/注明/ 文章内容由汽车功能安全行业工程师口述及参考行业资料整理,仅代表个人观点,如果更好的建议和补充,可以留言互动!
当系统中存在多个 ASIL 等级时,确保各等级之间的有效协同工作确实是一个复杂的挑战。
比如,在智能网联汽车中,车辆的通信模块、传感器模块和控制模块等会有不同的 ASIL 等级。如负责车辆与外部基础设施通信的车联网模块,其安全等级可能为 ASIL B,因为它的故障可能影响车辆获取道路信息和交通指令等,但一般不会直接导致车辆失控等严重后果。而车辆的毫米波雷达传感器,用于检测前方障碍物和车辆距离,对于自适应巡航控制(ACC)和自动紧急制动等功能至关重要,其 ASIL 等级可能为 ASIL C 或 D。车辆的域控制器需要协调这些不同等级的模块工作,确保整个系统的功能安全和稳定性。
项目或者过程中具体的一些表现:
不同 ASIL 等级的子系统在硬件连接上需要确保兼容性。例如,高 ASIL 等级的电子控制单元(ECU)与低 ASIL 等级的传感器进行连接时,电气特性(如电压、电流、信号频率等)必须匹配。如果不匹配,可能会导致信号失真、干扰甚至硬件损坏,影响整个系统的正常运行。
在软件层面,不同 ASIL 等级的模块之间的数据交互需要遵循严格的规范。例如,高 ASIL 等级的自动驾驶决策模块与低 ASIL 等级的环境感知模块进行数据交互时,数据格式、传输协议、数据校验机制等都需要精心设计。
低 ASIL 等级的子系统出现故障时,可能会通过接口或共享资源传播到高 ASIL 等级的子系统。例如,车载娱乐系统(低 ASIL 等级)出现软件崩溃或硬件故障,可能会影响到车辆的通信总线,进而干扰高 ASIL 等级的动力系统或制动系统的数据传输。
在系统运行过程中,不同 ASIL 等级的子系统可能会竞争系统资源(如 CPU 时间、内存、通信带宽等)。例如,在一个集成了多个功能的车载电子系统中,高 ASIL 等级的安全关键系统(如自动紧急制动系统)和低 ASIL 等级的舒适性系统(如座椅加热系统)都需要 CPU 资源来运行。
必须建立合理的优先级管理机制,确保高 ASIL 等级的子系统在资源竞争中具有更高的优先级。例如,在系统出现资源紧张的情况下,应优先保障制动系统、转向系统等关键安全系统的资源需求,而对舒适性系统进行适当的资源限制或降级处理。
由于系统中存在多个 ASIL 等级的子系统,测试用例的设计需要覆盖各种可能的组合情况。例如,在测试车辆的综合控制系统时,不仅要测试每个子系统(如动力系统、制动系统、转向系统等)在正常和故障情况下的性能,还要测试不同子系统之间的交互情况。
在验证过程中,需要选择合适的方法来确保系统的功能安全。例如,对于高 ASIL 等级的子系统,可能需要采用硬件在环测试(HIL)、软件形式化验证等复杂的验证方法;而对于低 ASIL 等级的子系统,可以采用相对简单的功能测试和黑盒测试方法。
在实际应用中,应对不同 ASIL 等级子要素共存的情况,需要综合考虑系统的功能、安全性、成本和开发周期等因素来选择和实施解决方案。
一、模块化设计
当系统中不同功能具有明显的独立性且对应不同的 ASIL 等级时,模块化设计非常适用。例如,在汽车电子系统中,制动系统(ASIL D)、电子稳定程序(ESP,通常为 ASIL C 或 D)和车载娱乐系统(ASIL A 或 QM)功能相对独立。
对于复杂的汽车电子电气架构,通过模块化可以降低系统的整体复杂度。例如,随着自动驾驶功能的加入,车辆的传感器、决策单元和执行器众多,将自动驾驶相关模块(高 ASIL 等级)与其他传统车辆控制模块分开设计,可以更好地管理系统。
通常的实施步骤:
首先根据功能和 ASIL 等级对系统进行划分。如将车辆的动力系统(包括发动机控制和变速器控制,可能为 ASIL B - D)、底盘控制系统(制动、转向,通常为 ASIL C - D)和车身电子系统(如灯光、雨刮,ASIL A - B)划分为不同模块。
明确定义模块之间的接口,包括数据格式、通信协议和电气特性等。例如,底盘控制系统与动力系统之间的数据交互接口要确保可靠,防止高 ASIL 等级的底盘控制功能受动力系统故障影响。
对每个模块按照其 ASIL 等级要求进行独立的开发和测试。如对 ASIL D 级的制动模块进行严格的硬件在环测试(HIL)和故障注入测试,而对 ASIL A 级的车身电子模块进行相对简单的功能测试。
二、采用专用通信协议
当不同 ASIL 等级的子系统需要频繁通信时,如车辆的主动安全系统(高 ASIL 等级)与车辆状态监测系统(可能为较低 ASIL 等级)之间的数据交互,采用专用通信协议能确保可靠性。
对于对实时性和安全性要求高的系统,如线控转向(可能为 ASIL D)和线控制动(通常为 ASIL D)系统之间的通信,专用协议必不可少。
通常的实施步骤:
根据系统需求选择合适的专用通信协议,如 FlexRay 或汽车以太网等。例如,对于需要高速、实时和容错通信的底盘线控系统,FlexRay 是较好的选择。
基于所选协议设计车辆的网络架构,确定节点布局和通信链路。例如,将关键的安全相关节点(如制动和转向控制单元)通过专用的高速通信链路连接。
对通信系统进行配置和参数设置,并通过测试验证其在不同工况下(正常和故障情况)的通信可靠性。例如,测试在网络负载较高时,关键安全数据能否准确、及时地在不同 ASIL 等级的子系统间传输。
三、优化验证和测试策略
在大规模汽车生产项目中,为了平衡安全性和成本、开发周期,需要针对不同 ASIL 等级采用不同的验证和测试策略。例如,对于量产车型的电子系统升级,需要在保证安全性的前提下尽量缩短开发周期和降低成本。
当车辆包含多种不同功能和 ASIL 等级的子系统时,如既有高安全需求的自动驾驶辅助系统(高 ASIL 等级),又有普通的舒适性系统(低 ASIL 等级或 QM),优化测试策略很有必要。
通常的实施步骤:
首先对系统中的各个子系统进行 ASIL 等级评估和分类。例如,将自动紧急制动(AEB,通常为 ASIL C 或 D)、自适应巡航控制(ACC,可能为 ASIL B - C)和车内空调系统(ASIL A 或 QM)进行分类。
根据 ASIL 等级制定不同的验证和测试策略。对于高 ASIL 等级的子系统(如 AEB),采用全面的测试方法,包括大量的模拟场景测试、硬件故障注入测试和软件单元测试等;对于低 ASIL 等级的子系统(如车内空调),可以采用简化的功能测试和抽样测试。
按照制定的策略实施验证和测试,并记录结果。例如,在 AEB 系统的测试过程中,记录不同车速、不同障碍物类型和距离下的制动性能数据,而在车内空调系统测试中,主要记录基本的制冷、制热功能和操作界面的可用性。
>... 以上,仅供参考!
