自2003年組建以來，AUTOSAR（汽車開放系統架構）聯盟一直致力于改變車載網絡和電子控制單元（ECU）的設計方式。AUTOSAR提出了一個符 合業界標準的車載網絡設計方法，使行業能夠集成、交換和傳輸汽車網絡內的功能、數據和信息。這一標準極大地促進了汽車原始設備制造商（OEM）及其一級供 應商之間的合作，使他們能夠以一種一致、明確且機器可讀的格式來交換設計信息。

　　一輛汽車的不同部分對安全及性能有不同要求，而支持它們的車載網絡必須具備可預測的安全性能。隨著汽車技術的不斷演變，人們已經可以用一系列總線技術來連 接豪華汽車上最多100個不同的ECU，這些總線技術通常包括LIN、CAN、FlexRay、MOST和基于以太網的架構。如果靠手動來管理這些ECU 之間數以千計的信息和交互操作是不可能的，因此汽車設計人員必然用自動化設計和合成工具來預測網絡性能和調整車載功能。

　　汽車數據總線

　　一輛典型的現代化汽車將同時裝配各類總線和協議并從LIN、CAN、FlexRay、MOST和以太網中選擇合適的網絡。多媒體/視聽信號和汽車環繞攝像 系統需要更高的數據速率，因此汽車制造商和OEM廠商在網絡解決方案上選擇用以太網代替MOST.但對于許多標準汽車功能而言，LIN和CAN提供的帶寬 與性能就足夠了。

　　在汽車架構中，ECU組合在一起形成“集群”，這些集群通過通信“網關”相連。集群通常會共享同一類型的總線，因此要達到高可靠性、高速率的標準，就要采 用FlexRay網絡，但要求沒那么高的門鎖ECU可以由CAN或LIN來負責。ECU網關往往要連接不同類型的信號，并執行不同總線架構之間的映射和轉 換功能。汽車行業對不斷提高安全性和ISO26262等標準的合規性提出強烈需求，進而提升了車載網絡的性能，同時也降低了制造和元件成本。不斷進步的網 絡標準可以適應越來越高的數據傳輸速率，汽車電纜也達到了安全且低成本的目標。典型汽車網絡方案的特點及應用請見表1.

　　表1：汽車網絡總線。

　　FlexRay網絡：

　　FlexRay協議比CAN更具確定性。FlexRay是一種“時間觸發”協議，它提供不同選項，讓信息可以在精確的時間框架內發送至目標地址——可精確 到1μs.FlexRay信息最多可達254個字節，因此需要在ECU之間進行交換的復雜信息的容量很大。與CAN相比，FlexRay的數據傳輸速率也 更高。由于時序是預先確定的，信息的安排需要提前規劃好，一般由汽車OEM廠商或一級供應商合作伙伴預先配置或設計。在采用CAN協議的網絡中，ECU節 點只需要知道通信時的正確波特率，但FlexRay網絡上的ECU節點在通信時必須知道網絡各個部分是如何配置和連接的。檢查和驗證FlexRay網絡的 時序比較耗時——因此，自動化的時序分析和將信息合成打包成時間幀可以減少錯誤和設計周期時間。

　　汽車通信矩陣合成

　　汽車網絡時序安排的總體定義通常存儲在作為中央網關ECU一部分的“通信矩陣”中。明導所開發的設計工具解決方案可用于自動合成這個數據庫并按正確順序將所有不同的信息打包成幀。

　　AUTOSAR信號信息組合成協議數據單元（PDU），然后這些數據單元再組合成傳輸幀。對于CAN和LIN幀而言，每個幀都有一個PDU，但一個FlexRay幀可能含有多個信號PDU.

　　在FlexRay架構中，時序是確定的，而設計人員主要面臨的不確定性就是幀打包和傳輸順序。汽車OEM廠商和設計人員要投入大量時間來測試汽車所有可能 出現的情況，以確定最壞情況下的行為，并確保信息傳輸有較大的安全范圍。這意味著，為了確保較高的時序安全范圍，不能占用數據總線的全部容量。合成工具查 找具有相似路徑以及對于在相似的幀時間空隙中進行打包和安排有時序要求的信號，以此來優化幀利用率。在使用明導的時序合成工具時，設計輸入將包括信號和 PDU定義、幀的優先級和有關可行的信號路徑的具體OEM設計決策。在生成完整的時序體系時要將這些都考慮進去。

　　在安裝一個完全定義的通信體系時會面臨一個難題，即后續很難有架構上的變化，并可能需要對網絡進行全面的重新設計，但傳輸的高速和確定性等優勢讓這種方法 對FlexRay應用形成了極大的吸引力，能夠確保汽車的對安全要求非常高的功能。用該合成工具重新建立更先進的通信體系可以縮短修復周期。

