符合安全標準的汽車(chē)器件冗余設計

發(fā)布時(shí)間:2014-11-21 11:55    發(fā)布者:wp1981
作者:Deepak Negi、Neha Bagri和Vikas Agarwal,飛思卡爾半導體

一般來(lái)說(shuō),可以通過(guò)對系統質(zhì)量、可維護性、可靠性、可用性及安全性等指標做出評測,來(lái)衡量系統在環(huán)境中的性能。功能安全是系統相對于可能出現的操作錯誤、硬件故障及環(huán)境變化的整體安全性。這取決于系統或設備能否響應輸入正確地運行,包括安全地管理操作錯誤、硬件故障和環(huán)境變化。功能安全的目標是避免不可接受的身體傷害,或對健康直接或間接造成的損害風(fēng)險。

為了確保安全功能能夠符合設計初衷,包括在操作員輸入不正確和故障模式等情況下,人們一直不斷改進(jìn)各種標準。IEC61508是適用于各個(gè)行業(yè)的國際功能安全標準之一,名稱(chēng)是“電氣/電子/可編程電子安全相關(guān)系統的功能安全(E/E/PE或E/E/PES)”。ISO 26262是從IEC 61508衍生而來(lái)的功能安全標準,名稱(chēng)為“道路車(chē)輛-功能安全”,適用于汽車(chē)行業(yè)。ISO 26262定義了汽車(chē)設備的功能安全,適用于所有汽車(chē)電子電氣安全相關(guān)系統的整個(gè)生命周期。

SoC系統級芯片遵循多種設計技術(shù),以符合安全標準,這些在ISO-26262標準中都有所介紹。冗余、自檢機制、信號監測、電壓電源監測和“看門(mén)狗”是在符合安全標準的設備中所使用的幾種技術(shù)。冗余是這些設備的主要組成部分。冗余在汽車(chē)設備中的使用有多種方式,許多符合安全標準的設備將鎖步、ECC、CRC及校驗等用作冗余技術(shù)。本文將主要介紹SoC中使用到的冗余技術(shù),包括硬件、軟件、信息和時(shí)間冗余等。

汽車(chē)硬件冗余機制

冗余是指除了在關(guān)鍵功能中使用的組件外,還包含額外的組件,旨在提高系統的可靠性和可用性。冗余的添加方式有很多,如硬件(例如雙核鎖步)冗余、軟件冗余、信息冗余(例如將ECC添加到存儲器)和時(shí)間冗余。一般情況下,冗余依據MooN概念工作。

N分之M(M-out-of-N,MooN)系統包含N個(gè)相同的組件,工作原理是:如果N個(gè)組件中的至少M個(gè)組件正常工作,那么該系統沒(méi)有錯誤。一個(gè)示例是三重模塊化冗余(TMR),這實(shí)際上是一個(gè)三分之二(2oo3)系統。如果3個(gè)組件中至少有兩個(gè)組件(大部分)正常運行,那么該系統則被視為正常運行。

MooN系統在硬件和軟件中使用。在硬件中,關(guān)鍵組件被復制,根據多數投票原則做出決策。而在軟件中,一個(gè)任務(wù)被重復多次,然后比較任務(wù)執行結果,生成最后結果。在SoC中,硬件冗余可以采用多種形式:復制執行安全關(guān)鍵任務(wù)的內核(也稱(chēng)為鎖步)、延遲鎖步(1oo1系統)、非對稱(chēng)鎖步、三次投票(2oo3系統)。

在符合安全標準的高級設備中,執行安全關(guān)鍵任務(wù)的內核被復制,應用在鎖步模式下運行這兩個(gè)內核,比較結果,確保冗余處理產(chǎn)生完全相同的結果。如未獲得完全相同的結果,則視為發(fā)生了故障。

在鎖步模式下,同時(shí)將同一組輸入發(fā)送到這兩個(gè)內核,然后這兩個(gè)內核在相同的時(shí)鐘周期內執行相同的計算,定期比較結果,檢測是否發(fā)生了故障(無(wú)論是瞬時(shí)故障、間歇性還是永久性故障)。一旦輸出不匹配,通常會(huì )標記故障并執行重啟。圖1顯示了鎖步中的內核(雙核鎖步)。


圖1:鎖步中的內核(雙核鎖步)工作原理

延遲鎖步是鎖步的一種,其中一個(gè)內核的輸入延遲了N個(gè)時(shí)鐘周期,另一個(gè)內核的輸出也延遲了相同的時(shí)間,然后比較結果。用這種方法,可獲得時(shí)間分集。由于一個(gè)內核在N個(gè)時(shí)鐘周期后將執行相同的運算,沖擊這兩個(gè)內核并以相同的方式影響其功能的噪聲脈沖的概率將大大減少。圖2顯示了延遲鎖步的工作配置。饋送給內核2的數據被延遲了兩個(gè)時(shí)鐘周期。內核2的重置也延遲了兩個(gè)周期。內核1的輸出延遲了兩個(gè)時(shí)鐘周期,然后由校驗器電路進(jìn)行比較。如發(fā)現故障,則標記錯誤。


