【汽车软件工程技术介绍系列】之四:车载Flexray总线通信技术与安全
本文将着重介绍下Flexray总线技术的历史、特征和安全保障规范等。
一、Flexray总线的历史背景
随着汽车的电动化和数字互联系统的不断发展,主机厂意识到目前的总线通讯解决方案无法满足将来数据传输的需求,2000年9月由宝马公司与戴姆勒公司发起,联合飞利浦和摩托罗拉等组织成立了FlexRay联盟(包括线控x)。目前FlexRay联盟由七个合作伙伴组成的核心团队,其中包括宝马,博世,戴姆勒,飞思卡尔,通用汽车,飞利浦、吉利汽车、大众汽车和NXP半导体等。该联盟的目标是开发一种独立于OEM,为全行业制定确定性和容错的FlexRay通信标准。FlexRay联盟在2010年发布了3.0.1版规范,并开始向ISO规范方向推进,并在2013年发布了ISO 17458标准。第一款采用FlexRay通讯技术的量产车BMW X5于于2006年底推出,应用在其电子控制减震系统中;2008年,全新BMW 7系全面采用了FlexRay,随后奥迪、奔驰以及领克等车型上也逐渐开始应用。
车载网络通讯总线技术发展的路线图
二、FlexRay总线技术及其特征
常见的网络拓扑结构
总体来看,Flexray技术特点主要有:
具体到各层展开来讲:
1. 物理层
·支持线性和星形拓扑(主动和被动型)
·支持单通道或双通道拓扑结构
·可以适用于电线(双绞线)和光缆
主动星型总线拓扑结构
线性总线拓扑结构
2. 节点
·FlexRay节点具有一个通信协议规则控制器和两个物理层总线驱动器
·一个主动型星形拓扑结构仅由几个总线驱动器(物理层,集线器)组成
3. 数据传输层
·Flexray支持时分多址TDMA
·每个节点都有一个固定的时隙,在此期间该节点可以独占访问总线
·这些时隙以固定的模式(周期)重复
·这确保了确定性行为,且可以预测最大限度的延迟
·第二通道可用于冗余传输或同时传输另一条消息
·某些节点被当做为同步主节点
·同步主机由于每个时隙是确定的,因此整个传输周期是固定的
·每个通信周期都有一个静态和动态段
·在静态段中,时隙具有固定长度,与发送多少数据(固定TDMA)无关
·仅当发生总线访问时,才根据需要扩大动态段中的时隙,即所谓的迷你时隙。带宽使用效率更高(灵活的TDMA)
·静态段主要用于定期的实时关键数据(底盘和动力总成领域)
·动态段主要用于事件触发(主体域)发送的不太关键的数据, 总线访问受优先级控制
·两个线段之间的边界可以任意选择
典型的通讯过程单元
消息结构
典型的信息交互过程
应用实例
三、线控X系统及其特点
X-by-wire-System是一个由两个能量上不耦合的控制回路组成的系统:
1. 一个控制回路负责创建动态结果
· 对于转向系统,这是轮胎角度的控制
· 对于制动系统而言,即为制动转矩的控制
2.和另一个控制回路用于创建对驱动程序的反馈:
· 对于转向系统,即为对方向盘的控制,以产生平稳的转向感
· 对于制动系统,即为对制动踏板的控制,以产生平稳的制动感觉
线控X系统
相关标准规范
四、其他的通讯总线系统
五、Fibex的数字通信技术规范:
·基于XML模式的数据格式,描述包含最常用元素的整车控制信息网络(由宝马发起)
·被视为适用于所有总线技术工具的脚本文件
FIBEX的作用
Fibex数据模型
六、车载通信的相关安全规范标准
1. 术语和参数定义
在产品安全性设计及其风险管理的标准DIN ISO31000中明确定义了安全性和相关主要术语:
安全性主要是针对人类健康的损害方面,就故障、失误和失效的负面后果影响,同时也考虑了对环境生态的破坏性
事故指的是造成损坏后果的事件
风险指的事故危害的量化
有限风险:指的是可预估的最大风险
安全性:描述了极限风险超过风险的情况
危害:描述了对人类和/或环境存在实际或潜在威胁的情况
保护:通过限制发生概率和破坏程度的措施来降低风险
