目錄

01 系統(tǒng)架構(gòu)介紹

02 投票邏輯架構(gòu)介紹

03 SIS架構(gòu)

04 ADS域控制器架構(gòu)設(shè)計

---

01 系統(tǒng)架構(gòu)介紹

法規(guī)GBT 34590 Part4

part10定義的軟件要求、設(shè)計和測試子階段之間的關(guān)系（其中的3-7個人建議翻譯為初始架構(gòu)設(shè)計更合理????）

系統(tǒng)架構(gòu)的作用（借鑒 MUNIK）

架構(gòu)模型

根據(jù)ISO26262中的定義,相關(guān)項由一個或者多個系統(tǒng)組成,而一一個系統(tǒng)應(yīng)該至少包括1個傳感器、1個控制單元和1個執(zhí)行器,如下所示。

1、傳感器部分??? （借鑒 AUTO世代）

首先，我們在系統(tǒng)中融入傳感器部分安全機制，需要注意的是，此處的傳感器代表廣義的輸入信息，可以是具體傳感器信號，也可以是其他類型通訊信息，例如CAN，SENT等。

傳感器的硬件冗余(當(dāng)然傳感器必須獨立供電)多適用于對于ASIL等級要求非常高的信號，如ASIL ?C, D，尤其是D，其主要目的是為避免傳感器硬件隨機失效，通過信號相互校驗，增加系統(tǒng)輸入信息可靠性。

這里的傳感器硬件冗余采集，可以是利用相同的兩個傳感器，對同一信號進行重復(fù)采集(例如，踏板信號)，也可以是利用不同類型傳感器，對強相關(guān)的兩個信號分別進行采集(例如，制動踏板位置和壓力信息等)。

當(dāng)然，傳感器輸入冗余信息，在控制單元中，必須進行多路采集，除傳感器本身提供診斷信息外，還需要對其信號有效性進行檢驗，包括數(shù)值有效范圍檢測，在線監(jiān)控，Test Pattern，輸入對比，相關(guān)性，合理性檢測等。

2、控制單元???

控制單元屬于整個系統(tǒng)中最重要的部分，控制單元相關(guān)的安全機制其實很大程度上決定了系統(tǒng)安全架構(gòu)和系統(tǒng)復(fù)雜程度。

提到控制單元相關(guān)的安全機制，很多朋友第一反應(yīng)是，控制器軟件分層，控制器硬件冗余(雙控制器，Dual Core LockStep雙核鎖步等)，看門狗，程序流監(jiān)控等。

雖然這些都是控制單元常用的安全機制，但從系統(tǒng)角度而言，它們相對過于具體，只是針對某一類故障而設(shè)計的軟件或硬件安全機制，需要在系統(tǒng)安全架構(gòu)基礎(chǔ)上具體明確。

接下來我們從系統(tǒng)角度，先看看系統(tǒng)級別安全架構(gòu)，后續(xù)無非就是將具體的軟件和硬件安全機制逐步應(yīng)用于系統(tǒng)架構(gòu)當(dāng)中去。

一般來說，所有的安全機制本質(zhì)上都服務(wù)于兩類安全架構(gòu):
? Fail to safe
? Fail to operational

Fail to safe

?Fail to operational

3、執(zhí)行器

4、通信安全

在一個系統(tǒng)中有幾種經(jīng)典的架構(gòu),通常會見到這幾個名詞faii-safe、fail-silent和fail-operational。畫個圖來簡單示意下這幾種架構(gòu)設(shè)計的相
互關(guān)系。如下圖所示,Fail-Safe包含:fail-operational和fail-silent兩種,它們都屬于是安全的失效。

Fail-Safe：該架構(gòu)通常芯片設(shè)計層級使用較多，當(dāng)芯片發(fā)生error時，芯片會執(zhí)行POWER down、Reset、緊急運行等的操作?；蛘弋?dāng)程序輪詢監(jiān)控到對應(yīng)的寄存器有問題時請求MCU判斷執(zhí)行后續(xù)操作（MCU的操作要在合理的FTTI之內(nèi)完成才有效），從而使得IC進入安全的靜默（silent）狀態(tài)。

Fail-Operational:?該架構(gòu)通常整車層級和系統(tǒng)層級使用較多，該架構(gòu)通常應(yīng)用MooN(D)架構(gòu)可以實現(xiàn)不同形式的fail-operational架構(gòu)。簡單的Fail-?Operational可以理解為當(dāng)通道1失效后，作為冗余的通道2還可以接替它的工作，使得整個系統(tǒng)處于安全的狀態(tài)。

