第一篇:从 E-GAS 架构看功能安全软件的灵魂——确定性、冗余与降级

最新推荐文章于 2025-10-24 22:12:36 发布
最新推荐文章于 2025-10-24 22:12:36 发布
阅读量401 收藏 15
点赞数 13
CC 4.0 BY-SA版权
分类专栏: Simulink建模MBD代码生成及功能安全 文章标签: MBD开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/VehSwHwDeveloper/article/details/153846308

(Electronic Gas / Electronic Throttle Control)架构。它并不只是“电子节气门控制”,而是整个 ISO 26262 功能安全方法论在 ECU 软件架构层面最早、最成熟、最系统化的一个范型

《从 E-GAS 架构看功能安全软件的灵魂:确定性、冗余与降级》

这是“功能安全架构思想”系列的第一篇,会聚焦 E-GAS 背后的思想、逻辑、系统性方法论,不是简单讲结构,而是剖析“为什么这个模式成为了汽车电子安全软件的范型”。

一、E-GAS,不只是“节气门”

很多人第一次听到 “E-GAS 架构”,会以为这是关于**电子节气门控制(Electronic Throttle Control)**的。
但其实,E-GAS 是功能安全架构设计史上的一个里程碑——它定义了一种系统模式,使得嵌入式控制软件可以在单点故障不可避免的情况下,依然保持安全。

E-GAS 架构首次提出于 1990 年代末期,由德国汽车工业协会(VDA)主导制定,用于节气门控制系统的功能安全。后来,它被证明是:

  • ISO 26262 功能安全标准的重要理论根基;

