我們?cè)敿?xì)地介紹了系統(tǒng)開發(fā)階段,TSR,安全機(jī)制,TSC,安全分析等相關(guān)的內(nèi)容,今天我們聊系統(tǒng)開發(fā)階段最后一部分內(nèi)容,即系統(tǒng)安全架構(gòu):
系統(tǒng)架構(gòu)作用
系統(tǒng)架構(gòu)相關(guān)安全機(jī)制
系統(tǒng)安全架構(gòu)
01
系統(tǒng)架構(gòu)作用
架構(gòu)是一門藝術(shù),在整車汽車系統(tǒng),軟/硬件開發(fā)過程中非常重要,尤其在基于模型的系統(tǒng)開發(fā)(MBSE)中,架構(gòu)是整個(gè)開發(fā)過程的核心之一。
一般來講,系統(tǒng)架構(gòu)一般采用通用化建模語言UML或SysML在相關(guān)架構(gòu)開發(fā)軟件,如Enterprise Architect, Cameo等,進(jìn)行開發(fā)。但可惜的是,目前大部分車企都沒有完整的系統(tǒng)架構(gòu)或多基于PowerPoint等形式的簡(jiǎn)單架構(gòu)描述。
在功能安全第三部分概念開發(fā)和第四部分系統(tǒng)開發(fā)過程中,都需要系統(tǒng)架構(gòu)作為輸入條件,借助系統(tǒng)架構(gòu)進(jìn)行安全分析,導(dǎo)出功能安全需求(FSR)和技術(shù)安全需求(TSR),并將相應(yīng)的安全需求分配至系統(tǒng)架構(gòu)。
但在系統(tǒng)開發(fā)階段,我們還需要對(duì)系統(tǒng)架構(gòu)進(jìn)行功能安全相關(guān)內(nèi)容進(jìn)一步開發(fā),將架構(gòu)相關(guān)的安全機(jī)制融入系統(tǒng)架構(gòu)當(dāng)中,形成系統(tǒng)安全架構(gòu)(Safety Architecture),以此勾勒出實(shí)現(xiàn)系統(tǒng)技術(shù)安全需求所需要的核心技術(shù)框架,為后續(xù)軟件和硬件架構(gòu)的詳細(xì)設(shè)計(jì)提供基礎(chǔ)。
02
系統(tǒng)架構(gòu)相關(guān)安全機(jī)制
很多朋友一直有個(gè)疑問,對(duì)于不同的ASIL等級(jí)應(yīng)該具體采取哪些安全機(jī)制呢?
這是個(gè)很好的問題,一般來說ASIL等級(jí)越高,需要采取的安全機(jī)制數(shù)目及質(zhì)量要求越高。
但I(xiàn)SO 26262并沒有,其實(shí)也沒有辦法明確哪個(gè)ASIL等級(jí)應(yīng)該具體采取哪些安全機(jī)制,只有對(duì)硬件部分,不同覆蓋率(中,高,低)對(duì)應(yīng)的安全機(jī)制的推薦。
主要原因在于:?
雖然有一些通用的安全機(jī)制,但研究對(duì)象不同,采用的安全機(jī)制也不盡相同。
為功能安全技術(shù)實(shí)施多樣性提供更多空間和選擇,便于不同企業(yè)根據(jù)自身技術(shù)積累和開發(fā)條件進(jìn)行實(shí)施。
為技術(shù)更新?lián)Q代提供可能性。隨技術(shù)發(fā)展,很多新的安全機(jī)制得以實(shí)現(xiàn)或得以在汽車行業(yè)應(yīng)用。
如果ASIL等級(jí)和安全機(jī)制一一掛鉤,強(qiáng)制執(zhí)行,可能很多車企的車都沒辦法上市了(你懂的)。
我們先看看不含安全機(jī)制的系統(tǒng)架構(gòu)長(zhǎng)什么樣??
系統(tǒng)架構(gòu)旨在描述相關(guān)項(xiàng)組成和相互作用和約束。根據(jù)ISO 26262定義,相關(guān)項(xiàng)由一到多個(gè)系統(tǒng)構(gòu)成,而一個(gè)系統(tǒng)應(yīng)該至少包括一個(gè)傳感器,一個(gè)控制單元,一個(gè)執(zhí)行器。當(dāng)然,一個(gè)系統(tǒng)也可以包含多個(gè)子系統(tǒng)。
所以一個(gè)最簡(jiǎn)單的系統(tǒng)架構(gòu)如下:
那有哪些系統(tǒng)層面的安全機(jī)制可以融入系統(tǒng)架構(gòu),進(jìn)而形成系統(tǒng)安全架構(gòu)呢?
