汽车控制系统效能升级!FlexRay网络标准详解
Flexray线控总线技术
高速
FlexRay支持高达10 Mbps的数据传 输速率,满足汽车中大量数据传输的 需求。
可靠性
FlexRay具有错误检测和纠正功能, 能够保证数据传输的可靠性。
工作原理
1 2
通信模式
FlexRay支持静态和动态两种通信模式,可以根 据实际需求进行选择。
拓扑结构
FlexRay支持星型和总线型两种拓扑结构,可以 根据汽车内部ECU的分布情况进行选择。
的领域,其优势可能无法充分发挥。
对实时性的 依赖
由于FlexRay总线的通信机制和硬件资源限制,其支 持的节点数量有限,可能不适合大规模分布式系统。
04
FlexRay线控总线与其他总线的比较
CAN总线
总结词
CAN总线是一种广泛应用于汽车行业的通信协议,具有高可靠性和良好的实时 性。
详细描述
CAN总线采用基于优先级的通信方式,支持多主节点同时通信,具有较高的数 据传输速率和较低的延迟时间。然而,CAN总线在处理大量数据和复杂通信时 可能会遇到带宽限制。
随着汽车电子化程度的不断提高,对汽车内部通信的要求也 越来越高,FlexRay总线技术正是在这样的背景下应运而生。
技术发展历程
FlexRay总线技术最初由BMW和戴姆勒-克莱斯勒于1999年联合开发,旨在为汽车 内部通信提供一种高性能、高可靠性的总线系统。
自推出以来,FlexRay总线技术得到了广泛的认可和应用,已成为汽车内部通信的标 准之一。
市场前景
增长的市场需求
竞争格局变化
未来发展方向
随着汽车电子化程度的不断提高,对 线控技术的需求也在不断增长。 FlexRay总线技术作为汽车线控技术 的关键组成部分,其市场需求将进一 步扩大。
车载网络技术-FlexRay
5.2.2数据帧结构
1 1 11 1 11 7 11 6 8 8 8 8 8 8
RPNSS 帧标识
净荷 头部 长度 CRC
周期 数据 数据 1 计数 0
0-254字节 净荷段
数据 CRC CRC CRC n
3字节 结束段
5字节 起始段
保留位R
为将来协议预留 发送节点设为0,接受节点忽视
5.2.2数据帧结构
净荷 头部 RPNSS 帧标识 长度 CRC
5字节 起始段
周期 数据 数据 1 计数 0
0-254字节 净荷段
数据 CRC CRC CRC n
3字节 结束段
帧标识
定义该帧可以在哪个时隙中发送
一个通信周期中只能出现一次 取值1-2047,0不是有效标识符
净荷段长度
单位为字,不是字节,故为净荷段字节数除2,0-127
成本 Low Cost
5.1.1FlexRay技术背景
保守计算: 500个信号 4字节*8=32位 100次每秒 =1.6Mbps
5.1.1FlexRay技术背景
5.1.1FlexRay技术背景
X-by-wire线控系统需要什么样的总线通信?
