功能安全的监测机制

概述

对于原型车辆和实际道路交通，安全关键功能验证（尤其是驾驶辅助和自动驾驶）所需的驾驶测试越来越多，因此成熟和全面的安全概念至关重要，以便系统能够在发生故障时立即进行准确响应。为了提高早期功能开发阶段中的监测水平，所有MicroAutoBox III的变体都可提供功能安全(FuSa)领域中的一些监测功能。

为了在这些场景中简化MicroAutoBox III的使用，该系统基于汽车工业现有的EGAS安全概念提出了一种三阶段功能性安全理念。

1.功能级别

该层执行应用程序功能，例如控制算法和I/O功能。第1层对应于没有FuSa功能的实时应用程序。

2.功能监控级别

该层执行用于监控第1层功能的安全功能。您可以在实时应用程序上实现安全功能，例如输入信号的合理性检查。

3.控制器监控级别

该层对执行第1层和第2层功能的硬件进行监控。相比之下，第3层的安全功能不太依赖于应用程序，并且在实时应用程序使用FuSa功能时自动激活。此外，后台进程自动监测FuSa功能。如果安全功能检测到FuSa错误，则会触发MicroAutoBox III FuSa装置，该装置对检测到的FuSa错误作出响应并报告。

MicroAutoBox III 提供多种监控功能，例如内存检查或挑战-应答监控。这些功能可以检测故障并使系统进入定义的状态，因此有助于车辆的整体安全概念的集成。

多级 Watchdog 机制

多级 Watchdog 机制由基于 FPGA 的硬件 Watchdog 和可配置的软件 Watchdog 组成，这些 软件Watchdog 可在实时处理器上执行。它们密切监控实时控制器，观察实时应用是否正确执行。每个 Watchdog 的超时行为均可单独配置，以确保任务或子系统可在给定时限内定期执行。

此外，集成了由安全CPLD（复杂的可编程逻辑器件）组成的独立硬件看门狗。它有一个独立的电源和时钟。如果出现故障，CPLD确保MicroAutoBox III转换到安全状态。设备持续记录故障发生时的信息。

系统检测到的所有FuSa错误都会报告给上位机。该信息也可在MicroAutoBox III的web界面上获得。

如果发生FuSa错误，FuSa装置也可以通过打开继电器或点亮FuSa LED进行响应。打开继电器之后，MicroAutoBox III就会采取行动，例如激活备用ECU，FuSa LED仅指示FuSa故障，而无需启动进一步的措施。

挑战-应答监控

挑战应答监控不依赖于实时处理器，在安全CPLD上实现。这可确保即使实时处理器不再正确运行也能检测到故障。与Watchdog功能相比，它不仅能够检查子系统能否在特定时间内做出响应，而且能够检查实时处理器的计算是否正确执行。利用挑战应答监控，您能够实现更复杂的监视功能，例如修改执行顺序的功能。单独的验证程序（包括C代码和/或S函数）也可以实现。我们可同时使用挑战应答监控的15个实例，其可同时带有16个挑战/应答值。此外，还可实现隐式反向监控，以定期检查监控功能是否仍正确运行。

响应触发机制是一种用户可配置的软件监视器，能够在行为模型内直接触发功能安全故障。通过这种方式，您可以轻松地执行合理性检查，例如对I/O信号进行检查，并相应地设置故障标志。根据配置，能够对此类故障进行响应，例如简单的FuSa日志记录、I/O触发器，甚至是整个系统的关闭。

我们甚至可以定义故障检测和故障响应触发之间的延迟时间，以确保系统达到安全状态。

内存完整性检查

为了检测硬件故障或关键位错误，MicroAutoBox III执行不同的内存完整性检查。初始ROM检查机制在实时应用程序启动期间检测内存故障。如果检测到故障，MicroAutoBox III停止程序执行，并中止实时应用的启动，以达到定义的系统状态。堆、堆栈和监视机制在实时应用程序运行时检测内存故障。这些机制确保堆和堆栈的内存片区仍然有效，未经许可不会被覆盖。此外，ECC RAM还可以纠正实时应用程序运行时出现的单比特错误。当检测到故障时，所有运行时监控机制执行专门的故障反应（重新启动、关闭、中断），将系统设置为定义的状态。

电源电压监测

此外，还配有电源电压监控机制，以检测 MicroAutoBox III的临界电源电压水平。这样，系统可以在达到临界电源电压水平之前进行干预。您可以配置阈值使电源电压轻松适应不同的车辆电气系统和与MicroAutoBox III配套使用的其它系统。