系統(tǒng)安全架構(gòu)設(shè)計(jì)的案例
淺談系統(tǒng)安全架構(gòu)設(shè)計(jì)
對(duì)于一個(gè)系統(tǒng),架構(gòu)設(shè)計(jì)通常決定了該系統(tǒng)的整體性能表現(xiàn),而功能安全標(biāo)準(zhǔn)對(duì)架構(gòu)設(shè)計(jì)的要求及安全分析方法論引用比較復(fù)雜,如何在系統(tǒng)設(shè)計(jì)之初,合理并充分的考慮其安全設(shè)計(jì)成為了當(dāng)前很多同行在做安全設(shè)計(jì)的一個(gè)難點(diǎn)。
筆者從事功能安全領(lǐng)域工作八年有余,有過多家外企合資企業(yè)的三電系統(tǒng),ADAS系統(tǒng)相關(guān)產(chǎn)品的安全開發(fā)設(shè)計(jì)經(jīng)驗(yàn)。此次受SESETECH安全技術(shù)論壇邀請(qǐng),結(jié)合個(gè)人經(jīng)驗(yàn)分享一下對(duì)系統(tǒng)安全架構(gòu)設(shè)計(jì)的淺薄理解,希望能夠解決部分同行對(duì)于安全架構(gòu)設(shè)計(jì)的痛點(diǎn)。限于個(gè)人認(rèn)知,此文僅供各位同行交流討論,不針對(duì)任何企業(yè)或者產(chǎn)品安全提出設(shè)計(jì)建議。
內(nèi)容框架:
安全架構(gòu)設(shè)計(jì)必須了解的術(shù)語及安全方法說明
E-GAS三層架構(gòu)的理解及使用約束
ADAS系統(tǒng)安全架構(gòu)設(shè)計(jì)及安全等級(jí)的分解
02
安全架構(gòu)設(shè)計(jì)必須了解的
術(shù)語及安全方法說明
在ISO 26262的第三部分,第四部分及第九部分,提到了很多關(guān)于系統(tǒng)或者相關(guān)項(xiàng)的安全術(shù)語,包括故障類型判斷,安全分解策略,故障控制/避免措施,等。如何正確地理解并應(yīng)用這些術(shù)語及背后的方法論,對(duì)于安全架構(gòu)設(shè)計(jì)尤為重要。本文主要針對(duì)涉及到系統(tǒng)安全架構(gòu)設(shè)計(jì)的必要術(shù)語進(jìn)行一些系統(tǒng)性闡述,幫助大家理解其中關(guān)系。
故障控制措施(Fault control)
和故障避免措施(Fault avoidance)
在功能安全標(biāo)準(zhǔn)或者一些教學(xué)中,經(jīng)常會(huì)提到系統(tǒng)性失效和隨機(jī)硬件失效兩個(gè)概念作為電子電氣系統(tǒng)的兩大失效來源。
展開 周界防范系統(tǒng)包含哪些子系統(tǒng)?系統(tǒng)架構(gòu)如何?系統(tǒng)如何設(shè)計(jì)?
周界防范系統(tǒng)的應(yīng)用很廣泛,只要涉及到周界入侵防范的,都需要設(shè)置這個(gè)系統(tǒng),有的設(shè)置電子圍欄,有的設(shè)置主動(dòng)紅外報(bào)警,有的設(shè)置警戒攝像機(jī)等等,今天分享一套全面的周界防范系統(tǒng)設(shè)計(jì)方案,涉及到各個(gè)周界子系統(tǒng),可以參考一下。
終將渡過成長(zhǎng)的海
01
正文
第 一 章周界防范子系統(tǒng)
1.1系統(tǒng)概述
周界防范主要在園區(qū)周界,如圍墻、柵欄、樹林、邊界、河邊等場(chǎng)景中,通過各種技術(shù)手段一旦發(fā)現(xiàn)布防區(qū)域中的異常情況,系統(tǒng)能夠以最快和最佳的方式發(fā)出警報(bào)并提供有用信息,從而能夠更加有效的協(xié)助安保人員處理危機(jī),最大限度的降低誤報(bào)和漏報(bào)現(xiàn)象,切實(shí)提高布放區(qū)域的安全防范能力,是園區(qū)安防系統(tǒng)的第一道防線。
1.2系統(tǒng)設(shè)計(jì)
1.2.1系統(tǒng)架構(gòu)