高速-高带宽 硬实时-确定性通信 安全-容错性 成本可接受
5.2.1FlexRay媒体访问机制
时间等级
段 Segment 槽 Slot,承载数据帧。 宏节拍 Macrotick(MT) 微节拍 Microtick,纳秒级
5.2.1FlexRay媒体访问机制
媒体访问方式
静态部分:时分 多址(Time Division Multiple Access) 动态部分:柔性 时分多址 (Flexible TDMA)
《汽车网络控制系统检修》模块五 FlexRay 总线系统图文模板图文模板
2.FlexRay总线的基本原理
FlexRay总线的基本工作方式与使用至今的数据总线系统 (CAN总线、LIN总线和MOST总线 ) 不同。FlexRay总线的基本工作方式用索道做比喻就很恰当: 索道的站点就像总线用户,即 信息发送和接收器 (控制单元);索道的吊车就像数据帧,而乘客就是信息。
CAN总线与FlexRay总线的异同如下表5-1所示。
2.有效数据段
有效数据段由以下三个部分组成: ① 数据:可以是0-254字节或者说0-127个字,在图中分别以data0、data1、……表示。 ② 信息ID:使用负载段的前两个字节进行定义,可以在接收方作为可过滤数据使用。 ③ 网络管理矢量(NWVector):该矢量长度必须为0~10个字节,并和所有节点相同。
(3)网络空闲时间 网络空闲时间就是网络静止时间,如下图所示。
1.高带宽
2.确定性
3.容错性
4.灵活性
四、FlexRay总线的拓扑结构 Flex星形混合式。 双通道总线式拓扑结构如下图所示。
双通道星形拓扑结构如下图所示。
单、双通道联级星形拓扑结构如下图所示。 单、双通道混合型拓扑结构如下图所示。
五、FlexRay控制单元的结构及原理构
FlexRay是一种用于汽车的高速、可确定性的,具备故障容错能力的总线技术,它将事件触 发和时间触发两种方式相结合,具有高效的网络利用率和系统灵活性的特点,可以作为新一代汽 车内部网络的主干网络。
FlexRay是一种新型通信系统,目标是在电气与机械电子组件之间实现可靠、实时、高效的 数据传输(如下图所示),以确保满足未来新的汽车网络技术的需要。
二、FlexRay的数据传输速率
如下图所示,FlexRay的最大数据传输速率为每通道10Mbit/s,明显高于以前在车身和动力 传动系统/底盘方面所用的数据总线。
通信协议标准FlexRay总线的功能安全性详解
通信协议标准FlexRay总线的功能安全性详解在汽车中采用电子系统已经有几十年的历史,它们使汽车安全、节能与环保方面的性能有大幅度的提高。
随着研究的深入,许多系统需要共享和交换信息,为了节省线缆,就形成了依赖于通信的分布式嵌入系统。
目前,世界上90%的都采用基于CAN总线的系统。
FlexRay是下一代通信协议事实上的标准,它的功能安全性如何是至关重要的。
1 IEC61508功能安全的要求目前车控系统正在向线控技术(xbywire)过渡,例如线控转向与线控刹车。
线控系统最终目标是取消机械后备,因为取消这些后备可以降低成本,增强设计的灵活性,扩大适用范围,为以后新添功能创造条件。
但是取消机械后备就对电子系统的可信赖性(dependability)要求大为提高。
车是一个运动的物体,处于运动的环境之中,它因故障可能伤及自身及别人。
取消机械后备,就将电子系统由今天的故障静默(failsilent)要求提升到故障仍工作(failoperational)的要求。
国际上对工业应用的功能安全要求已制定了标准IEC61508,它主要关心被控设备及其控制系统的安全。
虽然它也适用于汽车,但汽车不仅有上述功能安全问题,而且要关心由于功能变化造成的整车系统安全,所以汽车业内正在制定相应的标准ISO26262。
汽车的功能安全等级分为4级,要求最高的是 ASILD,相应的失效概率<10-8/h,它相当于IEC61508的SIL3。
