VCU架构的功能安全设计

谈思实验室 2024-08-14 17:52

点击上方蓝字谈思实验室

获取更多汽车网络安全资讯

随着软件定义汽车的趋势日益加强,道路车辆电子电器系统满足功能安全已经成为基本要求。近期,在欧盟车辆型式批准(typeapproval依据部分UNECE法规)和我国车辆的CCC认证中,对采用电子控制的转向、制动、动力电池管理系统等也引入了功能安全要求。高效的软件架构设计显然对功能安全的实施和落地起着引导性作用,所以电子电器系统满足功能安全要求已经成为产品基本属性。

针对软件架构如何满足功能安全要求,业内人士纷纷借鉴了E-Gas架构,E-Gas最先被应用于发动机控制器EMS,由Level1功能层、Level2功能监控层、Level3控制器监控层三部分组成。国内相关论文分别将E-Gas架构应用于各个控制功能中,其中专利、文献、文献、文献、文献都针对功能安全标准设计了整车控制器硬件和软件,但并未涉及Level2软件架构。

因此,为了弥补E-Gas架构未明确提出基于模型开发MBD的Level2软件架构的缺陷,且架构设计要满足高内聚低耦合、合适的分层等功能安全要求,本文针对整车控制器VCU设计了一种Level2功能监控层软件架构,不但符合功能安全架构设计要求,而且可应用于其他ECU功能安全Level2设计中,有助于功能安全设计进一步落地,降低实施难度。

01

VCU模型整体架构

设计整车控制器VCU模型Level1、Level2架构,如图1所示,包括时序调度、输入信号、Level1、Level2和输出信号模块,需满足功能安全可理解性、一致性、简单性、可验证性、模块化、抽象化、封装性、可维修性等架构设计原则和要求。

图1 VCU控制模型架构

Level1被称为功能层,包含整车控制基本功能,如电机扭矩需求、能量回收等,整车高低压电源管理,如高压安全、低压管理等,以及在检测到故障时控制系统的反应。Level2被称为功能监控层,检测Level1功能软件的缺陷过程。例如,通过监测计算的需求扭矩值或车辆纵向加速度,当系统发生故障时,会触发系统反应,进入安全状态。Level1和Level2独立的开发和各自生产代码要运行到不同的分区内,避免共因失效和免于干扰,并且Level2监控层代码要运行到硬件安全核内。

02

Level1功能层软件架构

设计VCU模型Level1功能层架构,如图2所示,Level1进行ECU基本功能实现和应用时,ECU的基础功能必须存在,包括时序调度、输入信号汇总、输出信号汇总、控制功能模块(如整车运行状态控制、扭矩控制、能量管理、诊断处理、加速踏板控制、挡位控制、续驶里程、低压电源控制、仪表显示控制等模块),各模型库均采用模型应用(ModelRefercence)方法引用,方便各模块库维护、复用或移植。

图2 VCU控制模型Level1功能层架

03

Level2功能监控层架构

VCU模型Level2功能监控架构,如图3所示,包括信号校验、Level2过程监控、输出监控三个模块,其作用是对ECU的Level1功能层中实现的设计功能安全相关模块进行监控,属于监控模块,增加该模块可以满足功能安全要求,可以对功能安全进行如下分解:Level1功能安全等级为QM(X),Level2功能安全等级为X(X),其中X可以根据具体功能分为ASILA/B/C/D。

1.Level2信号校验软件架构

(1)输入输出接口

信号校验模块输入输出接口,如表1所示。

表1 Level2信号校验模块接口

(2)安全机制

Level2输入模块对相应的安全相关的信号进行完整性、有效范围、合理性等校验,然后分别输出给Level1和Level2过程监控和输出监控用,具体校验机制和时序图,如图4所示。

图4 信号校验模块架

假设每隔TBDms接收接口1信号,首先对信号进行timeout超时检测,当超过TBD信号周期内没有接收到,判定信号丢失;然后进行CRC检测,当校验没有通过时,判定这帧信号CRC错误;再进行alivecounter检测,当校验没有通过时,判定信号alivecounter错误;最后进行valid和范围检测,当校验没有通过时,判定信号为invalid;检测到以上任意错误时,发送接口3为无效且发送接口2为默认值或上一周期信号给其他模块。