舉個域控制器中我們實際研發(fā)的例子讓大家感受下MOON（D）的概念。

1oo2D域控制器架構(gòu)示例：

此架構(gòu)方案由并聯(lián)的兩個通道組成，在其中一個失效后，啟用另外一個。冗余的傳感器可以是雷達模組或者其他傳感器的系統(tǒng)。對于該系統(tǒng)而言在MCU檢測出main SOC出問題時啟動fullback 的SOC并關(guān)閉main SOC（前提是兩個SOC的設(shè)計不會發(fā)生DFA的相關(guān)性失效）以此來保證系統(tǒng)的正常運行。

系統(tǒng)架構(gòu)層級的相關(guān)安全機制梳理

上文NO2.1開頭提到一個系統(tǒng)的簡單組成至少包括：一個傳感器、一個處理器和一個執(zhí)行器，那么在系統(tǒng)層級我們來分析下它都有哪些安全機制。

3個模塊之間少不了有通訊或者系統(tǒng)層級需要有程序的燒錄等情況出現(xiàn)，模塊可能會通過CAN，CAN-FD，UART，I2C，SPI，PHY等進行片內(nèi)或片外、板內(nèi)或板外的通訊或者程序的燒錄，下面以串口UART舉例說明通訊模塊的安全機制都有哪些。

注釋：以上是基于ISO26262標準及經(jīng)驗的總結(jié)，僅供參考，具體項目還需實際分析及動態(tài)調(diào)整。

對于軟件層級（Auto sar）來說它的核心安全機制可以分為以下幾類供大家參考：

(1)內(nèi)存分區(qū)

(2)邏輯監(jiān)控

(3)E2E 保護

(4)Timing?Monitor

(5)CRC等

fail-safe、fail-operational、fail-secure、fail-silent介紹(借鑒知乎WF.WANG)

fail-safe — 失效安全

fail-operational — 失效可運行

fail-silent — 失效靜默

fail-secure — 失效安保

MooN — N選M架構(gòu)

Designated architecture — 指定架構(gòu)

E-GAS 監(jiān)控架構(gòu)【功能安全】E-GAS架構(gòu)設(shè)計

架構(gòu)模型

fail-safe 架構(gòu)

fail-operational 架構(gòu)

fail-operational架構(gòu)涉及到冗余，由于冗余的方式多種多樣，所以這種架構(gòu)的表現(xiàn)形式也是多樣化的，通常應(yīng)用MooN(D)架構(gòu)可以實現(xiàn)不同形式的fail-operational架構(gòu)，所以這里我們就談?wù)劜煌琈ooN(D)架構(gòu)模型。

在講這些架構(gòu)模型之前，我們先了解下可靠性框圖中操作模式/模型概念

> 串聯(lián)模型

> 并聯(lián)模型

>混聯(lián)模型

MooN(D) 之 1oo1 — 一選一架構(gòu)

MooN(D) 之 1oo1D — 一選一診斷架構(gòu)

MooN(D) 之 1oo2 — 二選一架構(gòu)

MooN(D) 之 2oo2 — 二選二架構(gòu)

由上面描述可知，1oo2架構(gòu)能夠降低系統(tǒng)發(fā)生危險失效(fail positive)的概率，2oo2架構(gòu)能夠降低系統(tǒng)發(fā)生安全失效(fail negative)的概率（即降低誤停率）。簡單講，1oo2架構(gòu)讓危險失效發(fā)生的難度加大，2oo2讓安全失效發(fā)生的難度加大，它們都只能對單一的可靠性指標進行改進。

MooN(D) 之 1oo2D — 二選一診斷架構(gòu)

MooN(D) 之 2oo2D — 二選二診斷架構(gòu)

MooN(D) 之 2oo3 — 三選二架構(gòu)

02 投票邏輯架構(gòu)介紹

在安全儀表系統(tǒng)（SIS）中，1oo1、1oo2、2oo2和2oo3是常見的投票邏輯架構(gòu)，用于提高系統(tǒng)的可靠性和安全性。以下是對這些架構(gòu)的詳細解釋：

1. 1oo1（One-out-of-One）：

   • 這是最簡單的投票邏輯，只有一個通道。它沒有冗余，因此無法提供故障容錯能力。這種架構(gòu)適用于對安全要求不高的場景，但成本最低。

2. 1oo2（One-out-of-Two）：

   • 這種架構(gòu)使用兩個通道，其中一個通道發(fā)生故障時，另一個通道可以繼續(xù)工作。它提供了基本的冗余，減少了誤動作的概率。1oo2架構(gòu)的硬件故障容忍度（HFT）為1，即一個通道可以故障而系統(tǒng)仍能正常工作。

