在汽車中采用電子系統已經有幾十年的歷史,它們使汽車安全、節能與環保方面的性能有大幅度的提高。隨著研究的深入,許多系統需要共享和交換信息,為了節省線纜,就形成了依賴于通信的分布式嵌入系統。目前,世界上90%的都采用基于CAN總線的系統。FlexRay是下一代通信協議事實上的標準,它的功能安全性如何是至關重要的。
1 IEC61508功能安全的要求
目前車控系統正在向線控技術(xbywire)過渡,例如線控轉向與線控剎車。線控系統最終目標是取消機械后備,因為取消這些后備可以降低成本,增強設計的靈活性,擴大適用范圍,為以后新添功能創造條件。但是取消機械后備就對電子系統的可信賴性(dependability)要求大為提高。車是一個運動的物體,處于運動的環境之中,它因故障可能傷及自身及別人。取消機械后備,就將電子系統由今天的故障靜默(failsilent)要求提升到故障仍工作(failoperational)的要求。
國際上對工業應用的功能安全要求已制定了標準IEC61508,它主要關心被控設備及其控制系統的安全。雖然它也適用于汽車,但汽車不僅有上述功能安全問題,而且要關心由于功能變化造成的整車系統安全,所以汽車業內正在制定相應的標準ISO26262。汽車的功能安全等級分為4級,要求最高的是 ASILD,相應的失效概率<10-8/h,它相當于IEC61508的SIL3。根據實踐經驗,分配給通信的失效概率<10-10/h。有關這方面的介紹可參見參考文獻。
現在安全攸關的應用系統的范圍有所擴大,以前不算在內的一些系統現在都要算了。例如安全預先動作系統(presafe)中座椅調整子系統、剎車輔助系統中的燈光控制子系統、碰撞后telematic自動呼叫求援的子系統,都將視為安全攸關系統。
1.1 引起系統安全風險的通信故障
通信故障有5種表現形式,第1種是造成值域的錯誤。第2種是造成時域的錯誤,這是工業不同于民用的部分。一條消息不能在預定的時限前送達就失去了實用意義,例如與安全氣囊引爆有關的傳感器消息不能在數ms內送達就引起安全問題。在多播或廣播通信中還有第3種錯誤:數據完整性錯(拜占庭錯),即各節點收到的結果不一致。它會引起系統性的失效,應對的策略必須將所有有關節點同時考慮。第4種是系統崩潰,除硬件失效外,也有干擾或軟件引起的,例如饒舌錯(babbling idiot)阻止通信。第5種是丟幀,短時間失效,例如可恢復的離線或bug引起的等效離線狀態,又如小集團錯。
1.2 通信的容許失效率
在通信故障對系統安全影響的分析上,參考文獻提供了一種方法,根據瞬態干擾出現的可能長度,計算通信失效的時段長,在假定的通信失效率下,推出系統的失效率。在該實例中,路段上電場超100 V/m的區間有可能引起通信失