2.Level2过程监控软件架构

(1)输入输出接口

Level2过程监控模块输入输出接口,如表2所示。

(2)安全机制

根据Level1功能层中安全相关功能,其安全信号输出作为Level2监控层的输入,由Level2监控层对Level1进行监控,架构图如图5所示:无论Level1功能层如何,被监控的功能应在Level2监控层中采取冗余异构算法对接口4进行校验,并在出现错误或异常时触发系统反应,将其带入可控状态,即输出接口6、接口7、接口8、接口9。

3.Level2输出监控软件架构

(1)输入输出接口

Level2输出监控模块输入输出接口,如表3所示。

(2)安全机制

Level2对level1的最终的输出结果、CAN收发器或硬线驱动输出,以及执行器最终的执行情况进行闭环实时监控,架构图如图6所示,具体策略分为三个层次,一是模型输出信号监控:Level2采用独立于Level1控制策略对接口10进行监控,避免逻辑错误或输出未连线;二是驱动输出监控:接口10输出给输出驱动,Level2需Debounce一定时间后监控驱动是否正确输出;三是执行器监控:执行器响应接口11信号后,执行动作并反馈接口12,Level2监控其执行状态是否满足预期结果,以上若出现一个或多个监控故障,则需通过接口14发送仪表提醒驾驶员,且通过接口15或16使系统进入安全状态。


04

分析和测试验证

通过在软件架构级别应用安全分析(FMEA和FTA)和DFA相关失效分析,找出失效原因(Fault),以及分析失效影响(Effect)。结果表明Level2软件架构提供监控功能、行为和ASIL等级满足设计要求。

来源:汽车功能安全

 AutoSec 安全之星 2024 网络投票火热进行中……  


 专业社群 

 精品活动推荐 

更多文章

不要错过哦,这可能是汽车网络安全产业最大的专属社区!

关于涉嫌仿冒AutoSec会议品牌的律师声明

一文带你了解智能汽车车载网络通信安全架构

网络安全:TARA方法、工具与案例

汽车数据安全合规重点分析

浅析汽车芯片信息安全之安全启动

域集中式架构的汽车车载通信安全方案探究

系统安全架构之车辆网络安全架构

车联网中的隐私保护问题

智能网联汽车网络安全技术研究

AUTOSAR 信息安全框架和关键技术分析

AUTOSAR 信息安全机制有哪些?