根据实践经验,分配给通信的失效概率<10-10/h。
有关这方面的介绍可参见参考文献。
现在安全攸关的应用系统的范围有所扩大,以前不算在内的一些系统现在都要算了。
例如安全预先动作系统(presafe)中座椅调整子系统、刹车辅助系统中的灯光控制子系统、碰撞后telematic自动呼叫求援的子系统,都将视为安全攸关系统。
1.1 引起系统安全风险的通信故障通信故障有5种表现形式,第1种是造成值域的错误。
第2种是造成时域的错误,这是工业不同于民用的部分。
汽车总线技术FlexRay总线原理及应用介绍
汽车总线技术FlexRay总线原理及应用介绍1 FlexRay 总线介绍1.1 FlexRay 产生及发展随着汽车中增强安全和舒适体验的功能越来越多,用于实现这些功能的传感器、传输装置、电子控制单元(ECU)的数量也在持续上升。
如今高端汽车有 100 多个 ECU,如果不采用新架构,该数字可能还会增长, ECU 操作和众多车用总线之间的协调配合日益复杂,严重阻碍线控技术(X-by-Wire,即利用重量轻、效率高、更简单且具有容错功能的电气/电子系统取代笨重的机械/液压部分)的发展。
即使可以解决复杂性问题,传统的车用总线也缺乏线控所必需的确定性和容错功能。
例如,与安全有关的信息传递要求绝对的实时,这类高优先级的信息必须在指定的时间内传输到位,如刹车,从刹车踏板踩下到刹车起作用的信息传递要求立即正确地传输不允许任何不确定因素。
同时,汽车网络中不断增加的通信总线传输数据量,要求通信总线有较高的带宽和数据传输率。
目前广泛应用的车载总线技术CAN、 LIN 等由于缺少同步性,确定性及容错性等并不能满足未来汽车应用的要求。
宝马和戴姆勒克莱斯勒很早就意识到了,传统的解决方案并不能满足汽车行业未来的需要,更不能满足汽车线控系统(X-by-Wire)的要求。
于是在 2000 年 9 月,宝马和戴姆勒克莱斯勒联合飞利浦和摩托罗拉成立了 FlexRay 联盟。
该联盟致力于推广 FlexRay 通信系统在全球的采用,使其成为高级动力总成、底盘、线控系统的标准协议。
其具体任务为制定 FlexRay 需求定义、开发 FlexRay协议、定义数据链路层、提供支持 FlexRay 的控制器、开发 FlexRay 物理层规范并实现基础解决方案。
1.2 FlexRay 特点FlexRay 提供了传统车内通信协议不具备的大量特性,包括:(1)高传输速率:FlexRay 的每个信道具有 10Mbps 带宽。
由于它不仅可以像 CAN 和 LIN 网络这样的单信道系统一般运行,而且还可以作为一个双信道系统运行,因此可以达到 20Mbps 的最大传输速率,是当前 CAN 最高运行速率的 20 倍。
FlexRay介绍
FlexRay一、FlexRay介绍 (2)1.1汽车网络通信协议综述 (2)1.2FlexRay特点 (2)1.3FlexRay协会 (3)1.4FlexRay应用 (3)二、FlexRay协议 (4)2.1FlexRay的ECU结构 (4)2.2FlexRay通信模式 (5)2.3FlexRay拓扑结构 (6)2.4FlexRay帧格式 (8)2.4.1帧头部分 (8)2.4.2有效数据部分 (8)2.4.3帧尾部分 (9)2.5帧编码与解码 (9)2.5.1帧编码 (9)2.5.2特征符编码 (10)2.6时钟同步 (11)2.7唤醒与启动 (12)三、FlexRay物理层 (13)3.1FlexRay总线信号 (13)3.2FlexRay套件(以富士通为例) (13)3.2.1FlexRay开发进程 (13)3.2.2FlexRay产品 (14)3.2.3FlexRay产品特性 (15)四、历史与展望 (16)4.1汽车技术与汽车产业 (16)4.2关于汽车计算平台的思考与机会 (17)一、FlexRay介绍FlexRay通讯协议运用于可靠的车内网络中,是一种具备故障容错的高速汽车总线系统。
