Seni bina perisian keselamatan berfungsi kereta pintar

Idea seni bina keselamatan E-GAS 01

Keselamatan berfungsi automotif bertujuan untuk mengawal risiko bahaya peribadi yang disebabkan oleh kegagalan sistem elektronik dan elektrik dalam julat yang munasabah. Rajah berikut ialah rajah komposisi perkakasan sistem elektronik dan elektrik yang biasa Komponen sistem elektronik dan elektrik, sebagai tambahan kepada perkakasan yang boleh dilihat dalam rajah, juga termasuk perisian yang tidak kelihatan dalam rajah.

Rajah 1 Sistem perkakasan elektronik dan elektrik yang biasa digunakan

Kegagalan sistem elektronik dan elektrik termasuk kedua-dua kegagalan sistemik yang disebabkan oleh kesilapan reka bentuk perisian dan perkakasan serta kegagalan yang disebabkan oleh kegagalan perkakasan rawak. Mengikut seni bina sistem, pelbagai mekanisme keselamatan perlu direka bentuk untuk mencegah dan mengesan kegagalan fungsi, dan untuk mengelakkan atau mengurangkan bahaya apabila kegagalan berlaku. Ini memerlukan seni bina perisian keselamatan berfungsi yang kukuh untuk mengurus dan mengawal mekanisme keselamatan ini dan mengurangkan kesukaran pembangunan keseluruhan keselamatan berfungsi.

Pada masa ini, E-GAS (Konsep Pemantauan E-Gas Standard untuk Unit Kawalan Enjin Petrol dan Diesel) sudah pasti merupakan penyelesaian seni bina perisian keselamatan yang paling banyak digunakan. Walaupun E-GAS pada asalnya dicadangkan sebagai penyelesaian seni bina keselamatan untuk sistem pengurusan enjin petrol/diesel, selepas penyesuaian mudah, ia juga boleh digunakan dalam sistem badan, sistem penghantaran, dan sistem tiga elektrik tenaga baharu, dsb., dengan sangat baik. Boleh diperluas dan digunakan secara meluas.

Gambar di bawah ialah reka bentuk seni bina perisian tiga lapisan E-GAS Dari atas ke bawah, perisian ini dibahagikan kepada Tahap1~3, sebanyak tiga lapisan tahap fungsi , Tahap2 ialah tahap pemantauan fungsi, dan Tahap3 ialah tahap pemantauan pengawal. Seni bina ini membentuk rangka kerja pemantauan berlapis yang baik dan merealisasikan penguraian keselamatan berfungsi dengan berkesan Strategi penguraian keselamatan QM (ASIL X) + ASIL X (ASIL X) biasanya diguna pakai, iaitu perisian pelaksanaan fungsi (Level1) dibangunkan mengikut. tahap QM , perisian berlebihan berfungsi atau langkah keselamatan (Tahap 2, Tahap 3) dibangunkan mengikut tahap keperluan tertinggi ASIL X (ASIL X), yang boleh mengurangkan kos pembangunan keselamatan perisian berfungsi dengan berkesan.

Rajah 2 E-GAS penyelesaian seni bina pemantauan tiga lapisan

Lapisan pelaksanaan fungsi Tahap1

Tahap1 ialah lapisan pelaksanaan fungsi, yang melengkapkan pelaksanaan fungsi tertentu, seperti untuk pengawal motor Dengan kata lain, lapisan ini menukar tork yang diminta kepada output tork motor.

Lapisan pemantauan fungsi Level2

Level2 ialah lapisan pemantauan fungsi, digunakan untuk memantau Tahap1 Sama ada fungsi beroperasi secara normal. Teras Tahap2 adalah untuk mereka bentuk kaedah untuk menentukan sama ada Tahap1 berjalan seperti biasa. Walaupun kaedah menilai sama ada Tahap1 berjalan secara normal selalunya berkaitan dengan fungsi yang dipantau, fungsi yang dipantau yang berbeza mempunyai kaedah pertimbangan yang berbeza, seperti: melalui kepelbagaian perisian dan redundansi. Walau bagaimanapun, terdapat juga beberapa kaedah penghakiman dengan aplikasi yang lebih luas, seperti semakan rasional.