　　FlexRay已開始在單通道高速動力傳動、駕駛輔助和提高舒適程度的汽車電子應用中大展身手。在BMW X5汽車中，FlexRay用于懸架控制之中，這樣就可以在利用雙通信信道和總線監控把這種具有容錯功能的確定性協議運用在安全駕駛功能中之前，讓工程師和開發人員有一個逐漸適應的學習過程，降低了相關風險。

　　在FlexRay應用的開發過程中，設計工程師可以通過五個基本步驟來構建一個穩健的網絡拓樸。

　　步驟1：首先必須定義車輛底盤上節點的數量及其假定位置，然后才能確定實現無stub（一種被稱為“菊花鏈”的拓樸結構）無源總線所需的線纜長度，該總線終端即是線纜終端處，如圖1所示。如果線纜長度小于10米，則拓樸完成，其被認為可用于系列生產。

　　步驟2：一旦發現線纜長度大于10米，就應該考慮采用“主動星型”拓樸（參見圖2）。如果線纜長度超過20米，則必須引入主動星型了。最簡單的主動 星型只有兩個分支，把線束？？為兩個電氣去耦部件。因為可通過NXP的TJA1080收發器（用于BMW X5的首批同類器件）來增強主動星型，故所需收發器總數只增加了一個。

　　步驟3：若應用在車輛發生碰撞事故之后還能夠繼續工作，系統的碰撞靈敏節點應分布在不同的分支上（見圖3）。這樣一來，一旦線纜被擠壓或被鉗位在一個差分電壓上，只有受影響的分支的數據傳輸被中斷，但主動星型將保證網絡中其它分支的通訊不受影響。

　　圖1

　　圖2

　　圖3

　　步驟4：鑒于共振的出現，暴露在非常惡劣的RF場中的節點或布線也應該分布到不同的分支上（見圖4）。在線纜兩端各利用一個？？終端（FlexRay電氣物理層規范v2.1修訂版B），把RF感應電流轉移到接地位。這就使得線纜上的共模電壓幅度更低，同時不影響與其它分支相連接的節點。因此，接收到的數據流中的抖動可以控制在合理的范圍內。

　　圖4

　　步驟5：為了確保在線纜兩端始終有合適的終端（見圖5），中繼電纜的末端節點不應是可選節點。節點的電氣位置沿線纜的移動不得致使線纜長度超過10米過多。在非可選節點上，可引入短的stub（《1米）。即使有更大的靈活性，主動星型也不必在線纜度終端處。

　　圖5

　　驗證與優化

　　遵照這五個步驟，有助于構建在電子特性方面穩健的FlexRay拓樸結果。建議進行仿真以對定義后的拓樸做進一步驗證和優化。開采用蒙特卡羅（Monte-Carlo）仿真法來估算線束、產量范圍以及依賴于收發器和主動星型的溫度等各項制造公差。

　　此外，FlexRay聯盟已推出了一種涵蓋線束趨膚效應在內的復雜完善的線纜模型。在支持汽車制造商引入FlexRay的同時，NXP也在不斷提高自己在FlexRay拓樸仿真領域的專業能力。

　　關于FlexRay應用的終端、線纜和連接器的更多信息可參見FlexRay電氣物理層規范v2.1修訂版B。電氣物理層應用說明v2.1修訂 版B給出了一些有關拓樸設計的建議。這兩份規范都可通過FlexRay聯盟網站獲得。至于TJA1080 FlexRay收發器的技術細節，可查詢NXP網站。

　　在汽車中采用電子系統已經有幾十年的歷史，它們使汽車安全、節能與環保方面的性能有大幅度的提高。隨著研究的深入，許多系統需要共享和交換信息，為了節省 線纜，就形成了依賴于通信的分布式嵌入系統。目前，世界上90%的都采用基于CAN總線的系統。FlexRay是下一代通信協議事實上的標準，它的功能安 全性如何是至關重要的。

　　1 引起系統安全風險的通信故障

　　通信故障有5種表現形式，第1種是造成值域的錯誤。第2種是造成時域的錯誤，這是工業不同于民用的部分。一條消息不能在預定的時限前送達就失去了實用 意義，例如與安全氣囊引爆有關的傳感器消息不能在數ms內送達就引起安全問題。在多播或廣播通信中還有第3種錯誤：數據完整性錯（拜占庭錯），即各節點收到的結果不一致。它會引起系統性的失效，應對的策略必須將所有有關節點同時考慮。第4種是系統崩潰，除硬件失效外，也有干擾或軟件引起的，例如饒舌錯（babbling idiot）阻止通信。第5種是丟幀，短時間失效，例如可恢復的離線或bug引起的等效離線狀態，又如小集團錯。

