虹科方案 | 虹科VisualSim 汽車功能安全仿真解決方案

功能安全（Functional Safety）是汽車整體安全的一部分，它依賴于軟件、系統(tǒng)和半導(dǎo)體組件根據(jù)其輸入正確運(yùn)行。

VisualSim提供了架構(gòu)探索平臺(tái)、仿真分析與報(bào)告、FIR和SOTIF的模型解決方案， 針對(duì)不同的需求、誘發(fā)的故障、檢測(cè)和解決機(jī)制進(jìn)行模型測(cè)試。

01

功能安全的相關(guān)標(biāo)準(zhǔn)

功能安全有三大標(biāo)準(zhǔn)，分別為ISO26262，IEC61508, DO254/178C。

ISO 26262標(biāo)準(zhǔn)是基于IEC 61508的改編的汽車電氣/電子系統(tǒng)功能安全標(biāo)準(zhǔn)。ISO 26262定義了汽車設(shè)備的功能安全性，適用于所有汽車電子和電氣安全相關(guān)系統(tǒng)的整個(gè)生命周期。

IEC 61508包括如何應(yīng)用、設(shè)計(jì)、部署和維護(hù)稱為安全相關(guān)系統(tǒng)的自動(dòng)保護(hù)系統(tǒng)的方法。它的主要方向是電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全（E/E/PE，或E/E/PES）。

DO-178（軟件）和DO-254（硬件）是確保軟件和硬件必須和諧地運(yùn)行，每一個(gè)都有經(jīng)過驗(yàn)證的可靠性。

02

SOTIF是什么?

在汽車電子行業(yè)應(yīng)用里，有 ISO 26262針對(duì)系統(tǒng)的功能安全的標(biāo)準(zhǔn)，但隨著自動(dòng)駕駛的技術(shù)引用與應(yīng)用，在系統(tǒng)沒有出現(xiàn)故障報(bào)告的情況下也有可能導(dǎo)致一些危害。因此SOTIF針對(duì)E/E失效導(dǎo)致的危害，作為汽車功能安全的一個(gè)補(bǔ)充。

SOTIF為Safety Of The Intended Functionality的縮寫，即預(yù)期功能安全。對(duì)應(yīng)標(biāo)準(zhǔn)為ISO 21448，其定義為不存在因設(shè)計(jì)不足或性能局限引起的危害而導(dǎo)致不合理的風(fēng)險(xiǎn)，也就是將設(shè)計(jì)不足、性能局限導(dǎo)致的風(fēng)險(xiǎn)控制在合理可接受的范圍內(nèi)。

在自動(dòng)駕駛的實(shí)際應(yīng)用勢(shì)必帶來大量功能的增加，從感知、決策到執(zhí)行，使用更高精度的傳感器、更復(fù)雜的算法和要求更高的響應(yīng)執(zhí)行等等。基于更高等級(jí)的功能安全需求，SOTIF預(yù)期功能安全考慮到傳感器和軟件的額定性能有關(guān)的限制和風(fēng)險(xiǎn), 比如：功能不能正確理解情況影響安全運(yùn)行；在傳感器輸入變化或不同的環(huán)境條件下，功能的穩(wěn)健性不足等等。

以上，VisualSim可以圍繞ISO 26262的 汽車電氣/電子系統(tǒng)功能安全和SOTIF預(yù)期功能安全的不同場景需求，提供仿真架構(gòu)探索平臺(tái)進(jìn)行預(yù)期功能安全的模塊化仿真分析的解決方案。

03

VisualSim的功能安全應(yīng)用與實(shí)踐

VisualSim軟件為架構(gòu)探索提供基于模型的系統(tǒng)分析解決方案，以滿足要求和優(yōu)化規(guī)范，并對(duì)功能安全和SOTIF進(jìn)行測(cè)試。重點(diǎn)聚焦新系統(tǒng)或現(xiàn)有系統(tǒng)的軟件、半導(dǎo)體、傳感器、網(wǎng)絡(luò)和電力系統(tǒng)的功能安全分析。

從功能安全的故障類型或者失效分析角度下，VisualSim針對(duì)如下不同的故障分析展開：

（1）硬件故障：處理核心的丟失、受限的存儲(chǔ)、內(nèi)存設(shè)備減少或丟失、總線過載/信號(hào)不正確。

（2）軟件故障：資源匱乏、死鎖、數(shù)據(jù)被覆蓋。

（3）網(wǎng)絡(luò)故障：網(wǎng)絡(luò)擁堵、配置錯(cuò)誤、鏈接丟失和網(wǎng)絡(luò)錯(cuò)誤。

（4）實(shí)時(shí)操作系統(tǒng)故障：無法實(shí)現(xiàn)實(shí)時(shí)的deadlines要求、惡意改變時(shí)間表、執(zhí)行超出時(shí)間槽。