既然一個(gè)最簡(jiǎn)單的系統(tǒng)由三個(gè)部分構(gòu)成,那么系統(tǒng)級(jí)別和架構(gòu)相關(guān)的安全機(jī)制肯定也是和這三個(gè)部分以及三者之間的通訊安全相關(guān)。
下面我們一起看看系統(tǒng)層面和架構(gòu)相關(guān)的常見的安全機(jī)制:
傳感器
─?傳感器硬件冗 ─?獨(dú)立供電 ─?多通道冗余采集 ─?信號(hào)質(zhì)量檢測(cè)
控制單元
─?在線診斷
─?比較器
─?多數(shù)投票器
執(zhí)行器
─?執(zhí)行器硬件冗余
─?執(zhí)行器控制信號(hào)質(zhì)量檢測(cè)
通訊
─ 冗余發(fā)送
─?信息冗余(CRC)
─?時(shí)間監(jiān)控
─?問答機(jī)制
需要注意的是,系統(tǒng)階段的安全機(jī)制主要作用是勾勒出實(shí)現(xiàn)系統(tǒng)功能安全所需的核心技術(shù)框架,明確應(yīng)該采取哪些技術(shù)手段實(shí)現(xiàn)相應(yīng)的安全目標(biāo),不會(huì)涉及具體的實(shí)施細(xì)節(jié),這個(gè)會(huì)在后續(xù)軟件和硬件開發(fā)階段進(jìn)一步明確。
從上述安全機(jī)制可以看出,雖然安全機(jī)制的種類有很多,但無非都源于以下三個(gè)角度:?
1
冗余性: 使用相同的功能組件(多指硬件)降低硬件隨機(jī)失效,增加功能安全的可靠性,例如傳感器,執(zhí)行器冗余等。
2
多重性: 多用于故障關(guān)閉路徑,使用多個(gè)關(guān)閉路徑或保護(hù)設(shè)備,提供了防止單個(gè)設(shè)備失效的保護(hù)。
3
多樣性: 使用不同類型的設(shè)備或者軟件多樣化設(shè)計(jì),降低共因失效的可能性。
03
系統(tǒng)安全架構(gòu)設(shè)計(jì)
了解系統(tǒng)架構(gòu)相關(guān)的安全機(jī)制,接下來我們就將這些安全機(jī)制融入原有的系統(tǒng)架構(gòu),分別看看系統(tǒng)不同組成部分,融入安全機(jī)制后形成的系統(tǒng)安全架構(gòu)長(zhǎng)什么樣?
3.1 傳感器部分
首先,我們?cè)谙到y(tǒng)中融入傳感器部分安全機(jī)制,需要注意的是,此處的傳感器代表廣義的輸入信息,可以是具體傳感器信號(hào),也可以是其他類型通訊信息,例如CAN,SENT等。
傳感器的硬件冗余(當(dāng)然傳感器必須獨(dú)立供電)多適用于對(duì)于ASIL等級(jí)要求非常高的信號(hào),如ASIL ?C, D,尤其是D,其主要目的是為避免傳感器硬件隨機(jī)失效,通過信號(hào)相互校驗(yàn),增加系統(tǒng)輸入信息可靠性。
這里的傳感器硬件冗余采集,可以是利用相同的兩個(gè)傳感器,對(duì)同一信號(hào)進(jìn)行重復(fù)采集(例如,踏板信號(hào)),也可以是利用不同類型傳感器,對(duì)強(qiáng)相關(guān)的兩個(gè)信號(hào)分別進(jìn)行采集(例如,制動(dòng)踏板位置和壓力信息等)。
當(dāng)然,傳感器輸入冗余信息,在控制單元中,必須進(jìn)行多路采集,除傳感器本身提供診斷信息外,還需要對(duì)其信號(hào)有效性進(jìn)行檢驗(yàn),包括數(shù)值有效范圍檢測(cè),在線監(jiān)控,Test Pattern,輸入對(duì)比,相關(guān)性,合理性檢測(cè)等。
3.2 控制單元
控制單元屬于整個(gè)系統(tǒng)中最重要的部分,控制單元相關(guān)的安全機(jī)制其實(shí)很大程度上決定了系統(tǒng)安全架構(gòu)和系統(tǒng)復(fù)雜程度。
提到控制單元相關(guān)的安全機(jī)制,很多朋友第一反應(yīng)是,控制器軟件分層,控制器硬件冗余(雙控制器,Dual Core LockStep雙核鎖步等),看門狗,程序流監(jiān)控等。
雖然這些都是控制單元常用的安全機(jī)制,但從系統(tǒng)角度而言,它們相對(duì)過于具體,只是針對(duì)某一類故障而設(shè)計(jì)的軟件或硬件安全機(jī)制,需要在系統(tǒng)安全架構(gòu)基礎(chǔ)上具體明確。
接下來我們從系統(tǒng)角度,先看看系統(tǒng)級(jí)別安全架構(gòu),后續(xù)無非就是將具體的軟件和硬件安全機(jī)制逐步應(yīng)用于系統(tǒng)架構(gòu)當(dāng)中去。
一般來說,所有的安全機(jī)制本質(zhì)上都服務(wù)于兩類安全架構(gòu):
Fail to safe?
