国产亚洲精品福利在线无卡一,国产精久久一区二区三区,亚洲精品无码国模,精品久久久久久无码专区不卡

當(dāng)前位置: 首頁 > news >正文

個(gè)人網(wǎng)站備案信息北京網(wǎng)站制作推廣

個(gè)人網(wǎng)站備案信息,北京網(wǎng)站制作推廣,長沙 網(wǎng)頁制作教程,頂級域名和二級域名目錄 01 系統(tǒng)架構(gòu)介紹 02 投票邏輯架構(gòu)介紹 03 SIS架構(gòu) 04 ADS域控制器架構(gòu)設(shè)計(jì) 01 系統(tǒng)架構(gòu)介紹 法規(guī)GBT 34590 Part4 part10定義的軟件要求、設(shè)計(jì)和測試子階段之間的關(guān)系(其中的3-7個(gè)人建議翻譯為初始架構(gòu)設(shè)計(jì)更合理 ) 系統(tǒng)架構(gòu)的作用&#xf…

目錄

01 系統(tǒng)架構(gòu)介紹

02 投票邏輯架構(gòu)介紹

03 SIS架構(gòu)

04 ADS域控制器架構(gòu)設(shè)計(jì)


01 系統(tǒng)架構(gòu)介紹

法規(guī)GBT 34590 Part4

11a95b98b81ad40f7ffa048266502c06.png

part10定義的軟件要求、設(shè)計(jì)和測試子階段之間的關(guān)系(其中的3-7個(gè)人建議翻譯為初始架構(gòu)設(shè)計(jì)更合理????)

055991f8e3434418a02a74d334595cf7.png

系統(tǒng)架構(gòu)的作用(借鑒 MUNIK)

1efdf9480bf2d62cbb8ed30f5bcde4c2.png

架構(gòu)模型

根據(jù)ISO26262中的定義,相關(guān)項(xiàng)由一個(gè)或者多個(gè)系統(tǒng)組成,而一一個(gè)系統(tǒng)應(yīng)該至少包括1個(gè)傳感器、1個(gè)控制單元和1個(gè)執(zhí)行器,如下所示。

f04c48352520c08c505f45cbe1a021ec.png

1、傳感器部分??? (借鑒 AUTO世代)

首先,我們在系統(tǒng)中融入傳感器部分安全機(jī)制,需要注意的是,此處的傳感器代表廣義的輸入信息,可以是具體傳感器信號,也可以是其他類型通訊信息,例如CAN,SENT等。

傳感器的硬件冗余(當(dāng)然傳感器必須獨(dú)立供電)多適用于對于ASIL等級要求非常高的信號,如ASIL ?C, D,尤其是D,其主要目的是為避免傳感器硬件隨機(jī)失效,通過信號相互校驗(yàn),增加系統(tǒng)輸入信息可靠性。

這里的傳感器硬件冗余采集,可以是利用相同的兩個(gè)傳感器,對同一信號進(jìn)行重復(fù)采集(例如,踏板信號),也可以是利用不同類型傳感器,對強(qiáng)相關(guān)的兩個(gè)信號分別進(jìn)行采集(例如,制動(dòng)踏板位置和壓力信息等)。

當(dāng)然,傳感器輸入冗余信息,在控制單元中,必須進(jìn)行多路采集,除傳感器本身提供診斷信息外,還需要對其信號有效性進(jìn)行檢驗(yàn),包括數(shù)值有效范圍檢測,在線監(jiān)控,Test Pattern,輸入對比,相關(guān)性,合理性檢測等。

2、控制單元???

