基于功能安全的示例AUTOSAR软件系统

  功能安全是一个在项目开始阶段就要引入的话题,它对于整个系统的设计都会有影响,如今AUTOSAR已经运用到了绝大多数汽车ECU当中,AUTOSAR的标准规范里同样有功能安全相关的说明。  AUTOSAR本身并不提供完整的安全解决方案,项目本身仍需要遵从ISO26262的规定来达到期望的安全等级设计,但AUTOSAR提供功能安全措施与机制,来支持实现系统所必要的功能安全。  AUTOSAR提供一个Use Case文档,以示例的方式来帮助开发人员了解如何运用AUTOSAR实现相关的功能安全功能。  本示例基于车辆前大灯管理的功能,集中介绍在ISO26262定义的框架内,和AUTOSAR部分相关的
  • 详情

  功能安全是一个在项目开始阶段就要引入的话题,它对于整个系统的设计都会有影响,如今AUTOSAR已经运用到了绝大多数汽车ECU当中,AUTOSAR的标准规范里同样有功能安全相关的说明。

  AUTOSAR本身并不提供完整的安全解决方案,项目本身仍需要遵从ISO26262的规定来达到期望的安全等级设计,但AUTOSAR提供功能安全措施与机制,来支持实现系统所必要的功能安全。

  AUTOSAR提供一个Use Case文档,以示例的方式来帮助开发人员了解如何运用AUTOSAR实现相关的功能安全功能。

  本示例基于车辆前大灯管理的功能,集中介绍在ISO26262定义的框架内,和AUTOSAR部分相关的功能安全内容,本文可以作为AUTOSAR方法论中安全相关分析的基本指导,但仍有很多诸如软件安全需求或安全分析测量的示例等细节无法覆盖到,需要开发人员在后续设计开发步骤中完成。

  整体架构如上图,我们的功能核心是车前灯管理,ECU还会和车灯开关,点火钥匙,HMI,车灯等仪器或执行机进行交互,在车前灯管理ECU当中,我们选取近光功能来进行讲解。其他诸如雾灯,示宽灯等等功能都不在本文讨论范围之内。

  由于和功能安全相关,作为降级(后备)功能的日间行车灯也会被加入到本文当中,当然,日间行车灯的具体控制功能本文不会进行涉及。

  近光功能,主要是在夜间照亮车前部分路面,也可以告诉参与路面交通的其他人有车靠近,近光功能的开启/关闭条件如下:

  只有当车灯开关位置从OFF置为ON时,车前灯管理模块才应当创建一个事件(ON)

  当车灯开关位置从ON置为OFF时,车前灯管理模块应当创建一个事件(OFF)

  车前灯管理模块应当在点火开关位置为ON时,检测到车灯开关事件ON的情况下,点亮近光灯

  车前灯管理模块应当在点火开关位置为OFF,或者检测到车灯开关事件OFF时,关闭近光灯

  车前灯管理模块应当能够在电流错误或者灯泡失效等的情况下提示近光灯发生错误

  ECU失效模式的分析已完成,安全衡量方式也已被定义并实现,分析基于供应商的数据,例如功能安全手册和ISO2626需求

  ECU处在唤醒状态,也可以正确执行并进入睡眠状态。模式管理,状态管理等均不在本示例讨论范围内。

  线束,电池或供电系统的鼓掌均不考虑。我们假定整车级的解决方案会考虑这些故障失效。

  仅一侧近光灯不工作不会被视为能直接导致危险的情况,然而,它仍被当作潜在故障,包含在概念建议当中

  ASIL:基于危害分析和风险评估中识别出的严重等级,发生概率和可控性,认定位ASIL B等级

  当然,还可以识别出很多其他的危害,但为了示例的简洁明了,本文不涉及其他情况。

  功能介绍,功能安全目标,以及功能安全需求的分析结构,即功能安全架构,会映射到一个具体的车辆架构上。

  FunSafReq01-01: FLM应当能正确检测任何合法的近光灯开启条件。(如果有一个合法的打开车灯请求,但没有开启近光,则对应MF01)

  FunSafReq01-02: FLM应当验证任何收到的近光开启请求的有效性,并相应地开启或关闭车灯。(如果没有收到合法的关闭近光的请求,但是关闭了灯光,则对应MF02)

  FunSafReq01-03: FLM应当检测近光是否故障并以指示灯反馈给驾驶员。(如果灯光失效/故障,则对应MF03)

  降级模式Step 1——一侧近光失效:另一侧近光仍然正常工作;应当给驾驶员以提示,告诉驾驶员虽然有开启灯光请求,但一侧并未成功

  降级模式Step 2——双侧近光失效:开启灯光但并不成功时,应当开启日间行车灯;应当给驾驶员以提示,告诉驾驶员虽然有开启灯光请求,但双侧都未成功,且已打开日间行车灯

  SysSafReq02: 车灯开关利用数字硬件总线HW_LB_OFF发送开关状态信号(0=0V代表开启请求,1=5V代表关闭请求)(ASIL B)

  SysSafReq04: FLM ECU检测到点亮灯泡的条件满足时,应当保证电压或PWM等达到稳定条件并点亮近光灯灯泡(ASIL B)

