<meter id="pryje"><nav id="pryje"><delect id="pryje"></delect></nav></meter>
          <label id="pryje"></label>

          新聞中心

          EEPW首頁 > 汽車電子 > 設計應用 > FlexRay總線的功能安全性分析

          FlexRay總線的功能安全性分析

          作者: 時間:2013-01-23 來源:網絡 收藏

          在汽車中采用電子系統已經有幾十年的歷史,它們使汽車安全、節(jié)能與環(huán)保方面的性能有大幅度的提高。隨著研究的深入,許多系統需要共享和交換信息,為了節(jié)省線纜,就形成了依賴于通信的分布式嵌入系統。目前,世界上90%的都采用基于CAN的系統。是下一代通信協議事實上的標準,它的功能安全性如何是至關重要的。

          本文引用地址:http://www.ex-cimer.com/article/196169.htm

          1 IEC61508功能安全的要求

          目前車控系統正在向線控技術(xbywire)過渡,例如線控轉向與線控剎車。線控系統最終目標是取消機械后備,因為取消這些后備可以降低成本,增強設計的靈活性,擴大適用范圍,為以后新添功能創(chuàng)造條件。但是取消機械后備就對電子系統的可信賴性(dependability)要求大為提高。車是一個運動的物體,處于運動的環(huán)境之中,它因故障可能傷及自身及別人。取消機械后備,就將電子系統由今天的故障靜默(failsilent)要求提升到故障仍工作(failoperational)的要求[1]。

          國際上對工業(yè)應用的功能安全要求已制定了標準IEC61508,它主要關心被控設備及其控制系統的安全。雖然它也適用于汽車,但汽車不僅有上述功能安全問題,而且要關心由于功能變化造成的整車系統安全,所以汽車業(yè)內正在制定相應的標準ISO26262。汽車的功能安全等級分為4級,要求最高的是ASILD,相應的失效概率10-8/h,它相當于IEC61508的SIL3。根據實踐經驗,分配給通信的失效概率10-10/h。有關這方面的介紹可參見參考文獻[1]。

          現在安全攸關的應用系統的范圍有所擴大[1],以前不算在內的一些系統現在都要算了。例如安全預先動作系統(presafe)中座椅調整子系統、剎車輔助系統中的燈光控制子系統、碰撞后telematic自動呼叫求援的子系統,都將視為安全攸關系統。

          1.1 引起系統安全風險的通信故障

          通信故障[11]有5種表現形式,第1種是造成值域的錯誤。第2種是造成時域的錯誤,這是工業(yè)不同于民用的部分。一條消息不能在預定的時限前送達就失去了實用意義,例如與安全氣囊引爆有關的傳感器消息不能在數ms內送達就引起安全問題。在多播或廣播通信中還有第3種錯誤:數據完整性錯(拜占庭錯),即各節(jié)點收到的結果不一致。它會引起系統性的失效,應對的策略必須將所有有關節(jié)點同時考慮。第4種是系統崩潰,除硬件失效外,也有干擾或軟件引起的,例如饒舌錯(babbling idiot)阻止通信。第5種是丟幀,短時間失效,例如可恢復的離線或bug引起的等效離線狀態(tài),又如小集團錯。

          1.2 通信的容許失效率

          在通信故障對系統安全影響的分析上,參考文獻[2]提供了一種方法,根據瞬態(tài)干擾出現的可能長度,計算通信失效的時段長,在假定的通信失效率下,推出系統的失效率。在該實例中,路段上電場超100 V/m的區(qū)間有可能引起通信失效,失效率近似5×10-3,車速為90 km/h,識別出的可能失效時間約74 s。通信以6 ms為周期,連續(xù)7個周期丟幀視為系統失效,在此條件下系統失效率為1.640 9×10-10,認為可以達到SIL4的安全要求。這種分析方法是有效的,但是假設的條件太多,例如:誤碼率有很大的變化區(qū)間;幀長的變化影響一次傳送的失效率;干擾持續(xù)時間的假定;連續(xù)丟7幀也與應用的場合有關,對90 km/h的車42 ms的失控對剎車系統而言有約1 m的距離,恐怕對撞擊的后果有完全不同的評估;還假設SIL4完全分配給通信,將CPU與軟件有關的部分失效率忽略不計,在軟件規(guī)模越來越大的今天,這個假設是不合理的。另一方面,決定系統失效率時還應考慮其他的通信故障形式,例如出現小集團錯[5]到發(fā)生沖突的時間取決于相對的時鐘漂移,越精確,其間時間越長,失效的時間就越長,參考文獻中在人為制造出小集團后需300 ms才發(fā)現沖突,遠遠超出上述的42 ms。所以一般討論系統安全的文章中(如參考文獻[1]和[12])都單獨規(guī)定通信的失效率是相應安全等級失效率的1/100。