周界防范子系統(tǒng)由前端報(bào)警、傳輸網(wǎng)絡(luò)、管理中心組成。其中前端報(bào)警部分包括周界入侵探測(cè)器和防區(qū)脈沖主機(jī)以及報(bào)警主機(jī)。報(bào)警主機(jī)到管理中心的傳輸網(wǎng)絡(luò)可以是公共電話交換網(wǎng)(PSTN)、無線信道(CDMA/GSM)、Internet網(wǎng)絡(luò)等。管理中心則有管理計(jì)算機(jī)以及相應(yīng)軟件組成。
整體架構(gòu)如下圖所示:
圖1.周界防范系統(tǒng)架構(gòu)圖
1.2.2業(yè)務(wù)流程
周界防范的業(yè)務(wù)流程分為:當(dāng)有活動(dòng)目標(biāo)進(jìn)入布防區(qū)域時(shí),檢測(cè)設(shè)備開始檢測(cè)活動(dòng)目標(biāo),產(chǎn)生周界防范報(bào)警事件,并將事件上報(bào)給后中心平臺(tái);綜合安防管理平臺(tái)報(bào)警系統(tǒng)接收到事件后,可進(jìn)行事件查看,并通過平臺(tái)的聯(lián)動(dòng)模塊配置不同的聯(lián)動(dòng)方式。
展開 前沿 | 針對(duì)智能駕駛的預(yù)期安全系統(tǒng)架構(gòu)
結(jié)合上一段提到的幾個(gè)關(guān)鍵技術(shù),智能駕駛有了真正駕駛的技術(shù)支撐,而安全技術(shù)是自動(dòng)駕駛汽車能否真正在公共道路上行駛的前提。2011年發(fā)布的ISO26262《道路車輛功能安全》國(guó)際道路車輛功能安全標(biāo)準(zhǔn),為電子控制系統(tǒng)故障引起的安全風(fēng)險(xiǎn)提供了系統(tǒng)的解決方案。
由于自動(dòng)駕駛汽車可以獨(dú)立于駕駛員控制車輛的部分或全部行為,任何影響其感知、決策和執(zhí)行的因素都可能構(gòu)成車輛危險(xiǎn)。根據(jù)不同的風(fēng)險(xiǎn)來源和所需的安全技術(shù),比較分析見下表。
導(dǎo)致危害的因素
所需的安全技術(shù)
車輛因素
電子電氣系統(tǒng)的故障
功能安全
電子電氣系統(tǒng)功能的局限性
預(yù)期功能安全
環(huán)境因素
環(huán)境干擾
網(wǎng)絡(luò)攻擊
信息安全
系統(tǒng)功能限制
主要原因是設(shè)計(jì)開發(fā)過程中的系統(tǒng)功能定義不能完全滿足目標(biāo)市場(chǎng)的使用要求。對(duì)目標(biāo)場(chǎng)景的考慮不全面,導(dǎo)致系統(tǒng)無法準(zhǔn)確識(shí)別環(huán)境要素;功能仲裁邏輯不合理,導(dǎo)致系統(tǒng)決策錯(cuò)誤;執(zhí)行機(jī)構(gòu)響應(yīng)不足,導(dǎo)致運(yùn)動(dòng)控制偏離預(yù)期。
環(huán)境干擾
自動(dòng)駕駛受到路況、周邊事物、環(huán)境天氣等諸多因素的影響。如何克服環(huán)境干擾,可靠地執(zhí)行環(huán)境工作行車識(shí)別、駕駛決策和運(yùn)動(dòng)控制是確保安全駕駛的關(guān)鍵。預(yù)期安全系統(tǒng)源于預(yù)期功能安全(SOTIF)的概念,旨在為智能駕駛的感知、決策和控制系統(tǒng)(執(zhí)行響應(yīng))設(shè)計(jì)一種安全監(jiān)管系統(tǒng),以克服環(huán)境干擾,改善智能駕駛系統(tǒng)的局限性。建議的安全系統(tǒng)架構(gòu)如下圖所示。
展開 針對(duì)智能駕駛的預(yù)期安全系統(tǒng)架構(gòu)
導(dǎo)致危害的因素
所需的安全技術(shù)
車輛因素
電子電氣系統(tǒng)的故障
功能安全
電子電氣系統(tǒng)功能的局限性
預(yù)期功能安全
環(huán)境因素
環(huán)境干擾
網(wǎng)絡(luò)攻擊
信息安全
系統(tǒng)功能限制