  SysSafReq08: FLM ECU应当使用独立电路来点亮双侧灯泡,以免单一故障就使得双侧失效(ASIL B)

  SysSafReq13: FLM ECU应当在LightStatus_01消息通信故障连续发生200ms时打开双侧日间行车灯;还要为驾驶员提供例如“车灯系统故障”的文本信息

  RTE作为中间层进行数据和消息的传输,但不做任何Transformation

  如上图,“车前灯”功能(ASIL B)被拆分为两个独立的头灯(2 x ASILA(B)),提供冗余。

  之前的假设是,set_pwm的丢失并不会直接导致近光灯失效,因此控制车灯的普通SPI总线是QM等级。

  如果回读通道指示和请求不同,需要执行相应的安全动作,独立于set_pwm命令。(例如,车灯开关ON时,应当打开日间行车灯)

  再者,车灯激活通道控制车灯的开启与关闭,反馈通道(ASIL B)会在任何危险(夜间)情况前通知成功状态。单一set_pwm鼓掌只会影响一侧车前灯。

  下方列表展示了ECU级别的安全需求。基于软件需求,BSW模块的需求也被推演出来。这里只做示例,方便理解,实际项目需要按照指定需求的最高ASIL等级进行开发。

  首先,我们会分析此软件系统的大体架构,包括相关的软件模块和BSW模块。在分析过程当中,我们会介绍接口和数据流这样的静态信息,以及处理流程,时间行为等的动态信息。

  其次,我们还会一起来分析并识别出ECU级别总结的安全需求所相关的潜在故障模式,如何使用功能安全方法检测出这些潜在故障,同时也会提供AUTOSAR中的实现方式。

  LightRequest会检查车灯开关状态,也会读取CL15_01 CAN信号(点火钥匙位置信息),在需要时将车灯请求发送给FLM。

  FLM会监控灯泡状态(包或是否可用状态),周期获取车灯请求数据,如果车灯故障时发送信号给HMI,当需要开启/关闭车灯时发送请求给Headlight模块。如果近光灯失效时发送日间行车灯请求给HeadLight。DEM功能也在FLM中处理。

  HeadLight提供当前车灯状态,收到请求时提供车灯是否可用的状态。它是直接控制车前灯的模块。当FLM已经请求车灯的情况下周期读取回读通道的数据。同时,它还要保证电压,PWM等以使车灯正常工作。

  BSW的功能这里不再详细说明,如有需要请参考其他文章或者规范原文,以了解AUTOSAR各底层模块能够提供的功能。

  系统故障,会以特定的原因导致特定故障,需要在生产过程,操作流程,文档或其他方式,亦或是更改设计的方式消除故障

  软件故障模式,主要分为“数据完整性,初始化和配置数据”,“数据交换”,“时间和控制流”和“数据处理”。

  内存数据损坏,也即某一特定内存地址上的软件数据发生损坏,包括寄存器,全局或静态变量,程序代码等。

  初始化和配置数据,也即对应的配置数据并不适用于或错误适配于当前的项目中(的外设等)。

  数据处理代表所有和逻辑软件错误(例如算法的错误实现,数据过滤等)的故障模式。

  到此为止,我们可以基于上述信息进行故障模式以及功能需求进行匹配,在项目当中可以列出这样的表格:

  由于原文示例有非常详细(也就是很多文字)说明了这个列表,这里只将这个作为例子,图中的故障模式为:COM, RTE以及很多其他模块都有权限过滤,转换,修改某些数据,这会很容易导致内存故障。

  为此,我们主要从三个方面考虑可能的安全方案:ECC,MPU/MMU,E2E。防止硬件随机错误,防止非预期的修改,以及保证数据传输过程的正确性/完整性。

  日常的工作当中也经常会收到很多安全功能相关的问题,主要是关于AUTOSAR中和功能安全相关模块的功能,以及对应的配置,还有怎么实现/达到功能安全等级,由于笔者工作主要是AUTOSAR基础软件相关,所以还是想强调的是,系统的功能安全,一定要从一开始就加入到项目的考量中去,进行功能分解,设计等等。AUTOSAR最多只能作为一个必要条件,以提供功能安全相关模块,辅以功能安全手册的方式帮助项目达到设计要求,但它不是一个充分条件,不可能是因为用了AUTOSAR,所以你的产品/项目就是功能安全的。

  就V字模型来说,可以很明显的看出来,OEM和Tier1确实需要花很多功夫去做功能安全分析以及功能分解等待,最后在过安全认证的时候也要掉很多头发(手动狗头)。

  就目前情况来说,考虑到上述的故障模式,做项目的时候,在AUTOSAR基础软件这一块儿,主要从E2E,SafetyOS(应用分区,内存保护等),Safety Watchdog,SafetyRTE的方面,来实现项目的整体功能安全。当然,SWC的开发同样需要遵守ISO26262以提供Safety API。

  声明:本文由入驻搜狐公众平台的作者撰写,除搜狐官方账号外,观点仅代表作者本人,不代表搜狐立场。

上一篇:“视频+数据”管牢机动车检验 下一篇:3+证书 新能源汽车检测与维修技术专业介绍及就业前景