目錄

01 系統(tǒng)架構(gòu)介紹

02 投票邏輯架構(gòu)介紹

03 SIS架構(gòu)

04 ADS域控制器架構(gòu)設(shè)計(jì)

---

01 系統(tǒng)架構(gòu)介紹

法規(guī)GBT 34590 Part4

part10定義的軟件要求、設(shè)計(jì)和測試子階段之間的關(guān)系（其中的3-7個(gè)人建議翻譯為初始架構(gòu)設(shè)計(jì)更合理????）

系統(tǒng)架構(gòu)的作用（借鑒 MUNIK）

架構(gòu)模型

根據(jù)ISO26262中的定義,相關(guān)項(xiàng)由一個(gè)或者多個(gè)系統(tǒng)組成,而一一個(gè)系統(tǒng)應(yīng)該至少包括1個(gè)傳感器、1個(gè)控制單元和1個(gè)執(zhí)行器,如下所示。

1、傳感器部分??? （借鑒 AUTO世代）

首先，我們在系統(tǒng)中融入傳感器部分安全機(jī)制，需要注意的是，此處的傳感器代表廣義的輸入信息，可以是具體傳感器信號，也可以是其他類型通訊信息，例如CAN，SENT等。

傳感器的硬件冗余(當(dāng)然傳感器必須獨(dú)立供電)多適用于對于ASIL等級要求非常高的信號，如ASIL ?C, D，尤其是D，其主要目的是為避免傳感器硬件隨機(jī)失效，通過信號相互校驗(yàn)，增加系統(tǒng)輸入信息可靠性。

這里的傳感器硬件冗余采集，可以是利用相同的兩個(gè)傳感器，對同一信號進(jìn)行重復(fù)采集(例如，踏板信號)，也可以是利用不同類型傳感器，對強(qiáng)相關(guān)的兩個(gè)信號分別進(jìn)行采集(例如，制動(dòng)踏板位置和壓力信息等)。

當(dāng)然，傳感器輸入冗余信息，在控制單元中，必須進(jìn)行多路采集，除傳感器本身提供診斷信息外，還需要對其信號有效性進(jìn)行檢驗(yàn)，包括數(shù)值有效范圍檢測，在線監(jiān)控，Test Pattern，輸入對比，相關(guān)性，合理性檢測等。

2、控制單元???

控制單元屬于整個(gè)系統(tǒng)中最重要的部分，控制單元相關(guān)的安全機(jī)制其實(shí)很大程度上決定了系統(tǒng)安全架構(gòu)和系統(tǒng)復(fù)雜程度。

提到控制單元相關(guān)的安全機(jī)制，很多朋友第一反應(yīng)是，控制器軟件分層，控制器硬件冗余(雙控制器，Dual Core LockStep雙核鎖步等)，看門狗，程序流監(jiān)控等。

雖然這些都是控制單元常用的安全機(jī)制，但從系統(tǒng)角度而言，它們相對過于具體，只是針對某一類故障而設(shè)計(jì)的軟件或硬件安全機(jī)制，需要在系統(tǒng)安全架構(gòu)基礎(chǔ)上具體明確。

接下來我們從系統(tǒng)角度，先看看系統(tǒng)級別安全架構(gòu)，后續(xù)無非就是將具體的軟件和硬件安全機(jī)制逐步應(yīng)用于系統(tǒng)架構(gòu)當(dāng)中去。

一般來說，所有的安全機(jī)制本質(zhì)上都服務(wù)于兩類安全架構(gòu):
? Fail to safe
? Fail to operational

Fail to safe

?Fail to operational

3、執(zhí)行器

4、通信安全

在一個(gè)系統(tǒng)中有幾種經(jīng)典的架構(gòu),通常會見到這幾個(gè)名詞faii-safe、fail-silent和fail-operational。畫個(gè)圖來簡單示意下這幾種架構(gòu)設(shè)計(jì)的相
互關(guān)系。如下圖所示,Fail-Safe包含:fail-operational和fail-silent兩種,它們都屬于是安全的失效。

