ISO26262-E-GAS功能安全软件架构与AURIX TC397 SafeTpack

已于 2024-12-02 17:43:29 修改
阅读量1.5k 收藏 37
点赞数 25
分类专栏: # 功能安全 文章标签: arm开发 汽车 安全架构
于 2024-10-29 16:00:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xiandang8023/article/details/143331106
版权

1. E-GAS 功能安全软件架构:

  • E-GAS(Standardized E-Gas Monitoring Concept for Gasoline and Diesel Engine Control Units)是当前使用最为广泛的一个安全软件架构方案
  • 软件分为 Level 1~3 总共三层,Level1是功能实现层(function level)、Level2 是功能监控层(function monitoring level)、Level3 是控制器监控层(controller monitoring level)

  • 该架构形成了很好的分层监视框架,并有效实现了功能安全分解,通常采用 QM(ASIL X) + ASIL X(ASIL X)的安全分解策略,即将功能实现软件(Level1)按照 QM 等级开发功能冗余软件或安全措施(Level2Level3)按照最高的要求等级 ASIL XASIL X)进行开发

Level 1 功能实现层

Level1 是功能实现层,完成具体的功能实现,比如对于电机控制器来说,这一层实现了将请求的扭矩转换为电机的扭矩输出。

Level 2 功能监控层

Level2 是功能监控层,用于监控 Level1 功能的运行是否正常。Level2 的核心是设计一套方法去判断Level1 的运行是否正常。

E-GAS Level 1+Level 2举例:

Level3 是控制器监控层,主要由三部分功能构成。

  • 电子电气系统硬件诊断:监控电子电气系统硬件故障(控制器的 CPU 核故障、RAM 故障、ROM 故障等)
  • 独立监控:控制器相关的故障发生后,此时控制器已经无法可靠地执行安全相关逻辑,为了保证安全性,需要外部额外的独立监控模块,来确保即使 MCU 发生严重故障后,依然能够进入安全状态。这个额外的独立监控模块,通常是集成看门狗的电源管理芯片(PMIC-TLF35584)。
  • 应用程序流检查:监控 Level1 和 Level2 的监控程序是否运行正常。该监控功能通过将程序流检查和看门狗喂狗绑定实现:如果 Level1 和 Level2 相关的监控程序没有按照设定的顺序运行,或者没有在规定的时间内执行,则程序流检查失败,无法正常喂狗,从而进入系统安全状态。

E-GAS Level3 架构:

下图仅是Fault Reaction Controller Monitoring of Level 3 with µC-internal HW-Monitoring, Gasoline and Diesel

 2. 基于 TC397 与 AUTOSAR 的 SafeTpack Level-3架构:

  • SafeTpack 包含以下软件模块:
    1. SafeTpack-Basic:包 含 TC397 ESMs/SMCs 的测试模块。
    2. SafeTpack-WD:包含 Logical and Temporal 监控的看门狗模块。
    3. SafeTpack-TLF35584 Tests:包含 TLF35584 的 Startup Tests 模块。
    4. SafeTpack-PFM:包 含 Program Flow Monitoring 模块。

  • SafeTpack在 AutoSAR 环境中作为复杂驱动程序,包含三类复杂驱动:

1. MCU 硬件安全机制自检复杂驱动。下图是TC397提供的硬件安全机制

2.安全看门狗结合程序流监控复杂驱动。举例,基于AUTOSAR的WdgM,实现多核看门狗机制

当任意一个核运行异常,比如在执行某个函数的时候发生野指针,State Combiner 的状态为 NOT OK,硬件狗就会复位 MCU

 3.SMU ( safety management Unit)模块结合 TLF35584Test 关断路径检查复杂驱动,功能狗机制:

        主要功能是监控系统的运行状态,以确保系统在预定的功能范围内正常工作。TLF35584能够以预定的周期进行喂狗,就是正常状态,否则执行停止喂狗,报告异常。

  • SafeTpack 包括两个检测阶段:启动阶段和运行阶段。在 AutoSAR 架构中的 EcuM 模块中触发 SafeTpack 的启动测试。 OS 周期性任务中执行 SafeTpack 的运行阶段,进行单点故障测试。