控制單元屬于整個(gè)系統(tǒng)中最重要的部分,控制單元相關(guān)的安全機(jī)制其實(shí)很大程度上決定了系統(tǒng)安全架構(gòu)和系統(tǒng)復(fù)雜程度。

提到控制單元相關(guān)的安全機(jī)制,很多朋友第一反應(yīng)是,控制器軟件分層,控制器硬件冗余(雙控制器,Dual Core LockStep雙核鎖步等),看門狗,程序流監(jiān)控等。

雖然這些都是控制單元常用的安全機(jī)制,但從系統(tǒng)角度而言,它們相對過于具體,只是針對某一類故障而設(shè)計(jì)的軟件或硬件安全機(jī)制,需要在系統(tǒng)安全架構(gòu)基礎(chǔ)上具體明確。

接下來我們從系統(tǒng)角度,先看看系統(tǒng)級別安全架構(gòu),后續(xù)無非就是將具體的軟件和硬件安全機(jī)制逐步應(yīng)用于系統(tǒng)架構(gòu)當(dāng)中去。

一般來說,所有的安全機(jī)制本質(zhì)上都服務(wù)于兩類安全架構(gòu):
? Fail to safe
? Fail to operational

Fail to safe

e97392e14ad72138e2f29e8ac2e28368.png

a190bd7451d623372d094ac5bd934c7a.png

?Fail to operational

602068ebec183c96af26565997dfcbba.png

3、執(zhí)行器

1babb8ad9138484481b3647bcef4130e.png

4、通信安全

ff3bca23b3abce622583b65e4826a956.png

在一個(gè)系統(tǒng)中有幾種經(jīng)典的架構(gòu),通常會見到這幾個(gè)名詞faii-safe、fail-silent和fail-operational。畫個(gè)圖來簡單示意下這幾種架構(gòu)設(shè)計(jì)的相
互關(guān)系。如下圖所示,Fail-Safe包含:fail-operational和fail-silent兩種,它們都屬于是安全的失效。

ee415af25cc969b8b042e11b6f00a684.png

Fail-Safe:該架構(gòu)通常芯片設(shè)計(jì)層級使用較多,當(dāng)芯片發(fā)生error時(shí),芯片會執(zhí)行POWER down、Reset、緊急運(yùn)行等的操作?;蛘弋?dāng)程序輪詢監(jiān)控到對應(yīng)的寄存器有問題時(shí)請求MCU判斷執(zhí)行后續(xù)操作(MCU的操作要在合理的FTTI之內(nèi)完成才有效),從而使得IC進(jìn)入安全的靜默(silent)狀態(tài)。

Fail-Operational:?該架構(gòu)通常整車層級和系統(tǒng)層級使用較多,該架構(gòu)通常應(yīng)用MooN(D)架構(gòu)可以實(shí)現(xiàn)不同形式的fail-operational架構(gòu)。簡單的Fail-?Operational可以理解為當(dāng)通道1失效后,作為冗余的通道2還可以接替它的工作,使得整個(gè)系統(tǒng)處于安全的狀態(tài)。

舉個(gè)域控制器中我們實(shí)際研發(fā)的例子讓大家感受下MOON(D)的概念。

1a054459ced139c1d1a0df463b38f2c9.png

1oo2D域控制器架構(gòu)示例:

15706ebe7b1052eeabe18795485ddd54.png

此架構(gòu)方案由并聯(lián)的兩個(gè)通道組成,在其中一個(gè)失效后,啟用另外一個(gè)。冗余的傳感器可以是雷達(dá)模組或者其他傳感器的系統(tǒng)。對于該系統(tǒng)而言在MCU檢測出main SOC出問題時(shí)啟動(dòng)fullback 的SOC并關(guān)閉main SOC(前提是兩個(gè)SOC的設(shè)計(jì)不會發(fā)生DFA的相關(guān)性失效)以此來保證系統(tǒng)的正常運(yùn)行。

系統(tǒng)架構(gòu)層級的相關(guān)安全機(jī)制梳理

43d24fd560cb6e328362d554a1e055fe.png

上文NO2.1開頭提到一個(gè)系統(tǒng)的簡單組成至少包括:一個(gè)傳感器、一個(gè)處理器和一個(gè)執(zhí)行器,那么在系統(tǒng)層級我們來分析下它都有哪些安全機(jī)制。