Fail-Safe：該架構(gòu)通常芯片設(shè)計(jì)層級使用較多，當(dāng)芯片發(fā)生error時(shí)，芯片會執(zhí)行POWER down、Reset、緊急運(yùn)行等的操作?；蛘弋?dāng)程序輪詢監(jiān)控到對應(yīng)的寄存器有問題時(shí)請求MCU判斷執(zhí)行后續(xù)操作（MCU的操作要在合理的FTTI之內(nèi)完成才有效），從而使得IC進(jìn)入安全的靜默（silent）狀態(tài)。

Fail-Operational:?該架構(gòu)通常整車層級和系統(tǒng)層級使用較多，該架構(gòu)通常應(yīng)用MooN(D)架構(gòu)可以實(shí)現(xiàn)不同形式的fail-operational架構(gòu)。簡單的Fail-?Operational可以理解為當(dāng)通道1失效后，作為冗余的通道2還可以接替它的工作，使得整個(gè)系統(tǒng)處于安全的狀態(tài)。

舉個(gè)域控制器中我們實(shí)際研發(fā)的例子讓大家感受下MOON（D）的概念。

1oo2D域控制器架構(gòu)示例：

此架構(gòu)方案由并聯(lián)的兩個(gè)通道組成，在其中一個(gè)失效后，啟用另外一個(gè)。冗余的傳感器可以是雷達(dá)模組或者其他傳感器的系統(tǒng)。對于該系統(tǒng)而言在MCU檢測出main SOC出問題時(shí)啟動(dòng)fullback 的SOC并關(guān)閉main SOC（前提是兩個(gè)SOC的設(shè)計(jì)不會發(fā)生DFA的相關(guān)性失效）以此來保證系統(tǒng)的正常運(yùn)行。

系統(tǒng)架構(gòu)層級的相關(guān)安全機(jī)制梳理

上文NO2.1開頭提到一個(gè)系統(tǒng)的簡單組成至少包括：一個(gè)傳感器、一個(gè)處理器和一個(gè)執(zhí)行器，那么在系統(tǒng)層級我們來分析下它都有哪些安全機(jī)制。

3個(gè)模塊之間少不了有通訊或者系統(tǒng)層級需要有程序的燒錄等情況出現(xiàn)，模塊可能會通過CAN，CAN-FD，UART，I2C，SPI，PHY等進(jìn)行片內(nèi)或片外、板內(nèi)或板外的通訊或者程序的燒錄，下面以串口UART舉例說明通訊模塊的安全機(jī)制都有哪些。

注釋：以上是基于ISO26262標(biāo)準(zhǔn)及經(jīng)驗(yàn)的總結(jié)，僅供參考，具體項(xiàng)目還需實(shí)際分析及動(dòng)態(tài)調(diào)整。

對于軟件層級（Auto sar）來說它的核心安全機(jī)制可以分為以下幾類供大家參考：

(1)內(nèi)存分區(qū)

(2)邏輯監(jiān)控

(3)E2E 保護(hù)

(4)Timing?Monitor

(5)CRC等

fail-safe、fail-operational、fail-secure、fail-silent介紹(借鑒知乎WF.WANG)

fail-safe — 失效安全

fail-operational — 失效可運(yùn)行

fail-silent — 失效靜默

fail-secure — 失效安保

MooN — N選M架構(gòu)

Designated architecture — 指定架構(gòu)

E-GAS 監(jiān)控架構(gòu)【功能安全】E-GAS架構(gòu)設(shè)計(jì)

架構(gòu)模型

fail-safe 架構(gòu)

fail-operational 架構(gòu)

fail-operational架構(gòu)涉及到冗余，由于冗余的方式多種多樣，所以這種架構(gòu)的表現(xiàn)形式也是多樣化的，通常應(yīng)用MooN(D)架構(gòu)可以實(shí)現(xiàn)不同形式的fail-operational架構(gòu)，所以這里我們就談?wù)劜煌琈ooN(D)架構(gòu)模型。

在講這些架構(gòu)模型之前，我們先了解下可靠性框圖中操作模式/模型概念

> 串聯(lián)模型

> 并聯(lián)模型

>混聯(lián)模型

MooN(D) 之 1oo1 — 一選一架構(gòu)

MooN(D) 之 1oo1D — 一選一診斷架構(gòu)

MooN(D) 之 1oo2 — 二選一架構(gòu)

MooN(D) 之 2oo2 — 二選二架構(gòu)