它已经成为同类产品的基准,将在未来很多年内,引导汽车电子产品控制结构的发展方向。
FlexRay协议标准中定义了同步和异步帧传输,同步传输中保证帧的延迟和抖动,异步传输中有优先次序,还有多时钟同步,错误检测与避免,编码解码,物理层的总线监控设备等。
1.1汽车网络通信协议综述汽车网络通信协议在保证整个系统正常运行方面起着非常重要的作用。
它可以帮助解决系统很多问题,如数据共享、可扩展性、诊断接口等。
目前,应用于汽车领域的网络标准除了FlexRay还有很多,如CAN、LIN、J1850及MOST等。
CAN总线全称为“控制器局域网总线(Controller Area Network)”,是德国博世公司从80年代初为解决现代汽车中众多的控制与测试仪器之间的数据交换而开发的一种串行数据通信协议。
FlexRay——下一代汽车网络标准
o j tlk gi i ttaate cr it ho g s d b e radtiei ne b c— i dc eht u l t n c nl y a e is po r tlec . e i n n a o e o ce n o h ma a g t fw on l g
Pr t O ) 车 辆 多 媒 体 网 络 准 ,为日后汽车计算平台联盟和相 络 标准之 一 ,在欧 …以上 的商用车 O OC 1,
l 1 9 等 。值得注意的是具有 关标 准 的出现奠 定了 工业化基础 。 DB 3 4
发 展 非 常 迅速 。 Fe R y 准 联 前在汽车动力总成中已占据8 %的 Ix a 标 5
F × a 标准联盟的出现,以及面向 l Ry e 对象联接的 A o e 标准的 C N pn 广泛应用预示着汽车电 子技术向
智能化迈出了重要一步。
T ed b t f l R ysa d r l n ea dtewie s ra s f A p nsa d r p ld i h e u e a tn adal c n d - pe d u eo C No e tn ada pi oF x i a h e n
口
前 ,世 界 上 有 多达 十 多种 汽车网络标准的发展
机 、变速箱和仪表系统 的互联
国 际 上 ,在 汽 车 工 业 巨 头 和 基于 CAN ̄] ISO1 8 8 准 ,美 国 : I 9标 1 主 要 的 有 控 制 器 局 域 网 CAN— 电子 信 息 技 术 公 司 的 合 力推 动 之 S ( 车 工 程 学 会 ) 1 年 前 组 织 AE 汽 在 0
一
汽车 即将 超过9 %,主要用于 发动 CANo e 均 是基 于CA20—3 P N 6 08 5
flexray协议原理
flexray协议原理FlexRay协议原理概述FlexRay是一种高速实时网络协议,特别适用于汽车电子系统中的分布式控制和通信。
它通过提供高带宽、低延迟和可靠性来满足汽车电子系统对数据传输的严格要求。
本文将介绍FlexRay协议的原理和工作机制。
FlexRay网络结构FlexRay网络由多个节点组成,每个节点都可以是一个控制器、传感器或执行器。
这些节点通过FlexRay总线相互连接,并通过FlexRay协议进行通信。
FlexRay网络通常采用双线缆冗余结构,以提高可靠性。
FlexRay通信周期FlexRay网络按照时间分割成周期,每个周期由两个静态段和一个动态段组成。
静态段用于发送控制信息,而动态段用于发送数据。
静态段和动态段的长度是固定的,并且根据网络的需求进行配置。
FlexRay通信帧FlexRay通信帧是数据传输的基本单元。
每个通信帧由一个静态段帧头、一个静态段有效载荷、一个动态段帧头和一个动态段有效载荷组成。
帧头包含帧的标识符、优先级和数据长度等信息,而有效载荷则包含实际的数据。
