VCU架构的功能安全设计

谈思实验室 2024-08-14 17:52

点击上方蓝字谈思实验室

获取更多汽车网络安全资讯

随着软件定义汽车的趋势日益加强,道路车辆电子电器系统满足功能安全已经成为基本要求。近期,在欧盟车辆型式批准(typeapproval依据部分UNECE法规)和我国车辆的CCC认证中,对采用电子控制的转向、制动、动力电池管理系统等也引入了功能安全要求。高效的软件架构设计显然对功能安全的实施和落地起着引导性作用,所以电子电器系统满足功能安全要求已经成为产品基本属性。

针对软件架构如何满足功能安全要求,业内人士纷纷借鉴了E-Gas架构,E-Gas最先被应用于发动机控制器EMS,由Level1功能层、Level2功能监控层、Level3控制器监控层三部分组成。国内相关论文分别将E-Gas架构应用于各个控制功能中,其中专利、文献、文献、文献、文献都针对功能安全标准设计了整车控制器硬件和软件,但并未涉及Level2软件架构。

因此,为了弥补E-Gas架构未明确提出基于模型开发MBD的Level2软件架构的缺陷,且架构设计要满足高内聚低耦合、合适的分层等功能安全要求,本文针对整车控制器VCU设计了一种Level2功能监控层软件架构,不但符合功能安全架构设计要求,而且可应用于其他ECU功能安全Level2设计中,有助于功能安全设计进一步落地,降低实施难度。

01

VCU模型整体架构

设计整车控制器VCU模型Level1、Level2架构,如图1所示,包括时序调度、输入信号、Level1、Level2和输出信号模块,需满足功能安全可理解性、一致性、简单性、可验证性、模块化、抽象化、封装性、可维修性等架构设计原则和要求。

图1 VCU控制模型架构

Level1被称为功能层,包含整车控制基本功能,如电机扭矩需求、能量回收等,整车高低压电源管理,如高压安全、低压管理等,以及在检测到故障时控制系统的反应。Level2被称为功能监控层,检测Level1功能软件的缺陷过程。例如,通过监测计算的需求扭矩值或车辆纵向加速度,当系统发生故障时,会触发系统反应,进入安全状态。Level1和Level2独立的开发和各自生产代码要运行到不同的分区内,避免共因失效和免于干扰,并且Level2监控层代码要运行到硬件安全核内。

02

Level1功能层软件架构

设计VCU模型Level1功能层架构,如图2所示,Level1进行ECU基本功能实现和应用时,ECU的基础功能必须存在,包括时序调度、输入信号汇总、输出信号汇总、控制功能模块(如整车运行状态控制、扭矩控制、能量管理、诊断处理、加速踏板控制、挡位控制、续驶里程、低压电源控制、仪表显示控制等模块),各模型库均采用模型应用(ModelRefercence)方法引用,方便各模块库维护、复用或移植。

图2 VCU控制模型Level1功能层架

03

Level2功能监控层架构

VCU模型Level2功能监控架构,如图3所示,包括信号校验、Level2过程监控、输出监控三个模块,其作用是对ECU的Level1功能层中实现的设计功能安全相关模块进行监控,属于监控模块,增加该模块可以满足功能安全要求,可以对功能安全进行如下分解:Level1功能安全等级为QM(X),Level2功能安全等级为X(X),其中X可以根据具体功能分为ASILA/B/C/D。

1.Level2信号校验软件架构

(1)输入输出接口

信号校验模块输入输出接口,如表1所示。

表1 Level2信号校验模块接口

(2)安全机制

Level2输入模块对相应的安全相关的信号进行完整性、有效范围、合理性等校验,然后分别输出给Level1和Level2过程监控和输出监控用,具体校验机制和时序图,如图4所示。

图4 信号校验模块架

假设每隔TBDms接收接口1信号,首先对信号进行timeout超时检测,当超过TBD信号周期内没有接收到,判定信号丢失;然后进行CRC检测,当校验没有通过时,判定这帧信号CRC错误;再进行alivecounter检测,当校验没有通过时,判定信号alivecounter错误;最后进行valid和范围检测,当校验没有通过时,判定信号为invalid;检测到以上任意错误时,发送接口3为无效且发送接口2为默认值或上一周期信号给其他模块。

2.Level2过程监控软件架构

(1)输入输出接口

Level2过程监控模块输入输出接口,如表2所示。

(2)安全机制

根据Level1功能层中安全相关功能,其安全信号输出作为Level2监控层的输入,由Level2监控层对Level1进行监控,架构图如图5所示:无论Level1功能层如何,被监控的功能应在Level2监控层中采取冗余异构算法对接口4进行校验,并在出现错误或异常时触发系统反应,将其带入可控状态,即输出接口6、接口7、接口8、接口9。

