科技网站设计公司排名,wordpress 打卡插件,直接修改网页源码并执行,网站开发项目管理目录
01 系统架构介绍
02 投票逻辑架构介绍
03 SIS架构
04 ADS域控制器架构设计 01 系统架构介绍
法规GBT 34590 Part4 part10定义的软件要求、设计和测试子阶段之间的关系#xff08;其中的3-7个人建议翻译为初始架构设计更合理 #xff09; 系统架构的作用#xf…目录
01 系统架构介绍
02 投票逻辑架构介绍
03 SIS架构
04 ADS域控制器架构设计 01 系统架构介绍
法规GBT 34590 Part4 part10定义的软件要求、设计和测试子阶段之间的关系其中的3-7个人建议翻译为初始架构设计更合理 系统架构的作用借鉴 MUNIK 架构模型
根据ISO26262中的定义,相关项由一个或者多个系统组成,而一一个系统应该至少包括1个传感器、1个控制单元和1个执行器,如下所示。 1、传感器部分 借鉴 AUTO世代 首先我们在系统中融入传感器部分安全机制需要注意的是此处的传感器代表广义的输入信息可以是具体传感器信号也可以是其他类型通讯信息例如CANSENT等。 传感器的硬件冗余(当然传感器必须独立供电)多适用于对于ASIL等级要求非常高的信号如ASIL C, D尤其是D其主要目的是为避免传感器硬件随机失效通过信号相互校验增加系统输入信息可靠性。 这里的传感器硬件冗余采集可以是利用相同的两个传感器对同一信号进行重复采集(例如踏板信号)也可以是利用不同类型传感器对强相关的两个信号分别进行采集(例如制动踏板位置和压力信息等)。 当然传感器输入冗余信息在控制单元中必须进行多路采集除传感器本身提供诊断信息外还需要对其信号有效性进行检验包括数值有效范围检测在线监控Test Pattern输入对比相关性合理性检测等。
2、控制单元 控制单元属于整个系统中最重要的部分控制单元相关的安全机制其实很大程度上决定了系统安全架构和系统复杂程度。 提到控制单元相关的安全机制很多朋友第一反应是控制器软件分层控制器硬件冗余(双控制器Dual Core LockStep双核锁步等)看门狗程序流监控等。 虽然这些都是控制单元常用的安全机制但从系统角度而言它们相对过于具体只是针对某一类故障而设计的软件或硬件安全机制需要在系统安全架构基础上具体明确。 接下来我们从系统角度先看看系统级别安全架构后续无非就是将具体的软件和硬件安全机制逐步应用于系统架构当中去。 一般来说所有的安全机制本质上都服务于两类安全架构:• Fail to safe • Fail to operational Fail to safe Fail to operational 3、执行器 4、通信安全 在一个系统中有几种经典的架构,通常会见到这几个名词faii-safe、fail-silent和fail-operational。画个图来简单示意下这几种架构设计的相 互关系。如下图所示,Fail-Safe包含:fail-operational和fail-silent两种,它们都属于是安全的失效。 Fail-Safe该架构通常芯片设计层级使用较多当芯片发生error时芯片会执行POWER down、Reset、紧急运行等的操作。或者当程序轮询监控到对应的寄存器有问题时请求MCU判断执行后续操作MCU的操作要在合理的FTTI之内完成才有效从而使得IC进入安全的静默silent状态。
Fail-Operational: 该架构通常整车层级和系统层级使用较多该架构通常应用MooN(D)架构可以实现不同形式的fail-operational架构。简单的Fail- Operational可以理解为当通道1失效后作为冗余的通道2还可以接替它的工作使得整个系统处于安全的状态。