Rajah 3 Semakan munasabah

Seperti ditunjukkan dalam rajah di atas, apabila Tahap2 menggunakan kaedah pengesahan rasional untuk menentukan sama ada fungsi Tahap1 beroperasi secara normal, ia mula-mula mengira julat munasabah bagi keluaran kuantiti kawalan yang dibenarkan berdasarkan input isyarat oleh penderia, kemudian mengira kuantiti keluaran disuap balik daripada penggerak, dan akhirnya menentukan sama ada volum keluaran sebenar Tahap1 berada dalam julat munasabah yang dibenarkan Jika ia melebihi julat munasabah, ia ditentukan bahawa fungsi Tahap1 tidak normal dan pemprosesan ralat dilakukan.

Lapisan pemantauan pengawal Tahap3

Level3 ialah lapisan pemantauan pengawal, yang terutamanya terdiri daripada Tiga bahagian komposisi berfungsi.

Diagnosis perkakasan sistem elektronik dan elektrik: Pantau kegagalan perkakasan sistem elektronik dan elektrik, seperti: kegagalan teras CPU pengawal, kegagalan RAM, kegagalan ROM, dsb.

Pemantauan bebas: Selepas kegagalan berkaitan pengawal berlaku, pengawal tidak lagi boleh melaksanakan logik berkaitan keselamatan dengan pasti Untuk memastikan keselamatan, modul pemantauan bebas luaran tambahan diperlukan. Pastikan walaupun selepas kegagalan serius berlaku dalam MCU, ia masih boleh memasuki keadaan selamat. Modul pemantauan bebas tambahan ini biasanya merupakan cip pengurusan kuasa dengan pengawas bersepadu.

Semakan aliran aplikasi: Pantau sama ada program pemantauan Tahap1 dan Tahap2 berjalan seperti biasa. Fungsi pemantauan ini dilaksanakan dengan mengikat pemeriksaan aliran program dan pemberian makanan pengawas. Jika program pemantauan yang berkaitan dengan Level1 dan Level2 tidak berjalan dalam susunan yang ditetapkan, atau tidak dilaksanakan dalam masa yang ditetapkan, semakan aliran program gagal dan anjing tidak boleh diberi makan secara normal, sekali gus memasuki keadaan keselamatan sistem.

Rajah 4 Aras3 rajah blok berfungsi

02 Pembangunan seni bina perisian keselamatan berfungsi di luar negara

Apabila bercakap tentang keselamatan fungsian dan seni bina perisian, kita boleh melihat dua dimensi "seni bina perisian yang mematuhi keselamatan berfungsi" dan "seni bina perisian keselamatan fungsional" untuk melihat hubungan antara mereka.

Yang pertama menumpukan pada pematuhan proses reka bentuk seni bina perisian kami dengan keselamatan berfungsi dari perspektif pembangunan perisian, iaitu, proses reka bentuk seni bina perisian kami perlu memenuhi pelbagai keperluan yang dicadangkan oleh ISO 26262 Keperluan, seperti: kaedah penandaan, prinsip reka bentuk, keperluan elemen reka bentuk, keperluan analisis keselamatan, keperluan mekanisme pengesanan ralat, mekanisme pengendalian ralat dan kaedah pengesahan reka bentuk, dll. Antaranya, kaedah analisis keselamatan arus perdana di peringkat seni bina perisian ialah "perisian FMEA (Mod Kegagalan dan Analisis Kesan)" dan "Perisian DFA (Analisis Kegagalan Bergantung)".

