VCU架构的功能安全设计

谈思实验室 2024-08-14 17:52

点击上方蓝字谈思实验室

获取更多汽车网络安全资讯

随着软件定义汽车的趋势日益加强,道路车辆电子电器系统满足功能安全已经成为基本要求。近期,在欧盟车辆型式批准(typeapproval依据部分UNECE法规)和我国车辆的CCC认证中,对采用电子控制的转向、制动、动力电池管理系统等也引入了功能安全要求。高效的软件架构设计显然对功能安全的实施和落地起着引导性作用,所以电子电器系统满足功能安全要求已经成为产品基本属性。

针对软件架构如何满足功能安全要求,业内人士纷纷借鉴了E-Gas架构,E-Gas最先被应用于发动机控制器EMS,由Level1功能层、Level2功能监控层、Level3控制器监控层三部分组成。国内相关论文分别将E-Gas架构应用于各个控制功能中,其中专利、文献、文献、文献、文献都针对功能安全标准设计了整车控制器硬件和软件,但并未涉及Level2软件架构。

因此,为了弥补E-Gas架构未明确提出基于模型开发MBD的Level2软件架构的缺陷,且架构设计要满足高内聚低耦合、合适的分层等功能安全要求,本文针对整车控制器VCU设计了一种Level2功能监控层软件架构,不但符合功能安全架构设计要求,而且可应用于其他ECU功能安全Level2设计中,有助于功能安全设计进一步落地,降低实施难度。

01

VCU模型整体架构

设计整车控制器VCU模型Level1、Level2架构,如图1所示,包括时序调度、输入信号、Level1、Level2和输出信号模块,需满足功能安全可理解性、一致性、简单性、可验证性、模块化、抽象化、封装性、可维修性等架构设计原则和要求。

图1 VCU控制模型架构

Level1被称为功能层,包含整车控制基本功能,如电机扭矩需求、能量回收等,整车高低压电源管理,如高压安全、低压管理等,以及在检测到故障时控制系统的反应。Level2被称为功能监控层,检测Level1功能软件的缺陷过程。例如,通过监测计算的需求扭矩值或车辆纵向加速度,当系统发生故障时,会触发系统反应,进入安全状态。Level1和Level2独立的开发和各自生产代码要运行到不同的分区内,避免共因失效和免于干扰,并且Level2监控层代码要运行到硬件安全核内。

02

Level1功能层软件架构

设计VCU模型Level1功能层架构,如图2所示,Level1进行ECU基本功能实现和应用时,ECU的基础功能必须存在,包括时序调度、输入信号汇总、输出信号汇总、控制功能模块(如整车运行状态控制、扭矩控制、能量管理、诊断处理、加速踏板控制、挡位控制、续驶里程、低压电源控制、仪表显示控制等模块),各模型库均采用模型应用(ModelRefercence)方法引用,方便各模块库维护、复用或移植。

图2 VCU控制模型Level1功能层架

03

Level2功能监控层架构

VCU模型Level2功能监控架构,如图3所示,包括信号校验、Level2过程监控、输出监控三个模块,其作用是对ECU的Level1功能层中实现的设计功能安全相关模块进行监控,属于监控模块,增加该模块可以满足功能安全要求,可以对功能安全进行如下分解:Level1功能安全等级为QM(X),Level2功能安全等级为X(X),其中X可以根据具体功能分为ASILA/B/C/D。

1.Level2信号校验软件架构

(1)输入输出接口

信号校验模块输入输出接口,如表1所示。

表1 Level2信号校验模块接口

(2)安全机制

Level2输入模块对相应的安全相关的信号进行完整性、有效范围、合理性等校验,然后分别输出给Level1和Level2过程监控和输出监控用,具体校验机制和时序图,如图4所示。

图4 信号校验模块架

假设每隔TBDms接收接口1信号,首先对信号进行timeout超时检测,当超过TBD信号周期内没有接收到,判定信号丢失;然后进行CRC检测,当校验没有通过时,判定这帧信号CRC错误;再进行alivecounter检测,当校验没有通过时,判定信号alivecounter错误;最后进行valid和范围检测,当校验没有通过时,判定信号为invalid;检测到以上任意错误时,发送接口3为无效且发送接口2为默认值或上一周期信号给其他模块。

2.Level2过程监控软件架构

(1)输入输出接口

Level2过程监控模块输入输出接口,如表2所示。

(2)安全机制

根据Level1功能层中安全相关功能,其安全信号输出作为Level2监控层的输入,由Level2监控层对Level1进行监控,架构图如图5所示:无论Level1功能层如何,被监控的功能应在Level2监控层中采取冗余异构算法对接口4进行校验,并在出现错误或异常时触发系统反应,将其带入可控状态,即输出接口6、接口7、接口8、接口9。