举个域控制器中我们实际研发的例子让大家感受下MOOND的概念。 1oo2D域控制器架构示例 此架构方案由并联的两个通道组成在其中一个失效后启用另外一个。冗余的传感器可以是雷达模组或者其他传感器的系统。对于该系统而言在MCU检测出main SOC出问题时启动fullback 的SOC并关闭main SOC前提是两个SOC的设计不会发生DFA的相关性失效以此来保证系统的正常运行。 系统架构层级的相关安全机制梳理 上文NO2.1开头提到一个系统的简单组成至少包括一个传感器、一个处理器和一个执行器那么在系统层级我们来分析下它都有哪些安全机制。 3个模块之间少不了有通讯或者系统层级需要有程序的烧录等情况出现模块可能会通过CANCAN-FDUARTI2CSPIPHY等进行片内或片外、板内或板外的通讯或者程序的烧录下面以串口UART举例说明通讯模块的安全机制都有哪些。 注释以上是基于ISO26262标准及经验的总结仅供参考具体项目还需实际分析及动态调整。
对于软件层级Auto sar来说它的核心安全机制可以分为以下几类供大家参考
(1)内存分区
(2)逻辑监控
(3)E2E 保护
(4)Timing Monitor
(5)CRC等
fail-safe、fail-operational、fail-secure、fail-silent介绍(借鉴知乎WF.WANG)
fail-safe — 失效安全 fail-operational — 失效可运行 fail-silent — 失效静默 fail-secure — 失效安保 MooN — N选M架构 Designated architecture — 指定架构 E-GAS 监控架构【功能安全】E-GAS架构设计 架构模型
fail-safe 架构 fail-operational 架构
fail-operational架构涉及到冗余由于冗余的方式多种多样所以这种架构的表现形式也是多样化的通常应用MooN(D)架构可以实现不同形式的fail-operational架构所以这里我们就谈谈不同MooN(D)架构模型。
在讲这些架构模型之前我们先了解下可靠性框图中操作模式/模型概念 串联模型 并联模型 混联模型 MooN(D) 之 1oo1 — 一选一架构 MooN(D) 之 1oo1D — 一选一诊断架构 MooN(D) 之 1oo2 — 二选一架构 MooN(D) 之 2oo2 — 二选二架构 由上面描述可知1oo2架构能够降低系统发生危险失效(fail positive)的概率2oo2架构能够降低系统发生安全失效(fail negative)的概率即降低误停率。简单讲1oo2架构让危险失效发生的难度加大2oo2让安全失效发生的难度加大它们都只能对单一的可靠性指标进行改进。
MooN(D) 之 1oo2D — 二选一诊断架构 MooN(D) 之 2oo2D — 二选二诊断架构 MooN(D) 之 2oo3 — 三选二架构 02 投票逻辑架构介绍
在安全仪表系统SIS中1oo1、1oo2、2oo2和2oo3是常见的投票逻辑架构用于提高系统的可靠性和安全性。以下是对这些架构的详细解释 1oo1One-out-of-One 这是最简单的投票逻辑只有一个通道。它没有冗余因此无法提供故障容错能力。这种架构适用于对安全要求不高的场景但成本最低。 1oo2One-out-of-Two 这种架构使用两个通道其中一个通道发生故障时另一个通道可以继续工作。它提供了基本的冗余减少了误动作的概率。1oo2架构的硬件故障容忍度HFT为1即一个通道可以故障而系统仍能正常工作。 2oo2Two-out-of-Two 这种架构使用两个通道要求两个通道都正常工作才能输出信号。它提供了更高的安全性和可靠性因为即使一个通道发生故障系统也不会误动作。2oo2架构的HFT为0即两个通道都必须正常工作。 2oo3Two-out-of-Three 这种架构使用三个通道要求至少两个通道正常工作才能输出信号。它提供了最高的安全性和可靠性因为即使两个通道发生故障系统也不会误动作。2oo3架构的HFT为1即一个通道可以故障而系统仍能正常工作。
这些投票逻辑架构的选择取决于系统的安全完整性等级SIL要求和成本考虑。例如对于高安全要求的场景通常会选择2oo3架构而对于成本敏感的场景可能会选择1oo2或1oo1架构。
