我們從系統(tǒng)角度，先看看系統(tǒng)級(jí)別安全架構(gòu)，后續(xù)無(wú)非就是將具體的軟件和硬件安全機(jī)制逐步應(yīng)用于系統(tǒng)架構(gòu)當(dāng)中去。

一般來(lái)說(shuō)，所有的安全機(jī)制本質(zhì)上都服務(wù)于兩類(lèi)安全架構(gòu):

Fail to safe?

Fail to operational

2.1、Fail to safe?

Fail to safe是目前汽車(chē)行業(yè)應(yīng)用最廣泛的安全架構(gòu)，最典型的應(yīng)用就是在線監(jiān)控，將整個(gè)控制單元分為功能實(shí)現(xiàn)和在線監(jiān)控兩部分，即所謂的的1oo1D類(lèi)型系統(tǒng)，具體如下圖所示:

其中:?

功能實(shí)現(xiàn)部分一般按正常開(kāi)發(fā)流程就行開(kāi)發(fā)，主要實(shí)現(xiàn)系統(tǒng)的功能性需求，不需要考慮功能安全需求(也就是全部QM)。

監(jiān)控單元用于實(shí)現(xiàn)系統(tǒng)功能安全相關(guān)的需求，主要目的在于對(duì)功能實(shí)現(xiàn)部分進(jìn)行安全監(jiān)控，在線監(jiān)測(cè)功能實(shí)現(xiàn)部分是否按照預(yù)期運(yùn)行。一旦發(fā)現(xiàn)問(wèn)題，就將系統(tǒng)導(dǎo)入安全狀態(tài)，停止提供系統(tǒng)原有功能或者維持最必要的功能。

需要注意的是，監(jiān)控單元非功能層全部功能的多樣化復(fù)現(xiàn)，不能獨(dú)立于功能實(shí)現(xiàn)部分單獨(dú)存在，ASIL等級(jí)則直接決定了監(jiān)控單元的硬件及軟件復(fù)雜度。

對(duì)于ASIL等級(jí)要求較高的系統(tǒng)，監(jiān)控單元軟件一般獨(dú)立于功能層。為實(shí)現(xiàn)有效監(jiān)控，在監(jiān)控單元不僅需要對(duì)功能層中，和功能安全相關(guān)的輸入和輸出進(jìn)行診斷，還需要對(duì)功能安全相關(guān)的計(jì)算邏輯進(jìn)行監(jiān)控，計(jì)算執(zhí)行器關(guān)鍵控制信號(hào)的安全輸出范圍，并和功能層計(jì)算結(jié)果進(jìn)行對(duì)比，甚至需要對(duì)控制器硬件進(jìn)行額外的硬件監(jiān)控。

如下圖所示，發(fā)動(dòng)機(jī)控制單元最常見(jiàn)的E-Gas三層安全架構(gòu)就屬于典型的1oo1D的應(yīng)用，包括功能應(yīng)用層，功能監(jiān)控層，控制器監(jiān)控層。

E-Gas三層安全架構(gòu)，雖然是針對(duì)發(fā)動(dòng)機(jī)控制單元，但屬于非常經(jīng)典安全架構(gòu)，廣泛應(yīng)用于傳統(tǒng)控制系統(tǒng)(例如傳動(dòng)，整車(chē)控制)當(dāng)中，三層分層架構(gòu)本質(zhì)為原有ASIL等級(jí)的分解，即QM (ASILD)+ X(ASILX):

1、功能層:功能實(shí)現(xiàn)部分，使得較為復(fù)雜的功能實(shí)現(xiàn)部分得以按照QM開(kāi)發(fā)，無(wú)需考慮功能安全需求，專(zhuān)注于復(fù)雜功能軟件的開(kāi)發(fā)和復(fù)用。

2、功能監(jiān)控層:按照原有ASIL等級(jí)進(jìn)行獨(dú)立開(kāi)發(fā)，對(duì)功能層中功能安全相關(guān)部分進(jìn)行監(jiān)控，包括輸入輸出診斷，邏輯監(jiān)控，故障分類(lèi)及故障優(yōu)先級(jí)仲裁等。

3、控制器監(jiān)控層:對(duì)功能控制器，尤其是功能監(jiān)控層控制器硬件進(jìn)行監(jiān)控，一般采用獨(dú)立的監(jiān)控單元(一般采用ASIC基礎(chǔ)芯片)對(duì)功能控制器中內(nèi)存，CPU，通訊，定時(shí)器等進(jìn)行監(jiān)測(cè)和保護(hù)。

目前E-Gas三層安全架構(gòu)已經(jīng)更新了很多版，強(qiáng)烈建議朋友們多讀幾遍，一定會(huì)深受啟發(fā)，之后有機(jī)會(huì)也可以給朋友們專(zhuān)門(mén)介紹一下。

當(dāng)然，分層安全架構(gòu)只是1oo1D其中一種實(shí)現(xiàn)方式，對(duì)于ASIL等級(jí)要求不高或者功能簡(jiǎn)單的控制系統(tǒng)，不一定非得采用分層架構(gòu)，監(jiān)控層也可以相應(yīng)簡(jiǎn)化。

