MicroAutoBox III：安全驾驶测试的安全功能

功能安全机制

在真实车辆和真实交通情况下进行实际试验，对于测试和验证原型功能来说，与以往一样是不可或缺的。无论开发的功能是用于（部分）自动驾驶、驾驶辅助系统，还是用于控制电机或内燃机，仿真都无法完全取代真实驾驶测试。

我们的 MicroAutoBox III 是从头开始设计的，因此其广泛的功能安全特性在车载功能原型设计中提供了高度的安全性。

实现安全的三个步骤

了确保做到这一点，在 MicroAutoBox III 上实施了三阶段安全概念，类似于 E-GAS 监测概念。

它从硬件监控层面开始，使用专用安全芯片运行定期活动检查，监控实时处理器、FPGA 和所有功能安全组件的运行，并在发生错误时做出响应。该芯片补充了 ECC RAM（ECC RAM 本身能够纠正 1 位错误），通过额外监控实时处理器堆栈和堆的完整性，为出现任何内存错误做好最佳准备。而且，为了能够在关键情况下做出响应，安全芯片也有自己独立的电压供应。

在下一个层面，即功能监测层面，复杂的挑战-响应机制允许以精细的分辨率监测功能的正确执行。一个功能必须在规定的时间范围内，通过输出一个正确计算的答复来回应以指定日期为形式的挑战。如果这个回复与预期值不一致，或者没有在规定的时间窗口内做出，就会认为该功能的行为不正确，系统可以做出适当的反应。

安全概念的最高级别，即功能级别，保障了所需的功能。在这里，dSPACE 使开发人员能够直接从模型中解决功能安全错误。利用有关已实现功能的信息，我们可以评估输入和输出信号的值、中间结果等是否合理，并在发生错误时作出适当的反应。与功能监控层面不同的是，这不仅可以确保功能按预期执行，还可以确保关键信号值保持在为其指定的数值范围内。这可以防止意外行为，并确保 MicroAutoBox III 始终在规定的安全运行状态下工作。

从错误中学习

为了确保测试轨道和道路交通的安全，可以自由配置系统对非期望行为的反应：有许多选项，从持续记录到覆盖特定的、不可信的信号，再到重新启动应用程序，甚至执行整个紧急关闭。
这些不同的响应选项使得从建模阶段开始就很容易涵盖功能安全的要求。特别是在开发工作的开始阶段，安全关键功能经常出现错误。当在实验室或测试台上的初始测试中发生功能安全错误时，简单地进行日志记录是有意义的，这将有助于确定错误的来源。为了快速查明错误原因，专用的功能安全 LED 还提供了安全芯片的干预信息。随着功能在后期阶段的成熟，系统行为可以逐步修改，只需少量工作，就能使其始终符合当前的开发状态。

如果发生错误，需要完全关闭系统时，可以通过集成的安全中继器激活一个设备（如备用 ECU），从那时起接管控制权。

这里也需要日志记录，以便能够回溯系统的每一个反应。

因此，MicroAutoBox III 为开发人员提供了最佳的帮助，以确保其原型系统在开发和测试的每个阶段都实现功能安全。