現代的汽車比以往更加複雜,當中的電子設備漸趨繁多,並且透過數百萬行的程式碼來執行;而安全性架構及系統設計目標,旨在提供完整備援性,以提供更高等級的自動駕駛體驗,並能在故障時提供相當程度的容錯功能。
功能安全性是確保產品得以安全運作的關鍵,即使產品失效,仍可以進入受控制的安全操作模式。假設您想要使用電動轉向系統進行左轉,但是控制單元卻突發故障,這時汽車能透過功能安全性及足夠的備援功能,提供降級的操控協助,並移動至安全的位置。
現代的汽車比以往更加複雜,當中的電子設備漸趨繁多,並且透過數百萬行的程式碼來執行。汽車變得愈加自動化後,複雜度也日益提高。對汽車製造商而言,功能安全性因此變得更加重要,讓他們無法忽視這一點。
現在的汽車搭載傳統失效引擎控制單元架構,此架構偵測到故障時,會將系統轉換至安全狀態,最終駕駛仍可取回汽車的控制權。慢慢的,隨著電子系統演進到第四級、第五級,因為汽車搭載充足的備援與功能,能夠在偵測到故障時持續完整運作,對駕駛的依賴性也逐漸降低。
系統故障預防:從失效系統架構做起
在失效架構中,電源供應系統提供微控制器及其他周邊設備的過電壓/欠電壓監控。此外,系統也透過監控裝置及HW錯誤監控功能,感測及評估MCU安全運作。如果偵測到故障,系統就會進入安全狀態(由安全電源供應所主導),並確保功能維持在穩定狀態(而非無法控制的狀態)。
關於故障操作系統架構:此系統如何運作?
汽車超越第一級自動化後,需要新的故障操作系統架構,來新增更多功能性至汽車中。故障操作系統可以在故障發生時,確保完整或降級的功能運作。在此情況下,目標應用需要高效能、高安全完整性,以及高可用性。由於故障操作系統最少包含兩組故障隱藏(fail-silent)單元,故障偵測及回應便由獨立硬體來控制。為了消除常見原因故障,電源供應本身也具備備援及獨立電池(VBAT1與 VBAT2)。
依汽車製造商的目標SAE等級而定,備份功能被使用的時間可長達數秒或是數分鐘。若為第三級的自動化,系統將通知駕駛故障訊息,駕駛並能取回汽車的控制權。自第四級開始,駕駛不再需要給予故障通知,機器人(汽車)最有可能將汽車停在對車上乘客及其他用路人都安全的區域。恩智浦提供的安全性系統與日俱進,比以往更加可靠且有效。安全性架構及系統設計目標,旨在提供完整備援性,以提供更高等級的自動駕駛體驗,並能在故障時提供相當程度的容錯功能。
(本文作者Jean-Philippe Meunier為恩智浦半導體汽車電子事業部安全與電源管理產品線功能安全架構師)
相關作者
相關產業類別
相關關鍵字
相關組織
相關網站單元