在实际应用中这些架构的性能可以通过可靠性框图计算推导出的平均失效概率PFDavg来评估。例如1oo1结构的PFDavg较低而2oo3结构的PFDavg较高但误动作率也较低。
1oo1、1oo2、2oo2和2oo3是根据不同的安全需求和成本考虑设计的投票逻辑架构每种架构都有其特定的应用场景和性能特点。 03 SIS架构
基本SIS架构 1oo1——这种单输出电路能够安全地断开开关使设备断电并停止工艺过程。所谓安全的失效就是触点在没有原因的情况下打开了虽然此类事件对于整个过程设施仍旧具有负面的经济影响但是我们还是将其定义为误触发。危险失效就是在确实有安全关断的原因时触点无法打开这种情况可能由触电过热熔接导致。此类事件被定义为无法按需动作。 1oo2——这种方法将两个输出1oo1串联构成常闭带电的安全关断电路。任何一个SIS动作都会导致电路断开。当然采用两个1oo1电路也会引入双倍误触发的可能有可能对整个工艺过程带来高昂的损失。但是这种方法确实更加安全因为只需要一个触点动作就可以实现关断无法按需动作的危险失效的可能性低得多。不管是1oo1还是1oo2都无法消除误触发的隐患。 2oo2——这些系统的输出并联设置两个触点同时动作才能将过程关断。由于触点是并联的所以误触发的可能性降低了但是明显的缺点就是危险失效的可能性加倍了系统的安全性降低。 可以看到1oo2和2oo2系统都无法有效满足安全性和误触发的要求。但是如果能够增加诊断功能就能够获得更高的可用性了这就是所谓的1oo2D带诊断功能的1oo2。 高级SIS架构 2oo3或者三重模块冗余TMR安全关断系统通常被用于燃气涡轮机、压缩机和加热器也常被用于精炼厂中的独立过程单元例如焦化单元。 正如本文下页开关图所示在2oo3配置下只要有两个通道同时触发即使第三个通道并未触发那么输出动作也会被触发。如果只有一个SIS的两组触点被触发了那么有一条引线仍旧处于闭合状态所以过程继续工作。在现实世界中采用表决机制来确定2oo3架构的输出而第三个信号被忽略允许容错配置。 2oo3三重化冗余系统 每一个三重化冗余系统都包含三个主处理器MPA、B和C。每一个MP控制独立的通道并与其他两个MP并行工作。每个MP上的专用I/O控制处理器对MP和I/O模块之间的数据交换进行管理。在系统主板上使用I/O总线电缆将每一列I/O模块连接起来形成三重化的I/O总线。 I/O控制处理器选择输入模块并将输入数据发送给MP。MP随后将输入数据制表存储到内存当中用于选择过程使用。使用三重化总线将每一个MP当中的输入表转移给相邻的MP转移之后就可以进行选择。三重化总线采用具有直接读取内存功能的可编程器件在三个MP之间完成数据的同步、传输和比对。 如果有不一致出现那么就以2oo3表格的信号结果为准然后MP根据结果校正第三个表格中的相应数据。由于采样时间不同所导致的差异能够通过信号模式的不同区分出来。MP在本地存储器中保存经过必要更正的数据。内置的故障分析器会将不一致的数据做出标识并在每一次扫描之后使用这些标识用于判断是否在特定模块中有故障存在。 2oo4四重化冗余系统 四重化模块冗余QMR架构基于2oo4DD代表内置诊断功能表决方式每一个QPP四处理器组系统的处理模块都采用双处理器技术。这意味这种方法具有极高的自我诊断功能和故障冗余能力。 四重化冗余系统架构通过冗余控制器实现。冗余架构包含两个QPP也就是四重冗余为安全性提供了双故障冗余能力。2oo4表决机制通过在每一个CPU和每一个QPP的内存上采用1oo2表决机制来实现两个QPP之间也具有1oo2表决功能。表决机制在两个层面上进行在模块层面上表决以及在QPP之间表决。 04 ADS域控制器架构设计
自动驾驶标准 系统设计思考 1、安全目标 在设计自动驾驶系统的功能安全时,通常会根据不同的自动化及别设置相应的安全目标。一般而言: L0到L2级别的自动驾驶系统需要满足ASIL B级的安全要求。 L3到L5级别的自动驾驶系统需要满足ASIL D级的安全要求。
2、功能安全架构