2.2、Fail to operational

Fail to operational 屬于相對(duì)高級(jí)的安全架構(gòu)，比較器和多數(shù)投票器都屬于這類(lèi)安全架構(gòu)，整個(gè)系統(tǒng)由相對(duì)獨(dú)立的兩條或多條功能鏈路構(gòu)成，每條功能鏈路都有擁有自己獨(dú)立的傳感器，控制單元，甚至執(zhí)行器。當(dāng)其中一條功能鏈路出現(xiàn)異常，控制系統(tǒng)可以切換到其他功能鏈路，保證系統(tǒng)繼續(xù)正常工作或者降級(jí)運(yùn)行。

獨(dú)立功能鏈路的實(shí)現(xiàn)需要大量的硬件冗余和多樣化的軟件設(shè)計(jì)，直接提高了系統(tǒng)成本，所以Fail to operational在汽車(chē)產(chǎn)品一般最多有兩個(gè)獨(dú)立功能鏈路，主要應(yīng)用在對(duì)功能安全要求極高或者功能極為復(fù)雜的系統(tǒng)，例如自動(dòng)駕駛。其中最典型的是1oo2架構(gòu)，如果每個(gè)功能鏈路擁有獨(dú)立的診斷單元(和在線監(jiān)控類(lèi)似)，則可以實(shí)現(xiàn)1oo2D安全架構(gòu)，如下圖所示:

其中:?

兩條功能鏈路功能可以保持一致，通過(guò)多樣化軟件設(shè)計(jì)保證系統(tǒng)安全，或者形成主副功能鏈路，主功能鏈路利用高性能計(jì)算單元實(shí)現(xiàn)復(fù)雜的功能計(jì)算，副功能鏈路對(duì)控制器硬件安全性及可靠性要求高，承擔(dān)系統(tǒng)功能安全任務(wù)，只實(shí)現(xiàn)系統(tǒng)功能安全相關(guān)的功能，一旦主功能鏈路出現(xiàn)故障，則系統(tǒng)切換至副功能鏈路。

3、執(zhí)行器

執(zhí)行器屬于系統(tǒng)功能實(shí)現(xiàn)終端，執(zhí)行器冗余會(huì)極大增加系統(tǒng)成本，一般在Fail to operational 安全架構(gòu)中才會(huì)采用。例如EPS系統(tǒng)，制動(dòng)系統(tǒng)等，除電動(dòng)執(zhí)行單元外，還必須保留機(jī)械執(zhí)行路徑。這也是目前自動(dòng)駕駛系統(tǒng)，為什么還必須保留駕駛員自主駕駛所需要的全部執(zhí)行輸入(例如，踏板，方向盤(pán))的根本原因。

4、通信安全

系統(tǒng)組件之間以及組件內(nèi)部的通信安全，也是系統(tǒng)功能安全的重要內(nèi)容，一般都采用信息冗余(CRC)，時(shí)間監(jiān)控，問(wèn)答機(jī)制等安全保護(hù)機(jī)制，主要應(yīng)用就是AUTOSAR中的E2E保護(hù)，利用數(shù)據(jù)控制信息，保證信息通訊安全。

華菱咨詢(xún)位于中國(guó)長(zhǎng)三角、珠三角、京津冀和西南地區(qū)地區(qū)，成立于 2001 年,專(zhuān)注于標(biāo)準(zhǔn)體系咨詢(xún)、產(chǎn)品認(rèn)證咨詢(xún)、企業(yè)管理項(xiàng)目咨詢(xún)以及相關(guān)教育訓(xùn)練的顧問(wèn)公司。公司已在北京、上海、杭州、廣州、深圳、合肥、江西、西安設(shè)立了分支機(jī)構(gòu)。

華菱咨詢(xún)服務(wù)將通過(guò)變革的思想，快速的實(shí)施及降低風(fēng)險(xiǎn)來(lái)為客戶(hù)提供增值服務(wù)。幫助客戶(hù)構(gòu)想、開(kāi)拓、實(shí)施及運(yùn)營(yíng)關(guān)鍵性業(yè)務(wù)。

版權(quán)聲明：

1.本公眾號(hào)所發(fā)布內(nèi)容，凡未注明“原創(chuàng)”等字樣的均來(lái)源于網(wǎng)絡(luò)善意轉(zhuǎn)載，版權(quán)歸原作者所有！

2.除本平臺(tái)獨(dú)家和原創(chuàng)，其他內(nèi)容非本平臺(tái)立場(chǎng)，不構(gòu)成投資建議。

3.如千辛萬(wàn)苦未找到原作者或原始出處，請(qǐng)理解并聯(lián)系我們。

4.文中部分圖片源于網(wǎng)絡(luò)。

5.本公眾號(hào)發(fā)布此文出于傳播消息之目的，如有侵權(quán)，聯(lián)系刪除。

華菱咨詢(xún)深圳官網(wǎng)：http://www.hlemc-sz.com/

華菱咨詢(xún)蘇州官網(wǎng)：http://www.hlemc.com/

若還有其他問(wèn)題，可直接在平臺(tái)私信聯(lián)系我們，我們會(huì)第一時(shí)間與您取得聯(lián)系,感謝支持。