由上面描述可知，1oo2架構(gòu)能夠降低系統(tǒng)發(fā)生危險(xiǎn)失效(fail positive)的概率，2oo2架構(gòu)能夠降低系統(tǒng)發(fā)生安全失效(fail negative)的概率（即降低誤停率）。簡單講，1oo2架構(gòu)讓危險(xiǎn)失效發(fā)生的難度加大，2oo2讓安全失效發(fā)生的難度加大，它們都只能對單一的可靠性指標(biāo)進(jìn)行改進(jìn)。

MooN(D) 之 1oo2D — 二選一診斷架構(gòu)

MooN(D) 之 2oo2D — 二選二診斷架構(gòu)

MooN(D) 之 2oo3 — 三選二架構(gòu)

02 投票邏輯架構(gòu)介紹

在安全儀表系統(tǒng)（SIS）中，1oo1、1oo2、2oo2和2oo3是常見的投票邏輯架構(gòu)，用于提高系統(tǒng)的可靠性和安全性。以下是對這些架構(gòu)的詳細(xì)解釋：

1. 1oo1（One-out-of-One）：

   • 這是最簡單的投票邏輯，只有一個(gè)通道。它沒有冗余，因此無法提供故障容錯(cuò)能力。這種架構(gòu)適用于對安全要求不高的場景，但成本最低。

2. 1oo2（One-out-of-Two）：

   • 這種架構(gòu)使用兩個(gè)通道，其中一個(gè)通道發(fā)生故障時(shí)，另一個(gè)通道可以繼續(xù)工作。它提供了基本的冗余，減少了誤動(dòng)作的概率。1oo2架構(gòu)的硬件故障容忍度（HFT）為1，即一個(gè)通道可以故障而系統(tǒng)仍能正常工作。

3. 2oo2（Two-out-of-Two）：

   • 這種架構(gòu)使用兩個(gè)通道，要求兩個(gè)通道都正常工作才能輸出信號。它提供了更高的安全性和可靠性，因?yàn)榧词挂粋€(gè)通道發(fā)生故障，系統(tǒng)也不會誤動(dòng)作。2oo2架構(gòu)的HFT為0，即兩個(gè)通道都必須正常工作。

4. 2oo3（Two-out-of-Three）：

   • 這種架構(gòu)使用三個(gè)通道，要求至少兩個(gè)通道正常工作才能輸出信號。它提供了最高的安全性和可靠性，因?yàn)榧词箖蓚€(gè)通道發(fā)生故障，系統(tǒng)也不會誤動(dòng)作。2oo3架構(gòu)的HFT為1，即一個(gè)通道可以故障而系統(tǒng)仍能正常工作。

這些投票邏輯架構(gòu)的選擇取決于系統(tǒng)的安全完整性等級（SIL）要求和成本考慮。例如，對于高安全要求的場景，通常會選擇2oo3架構(gòu)，而對于成本敏感的場景，可能會選擇1oo2或1oo1架構(gòu)。

在實(shí)際應(yīng)用中，這些架構(gòu)的性能可以通過可靠性框圖計(jì)算推導(dǎo)出的平均失效概率（PFDavg）來評估。例如，1oo1結(jié)構(gòu)的PFDavg較低，而2oo3結(jié)構(gòu)的PFDavg較高，但誤動(dòng)作率也較低。

1oo1、1oo2、2oo2和2oo3是根據(jù)不同的安全需求和成本考慮設(shè)計(jì)的投票邏輯架構(gòu)，每種架構(gòu)都有其特定的應(yīng)用場景和性能特點(diǎn)。

