根據(jù)結(jié)果校正第三個(gè)表格中的相應(yīng)數(shù)據(jù)。由于采樣時(shí)間不同所導(dǎo)致的差異能夠通過信號模式的不同區(qū)分出來。MP在本地存儲器中保存經(jīng)過必要更正的數(shù)據(jù)。內(nèi)置的故障分析器會將不一致的數(shù)據(jù)做出標(biāo)識,并在每一次掃描之后使用這些標(biāo)識用于判斷是否在特定模塊中有故障存在。
????????2oo4四重化冗余系統(tǒng)???????
?????? 四重化模塊冗余(QMR)架構(gòu)基于2oo4D(D代表內(nèi)置診斷功能)表決方式,每一個(gè)QPP(四處理器組,系統(tǒng)的處理模塊)都采用雙處理器技術(shù)。這意味這種方法具有極高的自我診斷功能和故障冗余能力。
????????四重化冗余系統(tǒng)架構(gòu)通過冗余控制器實(shí)現(xiàn)。冗余架構(gòu)包含兩個(gè)QPP,也就是四重冗余,為安全性提供了雙故障冗余能力。2oo4表決機(jī)制通過在每一個(gè)CPU和每一個(gè)QPP的內(nèi)存上采用1oo2表決機(jī)制來實(shí)現(xiàn),兩個(gè)QPP之間也具有1oo2表決功能。表決機(jī)制在兩個(gè)層面上進(jìn)行:在模塊層面上表決以及在QPP之間表決。
04 ADS域控制器架構(gòu)設(shè)計(jì)
自動(dòng)駕駛標(biāo)準(zhǔn)
系統(tǒng)設(shè)計(jì)思考
1、安全目標(biāo)
在設(shè)計(jì)自動(dòng)駕駛系統(tǒng)的功能安全時(shí),通常會根據(jù)不同的自動(dòng)化及別設(shè)置相應(yīng)的安全目標(biāo)。一般而言:
-
L0到L2級別的自動(dòng)駕駛系統(tǒng)需要滿足ASIL B級的安全要求。
-
L3到L5級別的自動(dòng)駕駛系統(tǒng)需要滿足ASIL D級的安全要求。
2、功能安全架構(gòu)
A. Fail-operational架構(gòu):
Fail-operational架構(gòu)是L3到L5自動(dòng)駕駛系統(tǒng)基本的功能安全架構(gòu),其中有幾種主要的設(shè)計(jì)選擇:
a) 1oo2D架構(gòu):
-
功能描述:該架構(gòu)采用兩個(gè)到診斷(Diagnostic)的通道并行工作。如果其中一個(gè)通道故障,則停止該通道輸出,并切換到正常的通道輸出。
-
降級操作:當(dāng)出現(xiàn)一次故障時(shí),系統(tǒng)仍能降級到1oo1D工作
b)2oo2D架構(gòu):
-
功能描述:該架構(gòu)同樣采用兩個(gè)到診斷的通道并行工作。如果其中一個(gè)通道故障,則停止該通道輸出,正常的通道繼續(xù)輸出。
-
降級操作:當(dāng)出現(xiàn)一次故障時(shí),系統(tǒng)仍能降級到1oo1D工作。
c)2OO3架構(gòu):
-
功能描述:該架構(gòu)采用三個(gè)通道并行工作,按照少數(shù)服從多數(shù)原則,當(dāng)至少兩個(gè)通道一致時(shí)才進(jìn)行輸出。
-
降級操作:當(dāng)出現(xiàn)一次故障時(shí),系統(tǒng)仍能降級到1oo2工作。
B. Fallback 系統(tǒng):
針對駕駛系統(tǒng),可以設(shè)計(jì)一套專門滿足 L2+ 級別自動(dòng)駕駛要求的Fallback系統(tǒng)。當(dāng)主系統(tǒng)發(fā)生故障時(shí),Fallback 系統(tǒng)接管控制,并將車輛控制至最小風(fēng)險(xiǎn)狀態(tài)。
C. 典型的 L4 自動(dòng)駕駛系統(tǒng)功能架構(gòu):
典型的L4級自動(dòng)駕駛系統(tǒng)如下圖,包括:傳感器冗余,通信冗余,域控通道冗余和執(zhí)行器冗余。
-
傳感器冗余:
通過對傳感器類型的冗余設(shè)計(jì),包括攝像頭、激光雷達(dá)、毫米波雷達(dá)、超聲波雷達(dá)、GNSS 和 IMU 等傳感器,以及每種主要傳感器的冗余設(shè)計(jì),確保這些冗余傳感器分別接入冗余通道上。另外,還可以通過Bypass通道將傳感器Bypass到其他通道上,以確保某個(gè)通道失效時(shí),其他通道上的傳感器仍能正常工作。