主要原因是設(shè)計(jì)開發(fā)過程中的系統(tǒng)功能定義不能完全滿足目標(biāo)市場(chǎng)的使用要求。對(duì)目標(biāo)場(chǎng)景的考慮不全面,導(dǎo)致系統(tǒng)無法準(zhǔn)確識(shí)別環(huán)境要素;功能仲裁邏輯不合理,導(dǎo)致系統(tǒng)決策錯(cuò)誤;執(zhí)行機(jī)構(gòu)響應(yīng)不足,導(dǎo)致運(yùn)動(dòng)控制偏離預(yù)期。
環(huán)境干擾
自動(dòng)駕駛受到路況、周邊事物、環(huán)境天氣等諸多因素的影響。如何克服環(huán)境干擾,可靠地執(zhí)行環(huán)境工作行車識(shí)別、駕駛決策和運(yùn)動(dòng)控制是確保安全駕駛的關(guān)鍵。預(yù)期安全系統(tǒng)源于預(yù)期功能安全(SOTIF)的概念,旨在為智能駕駛的感知、決策和控制系統(tǒng)(執(zhí)行響應(yīng))設(shè)計(jì)一種安全監(jiān)管系統(tǒng),以克服環(huán)境干擾,改善智能駕駛系統(tǒng)的局限性。建議的安全系統(tǒng)架構(gòu)如下圖所示。
該安全系統(tǒng)預(yù)計(jì)將分為三個(gè)基本模塊:感知數(shù)據(jù)的處理、決策信息的確定和執(zhí)行器響應(yīng)的檢測(cè)。
展開 
從功能安全視角看軟件架構(gòu)設(shè)計(jì)
功能安全應(yīng)該如何考慮軟件架構(gòu),什么樣的架構(gòu)是符合功能安全標(biāo)準(zhǔn)要求的,對(duì)于軟件架構(gòu)工程師和功能安全工程師,很難在兩個(gè)方面都說得明白,本篇來從功能安全的角度談?wù)勡浖?em>架構(gòu)設(shè)計(jì)的基本要求。
首先,功能安全軟件的架構(gòu)設(shè)計(jì)是基于兩個(gè)層次的:
第一:
選取和建立一個(gè)層次分明,易于理解的軟件架構(gòu);
第二:
在第一條的基礎(chǔ)上,符合相應(yīng)功能安全等級(jí)要求的軟件設(shè)計(jì)要求。
接下來,以汽車功能安全標(biāo)準(zhǔn)ISO26262-6和軌道交通軟件功能安全標(biāo)準(zhǔn)EN50128作為基準(zhǔn),談?wù)剺?biāo)準(zhǔn)是如何從以上兩個(gè)層次來做出規(guī)定的。
軟件架構(gòu)階段的開始
軟件架構(gòu)設(shè)計(jì)是軟件生命周期的第二個(gè)階段,前面的階段是軟件需求階段(software requirements specification),在軟件需求設(shè)計(jì)時(shí),把整個(gè)軟件當(dāng)成一個(gè)黑盒處理,來確定該軟件的所有功能、性能,與硬件的接口定義,與外部其它系統(tǒng)的接口定義,而在軟件架構(gòu)階段,需要設(shè)計(jì)一種架構(gòu)來滿足軟件需求,通過層次化結(jié)構(gòu)的方式來表示軟件架構(gòu)的組件構(gòu)成和他們之間的交互方式。以下圖為例,虛線框之外是軟件需求,虛線框內(nèi)是軟件架構(gòu)。
什么是軟件組件
上面這個(gè)圖用于解釋軟件架構(gòu)所做的工作,將整個(gè)軟件劃分為功能和接口清晰的組件。
展開 從功能安全視角看軟件架構(gòu)設(shè)計(jì)
來源 | 薄說安全
功能安全應(yīng)該如何考慮軟件架構(gòu),什么樣的架構(gòu)是符合功能安全標(biāo)準(zhǔn)要求的,對(duì)于軟件架構(gòu)工程師和功能安全工程師,很難在兩個(gè)方面都說得明白,本篇來從功能安全的角度談?wù)勡浖?em>架構(gòu)設(shè)計(jì)的基本要求。
首先,功能安全軟件的架構(gòu)設(shè)計(jì)是基于兩個(gè)層次的:
第一:選取和建立一個(gè)層次分明,易于理解的軟件架構(gòu);
第二:在第一條的基礎(chǔ)上,符合相應(yīng)功能安全等級(jí)要求的軟件設(shè)計(jì)要求。
接下來,以汽車功能安全標(biāo)準(zhǔn)ISO26262-6和軌道交通軟件功能安全標(biāo)準(zhǔn)EN50128作為基準(zhǔn),談?wù)剺?biāo)準(zhǔn)是如何從以上兩個(gè)層次來做出規(guī)定的。
軟件架構(gòu)階段的開始