FlexRay时钟同步为了确保网络中的所有节点能够按照相同的时钟进行通信,FlexRay 使用了分布式时钟同步技术。
这种技术通过在网络中的节点之间进行时钟同步消息的传输来实现。
每个节点都会定期发送时钟同步消息并接收其他节点发送的时钟同步消息,从而保持时钟的一致性。
FlexRay通信调度FlexRay使用了一种称为静态分布式时间触发调度的方法来管理网络中的通信。
在这种调度方法中,每个节点都被分配了一个固定的时间槽,用于发送数据或控制信息。
节点根据优先级和时隙的分配来确定何时发送数据,并在特定的时间触发时发送数据。
FlexRay冲突解决由于多个节点可能同时发送数据,可能会导致冲突。
为了解决冲突,FlexRay使用了一种称为静态冲突解决的方法。
在这种方法中,每个节点都被分配了一个固定的优先级,优先级较高的节点具有更高的发送优先级。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
汽车控制系统效能升级!FlexRay网络标准详解自2003年组建以来,AUTOSAR(汽车开放系统架构)联盟一直致力于改变车载网络和电子控制单元(ECU)的设计方式。
AUTOSAR提出了一个符合业界标准的车载网络设计方法,使行业能够集成、交换和传输汽车网络内的功能、数据和信息。
这一标准极大地促进了汽车原始设备制造商(OEM)及其一级供应商之间的合作,使他们能够以一种一致、明确且机器可读的格式来交换设计信息。
一辆汽车的不同部分对安全及性能有不同要求,而支持它们的车载网络必须具备可预测的安全性能。
随着汽车技术的不断演变,人们已经可以用一系列总线技术来连接豪华汽车上最多100个不同的ECU,这些总线技术通常包括LIN、CAN、FlexRay、MOST和基于以太网的架构。
如果靠手动来管理这些ECU 之间数以千计的信息和交互操作是不可能的,因此汽车设计人员必然用自动化设计和合成工具来预测网络性能和调整车载功能。
汽车数据总线一辆典型的现代化汽车将同时装配各类总线和协议并从LIN、CAN、FlexRay、MOST和以太网中选择合适的网络。
多媒体/视听信号和汽车环绕摄像系统需要更高的数据速率,因此汽车制造商和OEM厂商在网络解决方案上选择用以太网代替MOST.但对于许多标准汽车功能而言,LIN和CAN提供的带宽与性能就足够了。
在汽车架构中,ECU组合在一起形成“集群”,这些集群通过通信“网关”相连。
集群通常会共享同一类型的总线,因此要达到高可靠性、高速率的标准,就要采用FlexRay 网络,但要求没那么高的门锁ECU可以由CAN或LIN来负责。
ECU网关往往要连接不同类型的信号,并执行不同总线架构之间的映射和转换功能。
汽车行业对不断提高安全性和ISO26262等标准的合规性提出强烈需求,进而提升了车载网络的性能,同时也降低了制造和元件成本。
不断进步的网络标准可以适应越来越高的数据传输速率,汽车电缆也达到了安全且低成本的目标。
典型汽车网络方案的特点及应用请见表1.表1:汽车网络总线。
FlexRay网络:FlexRay协议比CAN更具确定性。
FlexRay是一种“时间触发”协议,它提供不同选项,让信息可以在精确的时间框架内发送至目标地址——可精确到1μs.FlexRay信息最多可达254个字节,因此需要在ECU之间进行交换的复杂信息的容量很大。
与CAN相比,FlexRay的数据传输速率也更高。
由于时序是预先确定的,信息的安排需要提前规划好,一般由汽车OEM厂商或一级供应商合作伙伴预先配置或设计。
在采用CAN协议的网络中,ECU节点只需要知道通信时的正确波特率,但FlexRay网络上的ECU节点在通信时必须知道网络各个部分是如何配置和连接的。
检查和验证FlexRay网络的时序比较耗时——因此,自动化的时序分析和将信息合成打包成时间帧可以减少错误和设计周期时间。