-
通信冗余:
在傳感器、域控、執(zhí)行器和其他相關(guān)控制器之間的通信通道和控制信號上需要具備冗余通道。這樣,當(dāng)單個(gè)通信通道發(fā)生故障時(shí),系統(tǒng)能夠通過冗余通道通信,或通過Fallback 系統(tǒng)進(jìn)入最小風(fēng)險(xiǎn)狀態(tài)。
-
域控通道冗余:
根據(jù)1oo2D或 2oo2D架構(gòu)進(jìn)行安全分解,實(shí)現(xiàn)每個(gè)通道的 ASIL B(D) 功能,每個(gè)通道保持獨(dú)立性,功能算法采用異構(gòu)設(shè)計(jì),避免共因失效。帶有仲裁模塊,當(dāng)某個(gè)通道失效時(shí)禁止該通道的輸出,切換到其他通道運(yùn)行。
* SOC(System on Chip)功能安全: 根據(jù)廠家的安全手冊,實(shí)現(xiàn) SOC 的安全假設(shè),主要包括錯(cuò)誤引腳監(jiān)控,獨(dú)立電源,獨(dú)立時(shí)鐘和潛伏故障的監(jiān)測。 * MCU(Microcontroller Unit)功能安全: 采用符合 ASIL D 標(biāo)準(zhǔn)的安全芯片,實(shí)現(xiàn)對 SOC 錯(cuò)誤引腳、供電電壓、溫度、外部傳感器模塊、執(zhí)行器模塊以及安全路徑上的安全相關(guān)芯片故障的監(jiān)控,同時(shí)滿足MCU安全假設(shè)。 * 電源冗余: 設(shè)計(jì)雙電源系統(tǒng),當(dāng)一路電源失效時(shí),系統(tǒng)能夠通過降級或切換到 Fallback 系統(tǒng)進(jìn)入 MRC。雙電源之間保持獨(dú)立性,避免單點(diǎn)故障,并支持每路電源的電壓過壓、欠壓和過流監(jiān)測。當(dāng)電源故障時(shí),可通過開關(guān)切斷整個(gè)域控電源。
-
執(zhí)行器冗余:
對轉(zhuǎn)向、剎車和動(dòng)力執(zhí)行器進(jìn)行冗余備份系統(tǒng)設(shè)計(jì),通過總線通信監(jiān)測執(zhí)行器的潛在故障。
以上是針對 L4 自動(dòng)駕駛系統(tǒng)的典型功能安全架構(gòu)和冗余設(shè)計(jì)示例。這些設(shè)計(jì)旨在提高系統(tǒng)的安全性和可靠性,以應(yīng)對不同級別的自動(dòng)駕駛需求。
系統(tǒng)層面常見的安全機(jī)制
示例
電動(dòng)汽車的核心部件整車控制器 VCU系統(tǒng)為例
在汽車的行駛過程中,VCU執(zhí)行了多項(xiàng)安全相關(guān)的控制任務(wù):例如采集加速踏板信號、制動(dòng)踏板信號及其它車輛信息、電池狀態(tài),并做出合理的邏輯判斷之后給各執(zhí)行器部件動(dòng)作輸出控制命令,來實(shí)現(xiàn)整車驅(qū)動(dòng)、制動(dòng)、能量回收、擋位切換、高壓上下電管理、整車熱管理等功能。
示例:EPS系統(tǒng)
Symmetric 1oo2D的架構(gòu),常見于支持Fail-Operational 的電子助力轉(zhuǎn)向EPS系統(tǒng)
如上圖所示,該EPS系統(tǒng)包含兩套完全對稱的鏡像功能鏈路,提供了轉(zhuǎn)向功能必備的供電、通訊、傳感、控制與執(zhí)行部分。對于每條功能路徑的容錯(cuò)設(shè)計(jì),則與Fail-Safe類似,具備獨(dú)立的自我診斷與監(jiān)控功能。與此同時(shí),兩條功能鏈路均正常工作時(shí)才能提供完整的轉(zhuǎn)向功能,當(dāng)其中任何一條功能鏈路失效,另外一條功能鏈路仍能提供部分轉(zhuǎn)向力,而不會導(dǎo)致系統(tǒng)直接停止,從而影響系統(tǒng)轉(zhuǎn)向需求的功能安全。
而Asymmetric 1oo2D的架構(gòu),常見于需要支持Fail-Operational 的ADAS/ AD控制系統(tǒng)中(如上圖)。?