Yang terakhir memfokuskan pada menyokong keselamatan fungsi peringkat sistem dari perspektif sistem perisian terbenam. Berdasarkan idea seni bina keselamatan E-Gas, kami percaya bahawa "idea pemantauan berlapis", "langkah keselamatan" dan "rangka kerja diagnostik" adalah teras "seni bina perisian keselamatan berfungsi", dan "idea pemantauan berlapis" dan " langkah keselamatan" adalah di atas Seperti yang dinyatakan dalam artikel, bahagian lain bahagian ini tertumpu terutamanya pada "rangka kerja diagnostik". Tidak kira sama ada platform pembangunan perisian asas yang kami gunakan ialah AUTOSAR CP, AP atau bukan AUTOSAR, idea reka bentuk seni bina perisian keselamatan berfungsi adalah serupa dan dijelaskan di sini berdasarkan AUTOSAR CP.

1) Keperluan teknikal untuk rangka kerja diagnostik keselamatan berfungsi

Rajah 5 Masa tindak balas kerosakan dan selang masa toleransi kesalahan

Kami menggabungkan FTTI (selang masa tahan kerosakan) untuk memahami proses diagnosis kerosakan. Tempoh dari berlakunya kerosakan kepada berlakunya bahaya yang mungkin adalah masa FTTI Dalam tempoh ini, terdapat terutamanya ujian diagnostik, proses tindak balas kerosakan, dan harapan untuk memasuki keadaan selamat sebelum bahaya yang mungkin berlaku (Rajah 4.1-8. ). Proses ujian diagnostik perlu mempertimbangkan pencetus ujian diagnostik, pengesahan kesalahan (debounce), dsb.
Proses tindak balas kerosakan perlu mempertimbangkan untuk memasuki mod pengendalian yang munasabah (seperti: Gagal selamat, Gagal beroperasi, Operasi kecemasan, dsb.) , penyimpanan kerosakan, dsb.

Ringkasnya, reka bentuk teras "rangka kerja diagnostik" perlu mempertimbangkan meliputi ujian diagnostik dan proses tindak balas kerosakan. Keperluan teknikal rangka kerja diagnostik keselamatan berfungsi utama ialah:

• Pengurusan kerosakan bersatu: pengurusan status kesalahan bersatu yang dilaporkan oleh setiap lapisan pemantauan kerosakan rangka kerja pemantauan berbilang lapisan E-GAS
• Keperluan masa tindak balas kerosakan : kerosakan Keperluan selang masa toleransi kesalahan (FTTI) mesti dipenuhi dari pengesanan hingga memasuki keadaan selamat
• Keperluan kebebasan: Terdapat isu punca biasa antara mekanisme dan fungsi keselamatan pada cip, dan pemantauan kemerdekaan (MCU) perlu disokong Pemantauan luar cip)
• Keperluan terpelbagai: Seni bina perisian mesti memenuhi kesejagatan reka bentuk rangka kerja dan menyokong strategi keselamatan terpelbagai (projek yang berbeza mempunyai berbeza keperluan untuk mekanisme keselamatan)
• Masa ujian diagnostik: hidupkan dan matikan kuasa, kitaran, pencetus keadaan, dsb.
• Pemeriksaan nyahpantun/kelewatan kesalahan : perlu menyokong fungsi ujian nyahlantun mekanisme keselamatan, sekurang-kurangnya algoritma nyahlantun berasaskan masa dan berdasarkan kiraan
• Penyahgandingan peristiwa dan fungsi diagnostik: peristiwa dan fungsi diagnostik diuruskan secara bebas , dan terdapat hubungan pemetaan di antara mereka
• Storan kerosakan: menyokong penyimpanan maklumat kerosakan yang tidak meruap

2) Tafsiran teknologi rangka kerja diagnostik asing

Sebelum mentafsir teknologi rangka kerja diagnostik, terdapat dua cadangan untuk rujukan.

