Artikel tentang reka bentuk keselamatan berfungsi pengawal domain pemanduan autonomi lanjutan

Proses reka bentuk pengawal domain pusat pemanduan autonomi lanjutan memerlukan pemahaman penuh tentang prinsip reka bentuk keselamatan, kerana dalam reka bentuk awal, sama ada seni bina, perisian, perkakasan atau komunikasi, adalah perlu untuk memahami sepenuhnya peraturan reka bentuknya untuk menggunakannya sepenuhnya Ia memberikan kelebihan yang sepadan sambil mengelakkan masalah reka bentuk tertentu.

Reka bentuk keselamatan fungsian pengawal domain mewah yang kita bicarakan di sini terutamanya merujuk kepada analisis senario yang terlibat dalam jangkaan keselamatan berfungsi dalam pembangunan bahagian hadapan dan semua sub-item yang terlibat di belakang -akhir keselamatan berfungsi. Pertama, tahap asas perkakasan digunakan sebagai titik asas sambungan, dan keseluruhan komunikasi seni bina sistem dan penghantaran aliran data direalisasikan melalui hujung komunikasi data Perisian dibakar ke dalam perkakasan, menggunakan perkakasan sebagai pembawa, dan unit komunikasi bertanggungjawab untuk memanggil modul antara satu sama lain. Jadi untuk bahagian reka bentuk keselamatan pengawal domain. Dari perspektif analisis keupayaan keselamatan kenderaan, proses analisis utama juga merangkumi tiga aspek berikut: Analisis Teori Sistem STPA (Analisis Proses Teori Sistem), Mod Kegagalan dan Analisis Kesan FMEA, dan Analisis Pokok Fault (FTA).

Untuk pengawal domain di teras seni bina, tahap keselamatan berfungsi yang sangat kuat terlibat. Kami secara amnya boleh membahagikannya kepada tiga peringkat: keselamatan komunikasi data, keselamatan asas perkakasan dan keselamatan asas perisian. Proses analisis khusus perlu mempertimbangkan sepenuhnya beberapa aspek termasuk keselamatan berfungsi pada peringkat asas perkakasan, keselamatan berfungsi pada peringkat perisian asas, dan keupayaan komunikasi data, dan analisis setiap aspek perlu menyeluruh.

Keselamatan komunikasi data​

Tamat komunikasi, apabila sambungan dan aliran masuk dan keluar data berakhir, memainkan peranan penting dalam keseluruhan sistem komunikasi seni bina Pada peringkat komunikasi data, keperluan keselamatan berfungsi terutamanya merujuk kepada mekanisme integriti data umum, mekanisme pengiraan dalam talian (Rolling Counter), penyegaran semula data diagnostik sistem, maklumat cap masa (Time Stamp), limpahan masa (CheckSum), kebenaran pengurusan. kod, data Lebihan, get laluan dan aspek utama lain. Antaranya, untuk komunikasi data, seperti pengiraan dalam talian, diagnosis, pengesahan limpahan masa, dsb. adalah konsisten dengan isyarat Canbus titik-ke-titik tradisional, manakala untuk pemanduan autonomi generasi seterusnya, redundansi data, pengoptimuman pengurusan gerbang pusat, dan kebenaran data Akses, dsb. adalah bidang yang perlu diberi tumpuan.

Keperluan keseluruhan mereka untuk keselamatan berfungsi adalah seperti berikut:

Tahap asas perkakasan

Keperluan keselamatan fungsional di peringkat perkakasan asas terutamanya merujuk kepada beberapa modul utama seperti modul mikropengawal, modul storan, sokongan bekalan kuasa dan komunikasi data bersiri.

Keselamatan modul mikropengawal​

Mikropengawal di sini adalah apa yang sering kita panggil AI chip (SOC), floating point operation Chip (GPU) dan cip pengkomputeran logik (MCU) ialah unit pengkomputeran utama yang dijalankan pada pengawal domain sisi kenderaan. Dari perspektif reka bentuk keselamatan berfungsi, pelbagai jenis modul mikropengawal termasuk modul reka bentuk umum, pengesahan teras langkah kunci (termasuk perbandingan teras langkah kunci, ujian kendiri teras langkah kunci), pengesahan jam (termasuk perbandingan jam, jam Kendiri). ujian), pemantauan aliran program, pemantauan degupan jantung, fungsi pengawas perkakasan, perlindungan gangguan, pemantauan memori/denyar/daftar/ujian kendiri, pemantauan bekalan kuasa dan ujian kendiri, perlindungan komunikasi, dsb.

Perlu diingatkan bahawa mikropengawal harus memberikan isyarat pensuisan berkala "degupan jantung aktif" kepada unit pemantauan melalui wayar keras. Penukaran isyarat harus diuruskan oleh badan pemerhati keselamatan yang turut menyediakan keupayaan pemantauan aliran program. Pengawas keselamatan hanya dibenarkan menogol "degupan jantung aktif" semasa perkhidmatan pengawas. Perisian keselamatan mikropengawal kemudiannya harus menogol "degupan jantung aktif" setiap kali pengawas keselamatan dalaman diservis, yang menunjukkan kepada unit pemantauan bahawa mikropengawal sedang berjalan dan pemasa pengawas keselamatan sedang berjalan. Latar belakang sistem harus memantau isyarat pensuisan "degupan jantung aktif" dengan menyemak sama ada masa penukaran isyarat dan keadaan tinggi dan rendah berada dalam julat yang sah. Setelah kegagalan "degupan jantung aktif" dikesan, SMU mengaktifkan penurunan taraf keselamatan.