汽车通信矩阵合成汽车网络时序安排的总体定义通常存储在作为中央网关ECU一部分的“通信矩阵”中。
明导所开发的设计工具解决方案可用于自动合成这个数据库并按正确顺序将所有不同的信息打包成帧。
AUTOSAR信号信息组合成协议数据单元(PDU),然后这些数据单元再组合成传输帧。
对于CAN和LIN帧而言,每个帧都有一个PDU,但一个FlexRay帧可能含有多个信号PDU.在FlexRay架构中,时序是确定的,而设计人员主要面临的不确定性就是帧打包和传输顺序。
汽车OEM厂商和设计人员要投入大量时间来测试汽车所有可能出现的情况,以确定最坏情况下的行为,并确保信息传输有较大的安全范围。
这意味着,为了确保较高的时序安全范围,不能占用数据总线的全部容量。
合成工具查找具有相似路径以及对于在相似的帧时间空隙中进行打包和安排有时序要求的信号,以此来优化帧利用率。
在使用明导的时序合成工具时,设计输入将包括信号和 PDU定义、帧的优先级和有关可行的信号路径的具体OEM设计决策。
在生成完整的时序体系时要将这些都考虑进去。
在安装一个完全定义的通信体系时会面临一个难题,即后续很难有架构上的变化,并可能需要对网络进行全面的重新设计,但传输的高速和确定性等优势让这种方法对FlexRay应用形成了极大的吸引力,能够确保汽车的对安全要求非常高的功能。
用该合成工具重新建立更先进的通信体系可以缩短修复周期。
想要了解更多车联网设计资料,请关注《物联网核心技术之通信》专题FlexRay已开始在单通道高速动力传动、驾驶辅助和提高舒适程度的汽车电子应用中大展身手。
在BMW X5汽车中,FlexRay用于悬架控制之中,这样就可以在利用双通信信道和总线监控把这种具有容错功能的确定性协议运用在安全驾驶功能中之前,让工程师和开发人员有一个逐渐适应的学习过程,降低了相关风险。
在FlexRay应用的开发过程中,设计工程师可以通过五个基本步骤来构建一个稳健的网络拓朴。
步骤1:首先必须定义车辆底盘上节点的数量及其假定位置,然后才能确定实现无stub(一种被称为“菊花链”的拓朴结构)无源总线所需的线缆长度,该总线终端即是线缆终端处,如图1所示。
如果线缆长度小于10米,则拓朴完成,其被认为可用于系列生产。
步骤2:一旦发现线缆长度大于10米,就应该考虑采用“主动星型”拓朴(参见图2)。
如果线缆长度超过20米,则必须引入主动星型了。
最简单的主动星型只有两个分支,把线束??为两个电气去耦部件。
因为可通过NXP的TJA1080收发器(用于BMW X5的首批同类器件)来增强主动星型,故所需收发器总数只增加了一个。
步骤3:若应用在车辆发生碰撞事故之后还能够继续工作,系统的碰撞灵敏节点应分布在不同的分支上(见图3)。
这样一来,一旦线缆被挤压或被钳位在一个差分电压上,只有受影响的分支的数据传输被中断,但主动星型将保证网络中其它分支的通讯不受影响。
图1图2图3步骤4:鉴于共振的出现,暴露在非常恶劣的RF场中的节点或布线也应该分布到不同的分支上(见图4)。
在线缆两端各利用一个??终端(FlexRay电气物理层规范v2.1修订版B),把RF感应电流转移到接地位。
这就使得线缆上的共模电压幅度更低,同时不影响与其它分支相连接的节点。
因此,接收到的数据流中的抖动可以控制在合理的范围内。
图4步骤5:为了确保在线缆两端始终有合适的终端(见图5),中继电缆的末端节点不应是可选节点。
节点的电气位置沿线缆的移动不得致使线缆长度超过10米过多。
在非可选节点上,可引入短的stub(《1米)。
即使有更大的灵活性,主动星型也不必在线缆度终端处。
图5验证与优化遵照这五个步骤,有助于构建在电子特性方面稳健的FlexRay拓朴结果。
建议进行仿真以对定义后的拓朴做进一步验证和优化。
开采用蒙特卡罗(Monte-Carlo)仿真法来估算线束、产量范围以及依赖于收发器和主动星型的温度等各项制造公差。
