通信协议标准FlexRay总线的功能安全性详解VIP免费

通信协议标准FlexRay总线的功能安全性详解在汽车中采用电子系统已经有几十年的历史，它们使汽车安全、节能与环保方面的性能有大幅度的提高。随着研究的深入，许多系统需要共享和交换信息，为了节省线缆，就形成了依赖于通信的分布式嵌入系统。目前，世界上90%的都采用基于CAN总线的系统。FlexRay是下一代通信协议事实上的标准，它的功能安全性如何是至关重要的。1IEC61508功能安全的要求目前车控系统正在向线控技术（xbywire）过渡，例如线控转向与线控刹车。线控系统最终目标是取消机械后备，因为取消这些后备可以降低成本，增强设计的灵活性，扩大适用范围，为以后新添功能创造条件。但是取消机械后备就对电子系统的可信赖性（dependability）要求大为提高。车是一个运动的物体，处于运动的环境之中，它因故障可能伤及自身及别人。取消机械后备，就将电子系统由今天的故障静默（failsilent）要求提升到故障仍工作（failoperational）的要求。国际上对工业应用的功能安全要求已制定了标准IEC61508，它主要关心被控设备及其控制系统的安全。虽然它也适用于汽车，但汽车不仅有上述功能安全问题，而且要关心由于功能变化造成的整车系统安全，所以汽车业内正在制定相应的标准ISO26262。汽车的功能安全等级分为4级，要求最高的是ASILD，相应的失效概率＜10-8/h，它相当于IEC61508的SIL3。根据实践经验，分配给通信的失效概率＜10-10/h。有关这方面的介绍可参见参考文献。现在安全攸关的应用系统的范围有所扩大，以前不算在内的一些系统现在都要算了。例如安全预先动作系统（presafe）中座椅调整子系统、刹车辅助系统中的灯光控制子系统、碰撞后telematic自动呼叫求援的子系统，都将视为安全攸关系统。1.1引起系统安全风险的通信故障通信故障有5种表现形式，第1种是造成值域的错误。第2种是造成时域的错误，这是工业不同于民用的部分。一条消息不能在预定的时限前送达就失去了实用意义，例如与安全气囊引爆有关的传感器消息不能在数ms内送达就引起安全问题。在多播或广播通信中还有第3种错误：数据完整性错（拜占庭错），即各节点收到的结果不一致。它会引起系统性的失效，应对的策略必须将所有有关节点同时考虑。第4种是系统崩溃，除硬件失效外，也有干扰或软件引起的，例如饶舌错（babblingidiot）阻止通信。第5种是丢帧，短时间失效，例如可恢复的离线或bug引起的等效离线状态，又如小集团错。1.2通信的容许失效率在通信故障对系统安全影响的分析上，参考文献提供了一种方法，根据瞬态干扰出现的可能长度，计算通信失效的时段长，在假定的通信失效率下，推出系统的失效率。在该实例中，路段上电场超100V/m的区间有可能引起通信失效，失效率近似5×10-3，车速为90km/h，识别出的可能失效时间约74s。通信以6ms为周期，连续7个周期丢帧视为系统失效，在此条件下系统失效率为1.6409×10-10，认为可以达到SIL4的安全要求。这种分析方法是有效的，但是假设的条件太多，例如：误码率有很大的变化区间；帧长的变化影响一次传送的失效率；干扰持续时间的假定；连续丢7帧也与应用的场合有关，对90km/h的车42ms的失控对刹车系统而言有约1m的距离，恐怕对撞击的后果有完全不同的评估；还假设SIL4完全分配给通信，将CPU与软件有关的部分失效率忽略不计，在软件规模越来越大的今天，这个假设是不合理的。另一方面，决定系统失效率时还应考虑其他的通信故障形式，例如出现小集团错到发生冲突的时间取决于相对的时钟漂移，越精确，其间时间越长，失效的时间就越长，参考文献中在人为制造出小集团后需300ms才发现冲突，远远超出上述的42ms。所以一般讨论系统安全的文章中都单独规定通信的失效率是相应安全等级失效率的1/100。1.3影响通信失效率的因素功能安全等级与故障检测的覆盖率有关，如果有的故障未被检查到（未认识到或做不到），当然那种失效情景就不可能计算在内，安全等级的划分就有错。参考文献介绍了SFF（SafetyFailureFraction）的概念：失效分为引起危害的失效和安全失效，它们又各分为能检测出和未检测出两种。安全失效比例SFF是能检测出危害失效与安全失效在总的失效中的份额。诊断覆盖...