軟件架構(gòu)設(shè)計(jì)是軟件生命周期的第二個(gè)階段,前面的階段是軟件需求階段(software requirements specification),在軟件需求設(shè)計(jì)時(shí),把整個(gè)軟件當(dāng)成一個(gè)黑盒處理,來確定該軟件的所有功能、性能,與硬件的接口定義,與外部其它系統(tǒng)的接口定義,而在軟件架構(gòu)階段,需要設(shè)計(jì)一種架構(gòu)來滿足軟件需求,通過層次化結(jié)構(gòu)的方式來表示軟件架構(gòu)的組件構(gòu)成和他們之間的交互方式。以下圖為例,虛線框之外是軟件需求,虛線框內(nèi)是軟件架構(gòu)。
什么是軟件組件
上面這個(gè)圖用于解釋軟件架構(gòu)所做的工作,將整個(gè)軟件劃分為功能和接口清晰的組件。
展開 符合功能安全的Level2層VCU架構(gòu)設(shè)計(jì)
來源 |
電動(dòng)學(xué)堂
隨著軟件定義汽車的趨勢(shì)日益加強(qiáng),道路車輛電子電器系統(tǒng)滿足功能安全已經(jīng)成為基本要求。近期,在歐盟車輛型式批準(zhǔn)(typeapproval依據(jù)部分UNECE法規(guī))和我國(guó)車輛的CCC認(rèn)證中,對(duì)采用電子控制的轉(zhuǎn)向、制動(dòng)、動(dòng)力電池管理系統(tǒng)等也引入了功能安全要求。高效的軟件架構(gòu)設(shè)計(jì)顯然對(duì)功能安全的實(shí)施和落地起著引導(dǎo)性作用,所以電子電器系統(tǒng)滿足功能安全要求已經(jīng)成為產(chǎn)品基本屬性。
針對(duì)軟件架構(gòu)如何滿足功能安全要求,業(yè)內(nèi)人士紛紛借鑒了E-Gas架構(gòu),E-Gas最先被應(yīng)用于發(fā)動(dòng)機(jī)控制器EMS,由Level1功能層、Level2功能監(jiān)控層、Level3控制器監(jiān)控層三部分組成。國(guó)內(nèi)相關(guān)論文分別將E-Gas架構(gòu)應(yīng)用于各個(gè)控制功能中,其中專利、文獻(xiàn)、文獻(xiàn)、文獻(xiàn)、文獻(xiàn)都針對(duì)功能安全標(biāo)準(zhǔn)設(shè)計(jì)了整車控制器硬件和軟件,但并未涉及Level2軟件架構(gòu)。
因此,為了彌補(bǔ)E-Gas架構(gòu)未明確提出基于模型開發(fā)MBD的Level2軟件架構(gòu)的缺陷,且架構(gòu)設(shè)計(jì)要滿足高內(nèi)聚低耦合、合適的分層等功能安全要求,本文針對(duì)整車控制器VCU設(shè)計(jì)了一種Level2功能監(jiān)控層軟件架構(gòu),不但符合功能安全架構(gòu)設(shè)計(jì)要求,而且可應(yīng)用于其他ECU功能安全Level2設(shè)計(jì)中,有助于功能安全設(shè)計(jì)進(jìn)一步落地,降低實(shí)施難度。
一、VCU模型整體架構(gòu)
設(shè)計(jì)整車控制器VCU模型Level1、Level2架構(gòu),如圖1所示,包括時(shí)序調(diào)度、輸入信號(hào)、Level1、Level2和輸出信號(hào)模塊,需滿足功能安全可理解性、一致性、簡(jiǎn)單性、可驗(yàn)證性、模塊化、抽象化、封裝性、可維修性等架構(gòu)設(shè)計(jì)原則和要求。
展開 高級(jí)軟件架構(gòu)與系統(tǒng)設(shè)計(jì)
高級(jí)軟件架構(gòu)與系統(tǒng)設(shè)計(jì) 課程基礎(chǔ)信息 發(fā)布年份:2026年 總章節(jié)/課程數(shù):14個(gè)專項(xiàng)模塊、169節(jié)課程 總時(shí)長(zhǎng):7小時(shí) 文件大小:2.5GB 視頻編碼:h264,分辨率1280x720 音頻編碼:AAC,44.1千赫,雙聲道 課程語言:英語 學(xué)習(xí)收獲 掌握分布式
工廠視頻監(jiān)控系統(tǒng)架構(gòu)如何設(shè)計(jì)?