信息安全的底层机制

汽车网络安全

Autosar硬件安全模块HSM的使用

首发!小米雷军两会上就汽车数据安全问题建言:关于构建完善汽车数据安全管理体系的建议

谈思实验室 深入专注智能汽车网络安全与数据安全技术,专属汽车网络安全圈的头部学习交流平台和社区。平台定期会通过线上线下等形式进行一手干货内容输出,并依托丰富产业及专家资源,深化上下游供需对接,逐步壮大我国汽车安全文化及产业生态圈。
评论
  • 一、行业背景与需求痛点智能电子指纹锁作为智能家居的核心入口,近年来市场规模持续增长,用户对产品的功能性、安全性和设计紧凑性提出更高要求:极致空间利用率:锁体内部PCB空间有限,需高度集成化设计。语音交互需求:操作引导(如指纹识别状态、低电量提醒)、安全告警(防撬、试错报警)等语音反馈。智能化扩展能力:集成传感器以增强安全性(如温度监测、防撬检测)和用户体验。成本与可靠性平衡:在复杂环境下确保低功耗、高稳定性,同时控制硬件成本。WTV380-P(QFN32)语音芯片凭借4mm×4mm超小封装、多传
    广州唯创电子 2025-03-13 09:24 41浏览
  • 在追求更快、更稳的无线通信路上,传统射频架构深陷带宽-功耗-成本的“不可能三角”:带宽每翻倍,系统复杂度与功耗增幅远超线性增长。传统方案通过“分立式功放+多级变频链路+JESD204B 接口”的组合试图平衡性能与成本,却难以满足实时性严苛的超大规模 MIMO 通信等场景需求。在此背景下,AXW49 射频开发板以“直采+异构”重构射频范式:基于 AMD Zynq UltraScale+™ RFSoC Gen3XCZU49DR 芯片的 16 通道 14 位 2.5GSPS ADC 与 16
    ALINX 2025-03-13 09:27 32浏览
  • 文/杜杰编辑/cc孙聪颖‍主打影像功能的小米15 Ultra手机,成为2025开年的第一款旗舰机型。从发布节奏上来看,小米历代Ultra机型,几乎都选择在开年发布,远远早于其他厂商秋季主力机型的发布时间。这毫无疑问会掀起“Ultra旗舰大战”,今年影像手机将再次被卷上新高度。无意臆断小米是否有意“领跑”一场“军备竞赛”,但各种复杂的情绪难以掩盖。岁岁年年机不同,但将2-3年内记忆中那些关于旗舰机的发布会拼凑起来,会发现,包括小米在内,旗舰机的革新点,除了摄影参数的不同,似乎没什么明显变化。贵为旗
    华尔街科技眼 2025-03-13 12:30 60浏览
  • 引言汽车行业正经历一场巨变。随着电动汽车、高级驾驶辅助系统(ADAS)和自动驾驶技术的普及,电子元件面临的要求从未如此严格。在这些复杂系统的核心,存在着一个看似简单却至关重要的元件——精密电阻。贞光科技代理品牌光颉科技的电阻选型过程,特别是在精度要求高达 0.01% 的薄膜和厚膜技术之间的选择,已成为全球汽车工程师的关键决策点。当几毫欧姆的差异可能影响传感器的灵敏度或控制系统的精确性时,选择正确的电阻不仅仅是满足规格的问题——它关系到车辆在极端条件下的安全性、可靠性和性能。在这份全面指南中,我们
    贞光科技 2025-03-12 17:25 92浏览
  • 在海洋监测领域,基于无人艇能够实现高效、实时、自动化的海洋数据采集,从而为海洋环境保护、资源开发等提供有力支持。其中,无人艇的控制算法训练往往需要大量高质量的数据支持。然而,海洋数据采集也面临数据噪声和误差、数据融合与协同和复杂海洋环境适应等诸多挑战,制约着无人艇技术的发展。针对这些挑战,我们探索并推出一套基于多传感器融合的海洋数据采集系统,能够高效地采集和处理海洋环境中的多维度数据,为无人艇的自主航行和控制算法训练提供高质量的数据支持。一、方案架构无人艇要在复杂海上环境中实现自主导航,尤其是完
    康谋 2025-03-13 09:53 44浏览
  • 文/Leon编辑/cc孙聪颖作为全球AI领域的黑马,DeepSeek成功搅乱了中国AI大模型市场的格局。科技大厂们选择合作,接入其模型疯抢用户;而AI独角兽们则陷入两难境地,上演了“Do Or Die”的抉择。其中,有着“大模型六小虎”之称的六家AI独角兽公司(智谱AI、百川智能、月之暗面、MiniMax、阶跃星辰及零一万物),纷纷开始转型:2025年伊始,李开复的零一万物宣布转型,不再追逐超大模型,而是聚焦AI商业化应用;紧接着,消息称百川智能放弃B端金融市场,聚焦AI医疗;月之暗面开始削减K
    华尔街科技眼 2025-03-12 17:37 146浏览
  • 曾经听过一个“隐形经理”的故事:有家公司,新人进来后,会惊讶地发现老板几乎从不在办公室。可大家依旧各司其职,还能在关键时刻自发协作,把项目完成得滴水不漏。新员工起初以为老板是“放羊式”管理,结果去茶水间和老员工聊过才发现,这位看似“隐形”的管理者其实“无处不在”,他提前铺好了企业文化、制度和激励机制,让一切运行自如。我的观点很简单:管理者的最高境界就是——“无为而治”。也就是说,你的存在感不需要每天都凸显,但你的思路、愿景、机制早已渗透到组织血液里。为什么呢?因为真正高明的管理,不在于事必躬亲,