03 SIS架構(gòu)

基本SIS架構(gòu)
??????? 1oo1——這種單輸出電路能夠安全地?cái)嚅_開關(guān)，使設(shè)備斷電并停止工藝過程。所謂安全的失效就是觸點(diǎn)在沒有原因的情況下打開了，雖然此類事件對于整個(gè)過程設(shè)施仍舊具有負(fù)面的經(jīng)濟(jì)影響，但是我們還是將其定義為誤觸發(fā)。危險(xiǎn)失效就是在確實(shí)有安全關(guān)斷的原因時(shí)觸點(diǎn)無法打開，這種情況可能由觸電過熱熔接導(dǎo)致。此類事件被定義為無法按需動(dòng)作。
??????? 1oo2——這種方法將兩個(gè)輸出（1oo1）串聯(lián)，構(gòu)成常閉帶電的安全關(guān)斷電路。任何一個(gè)SIS動(dòng)作都會導(dǎo)致電路斷開。當(dāng)然，采用兩個(gè)1oo1電路也會引入雙倍誤觸發(fā)的可能，有可能對整個(gè)工藝過程帶來高昂的損失。但是，這種方法確實(shí)更加安全，因?yàn)橹恍枰粋€(gè)觸點(diǎn)動(dòng)作就可以實(shí)現(xiàn)關(guān)斷，無法按需動(dòng)作的危險(xiǎn)失效的可能性低得多。不管是1oo1還是1oo2都無法消除誤觸發(fā)的隱患。
??????? 2oo2——這些系統(tǒng)的輸出并聯(lián)設(shè)置，兩個(gè)觸點(diǎn)同時(shí)動(dòng)作才能將過程關(guān)斷。由于觸點(diǎn)是并聯(lián)的，所以誤觸發(fā)的可能性降低了，但是明顯的缺點(diǎn)就是危險(xiǎn)失效的可能性加倍了，系統(tǒng)的安全性降低。
????????可以看到，1oo2和2oo2系統(tǒng)都無法有效滿足安全性和誤觸發(fā)的要求。但是，如果能夠增加診斷功能就能夠獲得更高的可用性了，這就是所謂的1oo2D（帶診斷功能的1oo2）。
????????高級SIS架構(gòu)
??????? 2oo3或者三重模塊冗余（TMR）安全關(guān)斷系統(tǒng)通常被用于燃?xì)鉁u輪機(jī)、壓縮機(jī)和加熱器，也常被用于精煉廠中的獨(dú)立過程單元，例如焦化單元。
????????正如本文下頁開關(guān)圖所示，在2oo3配置下，只要有兩個(gè)通道同時(shí)觸發(fā)，即使第三個(gè)通道并未觸發(fā)，那么輸出動(dòng)作也會被觸發(fā)。如果只有一個(gè)SIS的兩組觸點(diǎn)被觸發(fā)了，那么有一條引線仍舊處于閉合狀態(tài)，所以過程繼續(xù)工作。在現(xiàn)實(shí)世界中采用表決機(jī)制來確定2oo3架構(gòu)的輸出，而第三個(gè)信號被忽略，允許容錯(cuò)配置。

2oo3三重化冗余系統(tǒng)???????

??? 每一個(gè)三重化冗余系統(tǒng)都包含三個(gè)主處理器（MP）A、B和C。每一個(gè)MP控制獨(dú)立的通道并與其他兩個(gè)MP并行工作。每個(gè)MP上的專用I/O控制處理器對MP和I/O模塊之間的數(shù)據(jù)交換進(jìn)行管理。在系統(tǒng)主板上使用I/O總線電纜將每一列I/O模塊連接起來形成三重化的I/O總線。
??????? I/O控制處理器選擇輸入模塊，并將輸入數(shù)據(jù)發(fā)送給MP。MP隨后將輸入數(shù)據(jù)制表存儲到內(nèi)存當(dāng)中，用于選擇過程使用。使用三重化總線將每一個(gè)MP當(dāng)中的輸入表轉(zhuǎn)移給相鄰的MP，轉(zhuǎn)移之后就可以進(jìn)行選擇。三重化總線采用具有直接讀取內(nèi)存功能的可編程器件，在三個(gè)MP之間完成數(shù)據(jù)的同步、傳輸和比對。
????????如果有不一致出現(xiàn)，那么就以2oo3表格的信號結(jié)果為準(zhǔn)，然后MP根據(jù)結(jié)果校正第三個(gè)表格中的相應(yīng)數(shù)據(jù)。由于采樣時(shí)間不同所導(dǎo)致的差異能夠通過信號模式的不同區(qū)分出來。MP在本地存儲器中保存經(jīng)過必要更正的數(shù)據(jù)。內(nèi)置的故障分析器會將不一致的數(shù)據(jù)做出標(biāo)識，并在每一次掃描之后使用這些標(biāo)識用于判斷是否在特定模塊中有故障存在。
????????2oo4四重化冗余系統(tǒng)???????