怎樣設(shè)計(jì)工廠的視頻監(jiān)控系統(tǒng)?工廠內(nèi)視頻監(jiān)控的系統(tǒng)結(jié)構(gòu)是什么?本文對(duì)工廠視頻監(jiān)控系統(tǒng)的設(shè)計(jì)方案進(jìn)行了探討。
終將渡過成長(zhǎng)的海
01
正文
一、系統(tǒng)概述
針對(duì)工廠智能化生產(chǎn)和辦公的實(shí)際需要,在車間、倉(cāng)庫(kù)、職能部門等各目標(biāo)部位安裝24小時(shí)監(jiān)控設(shè)備。
二、系統(tǒng)設(shè)計(jì)
全套高清攝像機(jī),支持?jǐn)z像和攝像功能;主機(jī)房配置核心交換機(jī),提供視頻大容量數(shù)據(jù)交換,核心交換機(jī)通過萬兆光纖連接到聚合層交換機(jī),匯聚層到接入層通過千兆光纖傳輸,接入層交換機(jī)提供百兆 POE以太網(wǎng)端口連接 HD攝像機(jī)(傳輸部分已經(jīng)包括在網(wǎng)絡(luò)通信中);視頻處理選擇監(jiān)控管理平臺(tái)軟件,配備監(jiān)控管理平臺(tái)服務(wù)器,將視頻存儲(chǔ)在網(wǎng)絡(luò)存儲(chǔ)陣列中,存儲(chǔ)陣列容量保證所有視頻都能保存30天;顯示部分支持多界面顯示,支持遠(yuǎn)程控制,視頻管理,視頻播放等功能;視頻監(jiān)控系統(tǒng)可與其他安全系統(tǒng)集成。監(jiān)視中心設(shè)備位于網(wǎng)絡(luò)主機(jī)房服務(wù)器機(jī)柜內(nèi)。監(jiān)控點(diǎn)的設(shè)計(jì)見綜合布線圖和視頻監(jiān)控圖,根據(jù)監(jiān)控點(diǎn)的設(shè)計(jì)使用監(jiān)控機(jī)。
展開 【CATIA】設(shè)計(jì)架構(gòu) | 達(dá)索系統(tǒng)百世慧?
供與大多數(shù)CAD系統(tǒng)的接口,以優(yōu)化整個(gè)供應(yīng)鏈中的溝通。
產(chǎn)品數(shù)據(jù)管理的集成解決方案。
角色/功能
擴(kuò)展STEP界面
為長(zhǎng)期歸檔和公司流程提供了新的擴(kuò)展STEP功能:
大型程序集可以導(dǎo)出為多個(gè)STEP文件,每個(gè)產(chǎn)品一個(gè)文件。
有兩個(gè)可能的選項(xiàng),全局和部分。
Global為裝配的所有級(jí)別生成STEP文件。
Partial僅為一種產(chǎn)品生成STEP文件(不導(dǎo)出子級(jí)別)。
允許用戶以STEP格式存儲(chǔ)CATIA FT&A演示文稿的真實(shí)副本,并進(jìn)行檢索(所見即所得的導(dǎo)入/導(dǎo)出)。
適用的數(shù)據(jù)啟動(dòng)器(例如復(fù)合材料)。
產(chǎn)品數(shù)據(jù)過濾
在數(shù)據(jù)交換之前有選擇地刪除敏感信息來幫助公司管理和保護(hù)其知識(shí)產(chǎn)權(quán):
根據(jù)零件或產(chǎn)品結(jié)構(gòu)定義,可以在與供應(yīng)商鏈和/或OEM進(jìn)行數(shù)據(jù)交換之前,使用經(jīng)過過濾(刪除)的敏感信息來創(chuàng)建新零件。
CAA API僅適用于產(chǎn)品過濾。
可以以交互方式或批處理方式調(diào)用。
批處理模式可通過命令行使用,其中過濾選項(xiàng)作為參數(shù)傳遞。
步驟插入
提供CAD數(shù)據(jù)的互操作性功能,以實(shí)現(xiàn)MultiCAx可視化和上下文設(shè)計(jì):
組織在保留其CAD投資的同時(shí)仍能受益于豐富的上下文設(shè)計(jì)和數(shù)字模型化流程。
協(xié)同工作,數(shù)據(jù)來自多個(gè)不同的CAD系統(tǒng),并在單個(gè)異構(gòu)數(shù)字模型和設(shè)計(jì)環(huán)境中使用。
利用數(shù)字模型和設(shè)計(jì)工具(例如平面,坐標(biāo)系和圓柱軸)提供的功能,對(duì)MultiCAx零件進(jìn)行精確定位和精確測(cè)量。
裝配支持:在支持裝配的情況下,可以解決裝配到零件的鏈接,從而可以將完整的裝配自動(dòng),準(zhǔn)確地插入到數(shù)字模型產(chǎn)品結(jié)構(gòu)中。
展開 嵌入式系統(tǒng)的軟件架構(gòu)設(shè)計(jì)!
如果你是這個(gè)設(shè)備的架構(gòu)師,哪些問題是在設(shè)計(jì)架構(gòu)的時(shí)候應(yīng)該關(guān)注的呢?