3.Level2输出监控软件架构

(1)输入输出接口

Level2输出监控模块输入输出接口,如表3所示。

(2)安全机制

Level2对level1的最终的输出结果、CAN收发器或硬线驱动输出,以及执行器最终的执行情况进行闭环实时监控,架构图如图6所示,具体策略分为三个层次,一是模型输出信号监控:Level2采用独立于Level1控制策略对接口10进行监控,避免逻辑错误或输出未连线;二是驱动输出监控:接口10输出给输出驱动,Level2需Debounce一定时间后监控驱动是否正确输出;三是执行器监控:执行器响应接口11信号后,执行动作并反馈接口12,Level2监控其执行状态是否满足预期结果,以上若出现一个或多个监控故障,则需通过接口14发送仪表提醒驾驶员,且通过接口15或16使系统进入安全状态。


04

分析和测试验证

通过在软件架构级别应用安全分析(FMEA和FTA)和DFA相关失效分析,找出失效原因(Fault),以及分析失效影响(Effect)。结果表明Level2软件架构提供监控功能、行为和ASIL等级满足设计要求。

来源:汽车功能安全

 AutoSec 安全之星 2024 网络投票火热进行中……  


 专业社群 

 精品活动推荐 

更多文章

不要错过哦,这可能是汽车网络安全产业最大的专属社区!

关于涉嫌仿冒AutoSec会议品牌的律师声明

一文带你了解智能汽车车载网络通信安全架构

网络安全:TARA方法、工具与案例

汽车数据安全合规重点分析

浅析汽车芯片信息安全之安全启动

域集中式架构的汽车车载通信安全方案探究

系统安全架构之车辆网络安全架构

车联网中的隐私保护问题

智能网联汽车网络安全技术研究

AUTOSAR 信息安全框架和关键技术分析

AUTOSAR 信息安全机制有哪些?