    优思学院 2025-03-12 18:24 81浏览
  • DeepSeek自成立之初就散发着大胆创新的气息。明明核心开发团队只有一百多人,却能以惊人的效率实现许多大厂望尘莫及的技术成果,原因不仅在于资金或硬件,而是在于扁平架构携手塑造的蜂窝创新生态。创办人梁文锋多次强调,与其与大厂竞争一时的人才风潮,不如全力培养自家的优质员工,形成不可替代的内部生态。正因这样,他对DeepSeek内部人才体系有着一套别具一格的见解。他十分重视中式教育价值,因而DeepSeek团队几乎清一色都是中国式学霸。许多人来自北大清华,或者在各种数据比赛中多次获奖,可谓百里挑一。
    优思学院 2025-03-13 12:15 47浏览
  • 一、行业背景与用户需求随着健康消费升级,智能眼部按摩仪逐渐成为缓解眼疲劳、改善睡眠的热门产品。用户对这类设备的需求不再局限于基础按摩功能,而是追求更智能化、人性化的体验,例如:语音交互:实时反馈按摩模式、操作提示、安全提醒。环境感知:通过传感器检测佩戴状态、温度、压力等,提升安全性与舒适度。低功耗长续航:适应便携场景,延长设备使用时间。高性价比方案:在控制成本的同时实现功能多样化。针对这些需求,WTV380-8S语音芯片凭借其高性能、多传感器扩展能力及超高性价比,成为眼部按摩仪智能化升级的理想选
    广州唯创电子 2025-03-13 09:26 33浏览
  • 本文介绍Android系统主板应用配置默认获取管理所有文件权限方法,基于触觉智能SBC3588行业主板演示,搭载了瑞芯微RK3588芯片,八核处理器,6T高算力NPU;音视频接口、通信接口等各类接口一应俱全,支持安卓Android、Linux、开源鸿蒙OpenHarmony、银河麒麟Kylin等操作系统。配置前提在配置前,建议先将应用配置成系统应用,不然配置后系统每次重启后都会弹窗提示是否获取权限。应用配置成系统应用,可参考以下链接方法:瑞芯微开发板/主板Android系统APK签名文件使用方法
    Industio_触觉智能 2025-03-12 14:34 54浏览
  •        随着人工智能算力集群的爆发式增长,以及5.5G/6G通信技术的演进,网络数据传输速率的需求正以每年30%的速度递增。万兆以太网(10G Base-T)作为支撑下一代数据中心、高端交换机的核心组件,其性能直接决定了网络设备的稳定性与效率。然而,万兆网络变压器的技术门槛极高:回波损耗需低于-20dB(比千兆产品严格30%),耐压值需突破1500V(传统产品仅为1000V),且需在高频信号下抑制电磁干扰。全球仅有6家企业具备规模化量产能力,而美信科
    中科领创 2025-03-13 11:24 40浏览
  • 2025年,科技浪潮汹涌澎湃的当下,智能数字化变革正进行得如火如荼,从去年二季度开始,触觉智能RK3562核心板上市以来,受到了火爆的关注,上百家客户选用了此方案,也获得了众多的好评与认可,为客户的降本增效提供了广阔的空间。随着原厂的更新,功能也迎来了一波重大的更新,无论是商业级(RK3562)还是工业级(RK3562J),都可支持NPU和2×CAN,不再二选一。我们触觉智能做了一个艰难又大胆的决定,为大家带来两大重磅福利,请继续往下看~福利一:RK3562核心板149元特惠再续,支持2×CAN
    Industio_触觉智能 2025-03-12 14:45 27浏览
  • 前言在快速迭代的科技浪潮中,汽车电子技术的飞速发展不仅重塑了行业的面貌,也对测试工具提出了更高的挑战与要求。作为汽车电子测试领域的先锋,TPT软件始终致力于为用户提供高效、精准、可靠的测试解决方案。新思科技出品的TPT软件迎来了又一次重大更新,最新版本TPT 2024.12将进一步满足汽车行业日益增长的测试需求,推动汽车电子技术的持续革新。基于当前汽车客户的实际需求与痛点,结合最新的技术趋势,对TPT软件进行了全面的优化与升级。从模型故障注入测试到服务器函数替代C代码函数,从更准确的需求链接到P
    北汇信息 2025-03-13 14:43 40浏览
  • 北京时间3月11日,国内领先的二手消费电子产品交易和服务平台万物新生(爱回收)集团(纽交所股票代码:RERE)发布2024财年第四季度和全年业绩报告。财报显示,2024年第四季度万物新生集团总收入48.5亿元,超出业绩指引,同比增长25.2%。单季non-GAAP经营利润1.3亿元(non-GAAP口径,即经调整口径,均不含员工股权激励费用、无形资产摊销及因收购产生的递延成本,下同),并汇报创历史新高的GAAP净利润7742万元,同比增长近27倍。总览全年,万物新生总收入同比增长25.9%达到1
    华尔街科技眼 2025-03-13 12:23 50浏览
我要评论
0
点击右上角,分享到朋友圈 我知道啦
请使用浏览器分享功能 我知道啦