導(dǎo)讀

? ? 控制設(shè)備中出現(xiàn)的錯(cuò)誤必須能被迅速地識(shí)別出來并進(jìn)行糾正。本文重點(diǎn)介紹基本錯(cuò)誤檢測(cè)與糾正的概念，已被熟知的軟件架構(gòu)中的標(biāo)準(zhǔn)解決方案，并分析在實(shí)際項(xiàng)目中這些解決方案是如何被集成到 AUTOSAR 軟件架構(gòu)中的。

? ? 近年來，汽車內(nèi)部電子控制單元（ECU）數(shù)量以及它們所具備的功能急劇增加，以駕駛員輔助領(lǐng)域?yàn)榇淼男录夹g(shù)的引入，意味著車載功能正變得更加復(fù)雜，對(duì)硬件性能的需求也在不斷增加。過去 40 MHz 的單核處理器就夠用了，而現(xiàn)在卻要使用幾百M(fèi)Hz的多核處理器。為了應(yīng)對(duì)相關(guān)的復(fù)雜性，如 AUTOSAR 或 GENIVI 等標(biāo)準(zhǔn)化聯(lián)盟開發(fā)了相關(guān)軟件架構(gòu)，基于這些軟件架構(gòu)開發(fā)的軟件也已經(jīng)運(yùn)行在越來越多的汽車 ECU 上。例如 ISO 26262 和 IEC 61508 等功能安全標(biāo)準(zhǔn)，包含了按照功能安全標(biāo)準(zhǔn)進(jìn)行控制單元開發(fā)的指導(dǎo)原則，但并沒有規(guī)定具體的解決方案，以避免限制系統(tǒng)開發(fā)人員打造最優(yōu)解決方案。

? ? 不斷增加的輔助功能，以及不斷提升的復(fù)雜性，處理控制單元可能發(fā)生的故障或失效的需求也隨之增加。目前，大多數(shù)系統(tǒng)基于故障安全（fail-safe）架構(gòu)：如果在 ECU 內(nèi)頻繁發(fā)生某一錯(cuò)誤，該功能就會(huì)關(guān)閉，并將全部控制權(quán)交還駕駛員，隨之將這一情況通知駕駛員。

? ? 因此在許多輔助系統(tǒng)的安全模式下，相關(guān)功能將被關(guān)閉，并向駕駛員發(fā)送警告。然后駕駛員就會(huì)采取適當(dāng)?shù)膽?yīng)對(duì)措施，例如手動(dòng)駕駛，停車或進(jìn)行維修。這種錯(cuò)誤處理方式的確安全，但往往體驗(yàn)不佳，會(huì)導(dǎo)致汽車被視為不可靠產(chǎn)品。只要部分自動(dòng)或全自動(dòng)駕駛的功能受到影響，這種錯(cuò)誤處理方式就無法再確保汽車駕乘人員的安全。在這種情況下，如果出現(xiàn)錯(cuò)誤，系統(tǒng)應(yīng)能夠提供完整或降級(jí)后的功能來實(shí)現(xiàn)可靠運(yùn)行。這種系統(tǒng)稱為失效運(yùn)行（fail-operational）系統(tǒng)。

? ? 失效運(yùn)行系統(tǒng)在核電站和航空等安全相關(guān)領(lǐng)域已經(jīng)非常成熟，此類系統(tǒng)的設(shè)計(jì)主要由冗余系統(tǒng)部分，加上能夠過濾或替代產(chǎn)生錯(cuò)誤信息的通道的監(jiān)測(cè)部分。第一步通常是簡(jiǎn)單的冗余，加上圖 1 所示的投票機(jī)制。

? ? 該系統(tǒng)實(shí)現(xiàn)兩個(gè)冗余通道，投票機(jī)制可以檢測(cè)到某個(gè) ECU 出錯(cuò)，并觸發(fā)切換到安全狀態(tài)。但是，此類系統(tǒng)只能做到故障安全，因?yàn)橥镀睓C(jī)制只能檢測(cè)到兩個(gè)通道產(chǎn)生結(jié)果相異，無法定位發(fā)生故障的 ECU。

? ? 第二種方法是三重模塊冗余（ 2oo3 ）系統(tǒng)，如圖 2 所示。

????此模式有三個(gè)冗余 ECU 以及一個(gè)表決器組成。如果只有一個(gè) ECU 產(chǎn)生反對(duì)結(jié)果，則持有異議的 ECU 將被視為發(fā)生故障，但系統(tǒng)可以繼續(xù)使用其余兩個(gè) ECU。在極為重視功能安全系統(tǒng)可靠性（如航天電子），或者系統(tǒng)故障是重要成本因素（如化工廠）的行業(yè)中，此類 2oo3 系統(tǒng)非常成熟。

