上一篇,我們討論了故障度量和安全機制的ASIL等級。本篇我們來聊一聊系統架構設計相關內容。

01

系統架構設計和TSC

當我們開始寫TSC時,會涉及到下圖中一系列的內容:

當我們完成前三期(鏈接見文末)提到的安全機制規范后,我們就要開始整理好所有的安全需求并在系統架構設計(SysArchiD)中來實現它們。不要忘記為每一個安全要求制定ASIL級別。也可以理解成安全要求(TSR)=安全機制或者TSR(由FSR分解得到)。

注意 → TSR受到FSC和系統架構設計的高度影響。我們來看一個SbW的案例:

安全機制示例:

包含外部看門狗定時器和電源監控的SBC;

監控功能塊對某個算法進行監控;

TMR架構;

同質冗余:兩個執行器;

異構冗余:一種執行器及其監視器;

02

Item Definition of SbW

SbW相關項定義描述了系統的功能,但是ECU或者SOC/PSOC/ASIC/Micro-Controller分配的詳細技術規范。如下圖:

03

FSC of SbW

在功能安全概念中,相關項定義架構將會對細節/粒度進行微調。除了粒度之外,FSR也是在這個初步的體系架構中實現的。我們來看一下下面的內容,可以清楚的說明這一點。

SG01:The SbW system shall prevent unintended self-steering in any direction under all vehicle operating conditions ． → ASIL-D

比如,我們添加了如下FSR給SbW:

The SbW control module is to have an arbitration strategy for steering-assist requests from the driver and other vehicle systems． → ASIL-DThe SbW shall run a self-test for steering assist at startup． Steering-assist commands shall not be issued until the validation of the communication channels is successful． → ASIL-B (注意:這里為什么是B而不是D,因為這是一個自檢的要求,具體請看上一篇)Power Supply of the SbW shall be monitored． → ASIL-DSbW system shall have a redundant Steering Motor to achieve fail-operational safe state when the primary Steering Motor fails → ASILD下圖展示了帶有FSR分配的功能安全概念的初步系統架構。注意,這各系統架構設計包含另一個粒度級別,也就是說,里面包含了一些在相關項定義中找不到的內容。

如果放大看的話,我們會發現這里只分配了FSR01,FSR03和FSR04。

為什么沒有分配FSR02?因為它是一個軟件組件,將在軟件架構設計(SAD)中來實現和演示。也就是說,它可以是硬連接的自測或者是STL的軟件組件。注意:SbW控制器周圍的所有塊都被認為是邏輯函數。我們在當前階段不關注它們是硬件、軟件、機械結構件或者備用件。在技術安全概念上,我們來開發SysArchiD。也就是說,所有這些功能塊都可以是軟件,SbW控制器可以是軟件控制器算法。

04

TSC of SbW

在技術安全概念階段,架構粒度級別將達到ECU和實際處理單元的級別。下圖展示了在功能安全概念階段架構中沒有體現的更多細節。

05

Internal and External Interfaces

應該定義安全相關要素(ASIL要素)的內部和外部接口,以確保其他要素(內外部接口)不會對安全相關要素產生不利的安全相關的影響。也就是說,我們的預期是解決架構問題,而不是把其他的BUG引入到系統中。

06

SysArchiD Consistency&Discrepancies

如果在技術安全概念階段對架構設計進行了更改,那就必須在功能安全概念、HARA和相關項定義中對其進行更新。

那么,我們可不可以把更新后的系統架構直接從技術安全概念階段復制到功能安全概念階段?答案是否定的,因為我們的架構必須和FSC規定的粒度級別保持一致。那我們需要更新什么呢?

只更新新功能并將其重新抽象為合適的功能級別,刪除任何特定的技術細節;

應該更新相關項定義、HARA和FSC規范,見下圖:

如果我們去對比前面3、4部分的圖片,會發現TSC級別的系統架構設計中添加了在FSC級別沒有的新功能。
如何定義差異?如果我們只是添加了新功能,如車道保持輔助(Lane Keep Assist)功能塊,它將被視為新功能,而不僅僅是從FSC到TSC的粒度,因此我們需要返回到相關項定義、HARA和FSC層面,并更新它們。

07

Testing&Integration

關于安全技術要求的實現,系統架構設計應考慮以下因素:

驗證系統架構設計的能力,使其易于驗證;

預期的硬件和軟件要素在實現功能安全方面的技術能力;記錄系統架構設計安全相關的要素的規范;

在系統集成器件執行測試的能力;通過為增加的機制制定明確的接口,使設計可測。而且,設計不能太復雜以至于系統集成成為一個噩夢般的任務。

以上,就是本期的全部內容,我們下期再見啦!
參考資料:外文文獻資料免責聲明:本文章中內容是由小編翻譯自外文文獻資料,免費傳播知識。