汽車(chē)控制系統效能升級！FlexRay網(wǎng)絡(luò )標準詳解

　　步驟3：若應用在車(chē)輛發(fā)生碰撞事故之后還能夠繼續工作，系統的碰撞靈敏節點(diǎn)應分布在不同的分支上（見(jiàn)圖3）。這樣一來(lái)，一旦線(xiàn)纜被擠壓或被鉗位在一個(gè)差分電壓上，只有受影響的分支的數據傳輸被中斷，但主動(dòng)星型將保證網(wǎng)絡(luò )中其它分支的通訊不受影響。

　　圖1

　　圖2

　　圖3

　　步驟4：鑒于共振的出現，暴露在非常惡劣的RF場(chǎng)中的節點(diǎn)或布線(xiàn)也應該分布到不同的分支上（見(jiàn)圖4）。在線(xiàn)纜兩端各利用一個(gè)？？終端（FlexRay電氣物理層規范v2.1修訂版B），把RF感應電流轉移到接地位。這就使得線(xiàn)纜上的共模電壓幅度更低，同時(shí)不影響與其它分支相連接的節點(diǎn)。因此，接收到的數據流中的抖動(dòng)可以控制在合理的范圍內。

　　圖4

　　步驟5：為了確保在線(xiàn)纜兩端始終有合適的終端（見(jiàn)圖5），中繼電纜的末端節點(diǎn)不應是可選節點(diǎn)。節點(diǎn)的電氣位置沿線(xiàn)纜的移動(dòng)不得致使線(xiàn)纜長(cháng)度超過(guò)10米過(guò)多。在非可選節點(diǎn)上，可引入短的stub（《1米）。即使有更大的靈活性，主動(dòng)星型也不必在線(xiàn)纜度終端處。

　　圖5

　　驗證與優(yōu)化

　　遵照這五個(gè)步驟，有助于構建在電子特性方面穩健的FlexRay拓樸結果。建議進(jìn)行仿真以對定義后的拓樸做進(jìn)一步驗證和優(yōu)化。開(kāi)采用蒙特卡羅（Monte-Carlo）仿真法來(lái)估算線(xiàn)束、產(chǎn)量范圍以及依賴(lài)于收發(fā)器和主動(dòng)星型的溫度等各項制造公差。

　　此外，FlexRay聯(lián)盟已推出了一種涵蓋線(xiàn)束趨膚效應在內的復雜完善的線(xiàn)纜模型。在支持汽車(chē)制造商引入FlexRay的同時(shí)，NXP也在不斷提高自己在FlexRay拓樸仿真領(lǐng)域的專(zhuān)業(yè)能力。

　　關(guān)于FlexRay應用的終端、線(xiàn)纜和連接器的更多信息可參見(jiàn)FlexRay電氣物理層規范v2.1修訂版B。電氣物理層應用說(shuō)明v2.1修訂 版B給出了一些有關(guān)拓樸設計的建議。這兩份規范都可通過(guò)FlexRay聯(lián)盟網(wǎng)站獲得。至于TJA1080 FlexRay收發(fā)器的技術(shù)細節，可查詢(xún)NXP網(wǎng)站。

　　在汽車(chē)中采用電子系統已經(jīng)有幾十年的歷史，它們使汽車(chē)安全、節能與環(huán)保方面的性能有大幅度的提高。隨著(zhù)研究的深入，許多系統需要共享和交換信息，為了節省 線(xiàn)纜，就形成了依賴(lài)于通信的分布式嵌入系統。目前，世界上90%的都采用基于CAN總線(xiàn)的系統。FlexRay是下一代通信協(xié)議事實(shí)上的標準，它的功能安 全性如何是至關(guān)重要的。

　　1 引起系統安全風(fēng)險的通信故障

　　通信故障有5種表現形式，第1種是造成值域的錯誤。第2種是造成時(shí)域的錯誤，這是工業(yè)不同于民用的部分。一條消息不能在預定的時(shí)限前送達就失去了實(shí)用 意義，例如與安全氣囊引爆有關(guān)的傳感器消息不能在數ms內送達就引起安全問(wèn)題。在多播或廣播通信中還有第3種錯誤：數據完整性錯（拜占庭錯），即各節點(diǎn)收到的結果不一致。它會(huì )引起系統性的失效，應對的策略必須將所有有關(guān)節點(diǎn)同時(shí)考慮。第4種是系統崩潰，除硬件失效外，也有干擾或軟件引起的，例如饒舌錯（babbling idiot）阻止通信。第5種是丟幀，短時(shí)間失效，例如可恢復的離線(xiàn)或bug引起的等效離線(xiàn)狀態(tài)，又如小集團錯。