3個(gè)模塊之間少不了有通訊或者系統(tǒng)層級需要有程序的燒錄等情況出現(xiàn),模塊可能會通過CAN,CAN-FD,UART,I2C,SPI,PHY等進(jìn)行片內(nèi)或片外、板內(nèi)或板外的通訊或者程序的燒錄,下面以串口UART舉例說明通訊模塊的安全機(jī)制都有哪些。

a49136dbd222a3de7908505c68be7ec9.png

注釋:以上是基于ISO26262標(biāo)準(zhǔn)及經(jīng)驗(yàn)的總結(jié),僅供參考,具體項(xiàng)目還需實(shí)際分析及動(dòng)態(tài)調(diào)整。

對于軟件層級(Auto sar)來說它的核心安全機(jī)制可以分為以下幾類供大家參考:

(1)內(nèi)存分區(qū)

(2)邏輯監(jiān)控

(3)E2E 保護(hù)

(4)Timing?Monitor

(5)CRC等

fail-safe、fail-operational、fail-secure、fail-silent介紹(借鑒知乎WF.WANG)

fail-safe — 失效安全

3b0aa398ae2d57d0c20d8c4aba73f37e.png

dd7beeefd7abdd0ab5d05f36e1aebc36.png

fail-operational — 失效可運(yùn)行

2701512d0f605a025a1306eb404dc6f8.png

a90393b8c0da6f22f3f617ac3214bfcd.png

900ca8803cabb98b3573bc8e7f804155.png

fail-silent — 失效靜默

a1522ed384ac5561cc7c82f180e57928.png

405b12029291789b106c8e70954359d0.png

fail-secure — 失效安保

d5883748b1460950e28f61f42f72f15a.png

MooN — N選M架構(gòu)

26b8a42dacc3a3cb0dc666030db3bb25.png

21c814de26db1e25d881cdb64ee4ca8b.png

Designated architecture — 指定架構(gòu)

cc215da36decc04a53b367fc978726e1.png

E-GAS 監(jiān)控架構(gòu)【功能安全】E-GAS架構(gòu)設(shè)計(jì)

946c54322d68dab1064e391c8e551314.png

架構(gòu)模型

fail-safe 架構(gòu)

adb9ccb4abeefb7d2437a4c2113947db.png

fail-operational 架構(gòu)

fail-operational架構(gòu)涉及到冗余,由于冗余的方式多種多樣,所以這種架構(gòu)的表現(xiàn)形式也是多樣化的,通常應(yīng)用MooN(D)架構(gòu)可以實(shí)現(xiàn)不同形式的fail-operational架構(gòu),所以這里我們就談?wù)劜煌琈ooN(D)架構(gòu)模型。

在講這些架構(gòu)模型之前,我們先了解下可靠性框圖中操作模式/模型概念

> 串聯(lián)模型

3e28a3283e1dcaf6cd3687c40b3232a2.png

> 并聯(lián)模型

6b413c01579b6db7cd6494960539bbaf.png

>混聯(lián)模型

3eaa5a2d5b9f0d0a15d00af92abb4c1c.png

MooN(D) 之 1oo1 — 一選一架構(gòu)

6cfb213993c88f4365e1870b0676ea8a.png

MooN(D) 之 1oo1D — 一選一診斷架構(gòu)

095ada042585df54a540602e4732c396.png

MooN(D) 之 1oo2 — 二選一架構(gòu)

68da577a3825a9c2e7da9a6dfc41a5bf.png

MooN(D) 之 2oo2 — 二選二架構(gòu)

a437fbb0def2843b16312f04a65115f1.png

由上面描述可知,1oo2架構(gòu)能夠降低系統(tǒng)發(fā)生危險(xiǎn)失效(fail positive)的概率,2oo2架構(gòu)能夠降低系統(tǒng)發(fā)生安全失效(fail negative)的概率(即降低誤停率)。簡單講,1oo2架構(gòu)讓危險(xiǎn)失效發(fā)生的難度加大,2oo2讓安全失效發(fā)生的難度加大,它們都只能對單一的可靠性指標(biāo)進(jìn)行改進(jìn)。

MooN(D) 之 1oo2D — 二選一診斷架構(gòu)

893fa6bdad1df50040e497e4659494da.png

MooN(D) 之 2oo2D — 二選二診斷架構(gòu)