Fail to operational?
3.2.1 Fail to safe?
Fail to safe是目前汽車行業(yè)應(yīng)用最廣泛的安全架構(gòu),最典型的應(yīng)用就是在線監(jiān)控,將整個(gè)控制單元分為功能實(shí)現(xiàn)和在線監(jiān)控兩部分,即所謂的的1oo1D類型系統(tǒng),具體如下圖所示:
其中:?
功能實(shí)現(xiàn)部分一般按正常開發(fā)流程就行開發(fā),主要實(shí)現(xiàn)系統(tǒng)的功能性需求,不需要考慮功能安全需求(也就是全部QM)。
監(jiān)控單元用于實(shí)現(xiàn)系統(tǒng)功能安全相關(guān)的需求,主要目的在于對(duì)功能實(shí)現(xiàn)部分進(jìn)行安全監(jiān)控,在線監(jiān)測(cè)功能實(shí)現(xiàn)部分是否按照預(yù)期運(yùn)行。一旦發(fā)現(xiàn)問題,就將系統(tǒng)導(dǎo)入安全狀態(tài),停止提供系統(tǒng)原有功能或者維持最必要的功能。
需要注意的是,監(jiān)控單元非功能層全部功能的多樣化復(fù)現(xiàn),不能獨(dú)立于功能實(shí)現(xiàn)部分單獨(dú)存在,ASIL等級(jí)則直接決定了監(jiān)控單元的硬件及軟件復(fù)雜度。
對(duì)于ASIL等級(jí)要求較高的系統(tǒng),監(jiān)控單元軟件一般獨(dú)立于功能層。為實(shí)現(xiàn)有效監(jiān)控,在監(jiān)控單元不僅需要對(duì)功能層中,和功能安全相關(guān)的輸入和輸出進(jìn)行診斷,還需要對(duì)功能安全相關(guān)的計(jì)算邏輯進(jìn)行監(jiān)控,計(jì)算執(zhí)行器關(guān)鍵控制信號(hào)的安全輸出范圍,并和功能層計(jì)算結(jié)果進(jìn)行對(duì)比,甚至需要對(duì)控制器硬件進(jìn)行額外的硬件監(jiān)控。
如下圖所示,發(fā)動(dòng)機(jī)控制單元最常見的E-Gas三層安全架構(gòu)就屬于典型的1oo1D的應(yīng)用,包括功能應(yīng)用層,功能監(jiān)控層,控制器監(jiān)控層。
E-Gas三層安全架構(gòu),雖然是針對(duì)發(fā)動(dòng)機(jī)控制單元,但屬于非常經(jīng)典安全架構(gòu),廣泛應(yīng)用于傳統(tǒng)控制系統(tǒng)(例如傳動(dòng),整車控制)當(dāng)中,三層分層架構(gòu)本質(zhì)為原有ASIL等級(jí)的分解,即QM (ASILD)+ X(ASILX):
1
功能層:?功能實(shí)現(xiàn)部分,使得較為復(fù)雜的功能實(shí)現(xiàn)部分得以按照QM開發(fā),無需考慮功能安全需求,專注于復(fù)雜功能軟件的開發(fā)和復(fù)用。
2
功能監(jiān)控層:?按照原有ASIL等級(jí)進(jìn)行獨(dú)立開發(fā),對(duì)功能層中功能安全相關(guān)部分進(jìn)行監(jiān)控,包括輸入輸出診斷,邏輯監(jiān)控,故障分類及故障優(yōu)先級(jí)仲裁等。
3
控制器監(jiān)控層:?對(duì)功能控制器,尤其是功能監(jiān)控層控制器硬件進(jìn)行監(jiān)控,一般采用獨(dú)立的監(jiān)控單元(一般采用ASIC基礎(chǔ)芯片)對(duì)功能控制器中內(nèi)存,CPU,通訊,定時(shí)器等進(jìn)行監(jiān)測(cè)和保護(hù)。
目前E-Gas三層安全架構(gòu)已經(jīng)更新了很多版,強(qiáng)烈建議朋友們多讀幾遍,一定會(huì)深受啟發(fā),之后有機(jī)會(huì)也可以給朋友們專門介紹一下。
當(dāng)然,分層安全架構(gòu)只是1oo1D其中一種實(shí)現(xiàn)方式,對(duì)于ASIL等級(jí)要求不高或者功能簡(jiǎn)單的控制系統(tǒng),不一定非得采用分層架構(gòu),監(jiān)控層也可以相應(yīng)簡(jiǎn)化。
