上一篇,我們討論了故障度量和安全機制的ASIL等級。本篇我們來聊一聊系統(tǒng)架構(gòu)設(shè)計相關(guān)內(nèi)容。

01

系統(tǒng)架構(gòu)設(shè)計和TSC

當我們開始寫TSC時,會涉及到下圖中一系列的內(nèi)容:

當我們完成前三期(鏈接見文末)提到的安全機制規(guī)范后,我們就要開始整理好所有的安全需求并在系統(tǒng)架構(gòu)設(shè)計(SysArchiD)中來實現(xiàn)它們。不要忘記為每一個安全要求制定ASIL級別。也可以理解成安全要求(TSR)=安全機制或者TSR(由FSR分解得到)。

注意 → TSR受到FSC和系統(tǒng)架構(gòu)設(shè)計的高度影響。我們來看一個SbW的案例:

安全機制示例:

包含外部看門狗定時器和電源監(jiān)控的SBC;

監(jiān)控功能塊對某個算法進行監(jiān)控;

TMR架構(gòu);

同質(zhì)冗余:兩個執(zhí)行器;

異構(gòu)冗余:一種執(zhí)行器及其監(jiān)視器;

02

Item Definition of SbW

SbW相關(guān)項定義描述了系統(tǒng)的功能,但是ECU或者SOC/PSOC/ASIC/Micro-Controller分配的詳細技術(shù)規(guī)范。如下圖:

03

FSC of SbW

在功能安全概念中,相關(guān)項定義架構(gòu)將會對細節(jié)/粒度進行微調(diào)。除了粒度之外,FSR也是在這個初步的體系架構(gòu)中實現(xiàn)的。我們來看一下下面的內(nèi)容,可以清楚的說明這一點。

SG01:The SbW system shall prevent unintended self-steering in any direction under all vehicle operating conditions ． → ASIL-D

比如,我們添加了如下FSR給SbW:

The SbW control module is to have an arbitration strategy for steering-assist requests from the driver and other vehicle systems． → ASIL-DThe SbW shall run a self-test for steering assist at startup． Steering-assist commands shall not be issued until the validation of the communication channels is successful． → ASIL-B (注意:這里為什么是B而不是D,因為這是一個自檢的要求,具體請看上一篇)Power Supply of the SbW shall be monitored． → ASIL-DSbW system shall have a redundant Steering Motor to achieve fail-operational safe state when the primary Steering Motor fails → ASILD下圖展示了帶有FSR分配的功能安全概念的初步系統(tǒng)架構(gòu)。注意,這各系統(tǒng)架構(gòu)設(shè)計包含另一個粒度級別,也就是說,里面包含了一些在相關(guān)項定義中找不到的內(nèi)容。

如果放大看的話,我們會發(fā)現(xiàn)這里只分配了FSR01,FSR03和FSR04。

為什么沒有分配FSR02?因為它是一個軟件組件,將在軟件架構(gòu)設(shè)計(SAD)中來實現(xiàn)和演示。也就是說,它可以是硬連接的自測或者是STL的軟件組件。注意:SbW控制器周圍的所有塊都被認為是邏輯函數(shù)。我們在當前階段不關(guān)注它們是硬件、軟件、機械結(jié)構(gòu)件或者備用件。在技術(shù)安全概念上,我們來開發(fā)SysArchiD。也就是說,所有這些功能塊都可以是軟件,SbW控制器可以是軟件控制器算法。

04

TSC of SbW

在技術(shù)安全概念階段,架構(gòu)粒度級別將達到ECU和實際處理單元的級別。下圖展示了在功能安全概念階段架構(gòu)中沒有體現(xiàn)的更多細節(jié)。

05

Internal and External Interfaces

應(yīng)該定義安全相關(guān)要素(ASIL要素)的內(nèi)部和外部接口,以確保其他要素(內(nèi)外部接口)不會對安全相關(guān)要素產(chǎn)生不利的安全相關(guān)的影響。也就是說,我們的預(yù)期是解決架構(gòu)問題,而不是把其他的BUG引入到系統(tǒng)中。

06

SysArchiD Consistency&Discrepancies

如果在技術(shù)安全概念階段對架構(gòu)設(shè)計進行了更改,那就必須在功能安全概念、HARA和相關(guān)項定義中對其進行更新。

那么,我們可不可以把更新后的系統(tǒng)架構(gòu)直接從技術(shù)安全概念階段復(fù)制到功能安全概念階段?答案是否定的,因為我們的架構(gòu)必須和FSC規(guī)定的粒度級別保持一致。那我們需要更新什么呢?

只更新新功能并將其重新抽象為合適的功能級別,刪除任何特定的技術(shù)細節(jié);

應(yīng)該更新相關(guān)項定義、HARA和FSC規(guī)范,見下圖:

如果我們?nèi)Ρ惹懊?、4部分的圖片,會發(fā)現(xiàn)TSC級別的系統(tǒng)架構(gòu)設(shè)計中添加了在FSC級別沒有的新功能。
如何定義差異?如果我們只是添加了新功能,如車道保持輔助(Lane Keep Assist)功能塊,它將被視為新功能,而不僅僅是從FSC到TSC的粒度,因此我們需要返回到相關(guān)項定義、HARA和FSC層面,并更新它們。

07

Testing&Integration

關(guān)于安全技術(shù)要求的實現(xiàn),系統(tǒng)架構(gòu)設(shè)計應(yīng)考慮以下因素:

驗證系統(tǒng)架構(gòu)設(shè)計的能力,使其易于驗證;

預(yù)期的硬件和軟件要素在實現(xiàn)功能安全方面的技術(shù)能力;記錄系統(tǒng)架構(gòu)設(shè)計安全相關(guān)的要素的規(guī)范;

在系統(tǒng)集成器件執(zhí)行測試的能力;通過為增加的機制制定明確的接口,使設(shè)計可測。而且,設(shè)計不能太復(fù)雜以至于系統(tǒng)集成成為一個噩夢般的任務(wù)。

以上,就是本期的全部內(nèi)容,我們下期再見啦!
參考資料:外文文獻資料免責聲明:本文章中內(nèi)容是由小編翻譯自外文文獻資料,免費傳播知識。