Global Sources
電子工程專輯
 
電子工程專輯 > 網路技術
 
 
網路技術  

電控駕駛需要即時之可靠性

上網時間: 2001年08月12日     打印版  Bookmark and Share  字型大小:  

關鍵字:Delphi Automotive Systems  電子方向盤  電子剎車  車載網路  時間觸發協議 

高可靠性嵌入式系統技術的最新進展,以及對更完善的控制和主被動安全性不斷成長的需求,已使汽車製造商和供應商著手開發由電腦控制的電控子系統。今後駕駛無須再與機械裝置打交道。這樣的子系統包括電子方向盤和電子剎車,由一系列通過多路再使用車載電腦網路連接的與機械系統隔離的激勵器和控制器構成。

Brian T. Murray


系統安全工程部經理


Robert E. Steele


高級研發工程師


Delphi Automotive Systems

近來,作為電控系統基礎的時間觸發架構已受到極大關注。儘管對協議要求一直存在著不同的看法,但人們已達成一個共識,即整體的策略是正確的。而且,多種可能的容錯方法可為多種架構帶來許多種可能的配置方案。此外,可在基本的方案之上疊加附加的容錯方案。

基本的時間觸發架構有幾個特點。它包括多個控制器模組或節點,並通過一個時間觸發協議(TTP)在多個通道上進行通訊(用於容錯)。消息主要是面向狀態,而不是面向事件,每條消息一直保持到狀態改變,而狀態只能在規定的時間間隔上改變。網路對節點來說就像是一個全局記憶體,節點進行內部自檢,當檢測到數據錯誤和時序錯誤時,節點就跳脫網路。通訊錯誤(時序和數值的錯誤)由網路來檢測,而不是由應用程式來檢測。其主要的容錯策略是故障沈默(fail-silent)組件的複製,即當某個任務或節點出錯時,另一個立即開始運行,系統則採用正常運行的那一個。這種策略可有很多變化,目的都是盡可能地利用自然的備援。信號定義、時序和調度是離線完成的,且在系統裝配前保証無誤,這就很容易採用獨立設計和測試的子系統來構成系統。

這些特點可濃縮為關鍵的五點內容:1. 可預見性。由於採用確定的時間觸發調度機制,計算時延是可預見的;2. 易測性。自動按時間觸發協議和調度在恰當的時刻對計算結果進行檢測;3. 整合。容易由獨立設計和測試的組件或子系統來構成系統;4. 複製確定性。複製組件的行為在組件之間有一致性;每個組件都在同一時刻或某一預定的偏移時刻做同樣的事情;5. 會員制。故障狀態將依靠通訊網路上的“會員”在某一時間觸發架構中自動廣播。

前四個功能特點主要支援設計的正確性和應對複雜性;第五個特點支援容錯作業、連續安全狀態和多層診斷。其目標是提供容錯特性而又不至於過分複雜。目前,TTP是支援時間觸發架構的主要協議,但還可能有其它協議。TTP原來專門為支援時間觸發架構而開發,該架構和TTP協議都是在維也納大學開發的,而且TTP協議現已商用化。

以下從幾個方面對時間觸發架構進行闡述,包括具有備援網路節點、故障沈默節點(在檢測到錯誤時停止通訊)以及雙通訊通道(用於網路容錯)的容錯單元。

時間觸發架構設計的精髓是故障沈默組件。故障沈默取決於組件內的自檢覆蓋率,它也適用於系統的各個方面:軟體、控制器硬體、感測器和激勵器。假設子系統或汽車上的附加測試和診斷檢查可能導致故障沈默以外的動作,可通過各種技術使軟體具備自檢功能,如計算結果的可接受度檢查、多種複製組件以及多種數據的冗餘計算。

對於控制器硬體,Delphi公司已經開發出一種從內核就開始完全自檢的解決方案,核心是指CPU、記憶體、進出CPU的主要數據通道。

Delphi公司Secured Micro架構的核心是一個含有雙CPU的晶片,這?第2個CPU(也稱“影子”CPU)在同一時刻以同樣的數據執行同樣的代碼。“影子”CPU的計算結果並不被使用,但是要與主CPU的結果進行比較。這種比較功能也是一種自檢,如果有某些結果未進行對比,輸出將被禁止,但是內部可以進行自我診斷。

該雙核心架構技術確保能檢測到在執行期間引起錯誤的內部CPU硬體故障。同時影響兩個CPU且完全相同的故障很少見,而且附加的邏輯電路一般很容易檢測到這樣的故障。其它的晶片上功能都要進行自檢,或者能很容易地被CPU檢測到。數據記憶體有檢錯碼,程式記憶體和匯流排由特殊的數據監視器進行檢測。

這種自檢策略還有另外一些額外的特性和好處。首先,它對軟體而言是透明的,這意味著毋需增加專門或CPU功能來測試核心,因此,軟體維護簡單且能移植到其它CPU上。其次,這種方法一般來說系統開銷較低。對大多數微控制器而言,CPU與記憶體和其它晶片上電路相比僅佔晶片面積的一小部份,而記憶體空間所需的附加測試通常非常昂貴。第三,在控制器模組或板級層次上,該技術無需複雜的自檢方案。

目前已經有幾百萬套此類容錯單元用於電動方向盤和ABS(防鎖死剎車系統)控制器中。這種方法的確能捕捉真正的錯誤,似乎也不會產生新的問題,如時序故障。

最後,在子系統和汽車行為級這個層面上,異常必須被檢測出來,且必須採取適當措施。換句話說,不適當的行為必須要檢測出來,無論其根源何在。異常可能源於組件之間複雜的相互作用或規範不完整,而非源於故障。有發展前景的研究技術可能會導致開發出系統性的診斷解決方案,這種方案通常稱為基於模型的診斷。控制系統行為的抽象模型是在線上執行的,並與實際系統的行為進行比較。不過,仍須開發具有合適特性和即時性能的專用模型。





投票數:   加入我的最愛
我來評論 - 電控駕駛需要即時之可靠性
評論:  
*  您還能輸入[0]個字
*驗證碼:
 
論壇熱門主題 熱門下載
 •   將邁入40歲的你...存款多少了  •  深入電容觸控技術就從這個問題開始
 •  我有一個數位電源的專利...  •  磷酸鋰鐵電池一問
 •   關於設備商公司的工程師(廠商)薪資前景  •  計算諧振轉換器的同步整流MOSFET功耗損失
 •   Touch sensor & MEMS controller  •  針對智慧電表PLC通訊應用的線路驅動器
 •   下週 深圳 llC 2012 關於PCB免費工具的研討會  •  邏輯閘的應用


EE人生人氣排行
 
返回頁首