3.2.2 Fail to operational?
Fail to operational 屬于相對(duì)高級(jí)的安全架構(gòu),比較器和多數(shù)投票器都屬于這類安全架構(gòu),整個(gè)系統(tǒng)由相對(duì)獨(dú)立的兩條或多條功能鏈路構(gòu)成,每條功能鏈路都有擁有自己獨(dú)立的傳感器,控制單元,甚至執(zhí)行器。當(dāng)其中一條功能鏈路出現(xiàn)異常,控制系統(tǒng)可以切換到其他功能鏈路,保證系統(tǒng)繼續(xù)正常工作或者降級(jí)運(yùn)行。
獨(dú)立功能鏈路的實(shí)現(xiàn)需要大量的硬件冗余和多樣化的軟件設(shè)計(jì),直接提高了系統(tǒng)成本,所以Fail to operational在汽車產(chǎn)品一般最多有兩個(gè)獨(dú)立功能鏈路,主要應(yīng)用在對(duì)功能安全要求極高或者功能極為復(fù)雜的系統(tǒng),例如自動(dòng)駕駛。其中最典型的是1oo2架構(gòu),如果每個(gè)功能鏈路擁有獨(dú)立的診斷單元(和在線監(jiān)控類似),則可以實(shí)現(xiàn)1oo2D安全架構(gòu),如下圖所示:
其中:?
兩條功能鏈路功能可以保持一致,通過多樣化軟件設(shè)計(jì)保證系統(tǒng)安全,或者形成主副功能鏈路,主功能鏈路利用高性能計(jì)算單元實(shí)現(xiàn)復(fù)雜的功能計(jì)算,副功能鏈路對(duì)控制器硬件安全性及可靠性要求高,承擔(dān)系統(tǒng)功能安全任務(wù),只實(shí)現(xiàn)系統(tǒng)功能安全相關(guān)的功能,一旦主功能鏈路出現(xiàn)故障,則系統(tǒng)切換至副功能鏈路。
3.3 執(zhí)行器
執(zhí)行器屬于系統(tǒng)功能實(shí)現(xiàn)終端,執(zhí)行器冗余會(huì)極大增加系統(tǒng)成本,一般在Fail to operational 安全架構(gòu)中才會(huì)采用。例如EPS系統(tǒng),制動(dòng)系統(tǒng)等,除電動(dòng)執(zhí)行單元外,還必須保留機(jī)械執(zhí)行路徑。這也是目前自動(dòng)駕駛系統(tǒng),為什么還必須保留駕駛員自主駕駛所需要的全部執(zhí)行輸入(例如,踏板,方向盤)的根本原因。
3.4 通信安全
系統(tǒng)組件之間以及組件內(nèi)部的通信安全,也是系統(tǒng)功能安全的重要內(nèi)容,一般都采用信息冗余(CRC),時(shí)間監(jiān)控,問答機(jī)制等安全保護(hù)機(jī)制,主要應(yīng)用就是AUTOSAR中的E2E保護(hù),利用數(shù)據(jù)控制信息,保證信息通訊安全。
審核編輯:劉清
評(píng)論
查看更多