  • “ASIL-D” 级软件架构设计的原型模式

  • 现代汽车软件中诸如驾驶扭矩控制、转向控制、制动控制等安全关键功能的结构蓝图

了解本专栏 订阅专栏 解锁全文 超级会员免费看
基于功能安全的车载计算平台开发软件层面
qq_41854911的博客
11-30 1148
已剪辑自: https://mp.weixin.qq.com/s/SIBvH8u–vCk6W28KrPBmA车载智能计算平台作为智能汽车的安全关键系统,软件层面的安全性至关重要。由于车载智能计算平台功能丰富,应用场景复杂,对软件的实时性、安全性、可靠性要求极高,应通过技术和流程两个方面保障软件功能安全。技术上确保软件层级的每个功能安全相关软件节点都有相应的故障监测和处理机制,流程上按照软件安全生命周期模型规范软件开发过程。基于参考阶段模型,为软件层面产品开发进行生命周期的剪裁。**车载智能计算平台软件安全
功能安全】E-GAS架构设计
weixin_36460584的博客
10-21 760
EGAS(E-Gas架构是一种三层安全架构,最初由博世公司提出,并被广泛应用于发动机控制系统以及其他车载控制器中,以满足功能安全的要求E-GAS架构来自文档文档链接:https://www.team-bhp.com/forum/attachments/technical-stuff/1579940-how-safe-modern-engine-control-modules-ecm-ak-egas-v5-5-en-130705.pdf主要针对的是汽油和柴油发动机控制单元的监控概念。
基于功能安全的车载计算平台开发软件层面_e-gas架构,2024年最新带着问题深入学习Handler
2401_83620690的博客
04-14 661
软件单元设计实现阶段,基于软件架构设计对车载智能计算平台的软件单元进行详细设计。在源代码层面的设计实施应使得软件单元设计简单易懂,软件修改适宜,具有可验证性和鲁棒性,确保软件单元中子程序或函数执行的正确次序,软件单元之间接口的一致性,软件单元内部及软件单元之间数据流和控制流的正确性。**(3)Level3:**硬件监控层,负责确保Level1和Level2的运行的硬件环境是正常工作的,异常的运行环境会导致Level2的设计起不到很好效果,因此,Level3在整体的监控架构中作用是不可替代的。
ISO26262-E-GAS功能安全软件架构AURIX TC397 SafeTpack
xiandang8023的博客
10-29 2093
主要功能是监控系统的运行状态,以确保系统在预定的功能范围内正常工作。TLF35584能够以预定的周期进行喂狗,就是正常状态,否则执行停止喂狗,报告异常。Level2 是功能监控层,用于监控 Level1 功能的运行是否正常。当任意一个核运行异常,比如在执行某个函数的时候发生野指针,State Combiner 的状态为 NOT OK,硬件狗就会复位 MCU。Level1 是功能实现层,完成具体的功能实现,比如对于电机控制器来说,这一层实现了将请求的扭矩转换为电机的扭矩输出。
功能安全软件架构_软件安全架构(1),渣本逆袭大厂面经分享
2401_83620959的博客
04-16 917
如上图 所示,Level2 在使用合理性校验方法判断 Level1 功能是否正常运行时,先根据传感器输入的信号,计算控制量允许输出的合理范围,再计算从执行器反馈的实际输出量,最后判定 Level1 的实际输出量是否在允许的合理范围,如果超出了合理的范围,则判定 Level1 功能异常,执行错误处理。:控制器相关的故障发生后,此时控制器已经无法可靠地执行安全相关逻辑,为了保证安全性,需要外部额外的独立监控模块,来确保即使 MCU 发生严重故障后,依然能够进入安全状态。**1) 功能安全诊断框架技术要求。
功能安全】系统架构设计
weixin_36460584的博客
10-21 2367
part10定义的软件要求、设计和测试子阶段之间的关系(其中的3-7个人建议翻译为初始架构设计更合理 )
第二篇:用 Simulink + Stateflow 实现 E-GAS 架构的工程化方法
最新发布
VehSwHwDeveloper的博客
10-24 235
本文从工程建模角度探讨了如何在Simulink+Stateflow环境中实现E-GAS安全架构。E-GAS安全从附加检查转变为系统结构,通过三层解耦(BFL功能层、FSL安全层、Supervisor监控层)实现可验证的安全设计。文章详细阐述了状态机建模、时间确定性冗余机制、降级策略等核心要素,强调安全架构应具备可扩展性、可验证性和可维护性。通过Stateflow的事件驱动状态机和Simulink的控制逻辑,可构建出符合ISO26262要求的系统化防错模式,使系统在部分失效时仍能安全运行。
车载软件架构——车载诊断软件框架
Soly_kun的博客
07-13 953
### 对于车载安全,对于工程师就会提到功能安全软件架构,可以从 如下两个方案考虑: ### -> 符合功能安全软件架构; ### -> 功能安全软件架构.
AK-EGAS-v6 三层安全架构 最新标准
05-17
E-gas三层安全架构 最新标准 v6,可作为ISO26262的软件或硬件开发详细标准
【亲测免费】 AK-EGAS-v6:引领未来的三层安全架构标准
gitblog_06605的博客
09-26 903
AK-EGAS-v6:引领未来的三层安全架构标准 【下载地址】AK-EGAS-v6三层安全架构最新标准 欢迎使用AK-EGAS-v6三层安全架构最新标准。本资源是针对电子气体(E-gas)系统设计开发的重要参考文档,旨在提供一个高度结构化的安全保障框架,符合并超越行业对功能安全的严格要求。特别是在遵循ISO26262...
虚拟化技术应用于E-GAS安全架构
02-03
该文档对E-GAS功能安全架构进行了深度分析,并对其几种表现形式作了分析和说明,对功能安全架构师有较高的参考和借鉴价值