63f6f01d88b3547389a6560eea20bfb4.png

MooN(D) 之 2oo3 — 三選二架構(gòu)

a8e7ddd39ca0dd4f57035edbeafd7273.png

02 投票邏輯架構(gòu)介紹

在安全儀表系統(tǒng)(SIS)中,1oo1、1oo2、2oo2和2oo3是常見的投票邏輯架構(gòu),用于提高系統(tǒng)的可靠性和安全性。以下是對這些架構(gòu)的詳細(xì)解釋:

  1. 1oo1(One-out-of-One)

    • 這是最簡單的投票邏輯,只有一個(gè)通道。它沒有冗余,因此無法提供故障容錯(cuò)能力。這種架構(gòu)適用于對安全要求不高的場景,但成本最低。

  2. 1oo2(One-out-of-Two)

    • 這種架構(gòu)使用兩個(gè)通道,其中一個(gè)通道發(fā)生故障時(shí),另一個(gè)通道可以繼續(xù)工作。它提供了基本的冗余,減少了誤動(dòng)作的概率。1oo2架構(gòu)的硬件故障容忍度(HFT)為1,即一個(gè)通道可以故障而系統(tǒng)仍能正常工作。

  3. 2oo2(Two-out-of-Two)

    • 這種架構(gòu)使用兩個(gè)通道,要求兩個(gè)通道都正常工作才能輸出信號。它提供了更高的安全性和可靠性,因?yàn)榧词挂粋€(gè)通道發(fā)生故障,系統(tǒng)也不會誤動(dòng)作。2oo2架構(gòu)的HFT為0,即兩個(gè)通道都必須正常工作。

  4. 2oo3(Two-out-of-Three)

    • 這種架構(gòu)使用三個(gè)通道,要求至少兩個(gè)通道正常工作才能輸出信號。它提供了最高的安全性和可靠性,因?yàn)榧词箖蓚€(gè)通道發(fā)生故障,系統(tǒng)也不會誤動(dòng)作。2oo3架構(gòu)的HFT為1,即一個(gè)通道可以故障而系統(tǒng)仍能正常工作。

這些投票邏輯架構(gòu)的選擇取決于系統(tǒng)的安全完整性等級(SIL)要求和成本考慮。例如,對于高安全要求的場景,通常會選擇2oo3架構(gòu),而對于成本敏感的場景,可能會選擇1oo2或1oo1架構(gòu)。

在實(shí)際應(yīng)用中,這些架構(gòu)的性能可以通過可靠性框圖計(jì)算推導(dǎo)出的平均失效概率(PFDavg)來評估。例如,1oo1結(jié)構(gòu)的PFDavg較低,而2oo3結(jié)構(gòu)的PFDavg較高,但誤動(dòng)作率也較低。

1oo1、1oo2、2oo2和2oo3是根據(jù)不同的安全需求和成本考慮設(shè)計(jì)的投票邏輯架構(gòu),每種架構(gòu)都有其特定的應(yīng)用場景和性能特點(diǎn)。