① Cadangan 1: Tentukan masa ujian diagnostik mengikut keperluan

a. Apabila dihidupkan: Berikut adalah penjelasan berdasarkan a keperluan permohonan biasa. Mekanisme keselamatan dan fungsi yang sepadan membentuk titik berganda Untuk mengurangkan kadar kegagalan ralat berbilang titik terpendam, mekanisme keselamatan secara amnya perlu melakukan pemeriksaan sendiri semasa fasa permulaan sistem (apabila dihidupkan). Selain itu, isu penyegerakan ujian diagnostik perlu dipertimbangkan dalam sistem berbilang pemproses.

b. Masa Jalan: Secara umumnya dibahagikan kepada ujian diagnostik berkala dan ujian diagnostik bersyarat. Takrifan kitaran diagnostik perlu mempertimbangkan kekangan FDTI (selang masa pengesanan kesalahan), dan ujian diagnostik bersyarat secara amnya adalah diagnostik fungsi apabila peralihan keadaan berlaku atau sebelum mengaktifkan fungsi.

c. Apabila dimatikan: Anda boleh memilih untuk melakukan beberapa ujian yang memakan masa dan keputusan ujian biasanya diproses pada permulaan seterusnya.

② Syor 2: Jalankan ujian diagnostik kumpulan

Untuk memudahkan pengurusan diagnostik (termasuk pencetus diagnostik dan tindak balas kerosakan, dsb.), mengikut kesalahan kritikal/ Kesalahan bukan kritikal, pemasaan ujian diagnostik dan faktor lain dikumpulkan. Jika kerosakan kritikal dikesan semasa menghidupkan kuasa, seperti Kerosakan Teras, Kerosakan Ujian Ram, dsb., maka tindak balas kerosakan boleh diproses dalam keadaan senyap (seperti: MCU berada dalam keadaan tetapan semula berterusan).

Rajah 6 "Rangka Kerja Diagnosis Keselamatan Fungsian" dan "Aliran Kawalan Diagnosis Keselamatan Fungsian"

Tahap1 (tahap fungsi) dan Tahap2 (tahap pemantauan fungsi) rangka kerja pemantauan tiga lapisan E-Gas terletak dalam ASW (perisian aplikasi, iaitu: SWC dalam Rajah 4.1- 9) lapisan, Level3 (tahap pemantauan pengawal) terletak pada lapisan BSW (perisian asas). "Rangka Kerja Diagnostik" juga terletak di lapisan BSW Seperti yang dinyatakan di atas, ia merangkumi terutamanya ujian diagnostik dan proses tindak balas kerosakannya diperkenalkan di bawah:

• BswM dan EcuM bertanggungjawab terutamanya untuk pengurusan menghidupkan dan mematikan kuasa, dan melakukan ujian diagnostik semasa menghidupkan kuasa, masa larian dan mematikan kuasa semasa STARTUP, UP dan SHUTDOWN peringkat masing-masing
• ASW-Level1 (E-Gas Level1) merangkumi diagnosis fungsi input/output; ASW-Level2 (E-Gas Level2) secara amnya dilaksanakan sebagai algoritma berlebihan untuk ASW-Level1 berfungsi dan merealisasikan penguraian tahap ASW-Level1 ASIL TestLib (E-GasLevel3) Memantau kegagalan perkakasan pada peringkat ECU dan MCU (adalah disyorkan untuk merujuk kepada ISO26262 (2018)-Part5 Annex D dan manual keselamatan MCU ), meliputi diagnosis kegagalan punca biasa Tahap1 dan Tahap2, dan digunakan dengan mekanisme pemantau soal jawab "pengawal pemantauan" untuk diagnosis logik dan bebas masa
• TestManager bertanggungjawab untuk mencetuskan ujian diagnostik mekanisme keselamatan TestLib dan mengumpul keputusan ujian yang sepadan
• DEM mengumpul keputusan ujian E-Gas Level1/2/3, menyahpantulkan peristiwa diagnostik, menandai kod kerosakan dan menyimpan maklumat kerosakan melalui NvM . FiM menandakan fungsi yang dikonfigurasikan berdasarkan keputusan ujian diagnostik DEM (selepas nyahpantun), dan perisian fungsi (ASW-Level1) menentukan penindasan fungsi berdasarkan tanda.

Atas ialah kandungan terperinci Seni bina perisian keselamatan berfungsi kereta pintar. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!