圖2:延遲鎖步的工作配置

在非對稱(chēng)冗余中,不復制相同的內核,而是使用不同的內核。不同的專(zhuān)用內核通過(guò)一個(gè)接口與主內核緊密耦合,實(shí)現內部和外部結果的逐步比較。該接口降低了復雜性,縮短了錯誤檢測延遲。主核執行關(guān)鍵的任務(wù),而專(zhuān)用的多樣化內核則復制足夠多的主核執行,確保能夠檢測故障,或確保主核的安全運行。由于硬件的多樣性,可以有效覆蓋共因故障和系統故障。內核的不同結構將導致不同的內核反應方法,改善共因故障的診斷覆蓋。因此這兩個(gè)內核發(fā)生的同類(lèi)故障的情況將減少。并行通道無(wú)需單獨的代碼,專(zhuān)用內核比主核小。有時(shí),主核的面積差異可高達50%及以上。這種方法的缺點(diǎn)是,可能需要詳細的分析來(lái)證明診斷覆蓋。

此類(lèi)冗余在位級實(shí)施,安全關(guān)鍵任務(wù)中所使用的寄存器位被復制兩次,根據多數投票邏輯生成輸出。這是2oo3多數投票系統的一個(gè)示例,如果這三個(gè)觸發(fā)器中的任何一個(gè)發(fā)生故障,那么其余的兩個(gè)觸發(fā)器將掩蓋故障。假設很難同時(shí)損壞這三個(gè)觸發(fā)器中的兩個(gè),那么這種技術(shù)可保持系統運行。由于在這種情況下,面積補償是雙倍的,因此需要徹底檢驗設計配置位,確定安全關(guān)鍵的配置信息,避免任何不必要的面積開(kāi)銷(xiāo)。

軟件多樣化冗余

在軟件冗余中,將在軟件中執行該任務(wù)多次?墒褂貌煌能浖䦂绦性撊蝿(wù)多次(不同的算法用于同一個(gè)任務(wù)),然后比較結果, 這將改善診斷覆蓋。

設計中使用兩種完全不同的軟件實(shí)現,即在一個(gè)處理單元中使用不同的算法來(lái)執行相同的任務(wù)。圖3說(shuō)明了實(shí)現情況。主用通道負責計算,如果計算錯誤,可能導致危險。冗余通道負責檢驗主用通道的計算,如果發(fā)現故障則采取行動(dòng)。冗余通道采用單獨的算法設計和代碼實(shí)現,以提供軟件多樣化。一旦兩條通道都完成后,則比較這兩種冗余軟件實(shí)現的輸出數據。如發(fā)現差異,則生成故障消息。


圖3:?jiǎn)我挥布ǖ儡浖哂喙ぷ髟?br />
算法多樣化示例包括:A+B=C與C-B=A。一個(gè)通道使用正常的計算,另一個(gè)通道使用二進(jìn)制補碼數學(xué)。

兩個(gè)處理單元相互交換數據(包括結果、中間結果和測試數據),在每個(gè)單元中使用軟件比較數據,如檢測到差異則生成故障消息。圖4說(shuō)明了實(shí)現情況。在這種情況下,主用通道和冗余通道在不同的處理單元中使用不同的軟件算法來(lái)執行。如果使用不同的處理器類(lèi)型以及單獨的算法設計、代碼和編譯器,那么這種方法允許硬件和軟件多樣性。另外,外設復制與內核復制不同。外設共享外部世界的相同輸入,外設的輸出在軟件中進(jìn)行比較。例如,在SoC中使用多個(gè)ADC,輸入信道被復制到大多數ADC,它們的輸出可在軟件中進(jìn)行比較。


圖4:多處理單元軟件冗余工作原理

信息冗余和時(shí)間冗余

信息冗余是指在通過(guò)嘈雜的信道傳輸信息時(shí)添加到實(shí)際數據中的冗余數據,目的是檢測故障或修復故障。 下面介紹了幾種信息冗余方案,如:奇偶校驗位、校驗和、糾錯碼。