英飞凌 TC3xx功能安全开发-SafeTpack OverView
汽车电子电气
03-31 170
看门狗驱动主要包括内部看门狗,外部看门狗,看门狗接口,这三个驱动模块,内部看门狗是指Tricore的内部看门狗,包含内核的内部狗和Cpu0的SafetyWdg,外部看门狗支持HtxTLF35584,、HtxTLF35585、HtxFS65FS45,WdgIf模块收集其他看门狗驱动模块的接口,为上层应用提供接口,比如WdgM模块等。内部安全看门狗: WDTS 外部时间窗口看门狗相结合:逻辑监督由内部安全看门狗 WDTS 执行,时间监控由外部时间窗口看门狗执行。调用 SafeTpack 的驱动,执行测试;
链接文件及功能安全:E-GAS 功能安全架构设计的记录(概念及举例)
梦想技术家
10-10 1667
在传统车的角度指的是发动机启动/停止之间的操作时间,对于纯电动来说由BMS指定。作为域控可以通过报文来解析获取该信息。在需要考虑的特性里面至少有一个不能完全满足则可以定义为 error or a single error。3、error如果在下一个driving cycle没有发生,并且驾驶员或者是控制器也没有检测到相关故障,则这个error需要被定义为 潜在的error。需要定义为两个error,都发生几乎在同一时刻发生,并且这两个故障没有因果关系。
SafeTpack 理论介绍_2
舊梦的博客
12-01 1516
SafeTpack 符合ISO26262:2018第2、6、8、9和10部分的要求,是根据ISO26262-10开发的SEooC的软件。SafeTpack 实现了AURIX TC3xx Safety manual [3]中的ESM和SMC,以及 TLF35584 Safety Manual [4]中的部分安全机制。
TC3xx safeTpackage学习笔记
最新发布
weixin_42326280的博客
02-26 624
介绍英飞凌TC3xx芯片的功能安全开发中涉及的MCU自检,本工程基于HTX的开发包。
AURIX2G_SafeTpack_Basic_V1.2.17.2.exe
07-11
AURIX2G_SafeTpack_Basic_V1.2.17.2.exe
SafeTpack ——基于AURIX™ 2G实现功能安全目标
经纬恒润的官方博客
11-17 2695
SafeTpack是任何基于英飞凌AURIXTM 第二代微控制器的安全相关系统中必不可少的元素。按照道路车辆功能安全标准ISO 26262的定义,AURIXTM微控制器硬件和SafeTpack软件可作为电子/电气系统的组成部分一起使用。SafeTpack由Hitex公司根据ISO 26262-10作为独立安全单元(SEooC)研发,Hitex公司于1976年在德国成立,为客户提供嵌入式开发工具及解决方案,自2003年起成为英飞凌集团的一部分。 产品介绍 外部设备依赖于应用程序,如果要正确地实现AURIXTM
SafeTpack — 基于 AURI 2G 实现功能安全目标
经纬恒润的官方博客
03-28 1396
SafeTpack 是基于英飞凌 AURIX™第二代微控制器的安全相关系统中必不可少的元素。按照道路车辆功能安全标准ISO 26262 的定义,AURIX™ 微控制器硬件和 SafeTpack 软件可作为电子 / 电气系统的组成部分一起使用。SafeTpack 由 Hitex 公司根据 ISO 26262-10 作为独立安全单元(SEooC)研发,Hitex 公司于 1976 年在德国成立,为客户提供嵌入式开发工具及解决方案,自 2003 年起成为英飞凌集团的一部分。 产品介绍 外部设备依赖于应用程序,如果
SafeTpack 理论介绍_1
舊梦的博客
11-30 2203
A2G SafeTpack包含4个主要部分:1)测试库 / 测试处理程序。2)内部 / 外部安全看门狗接口和相关驱动程序。3)签名监视器 / 错误上报系统。4)安全管理单元(SMU)驱动(由IFX提供)。A2G SafeTpcak作为一个独立的复杂驱动程序包,AUTOSAR不存在绑定关系,可以独立使用。
英飞凌AURIX SafeTpack配置入门
大屋
10-24 1929
安全管理模块(Safety Management Unit)是实现AURIX安全措施的核心组件,负责监控微控制器内部的多个关键功能,包括电源、时钟系统、和内存等,以确保系统运行可靠。(1)故障检测:检测系统中的各种潜在故障,如欠压、过压、温度异常、时钟失效、内存错误、总线错误等。(2)故障配置:根据报警的严重性,可单独配置每个故障触发的内部动作、向外部通知故障,并保存故障标志。
standardized-e-gas-monitoring-concept-for-gasoline-CN.pdf
09-29
1. E-Gas监测概念的标准化:E-Gas监控概念涉及汽油和柴油发动机控制单元的电子气体监测,主要是对发动机的电子控制单元(ECU)进行标准化,以确保发动机控制系统的功能安全。 2. 功能安全概念:E-Gas监控概念强调...
功能安全】E-GAS架构设计
weixin_36460584的博客
10-21 476
EGAS(E-Gas架构是一种三层安全架构,最初由博世公司提出,并被广泛应用于发动机控制系统以及其他车载控制器中,以满足功能安全的要求E-GAS架构来自文档文档链接:https://www.team-bhp.com/forum/attachments/technical-stuff/1579940-how-safe-modern-engine-control-modules-ecm-ak-egas-v5-5-en-130705.pdf主要针对的是汽油和柴油发动机控制单元的监控概念。