A. Fail-operational架构: Fail-operational架构是L3到L5自动驾驶系统基本的功能安全架构,其中有几种主要的设计选择:a) 1oo2D架构 功能描述该架构采用两个到诊断Diagnostic的通道并行工作。如果其中一个通道故障则停止该通道输出并切换到正常的通道输出。 降级操作当出现一次故障时系统仍能降级到1oo1D工作 b2oo2D架构 功能描述该架构同样采用两个到诊断的通道并行工作。如果其中一个通道故障则停止该通道输出正常的通道继续输出。 降级操作当出现一次故障时系统仍能降级到1oo1D工作。
c2OO3架构 功能描述该架构采用三个通道并行工作按照少数服从多数原则当至少两个通道一致时才进行输出。 降级操作当出现一次故障时系统仍能降级到1oo2工作。 B. Fallback 系统
针对驾驶系统可以设计一套专门满足 L2 级别自动驾驶要求的Fallback系统。当主系统发生故障时Fallback 系统接管控制并将车辆控制至最小风险状态。 C. 典型的 L4 自动驾驶系统功能架构
典型的L4级自动驾驶系统如下图包括传感器冗余通信冗余域控通道冗余和执行器冗余。 传感器冗余
通过对传感器类型的冗余设计包括摄像头、激光雷达、毫米波雷达、超声波雷达、GNSS 和 IMU 等传感器以及每种主要传感器的冗余设计确保这些冗余传感器分别接入冗余通道上。另外还可以通过Bypass通道将传感器Bypass到其他通道上以确保某个通道失效时其他通道上的传感器仍能正常工作。 通信冗余
在传感器、域控、执行器和其他相关控制器之间的通信通道和控制信号上需要具备冗余通道。这样当单个通信通道发生故障时系统能够通过冗余通道通信或通过Fallback 系统进入最小风险状态。 域控通道冗余
根据1oo2D或 2oo2D架构进行安全分解实现每个通道的 ASIL B(D) 功能每个通道保持独立性功能算法采用异构设计避免共因失效。带有仲裁模块当某个通道失效时禁止该通道的输出切换到其他通道运行。
* SOCSystem on Chip功能安全
根据厂家的安全手册实现 SOC 的安全假设主要包括错误引脚监控,独立电源独立时钟和潜伏故障的监测。
* MCUMicrocontroller Unit功能安全
采用符合 ASIL D 标准的安全芯片实现对 SOC 错误引脚、供电电压、温度、外部传感器模块、执行器模块以及安全路径上的安全相关芯片故障的监控同时满足MCU安全假设。
* 电源冗余
设计双电源系统当一路电源失效时系统能够通过降级或切换到 Fallback 系统进入 MRC。双电源之间保持独立性避免单点故障并支持每路电源的电压过压、欠压和过流监测。当电源故障时可通过开关切断整个域控电源。 执行器冗余
对转向、刹车和动力执行器进行冗余备份系统设计通过总线通信监测执行器的潜在故障。
以上是针对 L4 自动驾驶系统的典型功能安全架构和冗余设计示例。这些设计旨在提高系统的安全性和可靠性以应对不同级别的自动驾驶需求。
系统层面常见的安全机制 示例
电动汽车的核心部件整车控制器 VCU系统为例
在汽车的行驶过程中VCU执行了多项安全相关的控制任务例如采集加速踏板信号、制动踏板信号及其它车辆信息、电池状态并做出合理的逻辑判断之后给各执行器部件动作输出控制命令来实现整车驱动、制动、能量回收、挡位切换、高压上下电管理、整车热管理等功能。 示例:EPS系统 Symmetric 1oo2D的架构常见于支持Fail-Operational 的电子助力转向EPS系统 如上图所示该EPS系统包含两套完全对称的镜像功能链路提供了转向功能必备的供电、通讯、传感、控制与执行部分。对于每条功能路径的容错设计则与Fail-Safe类似具备独立的自我诊断与监控功能。与此同时两条功能链路均正常工作时才能提供完整的转向功能当其中任何一条功能链路失效另外一条功能链路仍能提供部分转向力而不会导致系统直接停止从而影响系统转向需求的功能安全。 而Asymmetric 1oo2D的架构常见于需要支持Fail-Operational 的ADAS/ AD控制系统中(如上图)。