2.1. 常見的誤解
2.1.1. 小型的系統(tǒng)不需要架構(gòu)
有相當(dāng)多的嵌入式系統(tǒng)規(guī)模都較小,一般是為了某些特定的目的而設(shè)計(jì)的。受工程師認(rèn)識(shí),客戶規(guī)模和項(xiàng)目進(jìn)度的影響,經(jīng)常不做任何架構(gòu)設(shè)計(jì),直接以實(shí)現(xiàn)功能為目標(biāo)進(jìn)行編碼。這種行為表面上看滿足了進(jìn)度、成本、功能各方面的需求。但是從長(zhǎng)遠(yuǎn)來看,在擴(kuò)展和維護(hù)上付出的成本,要遠(yuǎn)遠(yuǎn)高于最初節(jié)約的成本。如果系統(tǒng)的最初開發(fā)者繼續(xù)留在組織內(nèi)并負(fù)責(zé)這個(gè)項(xiàng)目,那么可能一切都會(huì)正常,一旦他離開,后續(xù)者因?yàn)閷?duì)系統(tǒng)細(xì)節(jié)的理解不足,就可能引入更多的錯(cuò)誤。
要注意,嵌入式系統(tǒng)的變更成本要遠(yuǎn)遠(yuǎn)高于一般的軟件系統(tǒng)。好的軟件架構(gòu),可以從宏觀和微觀的不同層次上描述系統(tǒng),并將各個(gè)部分隔離,從而使新特性的添加和后續(xù)維護(hù)變得相對(duì)簡(jiǎn)單。
舉一個(gè)城鐵刷卡機(jī)的例子,這個(gè)例子在前面的課程中出現(xiàn)過。簡(jiǎn)單的城鐵刷卡機(jī)只需要實(shí)現(xiàn)如下功能:
一個(gè)While循環(huán)足以實(shí)現(xiàn)這個(gè)系統(tǒng),直接就可以開始編碼調(diào)試。但是從一個(gè)架構(gòu)師的角度,這里有沒有值得抽象和剝離的部分呢?
計(jì)費(fèi)系統(tǒng)。計(jì)費(fèi)系統(tǒng)是必須抽象的,比如從單次計(jì)費(fèi)到按里程計(jì)費(fèi)。
傳感器系統(tǒng)。傳感器包括磁卡感應(yīng)器,投幣器等。設(shè)備可能更換。
故障處理和恢復(fù)。考慮到較高的可靠性和較短的故障恢復(fù)時(shí)間,這部分有必要單獨(dú)設(shè)計(jì)。
未來很可能出現(xiàn)的需求變更:
操作界面。是否需要抽象出專門的Model來?以備將來實(shí)現(xiàn)View。
數(shù)據(jù)統(tǒng)計(jì)。是否需要引入關(guān)系型數(shù)據(jù)庫(kù)?
如果直接以上面的流程圖編碼,當(dāng)出現(xiàn)變更后,有多少代碼可以復(fù)用?
不過,也不要因此產(chǎn)生過度的設(shè)計(jì)。
展開 
整車電控系統(tǒng)及架構(gòu)設(shè)計(jì)技術(shù)
來源 |
廣州汽車集團(tuán)股份有限公司汽車工程研究院
知圈 |
進(jìn)“電子電氣群”請(qǐng)加微13636581676,備注架構(gòu)
引言:
本文的目
的是基于我們對(duì)域控制設(shè)計(jì)方法的研究
,
提出相關(guān)的設(shè)計(jì)過程和規(guī)則
,
從而設(shè)計(jì)出我們3年后的新電控系統(tǒng)及架構(gòu)平臺(tái)
,
也就為實(shí)現(xiàn)軟件定義汽車和硬件通用化提供可能性
。
同時(shí)
,
也希望能為國(guó)內(nèi)電控系統(tǒng)及架構(gòu)設(shè)計(jì)標(biāo)準(zhǔn)化帶來一些思考
。
1設(shè)計(jì)方法
1.1新電控系統(tǒng)和架構(gòu)核心設(shè)計(jì)方法
舊的電控系統(tǒng)架構(gòu)基于分布式和集成式設(shè)計(jì)方法,其中每個(gè)電控系統(tǒng)都基于AUTOSAR軟件架構(gòu)設(shè)計(jì),對(duì)應(yīng)的用戶功能基本都在一個(gè)系統(tǒng)內(nèi)完成。而當(dāng)前隨著用戶需求越來越多,許多功能都是跨系統(tǒng)的。因此,從IT行業(yè)引入層次化和系統(tǒng)低耦合性。
1.1.1分布式和集成式設(shè)計(jì)方法