功能安全基于模型的设计开发v2
04-30
MathWorks小型研讨会资料,主要用于基于模型的设计开发,以及对应的2018版ISO-26262对软件的设计要求
BMS功能安全软硬件架构及其流程.pptx
05-29
BMS功能安全软硬件架构及其流程
AK-EGAS-v6 三层安全架构 最新标准
05-17
从基础的系统定义、危害风险分析、功能安全到具体的技术安全概念,以及不同等级监控概念的详细规划,这些措施共同构成了一个全面的三层安全架构,既符合ISO 26262标准,也适用于现代汽车的电子控制系统的安全需求。...
最新完整版标准 ISO 11114-5-2022 Gas cylinders 5_ Test methods for eval
04-12
最新完整版标准 ISO 11114-5-2022 Gas cylinders - Compatibility of cylinder and valve materials with gas contents - Part 5_ Test methods for eval.pdf
虚拟化技术应用于E-GAS安全架构
02-03
汽车行业中,虚拟化技术的应用越来越广泛,尤其是在电子控制单元(ECU)的集成功能安全架构的设计上。E-GAS是电子控制燃油喷射系统(Electronic Control Gas Injection System)的缩写,而在本文档中,E-GAS被...
Infineon Aurix 系列网络安全概述
ppyang395942297111的博客
03-08 1276
1999年,英飞凌推出了第一代AUDO(汽车统一处理器)系列。基于统一的以RISC/MCU/DSP处理器为核心,这款32位TriCore™微控制器是一款强大的计算机器。其不断改进和优化TriCore的概念,最终形成了现在的第六代TriCore™,由于其高实时性能,嵌入式安全和安全功能,TriCore™系列是广泛的汽车应用的理想平台,在这里我们主要对AURIX TC3xxx系列网络安全部分进行总结整理。 硬件安全 HSM 在Infineon AURIX 系列 32位控制器中,嵌入了硬.........
功能安全】【AutoSAR】 AURIX SafeTlib软件包功能
专注汽车软件开发、AutoSAR、车载以太网、SOA、EE架构。
08-09 3987
目录 一、SafeTlib软件包主要功能介绍 二、SafeTlib软件包架构图 三、SafeTlib复杂驱动 四、总结 一、SafeTlib软件包主要功能介绍 SafeTlib是英飞凌提供的功能安全测试库,英 飞 凌 的 A U R IX 系列单片机内部集成了用以检测单点故障的硬件安全机制, SafeTlib 则提供了检测这些的硬件安全机制是否正确工作的方 法; SafeTlib软件包括如下部分: (1)检查警报路径的诊断测试; (2) 检测硬件安全机制错误的测试; (3) 检测单点..
基于功能安全的车载计算平台开发:软件层面
qq_41854911的博客
11-30 1091
已剪辑自: https://mp.weixin.qq.com/s/SIBvH8u–vCk6W28KrPBmA车载智能计算平台作为智能汽车的安全关键系统,软件层面的安全性至关重要。由于车载智能计算平台功能丰富,应用场景复杂,对软件的实时性、安全性、可靠性要求极高,应通过技术和流程两个方面保障软件的功能安全。技术上确保软件层级的每个功能安全相关软件节点都有相应的故障监测和处理机制,流程上按照软件安全生命周期模型规范软件开发过程。基于参考阶段模型,为软件层面产品开发进行生命周期的剪裁。**车载智能计算平台软件安全
电驱系统所采用的E-GAS三层功能安全架构中,第一层和第二层是否会采用相同的传感器输入?
07-15
在电驱系统采用E-GAS(Electric Throttle Control)三层功能安全架构中,第一层和第二层通常不会采用相同的传感器输入。 E-GAS三层功能安全架构一般包括以下三个层次: 1. 第一层:执行层(Execution Layer)- 这是电驱系统的最底层,负责执行实际的电子油门控制操作。第一层通常会使用冗余的传感器输入,例如采用两个或更多的油门位置传感器来监测油门踏板的位置,以确保精确的控制。 2. 第二层:监控层(Monitoring Layer)- 第二层对第一层的执行操作进行监控和验证。它会第一层共享传感器输入,并根据这些传感器的数据进行比较和验证。如果第二层检测到第一层存在错误或不一致的情况,它将采取适当的措施,例如向飞机系统发送警告或切断电子油门控制。 3. 第三层:故障监测层(Fault Monitoring Layer)- 第三层用于监测整个电驱系统的状态和性能。它会接收第一层和第二层的数据,并进行故障检测和故障处理。如果第三层检测到电驱系统存在故障或性能下降的情况,它将采取适当的措施,例如向飞机系统发送警告或切断电子油门控制。 因此,为了确保系统的可靠性和安全性,第一层和第二层通常会使用独立的传感器输入。这样可以通过比较和验证不同的传感器数据来检测和纠正潜在的错误或故障,并确保精确的电子油门控制操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

梅尔文

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值