此外,FlexRay联盟已推出了一种涵盖线束趋肤效应在内的复杂完善的线缆模型。
在支持汽车制造商引入FlexRay的同时,NXP也在不断提高自己在FlexRay拓朴仿真领域的专业能力。
关于FlexRay应用的终端、线缆和连接器的更多信息可参见FlexRay电气物理层规范v2.1修订版B。
电气物理层应用说明v2.1修订版B给出了一些有关拓朴设计的建议。
这两份规范都可通过FlexRay联盟网站获得。
至于TJA1080 FlexRay收发器的技术细节,可查询NXP网站。
想要了解更多车联网设计资料,请关注《物联网核心技术之通信》专题在汽车中采用电子系统已经有几十年的历史,它们使汽车安全、节能与环保方面的性能有大幅度的提高。
随着研究的深入,许多系统需要共享和交换信息,为了节省线缆,就形成了依赖于通信的分布式嵌入系统。
目前,世界上90%的都采用基于CAN总线的系统。
FlexRay是下一代通信协议事实上的标准,它的功能安全性如何是至关重要的。
1 引起系统安全风险的通信故障通信故障有5种表现形式,第1种是造成值域的错误。
第2种是造成时域的错误,这是工业不同于民用的部分。
一条消息不能在预定的时限前送达就失去了实用意义,例如与安全气囊引爆有关的传感器消息不能在数ms内送达就引起安全问题。
在多播或广播通信中还有第3种错误:数据完整性错(拜占庭错),即各节点收到的结果不一致。
它会引起系统性的失效,应对的策略必须将所有有关节点同时考虑。
第4种是系统崩溃,除硬件失效外,也有干扰或软件引起的,例如饶舌错(babbling idiot)阻止通信。
第5种是丢帧,短时间失效,例如可恢复的离线或bug引起的等效离线状态,又如小集团错。
2 通信的容许失效率在通信故障对系统安全影响的分析上,参考文献提供了一种方法,根据瞬态干扰出现的可能长度,计算通信失效的时段长,在假定的通信失效率下,推出系统的失效率。
在该实例中,路段上电场超100 V/m的区间有可能引起通信失效,失效率近似5×10-3,车速为90 km/h,识别出的可能失效时间约74 s。
通信以6 ms为周期,连续7个周期丢帧视为系统失效,在此条件下系统失效率为1.640 9×10-10,认为可以达到SIL4的安全要求。
这种分析方法是有效的,但是假设的条件太多,例如:误码率有很大的变化区间;帧长的变化影响一次传送的失效率;干扰持续时间的假定;连续丢7帧也与应用的场合有关,对90 km/h的车42 ms的失控对刹车系统而言有约1 m的距离,恐怕对撞击的后果有完全不同的评估;还假设SIL4完全分配给通信,将CPU与软件有关的部分失效率忽略不计,在软件规模越来越大的今天,这个假设是不合理的。
另一方面,决定系统失效率时还应考虑其他的通信故障形式,例如出现小集团错到发生冲突的时间取决于相对的时钟漂移,越精确,其间时间越长,失效的时间就越长,参考文献中在人为制造出小集团后需300 ms才发现冲突,远远超出上述的42 ms。
所以一般讨论系统安全的文章中都单独规定通信的失效率是相应安全等级失效率的1/100。
3 影响通信失效率的因素功能安全等级与故障检测的覆盖率有关,如果有的故障未被检查到(未认识到或做不到),当然那种失效情景就不可能计算在内,安全等级的划分就有错。
参考文献介绍了SFF(Safety Failure Fraction)的概念:失效分为引起危害的失效和安全失效,它们又各分为能检测出和未检测出两种。
安全失效比例SFF是能检测出危害失效与安全失效在总的失效中的份额。
诊断覆盖率DC(Diagnostic Coverage)是能检测出的危害失效占总危害失效的份额。
可导出SFF与DC有线性关系。
而SFF又与SIL有关。
IEC61508的SIL等级与 SFF有关,在SFF占90%~99%时SIL3可容许1个故障。
因此DC也决定了能达到的SIL等级。