上一篇,我們討論了故障度量和安全機(jī)制的ASIL等級(jí)。本篇我們來聊一聊系統(tǒng)架構(gòu)設(shè)計(jì)相關(guān)內(nèi)容。

01

系統(tǒng)架構(gòu)設(shè)計(jì)和TSC

當(dāng)我們開始寫TSC時(shí),會(huì)涉及到下圖中一系列的內(nèi)容:

當(dāng)我們完成前三期(鏈接見文末)提到的安全機(jī)制規(guī)范后,我們就要開始整理好所有的安全需求并在系統(tǒng)架構(gòu)設(shè)計(jì)(SysArchiD)中來實(shí)現(xiàn)它們。不要忘記為每一個(gè)安全要求制定ASIL級(jí)別。也可以理解成安全要求(TSR)=安全機(jī)制或者TSR(由FSR分解得到)。

注意 → TSR受到FSC和系統(tǒng)架構(gòu)設(shè)計(jì)的高度影響。我們來看一個(gè)SbW的案例:

安全機(jī)制示例:

包含外部看門狗定時(shí)器和電源監(jiān)控的SBC;

監(jiān)控功能塊對(duì)某個(gè)算法進(jìn)行監(jiān)控;

TMR架構(gòu);

同質(zhì)冗余:兩個(gè)執(zhí)行器;

異構(gòu)冗余:一種執(zhí)行器及其監(jiān)視器;

02

Item Definition of SbW

SbW相關(guān)項(xiàng)定義描述了系統(tǒng)的功能,但是ECU或者SOC/PSOC/ASIC/Micro-Controller分配的詳細(xì)技術(shù)規(guī)范。如下圖:

03

FSC of SbW

在功能安全概念中,相關(guān)項(xiàng)定義架構(gòu)將會(huì)對(duì)細(xì)節(jié)/粒度進(jìn)行微調(diào)。除了粒度之外,FSR也是在這個(gè)初步的體系架構(gòu)中實(shí)現(xiàn)的。我們來看一下下面的內(nèi)容,可以清楚的說明這一點(diǎn)。

SG01:The SbW system shall prevent unintended self-steering in any direction under all vehicle operating conditions ． → ASIL-D

比如,我們添加了如下FSR給SbW:

The SbW control module is to have an arbitration strategy for steering-assist requests from the driver and other vehicle systems． → ASIL-DThe SbW shall run a self-test for steering assist at startup． Steering-assist commands shall not be issued until the validation of the communication channels is successful． → ASIL-B (注意:這里為什么是B而不是D,因?yàn)檫@是一個(gè)自檢的要求,具體請(qǐng)看上一篇)Power Supply of the SbW shall be monitored． → ASIL-DSbW system shall have a redundant Steering Motor to achieve fail-operational safe state when the primary Steering Motor fails → ASILD下圖展示了帶有FSR分配的功能安全概念的初步系統(tǒng)架構(gòu)。注意,這各系統(tǒng)架構(gòu)設(shè)計(jì)包含另一個(gè)粒度級(jí)別,也就是說,里面包含了一些在相關(guān)項(xiàng)定義中找不到的內(nèi)容。

如果放大看的話,我們會(huì)發(fā)現(xiàn)這里只分配了FSR01,FSR03和FSR04。

為什么沒有分配FSR02?因?yàn)樗且粋€(gè)軟件組件,將在軟件架構(gòu)設(shè)計(jì)(SAD)中來實(shí)現(xiàn)和演示。也就是說,它可以是硬連接的自測(cè)或者是STL的軟件組件。注意:SbW控制器周圍的所有塊都被認(rèn)為是邏輯函數(shù)。我們?cè)诋?dāng)前階段不關(guān)注它們是硬件、軟件、機(jī)械結(jié)構(gòu)件或者備用件。在技術(shù)安全概念上,我們來開發(fā)SysArchiD。也就是說,所有這些功能塊都可以是軟件,SbW控制器可以是軟件控制器算法。

04

TSC of SbW

在技術(shù)安全概念階段,架構(gòu)粒度級(jí)別將達(dá)到ECU和實(shí)際處理單元的級(jí)別。下圖展示了在功能安全概念階段架構(gòu)中沒有體現(xiàn)的更多細(xì)節(jié)。

05

Internal and External Interfaces

應(yīng)該定義安全相關(guān)要素(ASIL要素)的內(nèi)部和外部接口,以確保其他要素(內(nèi)外部接口)不會(huì)對(duì)安全相關(guān)要素產(chǎn)生不利的安全相關(guān)的影響。也就是說,我們的預(yù)期是解決架構(gòu)問題,而不是把其他的BUG引入到系統(tǒng)中。

06

SysArchiD Consistency&Discrepancies

如果在技術(shù)安全概念階段對(duì)架構(gòu)設(shè)計(jì)進(jìn)行了更改,那就必須在功能安全概念、HARA和相關(guān)項(xiàng)定義中對(duì)其進(jìn)行更新。

那么,我們可不可以把更新后的系統(tǒng)架構(gòu)直接從技術(shù)安全概念階段復(fù)制到功能安全概念階段?答案是否定的,因?yàn)槲覀兊募軜?gòu)必須和FSC規(guī)定的粒度級(jí)別保持一致。那我們需要更新什么呢?

只更新新功能并將其重新抽象為合適的功能級(jí)別,刪除任何特定的技術(shù)細(xì)節(jié);

應(yīng)該更新相關(guān)項(xiàng)定義、HARA和FSC規(guī)范,見下圖:

如果我們?nèi)?duì)比前面3、4部分的圖片,會(huì)發(fā)現(xiàn)TSC級(jí)別的系統(tǒng)架構(gòu)設(shè)計(jì)中添加了在FSC級(jí)別沒有的新功能。
如何定義差異?如果我們只是添加了新功能,如車道保持輔助(Lane Keep Assist)功能塊,它將被視為新功能,而不僅僅是從FSC到TSC的粒度,因此我們需要返回到相關(guān)項(xiàng)定義、HARA和FSC層面,并更新它們。

07

Testing&Integration

關(guān)于安全技術(shù)要求的實(shí)現(xiàn),系統(tǒng)架構(gòu)設(shè)計(jì)應(yīng)考慮以下因素:

驗(yàn)證系統(tǒng)架構(gòu)設(shè)計(jì)的能力,使其易于驗(yàn)證;

預(yù)期的硬件和軟件要素在實(shí)現(xiàn)功能安全方面的技術(shù)能力;記錄系統(tǒng)架構(gòu)設(shè)計(jì)安全相關(guān)的要素的規(guī)范;

在系統(tǒng)集成器件執(zhí)行測(cè)試的能力;通過為增加的機(jī)制制定明確的接口,使設(shè)計(jì)可測(cè)。而且,設(shè)計(jì)不能太復(fù)雜以至于系統(tǒng)集成成為一個(gè)噩夢(mèng)般的任務(wù)。

以上,就是本期的全部內(nèi)容,我們下期再見啦!
參考資料:外文文獻(xiàn)資料免責(zé)聲明:本文章中內(nèi)容是由小編翻譯自外文文獻(xiàn)資料,免費(fèi)傳播知識(shí)。