分布式和集成式設(shè)計(jì)方法的架構(gòu)方案大致拓?fù)淙鐖D1所示。這是一種基本上可以不依賴其他系統(tǒng),就可以實(shí)現(xiàn)功能需求的設(shè)計(jì)方法。車載電子控制單元(Electronic Control Unit,ECU)都是一個(gè)相對(duì)獨(dú)立的系統(tǒng),所有輸入傳感器?輸出執(zhí)行器和邏輯處理都在一個(gè)主ECU控制的系統(tǒng)內(nèi)完成。這造成整車ECU數(shù)量眾多,難以管理。
1.1.2域控制設(shè)計(jì)方法
域控制架構(gòu)拓?fù)淙鐖D2所示,主要內(nèi)容如下:
①功能分解:實(shí)現(xiàn)功能邏輯與實(shí)際的物理硬線信號(hào)剝離,并把功能邏輯集中到一個(gè)域控制器實(shí)現(xiàn)。
②接口標(biāo)準(zhǔn)化:域控制器與區(qū)域控制器信號(hào)接口和區(qū)域控制器與所有物理信號(hào)輸入輸出設(shè)備接口。
展開 整車電控系統(tǒng)及架構(gòu)設(shè)計(jì)技術(shù)
本文的目的是基于我們對(duì)域控制設(shè)計(jì)方法的研究,提出相關(guān)的設(shè)計(jì)過程和規(guī)則,從而設(shè)計(jì)出我們3年后的新電控系統(tǒng)及架構(gòu)平臺(tái),也就為實(shí)現(xiàn)軟件定義汽車和硬件通用化提供可能性。同時(shí),也希望能為國(guó)內(nèi)電控系統(tǒng)及架構(gòu)設(shè)計(jì)標(biāo)準(zhǔn)化帶來一些思考。
1. 設(shè)計(jì)方法
1.1 新電控系統(tǒng)和架構(gòu)核心設(shè)計(jì)方法
舊的電控系統(tǒng)架構(gòu)基于分布式和集成式設(shè)計(jì)方法,其中每個(gè)電控系統(tǒng)都基于AUTOSAR軟件架構(gòu)設(shè)計(jì),對(duì)應(yīng)的用戶功能基本都在一個(gè)系統(tǒng)內(nèi)完成。而當(dāng)前隨著用戶需求越來越多,許多功能都是跨系統(tǒng)的。因此,從IT行業(yè)引入層次化和系統(tǒng)低耦合性。
1.1.1 分布式和集成式設(shè)計(jì)方法
分布式和集成式設(shè)計(jì)方法的架構(gòu)方案大致拓?fù)淙鐖D1所示。這是一種基本上可以不依賴其他系統(tǒng),就可以實(shí)現(xiàn)功能需求的設(shè)計(jì)方法。車載電子控制單元(Electronic Control Unit,ECU)都是一個(gè)相對(duì)獨(dú)立的系統(tǒng),所有輸入傳感器?輸出執(zhí)行器和邏輯處理都在一個(gè)主ECU控制的系統(tǒng)內(nèi)完成。這造成整車ECU數(shù)量眾多,難以管理。
1.1.2 域控制設(shè)計(jì)方法
域控制架構(gòu)拓?fù)淙鐖D2所示,主要內(nèi)容如下:
①功能分解:實(shí)現(xiàn)功能邏輯與實(shí)際的物理硬線信號(hào)剝離,并把功能邏輯集中到一個(gè)域控制器實(shí)現(xiàn)。
②接口標(biāo)準(zhǔn)化:域控制器與區(qū)域控制器信號(hào)接口和區(qū)域控制器與所有物理信號(hào)輸入輸出設(shè)備接口。
③區(qū)域劃分:整理出所有輸入輸出設(shè)備,并按位置區(qū)域進(jìn)行分配,接入?yún)^(qū)域控制器管理。
1.1.3 SOA設(shè)計(jì)方法
SOA是面向?qū)ο蟮姆?wù)架構(gòu),本文不做深入探討。
展開 MBSE產(chǎn)品模型架構(gòu)應(yīng)用:基于模型的系統(tǒng)工程 (MBSE) 在汽車傳動(dòng)系統(tǒng)子系統(tǒng)架構(gòu)中的應(yīng)用
上下文圖/背景圖:
○ 代表系統(tǒng)與外部環(huán)境的交互
○ 交互系統(tǒng)被定義為“黑盒”
P-圖:
○ 擴(kuò)展和細(xì)化上下文以獲得更詳細(xì)的黑匣子
○ 包括有關(guān)輸入信號(hào)、控制因素、噪聲因素、輸出和潛在故障模式的詳細(xì)信息
MBSE
○ 建模語言(SysML、UML 等)
○ 建模方法
○ 建模工具(Magicdraw、IBM Rational Rhapsody 等)
基于模型的系統(tǒng)工程概念:系統(tǒng)需求
● 需求以技術(shù)術(shù)語定義客戶和利益相關(guān)者的需求
● 在 SysML 中,系統(tǒng)需求陳述被定義為對(duì)象
● 每個(gè)對(duì)象都包含需求文本和唯一標(biāo)識(shí)符