? ? 但是與每年制造和部署了數(shù)百萬套系統(tǒng)的汽車領(lǐng)域相比，新部署的飛機(jī)或化工廠的數(shù)量較為有限。相比現(xiàn)在的故障保險(xiǎn)系統(tǒng)，三重模塊化冗余系統(tǒng)的開發(fā)和制造成本非常高，同時(shí)還需要考慮重量和功耗增加等其他因素。因此，人們需要找到一個(gè)更加合適的技術(shù)解決方案，這種方案應(yīng)能夠兼顧市場(chǎng)需求以及客戶對(duì)失效可操作系統(tǒng)的價(jià)格及可靠性的期望。

? ? 第三種方法是圖 3 所示的 1oo2D 系統(tǒng)。

? ? 這種模式基于雙通道系統(tǒng)，每個(gè)通道都有很強(qiáng)的診斷能力，可以在大多數(shù)情況下檢測(cè)并通知自身故障。在其他情況下，會(huì)為每一種情況定義一個(gè)主 ECU，表決器也運(yùn)行在主 ECU 上。

? ? 如果兩個(gè)通道中的某一通道發(fā)生故障，系統(tǒng)可以關(guān)閉故障通道，暫時(shí)僅啟用另一個(gè)通道繼續(xù)運(yùn)行。在只有一個(gè)通道的情況下，系統(tǒng)將失去失效后仍可運(yùn)行的能力，需要盡快恢復(fù)此能力。其他外部監(jiān)控系統(tǒng)需要為整個(gè)系統(tǒng)故障做好準(zhǔn)備。在許多情況下，向駕駛員移交控制權(quán)可能就夠了。

? ? 可以使用例如 Markov 鏈等可靠性工程技術(shù)進(jìn)行模擬，比較 1oo2D 系統(tǒng)與 2oo3 系統(tǒng)的可靠性。對(duì)比的關(guān)鍵因素是每個(gè) ECU 的診斷覆蓋水平。這適用于隨機(jī)硬件故障，以及軟件功能實(shí)施中的系統(tǒng)故障。

偏航：ADAS 系統(tǒng)的錯(cuò)誤檢測(cè)

? ? 大多數(shù)駕駛員輔助系統(tǒng)，如車道輔助，會(huì)根據(jù)大量輸入值（包括攝像頭圖像）來形成決策（圖 4）。在此情況下，其決策形式包括駕駛員警告或主動(dòng)轉(zhuǎn)向干預(yù)。

? ? 許多駕駛員輔助功能會(huì)處理大量數(shù)據(jù)，這些數(shù)據(jù)通常來自多個(gè)傳感器系統(tǒng)。例如，出于功能安全理由，系統(tǒng)可能產(chǎn)生冗余路徑。這些數(shù)據(jù)經(jīng)過篩選、可行性檢查后就會(huì)合并到功能之中。在圖 4 中，處理或決策過程中的錯(cuò)誤越靠右，它們就越關(guān)鍵，因?yàn)檫@里呈現(xiàn)了數(shù)據(jù)和決策冗余下降的趨勢(shì)。錯(cuò)誤檢測(cè)機(jī)制和失效運(yùn)行系統(tǒng)的機(jī)制相同對(duì)數(shù)據(jù)流進(jìn)行校驗(yàn)、合理性測(cè)試、閾值分析或篩選瞬時(shí)值。此外，還有錯(cuò)誤檢測(cè)機(jī)制，它可以監(jiān)測(cè)系統(tǒng)的完整性，根據(jù)需要在運(yùn)行時(shí)執(zhí)行系統(tǒng)測(cè)試。由于輔助和自動(dòng)功能在駕駛環(huán)境中的使用增加，運(yùn)行時(shí)間也隨之增加，這意味著可能更加頻繁地發(fā)生瞬時(shí)錯(cuò)誤，所以很有必要執(zhí)行這些系統(tǒng)測(cè)試。

安全狀態(tài)和部分恢復(fù)

? ? 正如上文所述，1oo2D 系統(tǒng)可以在短時(shí)間內(nèi)以單通道模式繼續(xù)運(yùn)行。減少單通道運(yùn)行時(shí)間的一個(gè)潛在解決方案就是，將確定的高可用性、功能安全相關(guān)軟件的設(shè)計(jì)模式映射到多核處理器的各個(gè)核，或者使用其他 ECU 來接管各項(xiàng)功能。后者將需要改動(dòng)現(xiàn)有 E/E 汽車架構(gòu)：將功能動(dòng)態(tài)地分布到多個(gè)控制單元，進(jìn)行開啟或關(guān)閉。重新配置此系統(tǒng)需要按需訪問傳感器和執(zhí)行機(jī)構(gòu)，例如作為服務(wù)提供給車輛網(wǎng)絡(luò)中其他節(jié)點(diǎn)進(jìn)行請(qǐng)求。重新配置既可以在使用靜態(tài) AUTOSAR 系統(tǒng)時(shí)進(jìn)行靜態(tài)的預(yù)先配置，或者在自適應(yīng)系統(tǒng)中完全動(dòng)態(tài)地進(jìn)行配置。

