기능 안전을 위한 모니터링 메커니즘

개요

특히 운전자 지원 및 자율주행과 같은 안전 우선 기능을 검증하는 데 필요한 테스트 드라이브가 프로토타입 차량과 실제 도로 교통에서 점점 더 많이 수행되고 있기 때문에 시스템이 즉각적이고 정확하게 오류 상황에 응답할 수 있도록 성숙되고 포괄적인 안전성이 중요합니다. 초기 기능 개발 단계에서도 더 높은 수준의 모니터링을 달성하기 위해 모든 MicroAutoBox III 변형은 기능 안전(FuSa) 영역에서 여러 모니터링 기능을 제공합니다.

이러한 시나리오에서 MicroAutoBox III의 사용을 단순화하기 위해 이 시스템은 자동차 산업에서 확립된 EGAS 안전기준을 기반으로 하는 3계층 기능 안전성을 제공합니다.

1. 기능 수준

이 계층은 제어 알고리즘 및 I/O 기능과 같은 애플리케이션 기능을 실행합니다. 계층 1은 FuSa 기능이 없는 실시간 애플리케이션에 해당합니다.

2. 기능 모니터링 수준

이 계층은 계층 1의 기능을 모니터링하는 안전 기능을 실행합니다. 입력 신호의 타당성 확인과 같은 실시간 애플리케이션에서 안전 기능을 구현합니다.

3. 제어기 모니터링 수준

이 계층은 계층 1과 계층 2의 기능을 실행하는 하드웨어를 모니터링합니다. 계층 3의 안전 기능은 애플리케이션별로 크게 다르지 않으며 실시간 애플리케이션에서 FuSa 기능을 사용할 때 자동으로 활성화됩니다. 또한 백그라운드 프로세스는 FuSa 기능 자체를 자동으로 모니터링합니다. 안전 기능이 FuSa 오류를 감지하면 감지된 FuSa 오류에 응답하고 보고하는 MicroAutoBox III FuSa 장치를 트리거합니다.

MicroAutoBox III는 메모리 검사 및 챌린지 응답 모니터와 같은 모니터링 기능을 제공하여 결함을 감지하고 시스템을 정의된 상태로 가져와 차량의 전반적인 안전성에 쉽게 통합할 수 있습니다.

다단계 감시 장치 메커니즘

다단계 감시 장치 메커니즘은 FPGA 기반 하드웨어 감시 장치와 실시간 프로세서에서 실행되는 구성 가능한 소프트웨어 감시 장치로 구성됩니다. 실시간 프로세서와 실시간 애플리케이션의 올바른 실행을 지속적으로 모니터링합니다. 작업 또는 하위 시스템이 주어진 시간 제한 내에서 주기적으로 실행되도록 각 감시 장치의 타임아웃 동작을 개별적으로 구성할 수 있습니다.

또한 안전 CPLD(복합 프로그래밍 가능 논리 장치)로 구성된 별도의 하드웨어 감시 장치가 통합되어 있습니다. 독립적인 전원 공급 장치와 시계가 장착되어 있습니다. 장애가 발생한 경우 CPLD는 MicroAutoBox III가 안전한 상태로 전환되도록 합니다. 장치는 오류 발생에 대한 정보를 지속적으로 기록합니다.

시스템에서 감지된 모든 FuSa 오류는 호스트 PC에 보고됩니다. 이 정보는 MicroAutoBox III의 웹 인터페이스에서도 사용할 수 있습니다.

FuSa 오류가 발생하면 FuSa 장치는 릴레이를 열거나 FuSa LED를 켜서 응답할 수도 있습니다. 릴레이가 열리면 MicroAutoBox III가 백업 ECU 활성화와 같은 조치를 취할 수 있으며 FuSa LED는 추가 조치를 시작하지 않고 단순히 FuSa 오류만 나타냅니다.

챌린지-응답 모니터링

챌린지-응답 모니터링은 실시간 프로세서와 독립적인 안전 CPLD에서 구현됩니다. 이렇게 하면 실시간 프로세서가 올바르게 작동을 멈춘 경우에도 오류가 감지됩니다. 워치독 기능과 비교하여 특정 시간 프레임 내에 하위 시스템이 응답하는지 확인할 뿐만 아니라 실시간 프로세서의 계산이 지속적으로 올바르게 실행되는지 여부도 확인합니다. 챌린지-응답 모니터링 메커니즘을 사용하면 예를 들어 실행 순서 감독과 같은 더 복잡한 모니터링 기능을 구현할 수 있습니다. C 코드 및/또는 S 기능을 포함한 개별 검증 루틴도 구현할 수 있습니다. 동시에 최대 16개의 챌린지-응답 값과 함께 최대 15개의 챌린지-응답 모니터 인스턴스를 사용할 수 있습니다. 또한 모니터링 기능이 지속적으로 올바르게 작동하는지 주기적으로 확인하기 위해 암시적 역방향 모니터링이 구현됩니다.

응답 트리거링 메커니즘은 기능 안전 오류가 동작 모델 내에서 직접 트리거될 수 있도록 하는 사용자 구성 가능한 소프트웨어 모니터로 작동합니다. 이러한 방식으로 I/O 신호와 같은 타당성 검사를 쉽게 수행하고 그에 따라 오류 플래그를 설정할 수 있습니다. 구성에 따라 이러한 오류에 대한 응답은 단순한 FuSa 로그 항목, I/O 트리거 또는 전체 시스템 종료도 될 수 있습니다.

시스템이 안전한 상태에 도달하도록 하기 위해 오류 감지와 오류 응답 트리거링 사이의 지연 시간도 정의할 수도 있습니다.

메모리 무결성 검사

하드웨어 오류 또는 심각한 비트 오류를 감지하기 위해 MicroAutoBox III는 다양한 메모리 무결성 검사를 실행합니다. 초기 ROM 검사 메커니즘은 실시간 애플리케이션이 시작되는 동안 메모리 오류를 감지합니다. 오류가 감지되면 MicroAutoBox III는 프로그램을 실행하지 않고 대신 정의된 시스템 상태에 도달하기 위해 실시간 애플리케이션의 시작을 중단합니다. 힙, 스택 모니터링 메커니즘은 실시간 애플리케이션이 실행되는 동안 메모리 오류를 감지합니다. 메커니즘은 힙 및 스택 메모리 섹션이 지속적으로 유효하고 승인 없이 덮어쓰지 않도록 합니다. 또한, 실시간 애플리케이션이 실행되는 동안 발생하는 단일 비트 오류는 ECC RAM으로 수정할 수 있습니다. 모든 런타임 모니터링 메커니즘은 오류가 감지되면 시스템을 정의된 상태로 설정하기 위해 전용 오류 응답(재시작, 종료, 인터럽트)을 실행합니다.

공급 전압 모니터링

MicroAutoBox III의 중요한 전원 공급 전압 레벨을 감지하기 위해 공급 전압 모니터링 메커니즘을 사용할 수 있습니다. 이러한 방식으로, 임계 공급 전압 수준에 도달하기 전에 시스템이 개입할 수 있습니다. MicroAutoBox III와 함께 사용되는 다양한 차량 전기 시스템 및 기타 시스템에 공급 전압 모니터링 메커니즘을 쉽게 적용하도록 임계값을 구성할 수 있습니다.