?????? 四重化模塊冗余（QMR）架構(gòu)基于2oo4D（D代表內(nèi)置診斷功能）表決方式，每一個(gè)QPP（四處理器組，系統(tǒng)的處理模塊）都采用雙處理器技術(shù)。這意味這種方法具有極高的自我診斷功能和故障冗余能力。
????????四重化冗余系統(tǒng)架構(gòu)通過冗余控制器實(shí)現(xiàn)。冗余架構(gòu)包含兩個(gè)QPP，也就是四重冗余，為安全性提供了雙故障冗余能力。2oo4表決機(jī)制通過在每一個(gè)CPU和每一個(gè)QPP的內(nèi)存上采用1oo2表決機(jī)制來實(shí)現(xiàn)，兩個(gè)QPP之間也具有1oo2表決功能。表決機(jī)制在兩個(gè)層面上進(jìn)行：在模塊層面上表決以及在QPP之間表決。

04 ADS域控制器架構(gòu)設(shè)計(jì)

自動(dòng)駕駛標(biāo)準(zhǔn)

系統(tǒng)設(shè)計(jì)思考

1、安全目標(biāo)
在設(shè)計(jì)自動(dòng)駕駛系統(tǒng)的功能安全時(shí),通常會根據(jù)不同的自動(dòng)化及別設(shè)置相應(yīng)的安全目標(biāo)。一般而言:

• L0到L2級別的自動(dòng)駕駛系統(tǒng)需要滿足ASIL B級的安全要求。

• L3到L5級別的自動(dòng)駕駛系統(tǒng)需要滿足ASIL D級的安全要求。

2、功能安全架構(gòu)

A. Fail-operational架構(gòu):
Fail-operational架構(gòu)是L3到L5自動(dòng)駕駛系統(tǒng)基本的功能安全架構(gòu),其中有幾種主要的設(shè)計(jì)選擇:
a) 1oo2D架構(gòu)：

• 功能描述：該架構(gòu)采用兩個(gè)到診斷（Diagnostic）的通道并行工作。如果其中一個(gè)通道故障，則停止該通道輸出，并切換到正常的通道輸出。

• 降級操作：當(dāng)出現(xiàn)一次故障時(shí)，系統(tǒng)仍能降級到1oo1D工作

b）2oo2D架構(gòu)：

• 功能描述：該架構(gòu)同樣采用兩個(gè)到診斷的通道并行工作。如果其中一個(gè)通道故障，則停止該通道輸出，正常的通道繼續(xù)輸出。

• 降級操作：當(dāng)出現(xiàn)一次故障時(shí)，系統(tǒng)仍能降級到1oo1D工作。

c）2OO3架構(gòu)：

• 功能描述：該架構(gòu)采用三個(gè)通道并行工作，按照少數(shù)服從多數(shù)原則，當(dāng)至少兩個(gè)通道一致時(shí)才進(jìn)行輸出。

• 降級操作：當(dāng)出現(xiàn)一次故障時(shí)，系統(tǒng)仍能降級到1oo2工作。

B. Fallback 系統(tǒng)：

針對駕駛系統(tǒng)，可以設(shè)計(jì)一套專門滿足 L2+ 級別自動(dòng)駕駛要求的Fallback系統(tǒng)。當(dāng)主系統(tǒng)發(fā)生故障時(shí)，Fallback 系統(tǒng)接管控制，并將車輛控制至最小風(fēng)險(xiǎn)狀態(tài)。

C. 典型的 L4 自動(dòng)駕駛系統(tǒng)功能架構(gòu)：

典型的L4級自動(dòng)駕駛系統(tǒng)如下圖，包括：傳感器冗余，通信冗余，域控通道冗余和執(zhí)行器冗余。

• 傳感器冗余：

通過對傳感器類型的冗余設(shè)計(jì)，包括攝像頭、激光雷達(dá)、毫米波雷達(dá)、超聲波雷達(dá)、GNSS 和 IMU 等傳感器，以及每種主要傳感器的冗余設(shè)計(jì)，確保這些冗余傳感器分別接入冗余通道上。另外，還可以通過Bypass通道將傳感器Bypass到其他通道上，以確保某個(gè)通道失效時(shí)，其他通道上的傳感器仍能正常工作。