? ? 圖 5 展示了一個(gè)包含替代功能的架構(gòu)。正常狀態(tài)下，功能 1 在控制單元 1 上激活。如果發(fā)生錯(cuò)誤，功能將遷移到控制單元 2。這個(gè)功能可以是冷啟動(dòng)，也可以是一直運(yùn)行在待機(jī)狀態(tài)。如果需要，可以關(guān)閉控制單元2中不太重要的功能，如功能 4。這意味著可以有效地使用資源，不占用更多的計(jì)算能力。

? ? 除了自身狀態(tài)監(jiān)控，當(dāng)某一功能在不同控制單元之間進(jìn)行切換時(shí)，進(jìn)行切換動(dòng)作的控制單元也需要被監(jiān)控。這是 FailOp Manager 的職責(zé)，作用在于確保及時(shí)檢測(cè)和快速切換，防止兩個(gè)功能同時(shí)處于激活狀態(tài)。

? ? AUTOSAR 軟件架構(gòu)，包括操作系統(tǒng)，都是靜態(tài)配置的。為了將動(dòng)態(tài)替換機(jī)制集成到靜態(tài)架構(gòu)中，這些功能需要具備連接與斷開的能力，AUTOSAR 提供了多個(gè)選擇：

·??RTE 模式切換

·??警告(alarm)的啟動(dòng)和停止

·??任務(wù)(task)的啟動(dòng)和停止

·??OS Application 的啟動(dòng)和停止

? ? 要允許功能和監(jiān)控獨(dú)立運(yùn)行，操作系統(tǒng)必須提供分區(qū)(partitioning)機(jī)制。EB tresos Safety OS Multi-Core 操作系統(tǒng)在此基礎(chǔ)上也能提供分區(qū)的啟動(dòng)與停止功能，同時(shí)也通過了 ASIL-D 的認(rèn)證。

關(guān)于自動(dòng)駕駛

? ? 目前的故障安全架構(gòu)只能實(shí)現(xiàn)部分自動(dòng)駕駛。如果發(fā)生錯(cuò)誤，需要人為干預(yù)，汽車駕駛員仍然是汽車運(yùn)行的一部分。我們實(shí)際上可以使用其他行業(yè)和汽車標(biāo)準(zhǔn)（如 AUTOSAR）的已有概念組合，找到開發(fā)高可用性控制單元的解決方案。此類解決方案可以基于 Elektrobit 在各個(gè)領(lǐng)域（如駕駛員輔助系統(tǒng)）的各種項(xiàng)目，以及包括 EB tresos Safety OS 產(chǎn)品上獲得的經(jīng)驗(yàn)，而無需在 AUTOSAR 等標(biāo)準(zhǔn)上進(jìn)行妥協(xié)。這樣的控制單元能夠獨(dú)立應(yīng)對(duì)錯(cuò)誤，保證系統(tǒng)繼續(xù)執(zhí)行，成為自動(dòng)駕駛功能運(yùn)行的基礎(chǔ)。

本文作者：

欲下載該完整白皮書 PDF，請(qǐng)?jiān)L問 Elektrobit 官網(wǎng)：https://www.elektrobit.cn/tech-corner/safe-state-architecture-and-degradation-mechanisms/

Elektrobit 針對(duì)汽車?ECU 的 AUTOSAR?軟件產(chǎn)品和解決方案：

• Elektrobit 經(jīng)典 AUTOSAR 基礎(chǔ)軟件、汽車操作系統(tǒng)和量身定制的工具環(huán)境：EB tresos

  www.elektrobit.cn/products/ecu/eb-tresos/

• Elektrobit 用于打造高性能計(jì)算平臺(tái)（HPC）的自適應(yīng) AUTOSAR 基礎(chǔ)軟件、虛擬機(jī)監(jiān)控程序（Hypervisor）、車規(guī)級(jí)操作系統(tǒng)和集成式開發(fā)環(huán)境：EB corbos

  www.elektrobit.cn/products/ecu/eb-corbos/

• Elektrobit 推出的業(yè)內(nèi)首款能夠?qū)崿F(xiàn)安全、高性能車載網(wǎng)絡(luò)通信的汽車以太網(wǎng)交換機(jī)固件：EB zoneo

  www.elektrobit.cn/products/ecu/eb-zoneo/

• Elektrobit 為汽車電子控制單元（ECU）提供的嵌入式安全解決方案：EB zentur

  www.elektrobit.cn/products/security/