　　2 通信的容許失效率

　　在通信故障對系統安全影響的分析上，參考文獻提供了一種方法，根據瞬態(tài)干擾出現的可能長(cháng)度，計算通信失效的時(shí)段長(cháng)，在假定的通信失效率下，推出系統的 失效率。在該實(shí)例中，路段上電場(chǎng)超100 V/m的區間有可能引起通信失效，失效率近似5×10-3，車(chē)速為90 km/h，識別出的可能失效時(shí)間約74 s。通信以6 ms為周期，連續7個(gè)周期丟幀視為系統失效，在此條件下系統失效率為1.640 9×10-10，認為可以達到SIL4的安全要求。這種分析方法是有效的，但是假設的條件太多，例如：誤碼率有很大的變化區間；幀長(cháng)的變化影響一次傳送的失效率；干擾持續時(shí)間的假定；連續丟7幀也與應用的場(chǎng)合有關(guān)，對90 km/h的車(chē)42 ms的失控對剎車(chē)系統而言有約1 m的距離，恐怕對撞擊的后果有完全不同的評估；還假設SIL4完全分配給通信，將CPU與軟件有關(guān)的部分失效率忽略不計，在軟件規模越來(lái)越大的今天，這個(gè)假設是不合理的。另一方面，決定系統失效率時(shí)還應考慮其他的通信故障形式，例如出現小集團錯到發(fā)生沖突的時(shí)間取決于相對的時(shí)鐘漂移，越精確，其間時(shí)間越 長(cháng)，失效的時(shí)間就越長(cháng)，參考文獻中在人為制造出小集團后需300 ms才發(fā)現沖突，遠遠超出上述的42 ms。所以一般討論系統安全的文章中都單獨規定通信的失效率是相應安全等級失效率的1/100。

　　3 影響通信失效率的因素

　　功能安全等級與故障檢測的覆蓋率有關(guān)，如果有的故障未被檢查到（未認識到或做不到），當然那種失效情景就不可能計算在內，安全等級的劃分就有錯。

　　參考文獻介紹了SFF（Safety Failure Fraction）的概念：失效分為引起危害的失效和安全失效，它們又各分為能檢測出和未檢測出兩種。安全失效比例SFF是能檢測出危害失效與安全失效在總的失效中的份額。診斷覆蓋率DC（Diagnostic Coverage）是能檢測出的危害失效占總危害失效的份額?？蓪С鯯FF與DC有線(xiàn)性關(guān)系。而SFF又與SIL有關(guān)。IEC61508的SIL等級與 SFF有關(guān)，在SFF占90%~99%時(shí)SIL3可容許1個(gè)故障。因此DC也決定了能達到的SIL等級。根據有關(guān)文章介紹，瞬態(tài)故障的概率比硬件失效概率 大2個(gè)數量級，因此可大致推斷瞬態(tài)故障診斷覆蓋率應達到90%~99%。危害失效可能由通信失效引起，診斷覆蓋率也就成了評價(jià)通信協(xié)議的重要一環(huán)。

　　在通信中，由于CRC有漏檢，這是明顯的診斷未覆蓋區，診斷未覆蓋率就相當于錯幀漏檢率，例如CAN的錯幀漏檢。

　　在通信中發(fā)生值域錯或時(shí)域錯而丟幀是能診斷出的危害失效（這是本文分析的主要對象）。而假冒錯、拜占庭錯等應屬于未檢測出的危害失效。發(fā)生小集團錯時(shí) 既可能產(chǎn)生丟幀，也可能產(chǎn)生拜占庭錯。CAN的等效離線(xiàn)失效也屬于未覆蓋的診斷引起的危害失效。要計算這些未覆蓋的診斷引起的危害失效占總危害失效的比例 還相當困難，因為確定故障概率模型很難。但從定性上講，只有盡量排除假冒錯、拜占庭錯和小集團錯，才能使診斷覆蓋率提高（SIL等級提高）。

　　關(guān)于FlexRay的缺點(diǎn)或弱點(diǎn)，參考文獻提到物理層連接的困難，影響到信號完整性，實(shí)際上能較易使用的是有源星型，但這帶來(lái)成本的提高；cycle設計 約束多，帶來(lái)困難；同步和啟動(dòng)節點(diǎn)配置與容錯有關(guān)，是挑戰；由于資源有限，升級演進(jìn)時(shí)很困難（并非像以前強調時(shí)間觸發(fā)協(xié)議的 composability優(yōu)點(diǎn)——筆者注）。參考文獻介紹了在FlexRay中產(chǎn)生各自獨立的時(shí)鐘同步小集團的可能性，也就是說(shuō)雖然各節點(diǎn)都在通信，但 是2個(gè)集團間無(wú)有效通信，是一種故障狀態(tài)。解決辦法是用3個(gè)冷啟動(dòng)節點(diǎn)、3個(gè)同步節點(diǎn)，但是這與時(shí)間同步容錯的要求矛盾。還有就是將調度表排滿(mǎn)，以免形成 小集團，這也與留有余地供將來(lái)升級擴充的要求矛盾?？傊袩o(wú)徹底解決方案。再有就是時(shí)鐘可能產(chǎn)生同向漂移，與應用時(shí)鐘的差造成幀未能就緒或覆蓋引起漏幀。