3. 2oo2（Two-out-of-Two）：

   • 這種架構(gòu)使用兩個通道，要求兩個通道都正常工作才能輸出信號。它提供了更高的安全性和可靠性，因為即使一個通道發(fā)生故障，系統(tǒng)也不會誤動作。2oo2架構(gòu)的HFT為0，即兩個通道都必須正常工作。

4. 2oo3（Two-out-of-Three）：

   • 這種架構(gòu)使用三個通道，要求至少兩個通道正常工作才能輸出信號。它提供了最高的安全性和可靠性，因為即使兩個通道發(fā)生故障，系統(tǒng)也不會誤動作。2oo3架構(gòu)的HFT為1，即一個通道可以故障而系統(tǒng)仍能正常工作。

這些投票邏輯架構(gòu)的選擇取決于系統(tǒng)的安全完整性等級（SIL）要求和成本考慮。例如，對于高安全要求的場景，通常會選擇2oo3架構(gòu)，而對于成本敏感的場景，可能會選擇1oo2或1oo1架構(gòu)。

在實際應(yīng)用中，這些架構(gòu)的性能可以通過可靠性框圖計算推導(dǎo)出的平均失效概率（PFDavg）來評估。例如，1oo1結(jié)構(gòu)的PFDavg較低，而2oo3結(jié)構(gòu)的PFDavg較高，但誤動作率也較低。

1oo1、1oo2、2oo2和2oo3是根據(jù)不同的安全需求和成本考慮設(shè)計的投票邏輯架構(gòu)，每種架構(gòu)都有其特定的應(yīng)用場景和性能特點。

03 SIS架構(gòu)

基本SIS架構(gòu)
??????? 1oo1——這種單輸出電路能夠安全地斷開開關(guān)，使設(shè)備斷電并停止工藝過程。所謂安全的失效就是觸點在沒有原因的情況下打開了，雖然此類事件對于整個過程設(shè)施仍舊具有負面的經(jīng)濟影響，但是我們還是將其定義為誤觸發(fā)。危險失效就是在確實有安全關(guān)斷的原因時觸點無法打開，這種情況可能由觸電過熱熔接導(dǎo)致。此類事件被定義為無法按需動作。
??????? 1oo2——這種方法將兩個輸出（1oo1）串聯(lián)，構(gòu)成常閉帶電的安全關(guān)斷電路。任何一個SIS動作都會導(dǎo)致電路斷開。當(dāng)然，采用兩個1oo1電路也會引入雙倍誤觸發(fā)的可能，有可能對整個工藝過程帶來高昂的損失。但是，這種方法確實更加安全，因為只需要一個觸點動作就可以實現(xiàn)關(guān)斷，無法按需動作的危險失效的可能性低得多。不管是1oo1還是1oo2都無法消除誤觸發(fā)的隱患。
??????? 2oo2——這些系統(tǒng)的輸出并聯(lián)設(shè)置，兩個觸點同時動作才能將過程關(guān)斷。由于觸點是并聯(lián)的，所以誤觸發(fā)的可能性降低了，但是明顯的缺點就是危險失效的可能性加倍了，系統(tǒng)的安全性降低。
????????可以看到，1oo2和2oo2系統(tǒng)都無法有效滿足安全性和誤觸發(fā)的要求。但是，如果能夠增加診斷功能就能夠獲得更高的可用性了，這就是所謂的1oo2D（帶診斷功能的1oo2）。
????????高級SIS架構(gòu)
??????? 2oo3或者三重模塊冗余（TMR）安全關(guān)斷系統(tǒng)通常被用于燃氣渦輪機、壓縮機和加熱器，也常被用于精煉廠中的獨立過程單元，例如焦化單元。
????????正如本文下頁開關(guān)圖所示，在2oo3配置下，只要有兩個通道同時觸發(fā)，即使第三個通道并未觸發(fā)，那么輸出動作也會被觸發(fā)。如果只有一個SIS的兩組觸點被觸發(fā)了，那么有一條引線仍舊處于閉合狀態(tài)，所以過程繼續(xù)工作。在現(xiàn)實世界中采用表決機制來確定2oo3架構(gòu)的輸出，而第三個信號被忽略，允許容錯配置。

2oo3三重化冗余系統(tǒng)???????