我们以线控电子节气门控制(电传驱动)为例来分析:
驾驶场景:以较高的车速驾驶车队
可能的危险:意外的全加速,并因此导致追尾碰撞或车辆失控
风险参数:
S3–多人受伤或死亡
A1–很少重复的居留时间
W1–发生率极低
结果:要求等级AK 4和SIL2,此分类成为安全要求的基础
2. 安全逻辑
安全逻辑定义了应用于安全相关系统的纠错策略,分为以下几种策略:
·故障安全系统:发生故障时进入安全模式,此状态不能再由其他故障保留。
·减少故障的系统:如果发生故障,则系统将转换为功能受限的降级操作模式。
·故障操作系统:如果发生故障,冗余系统将接管该功能
六、缺陷诊断与监测管理
常见的故障再现与诊断方法主要有:
1.参考值检查:通过请求/响应试验测试系统,即提出具有已知响应的问题, 如果获得的响应与已知响应不匹配,则将其解释为故障
2.冗余值检查:有两个或多个可比较值:
·冗余值由冗余(并行)传感器提供,例如 制动踏板开关
·冗余值由类似的传感器提供,例如 车速由4个车轮速度传感器组成
·所谓的虚拟传感器的冗余值,例如 通过计算4个车轮速度传感器之间的差来计算转向角传感器
·通过重复读取传感器获得冗余值:丢弃不合理的值,计算平均值(低通滤波器),例如油箱传感器
·通过冗余算法进行监视:–具有相同原理差异的两个或多个算法应用于相同的输入值(软件分集)–算法在不同的控制器上执行(硬件分集)
·监视通信链接:奇偶校验,冗余校验,海明码(请参阅总线系统)
·握手:收到消息时发送确认
·监视物理属性:检查是否符合某些极限值, 观察信号值随时间的变化(微分),例如 油箱液位,温度。
·监视程序执行:这可以通过监视器电路来实现, 执行程序时间过长会触发复位。
故障监测与诊断系统
3.故障冗余值处理:
·如果3个值可用且2个相等,则选择此值·计算平均值,例如 在模拟与数字转换时·使用最安全的值(“安全起见”)·禁用子系统或关闭主系统·保持某种故障状态或开始调整策略·降为安全操作模式,例如 降低最大速度·故障存储器:即将故障值存储在某些特殊存储器中·故障补救措施:例如 通过看门狗电路复位微处理器
离线诊断系统
4.故障监测与诊断系统:
·离线诊断:车辆通过一些中央诊断接口连接到外部诊断测试仪(该接口通常为整个ECU网络的接入点) 这样,可以诊断所有具有诊断能力的ECU
·车载诊断:诊断功能是车辆ECU的一部分,如果检测到故障,则执行诊断功能(自我诊断)
·系统启动阶段:在启动阶段会执行一些合理性检查
·标准系统操作:在正常操作期间,周期性地进行合理性检查
·系统关闭阶段:在关闭系统电源之前,将执行耗时的合理性检查
车载诊断系统
5.故障的记录和分类管理:
·板载诊断功能检测到的故障信息被输入到ECU的故障存储器中
·故障存储器可以由诊断测试仪检测
·一些数据已标准化,如:故障代码(DTC),里程,故障频率
故障存储与管理
近年来与车载电控系统相关的刹车门、踏板门和转向门等事件屡见不鲜,其中也暴露了原来产品设计中潜在的一些缺陷和漏洞;应用实践经验表明,与系统一般具有连续渐变的失效行为可循的硬件物理系统相比,软件系统故障与风险的显著特点主要是:软件的故障缺陷和漏洞从一开始就可能潜在、没有老化历程,突发的失效和威胁风险事先一般没有任何征兆和警告;但是我们也大可不必为之望而却步,就像所有的交通工具中安全性相比较而言飞机的事故概率最低一样,只要大家有足够的安全风险意识,并结合完整精细的开发过程方法与工具,以匠心打造产品,相信一定能够使得车载通讯网络系统运行流畅、风险可控和可靠性水平不断提升。
(本文系邦韦技术咨询人员编著,转载请注明出处,谢谢大家:-))
本站是提供个人知识管理的网络存储空间,所有内容均由用户发布,不代表本站观点。请注意甄别内容中的联系方式、诱导购买等信息,谨防诈骗。如发现有害或侵权内容,请点击一键举报。
0条评论