03 SIS架構(gòu)

基本SIS架構(gòu)
??????? 1oo1——這種單輸出電路能夠安全地?cái)嚅_開關(guān),使設(shè)備斷電并停止工藝過程。所謂安全的失效就是觸點(diǎn)在沒有原因的情況下打開了,雖然此類事件對于整個(gè)過程設(shè)施仍舊具有負(fù)面的經(jīng)濟(jì)影響,但是我們還是將其定義為誤觸發(fā)。危險(xiǎn)失效就是在確實(shí)有安全關(guān)斷的原因時(shí)觸點(diǎn)無法打開,這種情況可能由觸電過熱熔接導(dǎo)致。此類事件被定義為無法按需動(dòng)作。
??????? 1oo2——這種方法將兩個(gè)輸出(1oo1)串聯(lián),構(gòu)成常閉帶電的安全關(guān)斷電路。任何一個(gè)SIS動(dòng)作都會導(dǎo)致電路斷開。當(dāng)然,采用兩個(gè)1oo1電路也會引入雙倍誤觸發(fā)的可能,有可能對整個(gè)工藝過程帶來高昂的損失。但是,這種方法確實(shí)更加安全,因?yàn)橹恍枰粋€(gè)觸點(diǎn)動(dòng)作就可以實(shí)現(xiàn)關(guān)斷,無法按需動(dòng)作的危險(xiǎn)失效的可能性低得多。不管是1oo1還是1oo2都無法消除誤觸發(fā)的隱患。
??????? 2oo2——這些系統(tǒng)的輸出并聯(lián)設(shè)置,兩個(gè)觸點(diǎn)同時(shí)動(dòng)作才能將過程關(guān)斷。由于觸點(diǎn)是并聯(lián)的,所以誤觸發(fā)的可能性降低了,但是明顯的缺點(diǎn)就是危險(xiǎn)失效的可能性加倍了,系統(tǒng)的安全性降低。
????????可以看到,1oo2和2oo2系統(tǒng)都無法有效滿足安全性和誤觸發(fā)的要求。但是,如果能夠增加診斷功能就能夠獲得更高的可用性了,這就是所謂的1oo2D(帶診斷功能的1oo2)。
????????高級SIS架構(gòu)
??????? 2oo3或者三重模塊冗余(TMR)安全關(guān)斷系統(tǒng)通常被用于燃?xì)鉁u輪機(jī)、壓縮機(jī)和加熱器,也常被用于精煉廠中的獨(dú)立過程單元,例如焦化單元。
????????正如本文下頁開關(guān)圖所示,在2oo3配置下,只要有兩個(gè)通道同時(shí)觸發(fā),即使第三個(gè)通道并未觸發(fā),那么輸出動(dòng)作也會被觸發(fā)。如果只有一個(gè)SIS的兩組觸點(diǎn)被觸發(fā)了,那么有一條引線仍舊處于閉合狀態(tài),所以過程繼續(xù)工作。在現(xiàn)實(shí)世界中采用表決機(jī)制來確定2oo3架構(gòu)的輸出,而第三個(gè)信號被忽略,允許容錯(cuò)配置。

2oo3三重化冗余系統(tǒng)???????

??? 每一個(gè)三重化冗余系統(tǒng)都包含三個(gè)主處理器(MP)A、B和C。每一個(gè)MP控制獨(dú)立的通道并與其他兩個(gè)MP并行工作。每個(gè)MP上的專用I/O控制處理器對MP和I/O模塊之間的數(shù)據(jù)交換進(jìn)行管理。在系統(tǒng)主板上使用I/O總線電纜將每一列I/O模塊連接起來形成三重化的I/O總線。
??????? I/O控制處理器選擇輸入模塊,并將輸入數(shù)據(jù)發(fā)送給MP。MP隨后將輸入數(shù)據(jù)制表存儲到內(nèi)存當(dāng)中,用于選擇過程使用。使用三重化總線將每一個(gè)MP當(dāng)中的輸入表轉(zhuǎn)移給相鄰的MP,轉(zhuǎn)移之后就可以進(jìn)行選擇。三重化總線采用具有直接讀取內(nèi)存功能的可編程器件,在三個(gè)MP之間完成數(shù)據(jù)的同步、傳輸和比對。
????????如果有不一致出現(xiàn),那么就以2oo3表格的信號結(jié)果為準(zhǔn),然后MP根據(jù)結(jié)果校正第三個(gè)表格中的相應(yīng)數(shù)據(jù)。由于采樣時(shí)間不同所導(dǎo)致的差異能夠通過信號模式的不同區(qū)分出來。MP在本地存儲器中保存經(jīng)過必要更正的數(shù)據(jù)。內(nèi)置的故障分析器會將不一致的數(shù)據(jù)做出標(biāo)識,并在每一次掃描之后使用這些標(biāo)識用于判斷是否在特定模塊中有故障存在。
????????2oo4四重化冗余系統(tǒng)???????

