账号:
密码:
最新动态
产业快讯
CTIMES / 文章 /
汽车功能安全性:失效管理至失效操作架构的演进
 

【作者: Jean-Philippe Meunier】2018年08月28日 星期二

浏览人次:【5926】

现代的汽车比以往更加复杂,当中的电子设备渐趋繁多,并且透过数百万行的程式码来执行;而安全性架构及系统设计目标,旨在提供完整备援性,以提供更高等级的自动驾驶体验,并能在故障时提供相当程度的容错功能。



图1 : 自动化汽车
图1 : 自动化汽车

功能安全性是确保产品得以安全运作的关键,即使产品失效,仍可以进入受控制的安全操作模式。假设您想要使用电动转向系统进行左转,但是控制单元却突发故障,这时汽车能透过功能安全性及足够的备援功能,提供降级的操控协助,并移动至安全的位置。


现代的汽车比以往更加复杂,当中的电子设备渐趋繁多,并且透过数百万行的程式码来执行。汽车变得愈加自动化后,复杂度也日益提高。对汽车制造商而言,功能安全性因此变得更加重要,让他们无法忽视这一点。


现在的汽车搭载传统失效引擎控制单元架构,此架构侦测到故障时,会将系统转换至安全状态,最终驾驶仍可取回汽车的控制权。慢慢的,随着电子系统演进到第四级、第五级,因为汽车搭载充足的备援与功能,能够在侦测到故障时持续完整运作,对驾驶的依赖性也逐渐降低。



图2 : 系统可用性
图2 : 系统可用性

系统故障预防:从失效系统架构做起

在失效架构中,电源供应系统提供微控制器及其他周边设备的过电压/欠电压监控。此外,系统也透过监控装置及HW错误监控功能,感测及评估MCU安全运作。如果侦测到故障,系统就会进入安全状态(由安全电源供应所主导),并确保功能维持在稳定状态(而非无法控制的状态)。



图3 : MCU系统运作
图3 : MCU系统运作

关于故障操作系统架构:此系统如何运作?

汽车超越第一级自动化后,需要新的故障操作系统架构,来新增更多功能性至汽车中。故障操作系统可以在故障发生时,确保完整或降级的功能运作。在此情况下,目标应用需要高效能、高安全完整性,以及高可用性。由于故障操作系统最少包含两组故障隐藏(fail-silent)单元,故障侦测及回应便由独立硬体来控制。为了消除常见原因故障,电源供应本身也具备备援及独立电池(VBAT1与 VBAT2)。



图4 : 失效操作架构
图4 : 失效操作架构

依汽车制造商的目标SAE等级而定,备份功能被使用的时间可长达数秒或是数分钟。若为第三级的自动化,系统将通知驾驶故障讯息,驾驶并能取回汽车的控制权。自第四级开始,驾驶不再需要给予故障通知,机器人(汽车)最有可能将汽车停在对车上乘客及其他用路人都安全的区域。恩智浦提供的安全性系统与日俱进,比以往更加可靠且有效。安全性架构及系统设计目标,旨在提供完整备援性,以提供更高等级的自动驾驶体验,并能在故障时提供相当程度的容错功能。


(本文作者Jean-Philippe Meunier为恩智浦半导体汽车电子事业部安全与电源管理产品线功能安全架构师)


相关文章
智慧家居大步走 Matter实现更好体验与可靠连结
MCX A:通用MCU和FRDM开发平台
将意图转化为行动:走进嵌入式语音控制新时代
低功耗MCU释放物联网潜力 加速智慧家庭成形
ST以MCU创新应用技术潮流 打造多元解决方案
comments powered by Disqus
相关讨论
  相关新闻
» 亚湾2.0以智慧科技领航国际 加速产业加值升级
» 高通执行长Cristiano Amon於COMPUTEX 2024 分享智慧装置上的生成式AI运算
» 应材及东北微电子联手 为MIT.nano??注200mm晶圆研制能力
» 国科会核准科学园区投资案 德商易格斯进驻中科拔头筹
» Honeywell与恩智浦联手利用AI 加强建筑能源智慧管理


刊登廣告 新聞信箱 读者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 远播信息股份有限公司版权所有 Powered by O3  v3.20.1.HK83S9Y6380STACUKB
地址:台北数位产业园区(digiBlock Taipei) 103台北市大同区承德路三段287-2号A栋204室
电话 (02)2585-5526 #0 转接至总机 /  E-Mail: webmaster@ctimes.com.tw