（5）電源故障：減弱和完全斷電、較慢的處理速度和有限的資源的并發(fā)執(zhí)行情況等等。

04

VisualSim的安全功能仿真案例

下圖是VisualSim中搭建的一個(gè)安全功能的仿真模型。模型主要包括5個(gè)部分：

（1）硬件結(jié)構(gòu)：包括4個(gè)核心處理單元、1個(gè)DMA、內(nèi)存控制器和核心調(diào)度器等，用來仿真硬件真實(shí)的數(shù)據(jù)處理流程。

（2）數(shù)據(jù)流行為：５個(gè)數(shù)據(jù)流生成器，分別生成Core1-Core4和突發(fā)流量，通過DMA_Trigger和trigger_Hypervisor傳入到DMA和Hypervisor中進(jìn)行處理，最后得到每個(gè)數(shù)據(jù)流處理后的延遲。

（3）配置：包括數(shù)據(jù)庫、變量列表、架構(gòu)以及自定義變量的配置。

（4）錯(cuò)誤注入：引發(fā)錯(cuò)誤的數(shù)據(jù)流注入。

（5）模型調(diào)試和可視化。

模型集成了3種錯(cuò)誤：

（1）核心失效：仿真過程種，Core1出現(xiàn)故障，無法處理數(shù)據(jù)，需要在剩余資源之間進(jìn)行

負(fù)載均衡。

（2）內(nèi)存錯(cuò)誤：如果進(jìn)程被分配給沒有任何內(nèi)存來處理該任務(wù)的資源，則會(huì)產(chǎn)生錯(cuò)誤。

（3）總線過載：突發(fā)流量導(dǎo)致總線負(fù)載增加

下圖是仿真的結(jié)果。仿真結(jié)果展示了在上述3種錯(cuò)誤注入下，各個(gè)核心處理數(shù)據(jù)流的延遲、DMA延遲、內(nèi)存使用情況以及突發(fā)數(shù)據(jù)流的處理速率，給模型的功能安全驗(yàn)證提供了依據(jù)。

05

總結(jié)

在VisualSim中，軟件是使用傳統(tǒng)方法開發(fā)的，MatLab/Simulink模型或軟件在可用的情況下替代抽象模型。這些模型可以在網(wǎng)絡(luò)阻塞導(dǎo)致數(shù)據(jù)出現(xiàn)延遲、高優(yōu)先級(jí)任務(wù)搶占流的情況下測(cè)試結(jié)果的正確性，以及研究分布式系統(tǒng)中出現(xiàn)多個(gè)故障時(shí)的行為。該硬件模型還可以獲取詳細(xì)的ECU設(shè)計(jì)，并評(píng)估資源效率和功耗。部署后，可以使用相同的模型回放操作，并確定故障的原因。

END

如果您對(duì)虹科VisualSim軟件感興趣，想要了解相關(guān)信息，歡迎來電或留言咨詢，我們將竭誠為您服務(wù)！

虹科車輛網(wǎng)絡(luò)團(tuán)隊(duì)

虹科車輛網(wǎng)絡(luò)事業(yè)部在汽車總線行業(yè)經(jīng)驗(yàn)超過10年，與世界知名的CAN、LIN總線供應(yīng)商PEAK-System、Lipowsky、IHR等合作10年之久，提供領(lǐng)域內(nèi)頂尖水平的CAN/LIN分析儀和測(cè)試方案，同時(shí)也提供汽車以太網(wǎng)，時(shí)間敏感網(wǎng)絡(luò)（TSN）的仿真測(cè)試工具和方案。虹科自主研發(fā)的EOL測(cè)試軟硬件系統(tǒng)已經(jīng)在業(yè)內(nèi)完成多次安裝和測(cè)試，事業(yè)部所有成員都受過國內(nèi)外專業(yè)培訓(xùn)，并獲得專業(yè)資格認(rèn)證，工程師平均5年+技術(shù)經(jīng)驗(yàn)和水平，一致贏得客戶極好口碑。虹科車輛網(wǎng)絡(luò)事業(yè)部致力于為您提供最專業(yè)的服務(wù)。