3.Level2输出监控软件架构

(1)输入输出接口

Level2输出监控模块输入输出接口,如表3所示。

(2)安全机制

Level2对level1的最终的输出结果、CAN收发器或硬线驱动输出,以及执行器最终的执行情况进行闭环实时监控,架构图如图6所示,具体策略分为三个层次,一是模型输出信号监控:Level2采用独立于Level1控制策略对接口10进行监控,避免逻辑错误或输出未连线;二是驱动输出监控:接口10输出给输出驱动,Level2需Debounce一定时间后监控驱动是否正确输出;三是执行器监控:执行器响应接口11信号后,执行动作并反馈接口12,Level2监控其执行状态是否满足预期结果,以上若出现一个或多个监控故障,则需通过接口14发送仪表提醒驾驶员,且通过接口15或16使系统进入安全状态。


04

分析和测试验证

通过在软件架构级别应用安全分析(FMEA和FTA)和DFA相关失效分析,找出失效原因(Fault),以及分析失效影响(Effect)。结果表明Level2软件架构提供监控功能、行为和ASIL等级满足设计要求。

来源:汽车功能安全

 AutoSec 安全之星 2024 网络投票火热进行中……  


 专业社群 

 精品活动推荐 

更多文章

不要错过哦,这可能是汽车网络安全产业最大的专属社区!

关于涉嫌仿冒AutoSec会议品牌的律师声明

一文带你了解智能汽车车载网络通信安全架构

网络安全:TARA方法、工具与案例

汽车数据安全合规重点分析

浅析汽车芯片信息安全之安全启动

域集中式架构的汽车车载通信安全方案探究

系统安全架构之车辆网络安全架构

车联网中的隐私保护问题

智能网联汽车网络安全技术研究

AUTOSAR 信息安全框架和关键技术分析

AUTOSAR 信息安全机制有哪些?