?????? 四重化模塊冗余(QMR)架構(gòu)基于2oo4D(D代表內(nèi)置診斷功能)表決方式,每一個(gè)QPP(四處理器組,系統(tǒng)的處理模塊)都采用雙處理器技術(shù)。這意味這種方法具有極高的自我診斷功能和故障冗余能力。
????????四重化冗余系統(tǒng)架構(gòu)通過冗余控制器實(shí)現(xiàn)。冗余架構(gòu)包含兩個(gè)QPP,也就是四重冗余,為安全性提供了雙故障冗余能力。2oo4表決機(jī)制通過在每一個(gè)CPU和每一個(gè)QPP的內(nèi)存上采用1oo2表決機(jī)制來實(shí)現(xiàn),兩個(gè)QPP之間也具有1oo2表決功能。表決機(jī)制在兩個(gè)層面上進(jìn)行:在模塊層面上表決以及在QPP之間表決。

04 ADS域控制器架構(gòu)設(shè)計(jì)

自動(dòng)駕駛標(biāo)準(zhǔn)

7a42ba793198c9fc141f9f0a02430ca4.png

系統(tǒng)設(shè)計(jì)思考

1、安全目標(biāo)
在設(shè)計(jì)自動(dòng)駕駛系統(tǒng)的功能安全時(shí),通常會根據(jù)不同的自動(dòng)化及別設(shè)置相應(yīng)的安全目標(biāo)。一般而言:

  • L0到L2級別的自動(dòng)駕駛系統(tǒng)需要滿足ASIL B級的安全要求。

  • L3到L5級別的自動(dòng)駕駛系統(tǒng)需要滿足ASIL D級的安全要求。

2、功能安全架構(gòu)

A. Fail-operational架構(gòu):
Fail-operational架構(gòu)是L3到L5自動(dòng)駕駛系統(tǒng)基本的功能安全架構(gòu),其中有幾種主要的設(shè)計(jì)選擇:
a) 1oo2D架構(gòu):

6f0c62cab5ea90f5cde730f77bc29530.png

  • 功能描述:該架構(gòu)采用兩個(gè)到診斷(Diagnostic)的通道并行工作。如果其中一個(gè)通道故障,則停止該通道輸出,并切換到正常的通道輸出。

  • 降級操作:當(dāng)出現(xiàn)一次故障時(shí),系統(tǒng)仍能降級到1oo1D工作

b)2oo2D架構(gòu):

d9adb5ab3aaa072944957fc1f9e0db02.png

  • 功能描述:該架構(gòu)同樣采用兩個(gè)到診斷的通道并行工作。如果其中一個(gè)通道故障,則停止該通道輸出,正常的通道繼續(xù)輸出。

  • 降級操作:當(dāng)出現(xiàn)一次故障時(shí),系統(tǒng)仍能降級到1oo1D工作。

c)2OO3架構(gòu):

e348f1b554e7b0f8b4e14256584b2ee3.png

  • 功能描述:該架構(gòu)采用三個(gè)通道并行工作,按照少數(shù)服從多數(shù)原則,當(dāng)至少兩個(gè)通道一致時(shí)才進(jìn)行輸出。

  • 降級操作:當(dāng)出現(xiàn)一次故障時(shí),系統(tǒng)仍能降級到1oo2工作。

B. Fallback 系統(tǒng):

針對駕駛系統(tǒng),可以設(shè)計(jì)一套專門滿足 L2+ 級別自動(dòng)駕駛要求的Fallback系統(tǒng)。當(dāng)主系統(tǒng)發(fā)生故障時(shí),Fallback 系統(tǒng)接管控制,并將車輛控制至最小風(fēng)險(xiǎn)狀態(tài)。

C. 典型的 L4 自動(dòng)駕駛系統(tǒng)功能架構(gòu):

典型的L4級自動(dòng)駕駛系統(tǒng)如下圖,包括:傳感器冗余,通信冗余,域控通道冗余和執(zhí)行器冗余。

27a2df8ae35f5e918e57af4406de89c4.png

  • 傳感器冗余:

通過對傳感器類型的冗余設(shè)計(jì),包括攝像頭、激光雷達(dá)、毫米波雷達(dá)、超聲波雷達(dá)、GNSS 和 IMU 等傳感器,以及每種主要傳感器的冗余設(shè)計(jì),確保這些冗余傳感器分別接入冗余通道上。另外,還可以通過Bypass通道將傳感器Bypass到其他通道上,以確保某個(gè)通道失效時(shí),其他通道上的傳感器仍能正常工作。

  • 通信冗余:

在傳感器、域控、執(zhí)行器和其他相關(guān)控制器之間的通信通道和控制信號上需要具備冗余通道。這樣,當(dāng)單個(gè)通信通道發(fā)生故障時(shí),系統(tǒng)能夠通過冗余通道通信,或通過Fallback 系統(tǒng)進(jìn)入最小風(fēng)險(xiǎn)狀態(tài)。

  • 域控通道冗余:

根據(jù)1oo2D或 2oo2D架構(gòu)進(jìn)行安全分解,實(shí)現(xiàn)每個(gè)通道的 ASIL B(D) 功能,每個(gè)通道保持獨(dú)立性,功能算法采用異構(gòu)設(shè)計(jì),避免共因失效。帶有仲裁模塊,當(dāng)某個(gè)通道失效時(shí)禁止該通道的輸出,切換到其他通道運(yùn)行。

* SOC(System on Chip)功能安全:
根據(jù)廠家的安全手冊,實(shí)現(xiàn) SOC 的安全假設(shè),主要包括錯(cuò)誤引腳監(jiān)控,獨(dú)立電源,獨(dú)立時(shí)鐘和潛伏故障的監(jiān)測。
* MCU(Microcontroller Unit)功能安全:
采用符合 ASIL D 標(biāo)準(zhǔn)的安全芯片,實(shí)現(xiàn)對 SOC 錯(cuò)誤引腳、供電電壓、溫度、外部傳感器模塊、執(zhí)行器模塊以及安全路徑上的安全相關(guān)芯片故障的監(jiān)控,同時(shí)滿足MCU安全假設(shè)。
* 電源冗余:
設(shè)計(jì)雙電源系統(tǒng),當(dāng)一路電源失效時(shí),系統(tǒng)能夠通過降級或切換到 Fallback 系統(tǒng)進(jìn)入 MRC。雙電源之間保持獨(dú)立性,避免單點(diǎn)故障,并支持每路電源的電壓過壓、欠壓和過流監(jiān)測。當(dāng)電源故障時(shí),可通過開關(guān)切斷整個(gè)域控電源。

  • 執(zhí)行器冗余:

對轉(zhuǎn)向、剎車和動(dòng)力執(zhí)行器進(jìn)行冗余備份系統(tǒng)設(shè)計(jì),通過總線通信監(jiān)測執(zhí)行器的潛在故障。

以上是針對 L4 自動(dòng)駕駛系統(tǒng)的典型功能安全架構(gòu)和冗余設(shè)計(jì)示例。這些設(shè)計(jì)旨在提高系統(tǒng)的安全性和可靠性,以應(yīng)對不同級別的自動(dòng)駕駛需求。

系統(tǒng)層面常見的安全機(jī)制

7d6593e428301ea19dedcf64759c796a.png

示例

電動(dòng)汽車的核心部件整車控制器 VCU系統(tǒng)為例

在汽車的行駛過程中,VCU執(zhí)行了多項(xiàng)安全相關(guān)的控制任務(wù):例如采集加速踏板信號、制動(dòng)踏板信號及其它車輛信息、電池狀態(tài),并做出合理的邏輯判斷之后給各執(zhí)行器部件動(dòng)作輸出控制命令,來實(shí)現(xiàn)整車驅(qū)動(dòng)、制動(dòng)、能量回收、擋位切換、高壓上下電管理、整車熱管理等功能。

d41dc9b0655d2b84210890e5bc1d9046.png

示例:EPS系統(tǒng)


Symmetric 1oo2D的架構(gòu),常見于支持Fail-Operational 的電子助力轉(zhuǎn)向EPS系統(tǒng)