          1.3 影響通信失效率的因素

          功能安全等級與故障檢測的覆蓋率有關,如果有的故障未被檢查到(未認識到或做不到),當然那種失效情景就不可能計算在內,安全等級的劃分就有錯。

          參考文獻[1]介紹了SFF(Safety Failure Fraction)的概念:失效分為引起危害的失效和安全失效,它們又各分為能檢測出和未檢測出兩種。安全失效比例SFF是能檢測出危害失效與安全失效在總的失效中的份額。診斷覆蓋率DC(Diagnostic Coverage)是能檢測出的危害失效占總危害失效的份額??蓪С鯯FF與DC有線性關系。而SFF又與SIL有關。IEC61508的SIL等級與SFF有關,在SFF占90%~99%時SIL3可容許1個故障。因此DC也決定了能達到的SIL等級。根據有關文章介紹,瞬態(tài)故障的概率比硬件失效概率大2個數量級,因此可大致推斷瞬態(tài)故障診斷覆蓋率應達到90%~99%[1]。危害失效可能由通信失效引起,診斷覆蓋率也就成了評價通信協議的重要一環(huán)。

          在通信中,由于CRC有漏檢,這是明顯的診斷未覆蓋區(qū),診斷未覆蓋率就相當于錯幀漏檢率,例如CAN的錯幀漏檢[10]。

          在通信中發(fā)生值域錯或時域錯而丟幀是能診斷出的危害失效(這是本文分析的主要對象)。而假冒錯、拜占庭錯等應屬于未檢測出的危害失效。發(fā)生小集團錯時既可能產生丟幀,也可能產生拜占庭錯。CAN的等效離線失效也屬于未覆蓋的診斷引起的危害失效[9]。要計算這些未覆蓋的診斷引起的危害失效占總危害失效的比例還相當困難,因為確定故障概率模型很難。但從定性上講,只有盡量排除假冒錯、拜占庭錯和小集團錯,才能使診斷覆蓋率提高(SIL等級提高)。

          2 介紹

          由于線控技術可以提高車的操控性能,降低生產和使用成本,提升安全性、節(jié)能、環(huán)保和舒適度,成為整車技術進步的重要一環(huán)。但是為了取消機械或液壓的后備,對控制裝置及其通信的可靠性的要求大為提高。這就對通信的帶寬和確定性有更嚴的要求,CAN不能滿足這個帶寬要求,在確定性上也不足,于是就產生了技術。根據標準[3],FlexRay可以有、星型、樹狀等拓撲結構。它提供了雙通道的控制器結構,可組態(tài)為冗余通信,也可各通道獨立運行,有很大的靈活性。每個通道最高可組態(tài)工作于10 Mb/s。FlexRay是時間觸發(fā)通信協議,由分布式時鐘實現同步。系統的調度表由cyclestatic slotminislot確定。一個cycle有固定數目的static slot和minislot,它們的時間長度都是均等的,由組態(tài)時確定。一個節(jié)點在一個cycle中可以占用多個static slot,static slot可以散接(multiplxing),即各個cycle的同一static slot可以用于不同節(jié)點。FlexRay幀的數據域(payload)可達254字節(jié),它的頭部為標識符及幀長等控制信息,有獨立的CRC檢驗,尾部有覆蓋全幀的24位CRC檢驗。FlexRay有對抗時域錯的Bus Guardian設計。


          上一頁 1 2 3 下一頁

          評論


          相關推薦

          技術專區(qū)

          關閉
          看屁屁www成人影院,亚洲人妻成人图片,亚洲精品成人午夜在线,日韩在线 欧美成人 (function(){ var bp = document.createElement('script'); var curProtocol = window.location.protocol.split(':')[0]; if (curProtocol === 'https') { bp.src = 'https://zz.bdstatic.com/linksubmit/push.js'; } else { bp.src = 'http://push.zhanzhang.baidu.com/push.js'; } var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(bp, s); })();