　　2 通信的容許失效率

　　在通信故障對系統安全影響的分析上，參考文獻提供了一種方法，根據瞬態干擾出現的可能長度，計算通信失效的時段長，在假定的通信失效率下，推出系統的 失效率。在該實例中，路段上電場超100 V/m的區間有可能引起通信失效，失效率近似5×10-3，車速為90 km/h，識別出的可能失效時間約74 s。通信以6 ms為周期，連續7個周期丟幀視為系統失效，在此條件下系統失效率為1.640 9×10-10，認為可以達到SIL4的安全要求。這種分析方法是有效的，但是假設的條件太多，例如：誤碼率有很大的變化區間；幀長的變化影響一次傳送的失效率；干擾持續時間的假定；連續丟7幀也與應用的場合有關，對90 km/h的車42 ms的失控對剎車系統而言有約1 m的距離，恐怕對撞擊的后果有完全不同的評估；還假設SIL4完全分配給通信，將CPU與軟件有關的部分失效率忽略不計，在軟件規模越來越大的今天，這個假設是不合理的。另一方面，決定系統失效率時還應考慮其他的通信故障形式，例如出現小集團錯到發生沖突的時間取決于相對的時鐘漂移，越精確，其間時間越 長，失效的時間就越長，參考文獻中在人為制造出小集團后需300 ms才發現沖突，遠遠超出上述的42 ms。所以一般討論系統安全的文章中都單獨規定通信的失效率是相應安全等級失效率的1/100。

　　3 影響通信失效率的因素

　　功能安全等級與故障檢測的覆蓋率有關，如果有的故障未被檢查到（未認識到或做不到），當然那種失效情景就不可能計算在內，安全等級的劃分就有錯。

　　參考文獻介紹了SFF（Safety Failure Fraction）的概念：失效分為引起危害的失效和安全失效，它們又各分為能檢測出和未檢測出兩種。安全失效比例SFF是能檢測出危害失效與安全失效在總的失效中的份額。診斷覆蓋率DC（Diagnostic Coverage）是能檢測出的危害失效占總危害失效的份額?？蓪С鯯FF與DC有線性關系。而SFF又與SIL有關。IEC61508的SIL等級與 SFF有關，在SFF占90%~99%時SIL3可容許1個故障。因此DC也決定了能達到的SIL等級。根據有關文章介紹，瞬態故障的概率比硬件失效概率 大2個數量級，因此可大致推斷瞬態故障診斷覆蓋率應達到90%~99%。危害失效可能由通信失效引起，診斷覆蓋率也就成了評價通信協議的重要一環。

　　在通信中，由于CRC有漏檢，這是明顯的診斷未覆蓋區，診斷未覆蓋率就相當于錯幀漏檢率，例如CAN的錯幀漏檢。

　　在通信中發生值域錯或時域錯而丟幀是能診斷出的危害失效（這是本文分析的主要對象）。而假冒錯、拜占庭錯等應屬于未檢測出的危害失效。發生小集團錯時 既可能產生丟幀，也可能產生拜占庭錯。CAN的等效離線失效也屬于未覆蓋的診斷引起的危害失效。要計算這些未覆蓋的診斷引起的危害失效占總危害失效的比例 還相當困難，因為確定故障概率模型很難。但從定性上講，只有盡量排除假冒錯、拜占庭錯和小集團錯，才能使診斷覆蓋率提高（SIL等級提高）。

　　關于FlexRay的缺點或弱點，參考文獻提到物理層連接的困難，影響到信號完整性，實際上能較易使用的是有源星型，但這帶來成本的提高；cycle設計 約束多，帶來困難；同步和啟動節點配置與容錯有關，是挑戰；由于資源有限，升級演進時很困難（并非像以前強調時間觸發協議的 composability優點——筆者注）。參考文獻介紹了在FlexRay中產生各自獨立的時鐘同步小集團的可能性，也就是說雖然各節點都在通信，但 是2個集團間無有效通信，是一種故障狀態。解決辦法是用3個冷啟動節點、3個同步節點，但是這與時間同步容錯的要求矛盾。還有就是將調度表排滿，以免形成 小集團，這也與留有余地供將來升級擴充的要求矛盾。總之尚無徹底解決方案。再有就是時鐘可能產生同向漂移，與應用時鐘的差造成幀未能就緒或覆蓋引起漏幀。

?