奇偶校驗位是指被添加到二進(jìn)制數據結尾的位,指示數據中“1”的數量是奇數還是偶數。偶校驗方案是指如果數據中“1”的數量為奇數,則向數據添加一個(gè)“1”。奇校驗方案是指,如果數據中“1”的數量為偶數,則向數據添加一個(gè) “1”。例如,如果實(shí)際數據為 “11110000 0000”,并且在其后添加了一個(gè)偶校驗位,那么“111100000 0000 0”將通過(guò)通信信道傳輸。在接收器端,如果收到單個(gè)的位觸發(fā)數據,那么接收器將檢測到數據在傳輸過(guò)程中被破壞,可請求發(fā)射器重新發(fā)送數據。

校驗和是使用某些函數通過(guò)信息數據計算的數據。它與信息數據一起通過(guò)噪聲信道傳輸。在接收器端,使用收到的數據計算校驗和。計算的校驗和應匹配所收到的校驗和。錯誤檢測功能取決于冗余比特數量、數據大小,以及生成校驗和所用的多項式。 奇偶性、模塊化和和與位置相關(guān)的校驗和是幾種可用于錯誤檢測的校驗和示例。在檢測到錯誤的情況下,可通過(guò)信號通知發(fā)射器,重新傳輸數據。

某些校驗函數不僅能夠檢測錯誤,還能指出數據中可能引入的某些類(lèi)型的錯誤,從而在不重新發(fā)送數據的情況下讓接收器能夠獲得正確的數據,這些函數被稱(chēng)為糾錯碼。能夠被校正的錯誤也有限制。例如,漢明碼是糾錯碼。盡管漢明碼能夠檢測到雙位錯誤,但只能校正數據中的單位錯誤。格雷碼能夠檢測四位錯誤,但只能校正三位錯誤。BCH 碼、Goppa碼、Reed-Solomon 碼、Reed-Muller碼和Hadamard碼是以其發(fā)明人命名的其他代碼。此類(lèi)編碼技術(shù)可作為信息和編碼理論的一部分進(jìn)行研究,是應用數學(xué)、電子工程和計算機科學(xué)的一個(gè)有趣和廣泛的分支。

時(shí)間冗余是指以冗余的方式執行安全關(guān)鍵的任務(wù),隨時(shí)間而變化。由于這些冗余任務(wù)隨時(shí)間而變化,因此有助于消除瞬時(shí)故障。其中,單個(gè)硬件信道上的時(shí)間冗余是使用同一款軟件在一個(gè)硬件上執行多次安全關(guān)鍵的任務(wù),然后再比較多次運算的結果。如果發(fā)現差異,則執行相關(guān)的糾正操作。上述“軟件冗余”部分中描述的“軟件多樣化冗余”(一個(gè)硬件通道)是此類(lèi)冗余的擴展版本。

并行硬件信道上的時(shí)間冗余是在并行信道上執行、但不同時(shí)執行所有安全關(guān)鍵的任務(wù),它有助于隨著(zhù)時(shí)間的推移創(chuàng )建冗余。 瞬時(shí)故障不會(huì )以相同的方式影響操作,即使并行信道是對稱(chēng)的硬件。上述“硬件冗余”部分中描述的“延遲鎖步”是此類(lèi)時(shí)間冗余的一個(gè)示例。

結語(yǔ)

汽車(chē)行業(yè)使用到多種設計技術(shù),以實(shí)現安全性,各種冗余技術(shù)是實(shí)現安全性所必不可少的,目的是確保設備在發(fā)生故障時(shí)更加可靠和穩定。硬件冗余的優(yōu)勢是能夠盡早檢測到故障,但代價(jià)是需要增加硬件數量。另一方面,如果系統成本有限,那么軟件冗余可能用處更大?傊,冗余是實(shí)現提高汽車(chē)安全性能的關(guān)鍵所在,可以利用硬件和軟件冗余,以及信息冗余、時(shí)間冗余等,使得系統更加穩定而可靠。

本文地址:http://selenalain.com/thread-134251-1-1.html     【打印本頁(yè)】

本站部分文章為轉載或網(wǎng)友發(fā)布,目的在于傳遞和分享信息,并不代表本網(wǎng)贊同其觀(guān)點(diǎn)和對其真實(shí)性負責;文章版權歸原作者及原出處所有,如涉及作品內容、版權和其它問(wèn)題,我們將根據著(zhù)作權人的要求,第一時(shí)間更正或刪除。
您需要登錄后才可以發(fā)表評論 登錄 | 立即注冊

相關(guān)視頻

關(guān)于我們  -  服務(wù)條款  -  使用指南  -  站點(diǎn)地圖  -  友情鏈接  -  聯(lián)系我們
電子工程網(wǎng) © 版權所有   京ICP備16069177號 | 京公網(wǎng)安備11010502021702
快速回復 返回頂部 返回列表
午夜高清国产拍精品福利|亚洲色精品88色婷婷七月丁香|91久久精品无码一区|99久久国语露脸精品|动漫卡通亚洲综合专区48页