03、执行器的安全机制
执行器的监控通常分为两类。
1) 一种是不介入执行器的常规运作,以“旁观者”的角度进行监控。该类监控可实现在线监控(时域表现)和物理参数监测(以“旁观者”的角度进行监控),比如常见的位置传感器,用来监控电机(执行器)是否将目标物推动到相应的位置。
2) 一种是以测试模式为主要方式进行监控。该类监控比较适合那些平时不用运动的执行器,比如在车辆启动的时候或者非工作区间周期性地让执行器做特定的动作,以判断其是否正常。
04、线束连接的安全机制
1. HVIL (高压互锁)
对于高压线束来说,如果其高压回路的完整性遭到破坏,容易引发非预期的高压暴露,从而发生电击伤害事故。所谓高压互锁,是指用低压信号来监视高压回路的完整性。典型的 HVIL 连接器结构如图5-12所示。通过使用一套比高压先接通、后断开的低压信号来检查所有与高压线束相连的各组件的电气连接完整性,如图5-13所示。比如,当高压回路完整时,低压信号读到12V的电压值;当高压回路不完整时,低压回路也不完整,电流传递不到被读取的位置,因此读到的电压值为0V。
图 5-12 典型的HVIL连接器结构
2. 接插件在位检测
对于接插件中包含通信信号的,可以通过通信信号适时与否来判断接插件是否有问题。但是,对于某些系统中没有通信信号的接插件,可以通过接插件在位检测来实现诊断需求。一种方法是选取接插件公头或者母头最靠边的两个引脚,分别让它们串联一个电阻到地。然后在对应的母头或者公头的引脚上也串联一个电阻到参考电压,如图5-14所示。采集这些引脚的电压值,如果接插件松动,那么被采集的电压会被拉到参考电压。通过电压的变化可以判断接插件是否在位。
图 5-13 HVIL 连接器的互锁方案示意图
图 5-14 接插件在位检测方案
#05
E2E(End-to-End) 保护是一种端到端的通信保护机制。这里的“端到端”既包括控制器与控制器(比如CAN/Ethernet)之间,也包括控制器内部模块与模块(比如RTE模块)之间。
注意,E2E 通常被认为属于功能安全的范畴,而非信息安全的范畴,在传输中不加密,而是明文传输。E2E 主要是保证数据不被破坏,系统正常执行。
AUTOSAR 提供了一系列E2E配置文件,每种配置文件都有特定的机制、参数和数据格式。设计人员需要根据信号数量的多少和安全要求的高低进行配置文件的选择。举例来说,对于ASILD 的长数据,OEM 通常会选择配置文件4。但无论如何,大家都是在下面这几种机制中进行选择和组合。
RC: 发送方基于数据计算一组校验码,随数据发送给接收方。
计数器:在每次传输请求时,发送方递增计数,接收方检查计数器值是否有递增。
监控:通过接收方计数器的值是否增加来最终确定。
据ID:每个发送方及对应的接收方端口都有一个唯一的数据ID,用于CRC 计算。
有些初学者可能会以为CRC就是E2E,这里澄清一下,CRC 是一种方法,只是E2E 保护机制中的一种。
来源:汽车电子与软件 作者:SASETECH社区
