Three-layer functional safety concept (based on the EGAS safety concept).
对于原型车辆和实际道路交通,安全关键功能验证(尤其是驾驶辅助和自动驾驶)所需的驾驶测试越来越多,因此成熟和全面的安全概念至关重要,以便系统能够在发生故障时立即进行准确响应。为了提高早期功能开发阶段中的监测水平,所有MicroAutoBox III的变体都可提供功能安全(FuSa)领域中的一些监测功能。
为了在这些场景中简化MicroAutoBox III的使用,该系统基于汽车工业现有的EGAS安全概念提出了一种三阶段功能性安全理念。
1.功能级别
该层执行应用程序功能,例如控制算法和I/O功能。第1层对应于没有FuSa功能的实时应用程序。
2.功能监控级别
该层执行用于监控第1层功能的安全功能。您可以在实时应用程序上实现安全功能,例如输入信号的合理性检查。
3.控制器监控级别
该层对执行第1层和第2层功能的硬件进行监控。相比之下,第3层的安全功能不太依赖于应用程序,并且在实时应用程序使用FuSa功能时自动激活。此外,后台进程自动监测FuSa功能。如果安全功能检测到FuSa错误,则会触发MicroAutoBox III FuSa装置,该装置对检测到的FuSa错误作出响应并报告。
MicroAutoBox III 提供多种监控功能,例如内存检查或挑战-应答监控。这些功能可以检测故障并使系统进入定义的状态,因此有助于车辆的整体安全概念的集成。
多级 Watchdog 机制由基于 FPGA 的硬件 Watchdog 和可配置的软件 Watchdog 组成,这些 软件Watchdog 可在实时处理器上执行。它们密切监控实时控制器,观察实时应用是否正确执行。每个 Watchdog 的超时行为均可单独配置,以确保任务或子系统可在给定时限内定期执行。
此外,集成了由安全CPLD(复杂的可编程逻辑器件)组成的独立硬件看门狗。它有一个独立的电源和时钟。如果出现故障,CPLD确保MicroAutoBox III转换到安全状态。设备持续记录故障发生时的信息。
系统检测到的所有FuSa错误都会报告给上位机。该信息也可在MicroAutoBox III的web界面上获得。
如果发生FuSa错误,FuSa装置也可以通过打开继电器或点亮FuSa LED进行响应。打开继电器之后,MicroAutoBox III就会采取行动,例如激活备用ECU,FuSa LED仅指示FuSa故障,而无需启动进一步的措施。
挑战应答监控不依赖于实时处理器,在安全CPLD上实现。这可确保即使实时处理器不再正确运行也能检测到故障。与Watchdog功能相比,它不仅能够检查子系统能否在特定时间内做出响应,而且能够检查实时处理器的计算是否正确执行。利用挑战应答监控,您能够实现更复杂的监视功能,例如修改执行顺序的功能。单独的验证程序(包括C代码和/或S函数)也可以实现。我们可同时使用挑战应答监控的15个实例,其可同时带有16个挑战/应答值。此外,还可实现隐式反向监控,以定期检查监控功能是否仍正确运行。
响应触发机制是一种用户可配置的软件监视器,能够在行为模型内直接触发功能安全故障。通过这种方式,您可以轻松地执行合理性检查,例如对I/O信号进行检查,并相应地设置故障标志。根据配置,能够对此类故障进行响应,例如简单的FuSa日志记录、I/O触发器,甚至是整个系统的关闭。
我们甚至可以定义故障检测和故障响应触发之间的延迟时间,以确保系统达到安全状态。
为了检测硬件故障或关键位错误,MicroAutoBox III执行不同的内存完整性检查。初始ROM检查机制在实时应用程序启动期间检测内存故障。如果检测到故障,MicroAutoBox III停止程序执行,并中止实时应用的启动,以达到定义的系统状态。堆、堆栈和监视机制在实时应用程序运行时检测内存故障。这些机制确保堆和堆栈的内存片区仍然有效,未经许可不会被覆盖。此外,ECC RAM还可以纠正实时应用程序运行时出现的单比特错误。当检测到故障时,所有运行时监控机制执行专门的故障反应(重新启动、关闭、中断),将系统设置为定义的状态。
此外,还配有电源电压监控机制,以检测 MicroAutoBox III的临界电源电压水平。这样,系统可以在达到临界电源电压水平之前进行干预。您可以配置阈值使电源电压轻松适应不同的车辆电气系统和与MicroAutoBox III配套使用的其它系统。
推动创新进程。我们始终在技术开发的最前沿。
欢迎订阅我们简讯,了解我们的专业技术以及产品。希望我们的成功案例能够对您有所帮助。快速了解仿真和验证的最新信息。欢迎订阅/管理dSPACE简讯和dSPACE航空速报。