Untuk program pengawas, ujian perlu dilakukan semasa pemulaan sistem untuk mengelakkan kemungkinan kegagalan. Jenis kerosakan berikut harus diuji semasa proses:

- masa pencetus pengawas yang salah (dicetuskan dalam tetingkap tertutup); tiada pencetus pengawas;

Keselamatan modul storan

Modul storan adalah sebahagian daripada keseluruhan kawalan domain Semasa keseluruhan proses operasi cip, ia digunakan terutamanya untuk Penyimpanan fail sementara dan biasa digunakan, serta pertukaran data semasa proses operasi Contohnya, program permulaan sistem pengendalian kami disimpan dalam unit storan pemalam SOC/MCU, dan sebagai contoh, produk pemanduan autonomi generasi seterusnya kami mesti. gunakan pemanduan/ Tempat letak kereta peta berketepatan tinggi biasanya disimpan dalam unit storan yang dipalamkan ke dalam cip, dan beberapa fail diagnostik dan log dalam perisian asas juga disimpan dalam cip pemalam kami. Jadi apakah syarat yang perlu dipenuhi untuk keseluruhan unit storan untuk memastikan keadaan keselamatan berfungsi yang sesuai? Lihat rajah di bawah untuk penjelasan terperinci.

Keselamatan keseluruhan unit storan terutamanya termasuk pemantauan daftar, unit storan am, RAM/memori ECC, ujian kendiri ECC, redundansi kilat, perlindungan tulis daftar, perlindungan julat, daftar diri -ujian, dsb. Banyak aspek.

Integriti bekalan kuasa

Ujian kaedah keselamatan integriti bekalan kuasa terutamanya melalui keseluruhan kuasa status operasi bekalan. Ia dijalankan melalui suntikan kerosakan dan pemantauan masa nyata.

Contoh kaedah ujian adalah untuk mengkonfigurasi ambang pemantauan yang lebih tinggi atau lebih rendah untuk memaksa monitor mengesan kerosakan undervoltage atau overvoltage dan mengesahkan bahawa kerosakan itu dikesan dengan betul. Apabila kerosakan disuntik, monitor kuasa harus mengaktifkan laluan penutupan tambahan. Pengawal mikro harus memantau laluan penutupan tambahan dan hanya menganggap ujian sebagai "lulus" jika laluan penutupan tambahan berkelakuan seperti yang diharapkan dalam prosedur ujian, jika tidak, ia akan dianggap "gagal". Sebaik sahaja kegagalan dikesan, mikropengawal mengaktifkan kemerosotan keselamatan. Ujian ini disokong oleh fungsi BIST khusus dan mesti dikonfigurasikan oleh perisian mikropengawal mengikut prosedur terperinci.

Keselamatan asas perisian​

Pertimbangan reka bentuk berkenaan tahap keselamatan perisian asas, terutamanya untuk kenderaan- dipasang Pertimbangan menyeluruh tentang kemungkinan kegagalan perisian semasa pembangunan perisian pemanduan pintar. Ini termasuk reka bentuk dokumen perisian, bahasa dan gaya perisian, pembolehubah kritikal keselamatan, pengesanan dan pembetulan kesalahan, seni bina perisian, kod kritikal keselamatan, pemantauan aliran program, pengurusan perubahan dan aspek utama lain. Penerangan reka bentuk perisian pada semua peringkat harus menggunakan bahasa semula jadi untuk menentukan tujuan model atau kod. Sebagai contoh, apabila kebebasan antara berbilang pembolehubah adalah penting untuk keselamatan sistem, pembolehubah ini tidak boleh digabungkan menjadi satu elemen data menggunakan alamat awam pembolehubah. Ini boleh membawa kepada kegagalan sistematik mod biasa yang melibatkan semua elemen dalam struktur. Jika pembolehubah telah dikumpulkan, justifikasi yang sesuai harus dibuat untuk fungsi kritikal keselamatan.

Artikel ini bermula dari perspektif keselamatan berfungsi dan menganalisis secara terperinci elemen dan proses komprehensif keseluruhan reka bentuk pengawal domain pemanduan autonomi dari pelbagai aspek . Antaranya ia merangkumi pelbagai aspek seperti asas perkakasan, kaedah perisian, komunikasi data dan sebagainya. Keupayaan reka bentuk keselamatan berfungsi ini menumpukan pada keseluruhan peringkat seni bina sambil turut memberi perhatian penuh kepada perkaitan antara komponen dalamannya untuk memastikan pematuhan dan integriti proses reka bentuk dan mengelakkan akibat yang tidak dapat diramalkan pada peringkat akhir reka bentuk. Oleh itu, sebagai peraturan reka bentuk keselamatan terperinci, ia boleh memberikan rujukan yang diperlukan untuk jurutera pembangunan.

Atas ialah kandungan terperinci Artikel tentang reka bentuk keselamatan berfungsi pengawal domain pemanduan autonomi lanjutan. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!