信息安全的底层机制

汽车网络安全

Autosar硬件安全模块HSM的使用

首发!小米雷军两会上就汽车数据安全问题建言:关于构建完善汽车数据安全管理体系的建议

谈思实验室 深入专注智能汽车网络安全与数据安全技术,专属汽车网络安全圈的头部学习交流平台和社区。平台定期会通过线上线下等形式进行一手干货内容输出,并依托丰富产业及专家资源,深化上下游供需对接,逐步壮大我国汽车安全文化及产业生态圈。
评论
  • 振动样品磁强计是一种用于测量材料磁性的精密仪器,广泛应用于科研、工业检测等领域。然而,其测量准确度会受到多种因素的影响,下面我们将逐一分析这些因素。一、温度因素温度是影响振动样品磁强计测量准确度的重要因素之一。随着温度的变化,材料的磁性也会发生变化,从而影响测量结果的准确性。因此,在进行磁性测量时,应确保恒温环境,以减少温度波动对测量结果的影响。二、样品制备样品的制备过程同样会影响振动样品磁强计的测量准确度。样品的形状、尺寸和表面处理等因素都会对测量结果产生影响。为了确保测量准确度,应严格按照规
    锦正茂科技 2025-02-28 14:05 134浏览
  • 在物联网领域中,无线射频技术作为设备间通信的核心手段,已深度渗透工业自动化、智慧城市及智能家居等多元场景。然而,随着物联网设备接入规模的不断扩大,如何降低运维成本,提升通信数据的传输速度和响应时间,实现更广泛、更稳定的覆盖已成为当前亟待解决的系统性难题。SoC无线收发模块-RFM25A12在此背景下,华普微创新推出了一款高性能、远距离与高性价比的Sub-GHz无线SoC收发模块RFM25A12,旨在提升射频性能以满足行业中日益增长与复杂的设备互联需求。值得一提的是,RFM25A12还支持Wi-S
    华普微HOPERF 2025-02-28 09:06 143浏览
  • 美国加州CEC能效跟DOE能效有什么区别?CEC/DOE是什么关系?美国加州CEC能效跟DOE能效有什么区别?CEC/DOE是什么关系?‌美国加州CEC能效认证与美国DOE能效认证在多个方面存在显著差异‌。认证范围和适用地区‌CEC能效认证‌:仅适用于在加利福尼亚州销售的电器产品。CEC认证的范围包括制冷设备、房间空调、中央空调、便携式空调、加热器、热水器、游泳池加热器、卫浴配件、光源、应急灯具、交通信号模块、灯具、洗碗机、洗衣机、干衣机、烹饪器具、电机和压缩机、变压器、外置电源、消费类电子设备
    张工nx808593 2025-02-27 18:04 120浏览
  • 一、VSM的基本原理震动样品磁强计(Vibrating Sample Magnetometer,简称VSM)是一种灵敏且高效的磁性测量仪器。其基本工作原理是利用震动样品在探测线圈中引起的变化磁场来产生感应电压,这个感应电压与样品的磁矩成正比。因此,通过测量这个感应电压,我们就能够精确地确定样品的磁矩。在VSM中,被测量的样品通常被固定在一个震动头上,并以一定的频率和振幅震动。这种震动在探测线圈中引起了变化的磁通量,从而产生了一个交流电信号。这个信号的幅度和样品的磁矩有着直接的关系。因此,通过仔细
    锦正茂科技 2025-02-28 13:30 100浏览
  •           近日受某专业机构邀请,参加了官方举办的《广东省科技创新条例》宣讲会。在与会之前,作为一名技术工作者一直认为技术的法例都是保密和侵权方面的,而潜意识中感觉法律有束缚创新工作的进行可能。通过一个上午学习新法,对广东省的科技创新有了新的认识。广东是改革的前沿阵地,是科技创新的沃土,企业是创新的主要个体。《广东省科技创新条例》是广东省为促进科技创新、推动高质量发展而制定的地方性法规,主要内容包括: 总则:明确立法目
    广州铁金刚 2025-02-28 10:14 103浏览
  • 在2024年的科技征程中,具身智能的发展已成为全球关注的焦点。从实验室到现实应用,这一领域正以前所未有的速度推进,改写着人类与机器的互动边界。这一年,我们见证了具身智能技术的突破与变革,它不仅落地各行各业,带来新的机遇,更在深刻影响着我们的生活方式和思维方式。随着相关技术的飞速发展,具身智能不再仅仅是一个技术概念,更像是一把神奇的钥匙。身后的众多行业,无论愿意与否,都像是被卷入一场伟大变革浪潮中的船只,注定要被这股汹涌的力量重塑航向。01为什么是具身智能?为什么在中国?最近,中国具身智能行业的进
    艾迈斯欧司朗 2025-02-28 15:45 221浏览
  • 更多生命体征指标风靡的背后都只有一个原因:更多人将健康排在人生第一顺位!“AGEs,也就是晚期糖基化终末产物,英文名Advanced Glycation End-products,是存在于我们体内的一种代谢产物” 艾迈斯欧司朗亚太区健康监测高级市场经理王亚琴说道,“相信业内的朋友都会有关注,最近该指标的热度很高,它可以用来评估人的生活方式是否健康。”据悉,AGEs是可穿戴健康监测领域的一个“萌新”指标,近来备受关注。如果站在学术角度来理解它,那么AGEs是在非酶促条件下,蛋白质、氨基酸
    艾迈斯欧司朗 2025-02-27 14:50 400浏览
  • 1,微软下载免费Visual Studio Code2,安装C/C++插件,如果无法直接点击下载, 可以选择手动install from VSIX:ms-vscode.cpptools-1.23.6@win32-x64.vsix3,安装C/C++编译器MniGW (MinGW在 Windows 环境下提供类似于 Unix/Linux 环境下的开发工具,使开发者能够轻松地在 Windows 上编写和编译 C、C++ 等程序.)4,C/C++插件扩展设置中添加Include Path 5,
    黎查 2025-02-28 14:39 140浏览
  •         近日,广电计量在聚焦离子束(FIB)领域编写的专业著作《聚焦离子束:失效分析》正式出版,填补了国内聚焦离子束领域实践性专业书籍的空白,为该领域的技术发展与知识传播提供了重要助力。         随着芯片技术不断发展,芯片的集成度越来越高,结构也日益复杂。这使得传统的失效分析方法面临巨大挑战。FIB技术的出现,为芯片失效分析带来了新的解决方案。它能够在纳米尺度上对芯片进行精确加工和分析。当芯
    广电计量 2025-02-28 09:15 116浏览
  • RGB灯光无法同步?细致的动态光效设定反而成为产品客诉来源!随着科技的进步和消费者需求变化,电脑接口设备单一功能性已无法满足市场需求,因此在产品上增加「动态光效」的形式便应运而生,藉此吸引消费者目光。这种RGB灯光效果,不仅能增强电脑周边产品的视觉吸引力,还能为用户提供个性化的体验,展现独特自我风格。如今,笔记本电脑、键盘、鼠标、鼠标垫、耳机、显示器等多种电脑接口设备多数已配备动态光效。这些设备的灯光效果会随着音乐节奏、游戏情节或使用者的设置而变化。想象一个画面,当一名游戏玩家,按下电源开关,整
    百佳泰测试实验室 2025-02-27 14:15 137浏览
我要评论
0
点击右上角,分享到朋友圈 我知道啦
请使用浏览器分享功能 我知道啦