信息安全的底层机制

汽车网络安全

Autosar硬件安全模块HSM的使用

首发!小米雷军两会上就汽车数据安全问题建言:关于构建完善汽车数据安全管理体系的建议

谈思实验室 深入专注智能汽车网络安全与数据安全技术,专属汽车网络安全圈的头部学习交流平台和社区。平台定期会通过线上线下等形式进行一手干货内容输出,并依托丰富产业及专家资源,深化上下游供需对接,逐步壮大我国汽车安全文化及产业生态圈。
评论 (0)
  • 随着电子元器件的快速发展,导致各种常见的贴片电阻元器件也越来越小,给我们分辨也就变得越来越难,下面就由smt贴片加工厂_安徽英特丽就来告诉大家如何分辨的SMT贴片元器件。先来看看贴片电感和贴片电容的区分:(1)看颜色(黑色)——一般黑色都是贴片电感。贴片电容只有勇于精密设备中的贴片钽电容才是黑色的,其他普通贴片电容基本都不是黑色的。(2)看型号标码——贴片电感以L开头,贴片电容以C开头。从外形是圆形初步判断应为电感,测量两端电阻为零点几欧,则为电感。(3)检测——贴片电感一般阻值小,更没有“充放
    贴片加工小安 2025-04-29 14:59 147浏览
  • 在智能硬件设备趋向微型化的背景下,语音芯片方案厂商针对小体积设备开发了多款超小型语音芯片方案,其中WTV系列和WT2003H系列凭借其QFN封装设计、高性能与高集成度,成为微型设备语音方案的理想选择。以下从封装特性、功能优势及典型应用场景三个方面进行详细介绍。一、超小体积封装:QFN技术的核心优势WTV系列与WT2003H系列均提供QFN封装(如QFN32,尺寸为4×4mm),这种封装形式具有以下特点:体积紧凑:QFN封装通过减少引脚间距和优化内部结构,显著缩小芯片体积,适用于智能门铃、穿戴设备
    广州唯创电子 2025-04-30 09:02 144浏览
  • 文/Leon编辑/cc孙聪颖‍2023年,厨电行业在相对平稳的市场环境中迎来温和复苏,看似为行业增长积蓄势能。带着对市场向好的预期,2024 年初,老板电器副董事长兼总经理任富佳为企业定下双位数增长目标。然而现实与预期相悖,过去一年,这家老牌厨电企业不仅未能达成业绩目标,曾提出的“三年再造一个老板电器”愿景,也因市场下行压力面临落空风险。作为“企二代”管理者,任富佳在掌舵企业穿越市场周期的过程中,正面临着前所未有的挑战。4月29日,老板电器(002508.SZ)发布了2024年年度报告及2025
    华尔街科技眼 2025-04-30 12:40 133浏览
  • 浪潮之上:智能时代的觉醒    近日参加了一场课题的答辩,这是医疗人工智能揭榜挂帅的国家项目的地区考场,参与者众多,围绕着医疗健康的主题,八仙过海各显神通,百花齐放。   中国大地正在发生着激动人心的场景:深圳前海深港人工智能算力中心高速运转的液冷服务器,武汉马路上自动驾驶出租车穿行的智慧道路,机器人参与北京的马拉松竞赛。从中央到地方,人工智能相关政策和消息如雨后春笋般不断出台,数字中国的建设图景正在智能浪潮中徐徐展开,战略布局如同围棋
    广州铁金刚 2025-04-30 15:24 123浏览
  • 在CAN总线分析软件领域,当CANoe不再是唯一选择时,虹科PCAN-Explorer 6软件成为了一个有竞争力的解决方案。在现代工业控制和汽车领域,CAN总线分析软件的重要性不言而喻。随着技术的进步和市场需求的多样化,单一的解决方案已无法满足所有用户的需求。正是在这样的背景下,虹科PCAN-Explorer 6软件以其独特的模块化设计和灵活的功能扩展,为CAN总线分析领域带来了新的选择和可能性。本文将深入探讨虹科PCAN-Explorer 6软件如何以其创新的模块化插件策略,提供定制化的功能选
    虹科汽车智能互联 2025-04-28 16:00 147浏览
  • 贞光科技代理品牌紫光国芯的车规级LPDDR4内存正成为智能驾驶舱的核心选择。在汽车电子国产化浪潮中,其产品以宽温域稳定工作能力、优异电磁兼容性和超长使用寿命赢得市场认可。紫光国芯不仅确保供应链安全可控,还提供专业本地技术支持。面向未来,紫光国芯正研发LPDDR5车规级产品,将以更高带宽、更低功耗支持汽车智能化发展。随着智能网联汽车的迅猛发展,智能驾驶舱作为人机交互的核心载体,对处理器和存储器的性能与可靠性提出了更高要求。在汽车电子国产化浪潮中,贞光科技代理品牌紫光国芯的车规级LPDDR4内存凭借
    贞光科技 2025-04-28 16:52 189浏览
  • 文/郭楚妤编辑/cc孙聪颖‍越来越多的企业开始蚕食动力电池市场,行业“去宁王化”态势逐渐明显。随着这种趋势的加强,打开新的市场对于宁德时代而言至关重要。“我们不希望被定义为电池的制造者,而是希望把自己称作新能源产业的开拓者。”4月21日,在宁德时代举行的“超级科技日”发布会上,宁德时代掌门人曾毓群如是说。随着宁德时代核心新品骁遥双核电池的发布,其搭载的“电电增程”技术也走进业界视野。除此之外,经过近3年试水,宁德时代在换电业务上重资加码。曾毓群认为换电是一个重资产、高投入、长周期的产业,涉及的利
    华尔街科技眼 2025-04-28 21:55 113浏览
  • 你是不是也有在公共场合被偷看手机或笔电的经验呢?科技时代下,不少现代人的各式机密数据都在手机、平板或是笔电等可携式的3C产品上处理,若是经常性地需要在公共场合使用,不管是工作上的机密文件,或是重要的个人信息等,民众都有防窃防盗意识,为了避免他人窥探内容,都会选择使用「防窥保护贴片」,以防止数据外泄。现今市面上「防窥保护贴」、「防窥片」、「屏幕防窥膜」等产品就是这种目的下产物 (以下简称防窥片)!防窥片功能与常见问题解析首先,防窥片最主要的功能就是用来防止他人窥视屏幕上的隐私信息,它是利用百叶窗的
    百佳泰测试实验室 2025-04-30 13:28 154浏览
  • 网约车,真的“饱和”了?近日,网约车市场的 “饱和” 话题再度引发热议。多地陆续发布网约车风险预警,提醒从业者谨慎入局,这背后究竟隐藏着怎样的市场现状呢?从数据来看,网约车市场的“过剩”现象已愈发明显。以东莞为例,截至2024年12月底,全市网约车数量超过5.77万辆,考取网约车驾驶员证的人数更是超过13.48万人。随着司机数量的不断攀升,订单量却未能同步增长,导致单车日均接单量和营收双双下降。2024年下半年,东莞网约出租车单车日均订单量约10.5单,而单车日均营收也不容乐
    用户1742991715177 2025-04-29 18:28 164浏览
  • 一、gao效冷却与控温机制‌1、‌冷媒流动设计‌采用低压液氮(或液氦)通过毛细管路导入蒸发器,蒸汽喷射至样品腔实现快速冷却,冷却效率高(室温至80K约20分钟,至4.2K约30分钟)。通过控温仪动态调节蒸发器加热功率,结合温度传感器(如PT100铂电阻或Cernox磁场不敏感传感器),实现±0.01K的高精度温度稳定性。2、‌宽温区覆盖与扩展性‌标准温区为80K-325K,通过降压选件可将下限延伸至65K(液氮模式)或4K(液氦模式)。可选配475K高温模块,满足材料在ji端温度下的性能测试需求
    锦正茂科技 2025-04-30 13:08 131浏览
我要评论
0
0
点击右上角,分享到朋友圈 我知道啦
请使用浏览器分享功能 我知道啦