在汽車中采用電子系統(tǒng)已經(jīng)有幾十年的歷史,它們使汽車安全、節(jié)能與環(huán)保方面的性能有大幅度的提高。隨著研究的深入,許多系統(tǒng)需要共享和交換信息,為了節(jié)省線纜,就形成了依賴于通信的分布式嵌入系統(tǒng)。目前,世界上90%的都采用基于CAN總線的系統(tǒng)。FlexRay是下一代通信協(xié)議事實(shí)上的標(biāo)準(zhǔn),它的功能安全性如何是至關(guān)重要的。
1 IEC61508功能安全的要求
目前車控系統(tǒng)正在向線控技術(shù)(xbywire)過渡,例如線控轉(zhuǎn)向與線控剎車。線控系統(tǒng)最終目標(biāo)是取消機(jī)械后備,因?yàn)槿∠@些后備可以降低成本,增強(qiáng)設(shè)計(jì)的靈活性,擴(kuò)大適用范圍,為以后新添功能創(chuàng)造條件。但是取消機(jī)械后備就對(duì)電子系統(tǒng)的可信賴性(dependability)要求大為提高。車是一個(gè)運(yùn)動(dòng)的物體,處于運(yùn)動(dòng)的環(huán)境之中,它因故障可能傷及自身及別人。取消機(jī)械后備,就將電子系統(tǒng)由今天的故障靜默(failsilent)要求提升到故障仍工作(failoperational)的要求。
國(guó)際上對(duì)工業(yè)應(yīng)用的功能安全要求已制定了標(biāo)準(zhǔn)IEC61508,它主要關(guān)心被控設(shè)備及其控制系統(tǒng)的安全。雖然它也適用于汽車,但汽車不僅有上述功能安全問題,而且要關(guān)心由于功能變化造成的整車系統(tǒng)安全,所以汽車業(yè)內(nèi)正在制定相應(yīng)的標(biāo)準(zhǔn)ISO26262。汽車的功能安全等級(jí)分為4級(jí),要求最高的是 ASILD,相應(yīng)的失效概率<10-8/h,它相當(dāng)于IEC61508的SIL3。根據(jù)實(shí)踐經(jīng)驗(yàn),分配給通信的失效概率<10-10/h。有關(guān)這方面的介紹可參見參考文獻(xiàn)。
現(xiàn)在安全攸關(guān)的應(yīng)用系統(tǒng)的范圍有所擴(kuò)大,以前不算在內(nèi)的一些系統(tǒng)現(xiàn)在都要算了。例如安全預(yù)先動(dòng)作系統(tǒng)(presafe)中座椅調(diào)整子系統(tǒng)、剎車輔助系統(tǒng)中的燈光控制子系統(tǒng)、碰撞后telematic自動(dòng)呼叫求援的子系統(tǒng),都將視為安全攸關(guān)系統(tǒng)。
1.1 引起系統(tǒng)安全風(fēng)險(xiǎn)的通信故障
通信故障有5種表現(xiàn)形式,第1種是造成值域的錯(cuò)誤。第2種是造成時(shí)域的錯(cuò)誤,這是工業(yè)不同于民用的部分。一條消息不能在預(yù)定的時(shí)限前送達(dá)就失去了實(shí)用意義,例如與安全氣囊引爆有關(guān)的傳感器消息不能在數(shù)ms內(nèi)送達(dá)就引起安全問題。在多播或廣播通信中還有第3種錯(cuò)誤:數(shù)據(jù)完整性錯(cuò)(拜占庭錯(cuò)),即各節(jié)點(diǎn)收到的結(jié)果不一致。它會(huì)引起系統(tǒng)性的失效,應(yīng)對(duì)的策略必須將所有有關(guān)節(jié)點(diǎn)同時(shí)考慮。第4種是系統(tǒng)崩潰,除硬件失效外,也有干擾或軟件引起的,例如饒舌錯(cuò)(babbling idiot)阻止通信。第5種是丟幀,短時(shí)間失效,例如可恢復(fù)的離線或bug引起的等效離線狀態(tài),又如小集團(tuán)錯(cuò)。
1.2 通信的容許失效率
在通信故障對(duì)系統(tǒng)安全影響的分析上,參考文獻(xiàn)提供了一種方法,根據(jù)瞬態(tài)干擾出現(xiàn)的可能長(zhǎng)度,計(jì)算通信失效的時(shí)段長(zhǎng),在假定的通信失效率下,推出系統(tǒng)的失效率。在該實(shí)例中,路段上電場(chǎng)超100 V/m的區(qū)間有可能引起通信失
