MicroAutoBox II 安全机制
对安全系数要求特别高的原型系统,如高度自动化驾驶系统等,需要配备另外的机制,监控 ECU 上的控制功能是否正确执行。为了提高早期功能开发阶段中的监测水平,所有MicroAutoBox II的变体都可提供批量生产中常见的监测功能,尽管这些变体均为原型开发系统。它们包括多级看门狗、集成式挑战应答机制、各种内存完整性检查以及电源电压监控。
如果其中的一个机制检测到系统故障,则可通过关闭或重新启动系统来达到定义的系统状态。此外,可通过非屏蔽中断等方式触发用户定义的软件程序,从而保存最后的参数集或记录故障原因。
这些机制容易编程,并可通过RTI Watchdog Blockset将它们轻松从模块组库拖入Simulink框图,实现和Simulink®控制器模型的集成。
多级 Watchdog 机制由基于 FPGA 的硬件 Watchdog 和可配置的软件 Watchdog 组成,这些 软件Watchdog 可在实时处理器上执行。它们密切监控实时控制器,观察实时应用是否正确执行。每个 Watchdog 的超时行为均可单独配置,以确保 Simulink 中的任务或子系统可在给定时限内定期执行。
挑战应答监控器不依赖于实时处理器,在单独的 MicroAutoBox II 硬件组件上执行。这可确保即使实时处理器不再正确运行也能检测到故障。与 Watchdog 功能相比,它不仅能够检查子系统能否在特定时间内做出响应,而且能够检查实时处理器的计算是否正确执行。为了使覆盖范围更广,挑战应答监控允许您实现更复杂的监视功能,例如用于控制执行顺序的功能。单独的验证程序(包括C代码和/或S函数)也可以实现。可同时使用挑战应答监控的14个实例,其可带有16个挑战/应答值。此外,可执行隐式反向监控,以定期检查监控功能是否仍正确运行。
不同的内存完整性检查可用于MicroAutoBox II,以检测硬件故障或关键位误差。初始ROM检查机制在实时应用程序启动期间检测内存故障。如果检测到故障,MicroAutoBox II 停止程序执行,并中止实时应用的启动,以达到定义的系统状态。堆、堆栈和ROM监控机制检测实时应用程序运行期间的内存故障。这些机制确保堆和堆栈的内存片区仍然有效,未经许可不会被覆盖。此外,可以利用ROM监视机制检测运行时位误差。当检测到故障时,所有运行时监控机制执行专门的故障反应(重新启动、关闭、中断),将系统设置为定义的状态。
此外,还配有电源电压监控机制,以检测MicroAutoBox II的临界电源电压水平。这样,系统可以在达到临界电源电压水平之前进行干预。您可以配置阈值使电源电压轻松适应不同的车辆电气系统和与MicroAutoBox II配套使用的其他系统。
推动创新进程。我们始终在技术开发的最前沿。
欢迎订阅我们简讯,了解我们的专业技术以及产品。希望我们的成功案例能够对您有所帮助。快速了解仿真和验证的最新信息。欢迎订阅/管理dSPACE简讯和dSPACE航空速报。