• 通信冗余：

在傳感器、域控、執(zhí)行器和其他相關(guān)控制器之間的通信通道和控制信號上需要具備冗余通道。這樣，當(dāng)單個(gè)通信通道發(fā)生故障時(shí)，系統(tǒng)能夠通過冗余通道通信，或通過Fallback 系統(tǒng)進(jìn)入最小風(fēng)險(xiǎn)狀態(tài)。

• 域控通道冗余：

根據(jù)1oo2D或 2oo2D架構(gòu)進(jìn)行安全分解，實(shí)現(xiàn)每個(gè)通道的 ASIL B(D) 功能，每個(gè)通道保持獨(dú)立性，功能算法采用異構(gòu)設(shè)計(jì)，避免共因失效。帶有仲裁模塊，當(dāng)某個(gè)通道失效時(shí)禁止該通道的輸出，切換到其他通道運(yùn)行。

* SOC（System on Chip）功能安全：
根據(jù)廠家的安全手冊，實(shí)現(xiàn) SOC 的安全假設(shè)，主要包括錯(cuò)誤引腳監(jiān)控,獨(dú)立電源，獨(dú)立時(shí)鐘和潛伏故障的監(jiān)測。
* MCU（Microcontroller Unit）功能安全：
采用符合 ASIL D 標(biāo)準(zhǔn)的安全芯片，實(shí)現(xiàn)對 SOC 錯(cuò)誤引腳、供電電壓、溫度、外部傳感器模塊、執(zhí)行器模塊以及安全路徑上的安全相關(guān)芯片故障的監(jiān)控，同時(shí)滿足MCU安全假設(shè)。
* 電源冗余：
設(shè)計(jì)雙電源系統(tǒng)，當(dāng)一路電源失效時(shí)，系統(tǒng)能夠通過降級或切換到 Fallback 系統(tǒng)進(jìn)入 MRC。雙電源之間保持獨(dú)立性，避免單點(diǎn)故障，并支持每路電源的電壓過壓、欠壓和過流監(jiān)測。當(dāng)電源故障時(shí)，可通過開關(guān)切斷整個(gè)域控電源。

• 執(zhí)行器冗余：

對轉(zhuǎn)向、剎車和動(dòng)力執(zhí)行器進(jìn)行冗余備份系統(tǒng)設(shè)計(jì)，通過總線通信監(jiān)測執(zhí)行器的潛在故障。

以上是針對 L4 自動(dòng)駕駛系統(tǒng)的典型功能安全架構(gòu)和冗余設(shè)計(jì)示例。這些設(shè)計(jì)旨在提高系統(tǒng)的安全性和可靠性，以應(yīng)對不同級別的自動(dòng)駕駛需求。

系統(tǒng)層面常見的安全機(jī)制

示例

電動(dòng)汽車的核心部件整車控制器 VCU系統(tǒng)為例

在汽車的行駛過程中，VCU執(zhí)行了多項(xiàng)安全相關(guān)的控制任務(wù)：例如采集加速踏板信號、制動(dòng)踏板信號及其它車輛信息、電池狀態(tài)，并做出合理的邏輯判斷之后給各執(zhí)行器部件動(dòng)作輸出控制命令，來實(shí)現(xiàn)整車驅(qū)動(dòng)、制動(dòng)、能量回收、擋位切換、高壓上下電管理、整車熱管理等功能。

示例:EPS系統(tǒng)

Symmetric 1oo2D的架構(gòu)，常見于支持Fail-Operational 的電子助力轉(zhuǎn)向EPS系統(tǒng)

如上圖所示，該EPS系統(tǒng)包含兩套完全對稱的鏡像功能鏈路，提供了轉(zhuǎn)向功能必備的供電、通訊、傳感、控制與執(zhí)行部分。對于每條功能路徑的容錯(cuò)設(shè)計(jì)，則與Fail-Safe類似，具備獨(dú)立的自我診斷與監(jiān)控功能。與此同時(shí)，兩條功能鏈路均正常工作時(shí)才能提供完整的轉(zhuǎn)向功能，當(dāng)其中任何一條功能鏈路失效，另外一條功能鏈路仍能提供部分轉(zhuǎn)向力，而不會導(dǎo)致系統(tǒng)直接停止，從而影響系統(tǒng)轉(zhuǎn)向需求的功能安全。

而Asymmetric 1oo2D的架構(gòu)，常見于需要支持Fail-Operational 的ADAS/ AD控制系統(tǒng)中(如上圖)。?