??? 每一個三重化冗余系統(tǒng)都包含三個主處理器（MP）A、B和C。每一個MP控制獨立的通道并與其他兩個MP并行工作。每個MP上的專用I/O控制處理器對MP和I/O模塊之間的數(shù)據(jù)交換進行管理。在系統(tǒng)主板上使用I/O總線電纜將每一列I/O模塊連接起來形成三重化的I/O總線。
??????? I/O控制處理器選擇輸入模塊，并將輸入數(shù)據(jù)發(fā)送給MP。MP隨后將輸入數(shù)據(jù)制表存儲到內(nèi)存當(dāng)中，用于選擇過程使用。使用三重化總線將每一個MP當(dāng)中的輸入表轉(zhuǎn)移給相鄰的MP，轉(zhuǎn)移之后就可以進行選擇。三重化總線采用具有直接讀取內(nèi)存功能的可編程器件，在三個MP之間完成數(shù)據(jù)的同步、傳輸和比對。
????????如果有不一致出現(xiàn)，那么就以2oo3表格的信號結(jié)果為準，然后MP根據(jù)結(jié)果校正第三個表格中的相應(yīng)數(shù)據(jù)。由于采樣時間不同所導(dǎo)致的差異能夠通過信號模式的不同區(qū)分出來。MP在本地存儲器中保存經(jīng)過必要更正的數(shù)據(jù)。內(nèi)置的故障分析器會將不一致的數(shù)據(jù)做出標識，并在每一次掃描之后使用這些標識用于判斷是否在特定模塊中有故障存在。
????????2oo4四重化冗余系統(tǒng)???????

?????? 四重化模塊冗余（QMR）架構(gòu)基于2oo4D（D代表內(nèi)置診斷功能）表決方式，每一個QPP（四處理器組，系統(tǒng)的處理模塊）都采用雙處理器技術(shù)。這意味這種方法具有極高的自我診斷功能和故障冗余能力。
????????四重化冗余系統(tǒng)架構(gòu)通過冗余控制器實現(xiàn)。冗余架構(gòu)包含兩個QPP，也就是四重冗余，為安全性提供了雙故障冗余能力。2oo4表決機制通過在每一個CPU和每一個QPP的內(nèi)存上采用1oo2表決機制來實現(xiàn)，兩個QPP之間也具有1oo2表決功能。表決機制在兩個層面上進行：在模塊層面上表決以及在QPP之間表決。

04 ADS域控制器架構(gòu)設(shè)計

自動駕駛標準

系統(tǒng)設(shè)計思考

1、安全目標
在設(shè)計自動駕駛系統(tǒng)的功能安全時,通常會根據(jù)不同的自動化及別設(shè)置相應(yīng)的安全目標。一般而言:

• L0到L2級別的自動駕駛系統(tǒng)需要滿足ASIL B級的安全要求。

• L3到L5級別的自動駕駛系統(tǒng)需要滿足ASIL D級的安全要求。

2、功能安全架構(gòu)

A. Fail-operational架構(gòu):
Fail-operational架構(gòu)是L3到L5自動駕駛系統(tǒng)基本的功能安全架構(gòu),其中有幾種主要的設(shè)計選擇:
a) 1oo2D架構(gòu)：

• 功能描述：該架構(gòu)采用兩個到診斷（Diagnostic）的通道并行工作。如果其中一個通道故障，則停止該通道輸出，并切換到正常的通道輸出。

• 降級操作：當(dāng)出現(xiàn)一次故障時，系統(tǒng)仍能降級到1oo1D工作

b）2oo2D架構(gòu)：

• 功能描述：該架構(gòu)同樣采用兩個到診斷的通道并行工作。如果其中一個通道故障，則停止該通道輸出，正常的通道繼續(xù)輸出。

• 降級操作：當(dāng)出現(xiàn)一次故障時，系統(tǒng)仍能降級到1oo1D工作。

c）2OO3架構(gòu)：

• 功能描述：該架構(gòu)采用三個通道并行工作，按照少數(shù)服從多數(shù)原則，當(dāng)至少兩個通道一致時才進行輸出。

• 降級操作：當(dāng)出現(xiàn)一次故障時，系統(tǒng)仍能降級到1oo2工作。

B. Fallback 系統(tǒng)：

針對駕駛系統(tǒng)，可以設(shè)計一套專門滿足 L2+ 級別自動駕駛要求的Fallback系統(tǒng)。當(dāng)主系統(tǒng)發(fā)生故障時，Fallback 系統(tǒng)接管控制，并將車輛控制至最小風(fēng)險狀態(tài)。

