汽车控制系统效能升级！FlexRay网络标准详解

在通信故障对系统安全影响的分析上，参考文献提供了一种方法，根据瞬态干扰出现的可能长度，计算通信失效的时段长，在假定的通信失效率下，推出系统的 失效率。在该实例中，路段上电场超100 V/m的区间有可能引起通信失效，失效率近似5×10-3，车速为90 km/h，识别出的可能失效时间约74 s。通信以6 ms为周期，连续7个周期丢帧视为系统失效，在此条件下系统失效率为1.640 9×10-10，认为可以达到SIL4的安全要求。这种分析方法是有效的，但是假设的条件太多，例如：误码率有很大的变化区间；帧长的变化影响一次传送的失效率；干扰持续时间的假定；连续丢7帧也与应用的场合有关，对90 km/h的车42 ms的失控对刹车系统而言有约1 m的距离，恐怕对撞击的后果有完全不同的评估；还假设SIL4完全分配给通信，将CPU与软件有关的部分失效率忽略不计，在软件规模越来越大的今天，这个假设是不合理的。另一方面，决定系统失效率时还应考虑其他的通信故障形式，例如出现小集团错到发生冲突的时间取决于相对的时钟漂移，越精确，其间时间越 长，失效的时间就越长，参考文献中在人为制造出小集团后需300 ms才发现冲突，远远超出上述的42 ms。所以一般讨论系统安全的文章中都单独规定通信的失效率是相应安全等级失效率的1/100。

　　3 影响通信失效率的因素

　　功能安全等级与故障检测的覆盖率有关，如果有的故障未被检查到（未认识到或做不到），当然那种失效情景就不可能计算在内，安全等级的划分就有错。

　　参考文献介绍了SFF（Safety Failure Fraction）的概念：失效分为引起危害的失效和安全失效，它们又各分为能检测出和未检测出两种。安全失效比例SFF是能检测出危害失效与安全失效在总的失效中的份额。诊断覆盖率DC（Diagnostic Coverage）是能检测出的危害失效占总危害失效的份额。可导出SFF与DC有线性关系。而SFF又与SIL有关。IEC61508的SIL等级与 SFF有关，在SFF占90%~99%时SIL3可容许1个故障。因此DC也决定了能达到的SIL等级。根据有关文章介绍，瞬态故障的概率比硬件失效概率 大2个数量级，因此可大致推断瞬态故障诊断覆盖率应达到90%~99%。危害失效可能由通信失效引起，诊断覆盖率也就成了评价通信协议的重要一环。

　　在通信中，由于CRC有漏检，这是明显的诊断未覆盖区，诊断未覆盖率就相当于错帧漏检率，例如CAN的错帧漏检。

　　在通信中发生值域错或时域错而丢帧是能诊断出的危害失效（这是本文分析的主要对象）。而假冒错、拜占庭错等应属于未检测出的危害失效。发生小集团错时 既可能产生丢帧，也可能产生拜占庭错。CAN的等效离线失效也属于未覆盖的诊断引起的危害失效。要计算这些未覆盖的诊断引起的危害失效占总危害失效的比例 还相当困难，因为确定故障概率模型很难。但从定性上讲，只有尽量排除假冒错、拜占庭错和小集团错，才能使诊断覆盖率提高（SIL等级提高）。

　　关于FlexRay的缺点或弱点，参考文献提到物理层连接的困难，影响到信号完整性，实际上能较易使用的是有源星型，但这带来成本的提高；cycle设计 约束多，带来困难；同步和启动节点配置与容错有关，是挑战；由于资源有限，升级演进时很困难（并非像以前强调时间触发协议的 composability优点——笔者注）。参考文献介绍了在FlexRay中产生各自独立的时钟同步小集团的可能性，也就是说虽然各节点都在通信，但 是2个集团间无有效通信，是一种故障状态。解决办法是用3个冷启动节点、3个同步节点，但是这与时间同步容错的要求矛盾。还有就是将调度表排满，以免形成 小集团，这也与留有余地供将来升级扩充的要求矛盾。总之尚无彻底解决方案。再有就是时钟可能产生同向漂移，与应用时钟的差造成帧未能就绪或覆盖引起漏帧。

想要了解更多车联网设计资料，请关注《物联网核心技术之通信》专题