新聞中心

EEPW首頁 > 嵌入式系統(tǒng) > 設(shè)計應(yīng)用 > 符合安全標(biāo)準(zhǔn)的汽車器件冗余設(shè)計

符合安全標(biāo)準(zhǔn)的汽車器件冗余設(shè)計

作者: 時間:2016-12-16 來源:網(wǎng)絡(luò) 收藏
一般來說,可以通過對系統(tǒng)質(zhì)量、可維護(hù)性、可靠性、可用性及安全性等指標(biāo)做出評測,來衡量系統(tǒng)在環(huán)境中的性能。功能安全是系統(tǒng)相對于可能出現(xiàn)的操作錯誤、硬件故障及環(huán)境變化的整體安全性。這取決于系統(tǒng)或設(shè)備能否響應(yīng)輸入正確地運(yùn)行,包括安全地管理操作錯誤、硬件故障和環(huán)境變化。功能安全的目標(biāo)是避免不可接受的身體傷害,或?qū)】抵苯踊蜷g接造成的損害風(fēng)險。

為了確保安全功能能夠符合設(shè)計初衷,包括在操作員輸入不正確和故障模式等情況下,人們一直不斷改進(jìn)各種標(biāo)準(zhǔn)。IEC61508是適用于各個行業(yè)的國際功能安全標(biāo)準(zhǔn)之一,名稱是“電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全(E/E/PE或E/E/PES)”。ISO 26262是從IEC 61508衍生而來的功能安全標(biāo)準(zhǔn),名稱為“道路車輛-功能安全”,適用于汽車行業(yè)。ISO 26262定義了汽車設(shè)備的功能安全,適用于所有汽車電子電氣安全相關(guān)系統(tǒng)的整個生命周期。

SoC系統(tǒng)級芯片遵循多種設(shè)計技術(shù),以符合安全標(biāo)準(zhǔn),這些在ISO-26262標(biāo)準(zhǔn)中都有所介紹。冗余、自檢機(jī)制、信號監(jiān)測、電壓電源監(jiān)測和“看門狗”是在符合安全標(biāo)準(zhǔn)的設(shè)備中所使用的幾種技術(shù)。冗余是這些設(shè)備的主要組成部分。冗余在汽車設(shè)備中的使用有多種方式,許多符合安全標(biāo)準(zhǔn)的設(shè)備將鎖步、ECC、CRC及校驗(yàn)等用作冗余技術(shù)。本文將主要介紹SoC中使用到的冗余技術(shù),包括硬件、軟件、信息和時間冗余等。

汽車硬件冗余機(jī)制

冗余是指除了在關(guān)鍵功能中使用的組件外,還包含額外的組件,旨在提高系統(tǒng)的可靠性和可用性。冗余的添加方式有很多,如硬件(例如雙核鎖步)冗余、軟件冗余、信息冗余(例如將ECC添加到存儲器)和時間冗余。一般情況下,冗余依據(jù)MooN概念工作。

N分之M(M-out-of-N,MooN)系統(tǒng)包含N個相同的組件,工作原理是:如果N個組件中的至少M(fèi)個組件正常工作,那么該系統(tǒng)沒有錯誤。一個示例是三重模塊化冗余(TMR),這實(shí)際上是一個三分之二(2oo3)系統(tǒng)。如果3個組件中至少有兩個組件(大部分)正常運(yùn)行,那么該系統(tǒng)則被視為正常運(yùn)行。

MooN系統(tǒng)在硬件和軟件中使用。在硬件中,關(guān)鍵組件被復(fù)制,根據(jù)多數(shù)投票原則做出決策。而在軟件中,一個任務(wù)被重復(fù)多次,然后比較任務(wù)執(zhí)行結(jié)果,生成最后結(jié)果。在SoC中,硬件冗余可以采用多種形式:復(fù)制執(zhí)行安全關(guān)鍵任務(wù)的內(nèi)核(也稱為鎖步)、延遲鎖步(1oo1系統(tǒng))、非對稱鎖步、三次投票(2oo3系統(tǒng))。

在符合安全標(biāo)準(zhǔn)的高級設(shè)備中,執(zhí)行安全關(guān)鍵任務(wù)的內(nèi)核被復(fù)制,應(yīng)用在鎖步模式下運(yùn)行這兩個內(nèi)核,比較結(jié)果,確保冗余處理產(chǎn)生完全相同的結(jié)果。如未獲得完全相同的結(jié)果,則視為發(fā)生了故障。

在鎖步模式下,同時將同一組輸入發(fā)送到這兩個內(nèi)核,然后這兩個內(nèi)核在相同的時鐘周期內(nèi)執(zhí)行相同的計算,定期比較結(jié)果,檢測是否發(fā)生了故障(無論是瞬時故障、間歇性還是永久性故障)。一旦輸出不匹配,通常會標(biāo)記故障并執(zhí)行重啟。圖1顯示了鎖步中的內(nèi)核(雙核鎖步)。


圖1:鎖步中的內(nèi)核(雙核鎖步)工作原理

延遲鎖步是鎖步的一種,其中一個內(nèi)核的輸入延遲了N個時鐘周期,另一個內(nèi)核的輸出也延遲了相同的時間,然后比較結(jié)果。用這種方法,可獲得時間分集。由于一個內(nèi)核在N個時鐘周期后將執(zhí)行相同的運(yùn)算,沖擊這兩個內(nèi)核并以相同的方式影響其功能的噪聲脈沖的概率將大大減少。圖2顯示了延遲鎖步的工作配置。饋送給內(nèi)核2的數(shù)據(jù)被延遲了兩個時鐘周期。內(nèi)核2的重置也延遲了兩個周期。內(nèi)核1的輸出延遲了兩個時鐘周期,然后由校驗(yàn)器電路進(jìn)行比較。如發(fā)現(xiàn)故障,則標(biāo)記錯誤。


圖2:延遲鎖步的工作配置

在非對稱冗余中,不復(fù)制相同的內(nèi)核,而是使用不同的內(nèi)核。不同的專用內(nèi)核通過一個接口與主內(nèi)核緊密耦合,實(shí)現(xiàn)內(nèi)部和外部結(jié)果的逐步比較。該接口降低了復(fù)雜性,縮短了錯誤檢測延遲。主核執(zhí)行關(guān)鍵的任務(wù),而專用的多樣化內(nèi)核則復(fù)制足夠多的主核執(zhí)行,確保能夠檢測故障,或確保主核的安全運(yùn)行。由于硬件的多樣性,可以有效覆蓋共因故障和系統(tǒng)故障。內(nèi)核的不同結(jié)構(gòu)將導(dǎo)致不同的內(nèi)核反應(yīng)方法,改善共因故障的診斷覆蓋。因此這兩個內(nèi)核發(fā)生的同類故障的情況將減少。并行通道無需單獨(dú)的代碼,專用內(nèi)核比主核小。有時,主核的面積差異可高達(dá)50%及以上。這種方法的缺點(diǎn)是,可能需要詳細(xì)的分析來證明診斷覆蓋。

上一頁 1 2 下一頁

關(guān)鍵詞: 26262汽車硬件汽車安

評論


技術(shù)專區(qū)

關(guān)閉