C. 典型的 L4 自動駕駛系統(tǒng)功能架構(gòu)：

典型的L4級自動駕駛系統(tǒng)如下圖，包括：傳感器冗余，通信冗余，域控通道冗余和執(zhí)行器冗余。

• 傳感器冗余：

通過對傳感器類型的冗余設(shè)計，包括攝像頭、激光雷達、毫米波雷達、超聲波雷達、GNSS 和 IMU 等傳感器，以及每種主要傳感器的冗余設(shè)計，確保這些冗余傳感器分別接入冗余通道上。另外，還可以通過Bypass通道將傳感器Bypass到其他通道上，以確保某個通道失效時，其他通道上的傳感器仍能正常工作。

• 通信冗余：

在傳感器、域控、執(zhí)行器和其他相關(guān)控制器之間的通信通道和控制信號上需要具備冗余通道。這樣，當(dāng)單個通信通道發(fā)生故障時，系統(tǒng)能夠通過冗余通道通信，或通過Fallback 系統(tǒng)進入最小風(fēng)險狀態(tài)。

• 域控通道冗余：

根據(jù)1oo2D或 2oo2D架構(gòu)進行安全分解，實現(xiàn)每個通道的 ASIL B(D) 功能，每個通道保持獨立性，功能算法采用異構(gòu)設(shè)計，避免共因失效。帶有仲裁模塊，當(dāng)某個通道失效時禁止該通道的輸出，切換到其他通道運行。

* SOC（System on Chip）功能安全：
根據(jù)廠家的安全手冊，實現(xiàn) SOC 的安全假設(shè)，主要包括錯誤引腳監(jiān)控,獨立電源，獨立時鐘和潛伏故障的監(jiān)測。
* MCU（Microcontroller Unit）功能安全：
采用符合 ASIL D 標準的安全芯片，實現(xiàn)對 SOC 錯誤引腳、供電電壓、溫度、外部傳感器模塊、執(zhí)行器模塊以及安全路徑上的安全相關(guān)芯片故障的監(jiān)控，同時滿足MCU安全假設(shè)。
* 電源冗余：
設(shè)計雙電源系統(tǒng)，當(dāng)一路電源失效時，系統(tǒng)能夠通過降級或切換到 Fallback 系統(tǒng)進入 MRC。雙電源之間保持獨立性，避免單點故障，并支持每路電源的電壓過壓、欠壓和過流監(jiān)測。當(dāng)電源故障時，可通過開關(guān)切斷整個域控電源。

• 執(zhí)行器冗余：

對轉(zhuǎn)向、剎車和動力執(zhí)行器進行冗余備份系統(tǒng)設(shè)計，通過總線通信監(jiān)測執(zhí)行器的潛在故障。

以上是針對 L4 自動駕駛系統(tǒng)的典型功能安全架構(gòu)和冗余設(shè)計示例。這些設(shè)計旨在提高系統(tǒng)的安全性和可靠性，以應(yīng)對不同級別的自動駕駛需求。

系統(tǒng)層面常見的安全機制

示例

電動汽車的核心部件整車控制器 VCU系統(tǒng)為例

在汽車的行駛過程中，VCU執(zhí)行了多項安全相關(guān)的控制任務(wù)：例如采集加速踏板信號、制動踏板信號及其它車輛信息、電池狀態(tài)，并做出合理的邏輯判斷之后給各執(zhí)行器部件動作輸出控制命令，來實現(xiàn)整車驅(qū)動、制動、能量回收、擋位切換、高壓上下電管理、整車熱管理等功能。

示例:EPS系統(tǒng)

Symmetric 1oo2D的架構(gòu)，常見于支持Fail-Operational 的電子助力轉(zhuǎn)向EPS系統(tǒng)

如上圖所示，該EPS系統(tǒng)包含兩套完全對稱的鏡像功能鏈路，提供了轉(zhuǎn)向功能必備的供電、通訊、傳感、控制與執(zhí)行部分。對于每條功能路徑的容錯設(shè)計，則與Fail-Safe類似，具備獨立的自我診斷與監(jiān)控功能。與此同時，兩條功能鏈路均正常工作時才能提供完整的轉(zhuǎn)向功能，當(dāng)其中任何一條功能鏈路失效，另外一條功能鏈路仍能提供部分轉(zhuǎn)向力，而不會導(dǎo)致系統(tǒng)直接停止，從而影響系統(tǒng)轉(zhuǎn)向需求的功能安全。

而Asymmetric 1oo2D的架構(gòu)，常見于需要支持Fail-Operational 的ADAS/ AD控制系統(tǒng)中(如上圖)。?