過去幾十年，駕駛活動發(fā)生了巨大變化。從駕駛員手動操控所有駕駛任務到輔助駕駛系統的引入，汽車行業(yè)取得了重大發(fā)展。同時，這也改變了人們的駕乘體驗。

早期，機械和液壓系統是汽車操作、控制制動、轉向和加速的基礎。

但是，隨著E/E系統的出現，輔助駕駛E/E系統使駕駛體驗得到提升，可協助駕駛員完成加速、制動和轉向操作（如車道保持、電子助力轉向、緊急制動）。如果檢測到輔助駕駛系統故障，系統對駕駛操作的影響將受限，或者系統將完全關閉。機械系統作為可靠的解決方案仍有一席之地。

這種輔助駕駛系統被稱為失效安全系統。在這種情況下，系統能夠檢測出此類與功能安全相關的故障足以，因為從功能安全概念的角度來看，失效安全系統依賴于人類。駕駛員仍需提供驅動力，維持可能已降低的控制水平，直到汽車在電子/電氣系統失效時處于安全狀態(tài)。

這種轉變標志著汽車技術和實現這一技術的軟件進入新時代。

向自動駕駛轉變：

隨著汽車行業(yè)進入自動駕駛時代，當所有駕駛任務完全由自動駕駛E/E系統執(zhí)行后，新的挑戰(zhàn)和機遇隨之出現。改善和保持汽車功能安全以及減輕汽車重量是汽車制造商必須解決的主要挑戰(zhàn)之一。

傳統的機械和液壓連接依賴于汽車加速、制動和轉向命令，但實際上這些根本無法滿足自動駕駛的需求。

更為復雜的線控系統逐漸取代它們完成此類操作，同時改善了功能安全、減輕了汽車重量。這些基于電子傳感器和執(zhí)行器的系統在實現自主功能方面發(fā)揮了顛覆性作用，為未來的汽車自動駕駛發(fā)展創(chuàng)造了條件。

由于汽車的線控系統不允許失效，因此它們應該高度可靠并且能夠正確執(zhí)行相關命令。

雖然電子系統發(fā)生與功能安全相關的故障時，不能選擇機械后備，但在達到安全狀態(tài)（如安全停車）之前，部分性能下降可以接受。但關閉或立即交由駕駛員處理的功能將失效，因此僅失效安全系統不能滿足SAE L3 - L5級線控和自動駕駛功能的需求。

要想制造出真正的自動駕駛汽車，必須使用失效可操作系統。與系統故障時依賴人為干預的失效安全系統不同，失效可操作系統必須能夠保持連續(xù)、可靠地運行。它們可以確保自動駕駛汽車能夠在所有領域均安全、可靠地運行。失效可操作系統可提供強大的功能安全保障，使汽車在保持運行完整性的同時檢測并響應故障。

失效可操作系統軟件為什么可以改變行業(yè)規(guī)則？

軟件在實現失效可操作系統及其成功集成到自動駕駛汽車方面發(fā)揮著重要作用。

失效可操作系統應該提供什么樣的保障？

失效可操作系統必須能夠高度可靠地執(zhí)行應用軟件，為持續(xù)服務交付提供保障。

此外，通信軟件的執(zhí)行對于確保處理線控命令時的高可靠通信至關重要。

失效可操作系統通常由2個以主動冗余方式運行的完全冗余子系統構成。這兩個子系統均采用靜默失效設計，即正確操作或不提供服務，以避免在發(fā)生故障時影響其他子系統。

只要運行正常，各子系統就能夠控制系統。如果一個子系統失效，另一個子系統將無縫接管，確保設備連續(xù)可靠地運行。

為確保服務持續(xù)交付，通常還需要硬件層級的冗余和容錯。應對系統進行“強化”，以防處理環(huán)境中出現故障（如通過執(zhí)行同一MCU另一個內核上的軟件完成）。

失效可操作系統軟件的重要性

為滿足失效可操作要求，能夠實現預期功能安全相關功能的軟件必須高度可靠，因此應盡量降低其復雜性和尺寸。

為防止服務意外中斷，必須對關鍵軟件進行強化，以防非在同一MCU上執(zhí)行的關鍵軟件出現故障。具體方法包括使用適當機制確保其免受干擾和在軟件分區(qū)之間使用特定的可靠通信機制。