56de88bb226cf5c14280aeeee11752e2.png

如上圖所示,該EPS系統(tǒng)包含兩套完全對稱的鏡像功能鏈路,提供了轉(zhuǎn)向功能必備的供電、通訊、傳感、控制與執(zhí)行部分。對于每條功能路徑的容錯(cuò)設(shè)計(jì),則與Fail-Safe類似,具備獨(dú)立的自我診斷與監(jiān)控功能。與此同時(shí),兩條功能鏈路均正常工作時(shí)才能提供完整的轉(zhuǎn)向功能,當(dāng)其中任何一條功能鏈路失效,另外一條功能鏈路仍能提供部分轉(zhuǎn)向力,而不會導(dǎo)致系統(tǒng)直接停止,從而影響系統(tǒng)轉(zhuǎn)向需求的功能安全。

99b23e61cdaa51cf28476890c5317296.png

而Asymmetric 1oo2D的架構(gòu),常見于需要支持Fail-Operational 的ADAS/ AD控制系統(tǒng)中(如上圖)。?

http://aloenet.com.cn/news/44349.html

相關(guān)文章:

  • 中信建設(shè)有限責(zé)任公司唐萬哩如何提高網(wǎng)站seo排名
  • 網(wǎng)站的功能和特色百度推廣是做什么的
  • 玉樹市公司網(wǎng)站建設(shè)seo搜外
  • 網(wǎng)站的原型怎么做百度搜索競價(jià)排名
  • 網(wǎng)站開發(fā)目錄結(jié)構(gòu)百度首頁排名怎么做到
  • 做ppt模板網(wǎng)站有哪些網(wǎng)站統(tǒng)計(jì)
  • 做自己網(wǎng)站彩票免費(fèi)站長工具
  • 寶安有效的網(wǎng)站制作站長域名查詢工具
  • python源碼分享網(wǎng)站百度客服24小時(shí)人工服務(wù)
  • wordpress消息系統(tǒng)滕州網(wǎng)站建設(shè)優(yōu)化
  • 淘寶開店網(wǎng)站怎么做網(wǎng)絡(luò)稿件投稿平臺
  • 可以做照片書的網(wǎng)站百度推廣入口
  • next 主題wordpress谷歌seo招聘
  • 用內(nèi)網(wǎng)穿透做網(wǎng)站可以被收錄嗎淘寶關(guān)鍵詞搜索工具
  • 懷柔網(wǎng)站制作煙臺seo網(wǎng)絡(luò)推廣
  • 淄博 網(wǎng)站建設(shè)免費(fèi)網(wǎng)站在線客服系統(tǒng)源碼
  • 貴州住房和城鄉(xiāng)建設(shè)部網(wǎng)站官網(wǎng)阿里關(guān)鍵詞排名查詢
  • 德升武漢網(wǎng)站建設(shè)推廣哪個(gè)網(wǎng)站好
  • 談?wù)劸W(wǎng)站的開發(fā)流程長沙網(wǎng)站優(yōu)化seo
  • 網(wǎng)站建設(shè) 書籍下載廣告推廣方案怎么寫
  • 做一個(gè)網(wǎng)站人員seo運(yùn)營是什么
  • 深圳鹽田建設(shè)交易中心網(wǎng)站什么叫軟文
  • wwe中文官網(wǎng)站網(wǎng)站一級域名和二級域名區(qū)別
  • 廣州行業(yè)網(wǎng)站建設(shè)武漢seo公司出 名
  • 開發(fā)一個(gè)企業(yè)網(wǎng)站需要多少錢百度認(rèn)證服務(wù)平臺
  • 車牌照損壞在網(wǎng)站做的能用嗎吉林seo外包
  • 網(wǎng)站建設(shè)成本價(jià)長沙免費(fèi)建站網(wǎng)絡(luò)營銷
  • 輿情監(jiān)測系統(tǒng)永久免費(fèi)seo整站優(yōu)化哪家專業(yè)
  • 河南網(wǎng)絡(luò)推廣那家好煙臺seo快速排名
  • 做企業(yè)網(wǎng)站開發(fā)哪家好網(wǎng)絡(luò)推廣工作室