一层架构二层架构三层架构
07-05
www一层架构二层架构三层架构
standardized-e-gas-monitoring-concept-for-gasoline-CN.pdf
09-29
E-Gas标准中文翻译版
软件的三层架构
05-30
软件体系架构设计中,分层式结构是最常见,也是最重要的一种结构。微软推荐的分层式结构一般分为三层,从下至上分别为:数据访问层、业务逻辑层(又或称为领域层)、表示层。
安全架构总括
05-31
安全架构 安全架构 安全架构 安全架构 安全架构 安全架构 安全架构
链接文件及功能安全:E-GAS 功能安全架构设计的记录(概念及举例)
梦想技术家
10-10 2005
在传统车的角度指的是发动机启动/停止之间的操作时间,对于纯电动来说由BMS指定。作为域控可以通过报文来解析获取该信息。在需要考虑的特性里面至少有一个不能完全满足则可以定义为 error or a single error。3、error如果在下一个driving cycle没有发生,并且驾驶员或者是控制器也没有检测到相关故障,则这个error需要被定义为 潜在的error。需要定义为两个error,都发生几乎在同一时刻发生,并且这两个故障没有因果关系。
功能安全软件架构
qq_41854911的博客
12-10 2903
虽然 E-GAS 最初只是针对汽 / 柴油发动机管理系统而提出的安全架构方案,但是经过简单的适配,也可以用于车身系统,变速箱系统以及新能源的三电系统等,具有非常良好的扩展性,应用非常广泛。如上图 所示,Level2 在使用合理性校验方法判断 Level1 功能是否正常运行时,先根据传感器输入的信号,计算控制量允许输出的合理范围,再计算从执行器反馈的实际输出量,最后判定 Level1 的实际输出量是否在允许的合理范围,如果超出了合理的范围,则判定 Level1 功能异常,执行错误处理。
浅谈系统安全架构设计,从零基础到精通,收藏这篇就够了!
yy1715713348的博客
05-05 1108
本文基于ISO 26262标准的定义,结合当前汽车零部件供应商和主机厂的功能安全架构设计实践,以及我个人的经验,对功能安全产品架构设计进行了一些描述。希望能解答大家的一些疑惑和难点。```
功能安全的E-GAS架构为题目写一篇5000字说明
07-17
当提到汽车的功能安全时,电子油门系统(E-GAS)是一个重要的组成部分。本文将以E-GAS架构为题目,详细说明其在汽车功能安全中的作用和原理。 第一部分:引言 在现代汽车中,电子油门系统扮演着控制引擎油门开度的重要角色。传统的机械油门系统已逐渐被电子油门系统所取代,这使得汽车制造商能够更好地控制引擎性能,并提供更高的驾驶体验。然而,随着车辆电子化程度的提高,功能安全问题也变得尤为重要。E-GAS架构在确保电子油门系统的安全性和可靠性方面发挥着关键作用。 第二部分:E-GAS架构概述 E-GAS架构是一种用于控制汽车引擎油门开度的电子系统。它由多个组件组成,包括油门踏板传感器、电子控制单元(ECU)、执行器和相关的电气连接。油门踏板传感器负责监测驾驶员对油门踏板的输入,并将其转化为电信号。ECU接收并处理这些信号,并相应地控制执行器,从而实现引擎油门开度的准确控制。 第三部分:功能安全要求 在汽车行业,功能安全是一项关键的要求。对于E-GAS架构而言,以下是一些功能安全要求: 1. 系统可靠性:E-GAS系统必须能够在任何情况下正常工作,并保持对引擎油门的准确控制。 2. 安全监测:系统应能够监测和检测故障和异常情况,例如传感器故障或ECU故障,并采取适当的措施来保证驾驶员和车辆的安全。 3. 数据完整性:传感器和ECU之间的数据传输必须可靠和完整,以确保准确的油门控制。 4. 故障容忍性:系统应具备故障容忍性,即使在某些组件出现故障的情况下,仍能够提供基本的油门控制功能。 第四部分:E-GAS架构安全机制 为了满足功能安全要求,E-GAS架构采取了一系列安全机制: 1. 冗余设计:E-GAS系统中的关键组件采用冗余设计,以提高系统的可靠性。例如,油门踏板传感器可以采用双重或三重传感器,以确保在一个传感器出现故障时能够继续正常工作。 2. 安全监测和故障检测:ECU通过监测传感器数据和执行器状态来检测故障和异常情况。如果系统检测到故障,它将采取适当的措施,例如进入紧急模式或发送警告信号。 3. 数据完整性检查:E-GAS系统会对传感器数据进行完整性检查,以确保传输的数据准确无误。如果检测到数据错误或丢失,系统将采取纠正措施或发出警告。 4. 故障容忍性策略:E-GAS系统设计了故障容忍性策略,以确保即使在某些组件发生故障的情况下,仍能提供基本的油门控制功能。例如,系统可能会进入限制模式,保持引擎运行在安全范围内。 第五部分:E-GAS架构的验证和认证 为了确保E-GAS架构功能安全性,汽车制造商进行了严格的验证和认证过程。这些过程包括功能安全分析、系统测试和验证,以确保系统符合预定的功能安全要求。此外,相关的国际标准和规范,如ISO 26262,也提供了指导和要求。 第六部分:未来发展和挑战 随着汽车技术的不断发展,E-GAS架构也在不断演进。未来的发展方向包括更高的故障容忍性、更强的安全监测和更高的数据完整性。然而,功能安全仍然是一个挑战,需要持续的研究和改进。 结论 E-GAS架构在汽车功能安全中扮演着重要的角色。通过采用冗余设计、安全监测和故障检测、数据完整性检查和故障容忍性策略等安全机制,E-GAS系统能够确保对引擎油门的精确控制,并提供可靠的油门功能。然而,随着汽车技术的不断发展,功能安全仍然是一个持续的挑战,需要持续的研究和改进。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

VehSwHwDeveloper

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值