各種冗余有助于避免主要、輔助通信信道出現相關失效。如果軟件根據較高的質量標準（ASIL D而非ASIL B）開發(fā)，則同質冗余合法。

線控制動、轉向和加速是當前線控系統的典型用例，這些線控系統在自動駕駛汽車中發(fā)揮著關鍵作用。

現在，這類系統中的幾乎所有電子控制單元均采用Classic AUTOSAR軟件棧開發(fā)而成。為加快線控技術升級（無需機械后備），很多汽車制造商和一級供應商都要求快速、輕松、靈活地采用經過改進的Classic AUTOSAR軟件，以滿足失效可操作系統的要求。

軟件解決方案是實現失效可操作系統的核心，可確保服務持續(xù)、可靠地交付。隨著自動駕駛汽車的成功推出，失效可操作軟件的開發(fā)對于確保實現其功能安全、可靠性和高效性至關重要。

汽車軟件供應商應快速創(chuàng)新方法，擴展其現有的Classic AUTOSAR軟件產品，以滿足這些關鍵要求，并為汽車市場提供符合未來發(fā)展趨勢且具有競爭力的產品。

憑借軟件解決方案，失效可操作系統將成為交通運輸的基石，徹底改變移動性，增強功能安全，并改變我們的道路駕駛體驗。

Elektrobit的相關解決方案：

用于失效可操作系統的AUTOSAR軟件- EB tresos Safety Fail-operational

高度可靠的執(zhí)行和通信

要實現真正的車輛自動駕駛，失效可操作系統至關重要，而Classic AUTOSAR（汽車開放系統架構）軟件解決方案是支持這一轉變的關鍵。

隨著汽車行業(yè)向SAE L3到L5級自動駕駛汽車邁進，故障安全系統已不再足夠。相反，對故障可操作系統的要求是確保在故障期間持續(xù)可靠地運行，無需人工干預。

傳統的機械和液壓連接已無法滿足車輛自動駕駛的需求，正逐漸被用于車輛制動和轉向指令等活動的更先進的線控系統所取代。通過用電子連接取代機械和液壓功能，這些系統在實現自主功能方面發(fā)揮了關鍵作用，為自動駕駛汽車發(fā)展創(chuàng)造了條件。

EB tresos Safety Fail-operational采用經過ASIL D安全認證的組件設計，提供Classic AUTOSAR基礎軟件所必需的全面功能集。這些功能對于未來的自動駕駛和線控系統至關重要，可確保連續(xù)任務執(zhí)行和通信、防止意外服務中斷、保證最壞情況執(zhí)行時間 (WCET)，以及簡化和降低復雜性。

優(yōu)點

加速線控系統上市

符合Classic AUTOSAR堆棧的要求有助于快速集成，實現對現有系統的線控技術的無縫升級。

實現靈活方便的應用分離

支持在不同分區(qū)中靈活整合質量管理 (QM) 和功能安全應用，無需重新進行系統安全認證，除非需要更改故障可操作相關軟件。

確保通過完整功能集保證運行

保證連續(xù)運行，滿足關鍵的失效可操作要求，例如保證任務執(zhí)行、通信、最壞情況執(zhí)行時間 (WCET) 和防止意外服務中斷。

加強早期系統集成和原型開發(fā)

憑借對線控系統至關重要的硬件平臺的強大支持，EB tresos Safety Fail-operational有助于早期利用并無縫集成到系統原型開發(fā)活動中。

主要功能 – 精簡高效

EB tresos Safety Fail-operational提供全面的功能集，針對自動駕駛和線控車輛功能的獨特安全應用設計需求量身定制，滿足嚴格的故障可操作要求。

Classic AUTOSAR（汽車開放系統架構）兼容組件，通過了ISO 26262 ASIL D SEooC安全認證

支持高可靠性CAN通信

改進了MCU多核和驅動程序支持，提高了處理性能

EB tresos Safety Fail-operational架構圖