● 需求類型定義了需求可以關(guān)聯(lián)的特征
● 泛化通過繼承關(guān)系管理和分配需求
● 需求必須通過測(cè)試用例進(jìn)行驗(yàn)證
● 測(cè)試用例是檢查點(diǎn),例如設(shè)計(jì)評(píng)審或物理測(cè)試
SysML中的標(biāo)準(zhǔn)類型需求用于在定義系統(tǒng)時(shí)提供嚴(yán)格性和清晰性
基于模型的系統(tǒng)工程概念:功能和邏輯架構(gòu)
● 功能定義必須完成或完成哪些動(dòng)作/活動(dòng)才能獲得預(yù)期結(jié)果
● 操作是塊的屬性
● 塊是系統(tǒng)任何部分的抽象表示,如物理硬件或信號(hào)
● 功能通過與各個(gè)子系統(tǒng)和組件的邏輯關(guān)系相互關(guān)聯(lián)
● 邏輯架構(gòu)描述了系統(tǒng)將如何實(shí)現(xiàn)
● 邏輯架構(gòu)抽象地定義了基于系統(tǒng)所需的子系統(tǒng)、組件及其關(guān)系的技術(shù)解決方案
● 邏輯架構(gòu)只能在明確定義系統(tǒng)的功能和需求后創(chuàng)建
● 邏輯架構(gòu)沒有定義任何特定的系統(tǒng)實(shí)現(xiàn),而是定義通用指南,以保持解決方案中立
建模方法:功能分解
● 從 P 圖中識(shí)別出傳動(dòng)系統(tǒng)的五個(gè)基本操作
● 系統(tǒng)需要
○ 傳遞扭矩
展開 下一代自動(dòng)駕駛域控制器系統(tǒng)架構(gòu)設(shè)計(jì)
L3+級(jí)自動(dòng)駕駛相對(duì)于初級(jí)版L3主要呈現(xiàn)的問題如下:
1)當(dāng)前L3級(jí)自動(dòng)駕駛系統(tǒng)中仍然存在較大的傳感探測(cè)盲區(qū),比如當(dāng)前架構(gòu)下前視攝像頭對(duì)前方目標(biāo)的距離深度及廣度探測(cè)存在局限性;側(cè)向雷達(dá)無法完成側(cè)方目標(biāo)(包含距離、類型、方位)的精準(zhǔn)探測(cè);后向通過側(cè)向雷達(dá)存在較大的三角探測(cè)盲區(qū)等問題都會(huì)在一定程度上影響對(duì)于目標(biāo)的輸出,而這種探測(cè)局限性又很可能導(dǎo)致自動(dòng)駕駛存在一定的危險(xiǎn)性;
2)此外,中央域控制器算力、帶寬不足以滿足傳感器輸入的指數(shù)級(jí)數(shù)據(jù)量,從而導(dǎo)致無論對(duì)于傳感信息亦或者邏輯信息的處理實(shí)時(shí)性、有效性均無法滿足性能要求;
3)系統(tǒng)架構(gòu)設(shè)計(jì)無法滿足駕駛功能安全及性能設(shè)計(jì)要求。這里我們指的系統(tǒng)架構(gòu)包含但不限于網(wǎng)絡(luò)架構(gòu)、冗余設(shè)計(jì)架構(gòu)、關(guān)聯(lián)系統(tǒng)接口以及診斷設(shè)計(jì)架構(gòu);
4)功能安全設(shè)計(jì)是下一代自動(dòng)駕駛需要解決的老大難問題,所有的系統(tǒng)開發(fā)工作均圍繞著功能安全展開。其中的設(shè)計(jì)過程包含了系統(tǒng)級(jí)、零部件級(jí)等等,從整體系統(tǒng)級(jí)別出發(fā)的功能安全等級(jí)分析往往需要牽一發(fā)而動(dòng)全身,其智能駕駛系統(tǒng)自身內(nèi)部設(shè)計(jì)的方方面面均需要考慮全面,同時(shí)參照其控制器、執(zhí)行器搭載架構(gòu)而言還需要更多的關(guān)注零部件級(jí)硬件+軟件功能安全分析。
5)系統(tǒng)功能測(cè)試局限問題明顯。對(duì)于真正的自動(dòng)駕駛而言,系統(tǒng)開發(fā)往往圍繞正向開發(fā)過程進(jìn)行,正向開發(fā)意味著很多邊緣化的場(chǎng)景并未在開發(fā)過程中進(jìn)行響應(yīng),我們知道通過APICE流程開發(fā)模型中,其中涉及的單元測(cè)試和過程測(cè)試正是針對(duì)開發(fā)原始軟件的漏洞和缺陷進(jìn)行實(shí)時(shí)補(bǔ)充和更新的方式,這就要求測(cè)試過程具備極為豐富的場(chǎng)景庫(kù)以及測(cè)試平臺(tái)搭建能力。場(chǎng)景庫(kù)不難理解,就是我們常常稱之為的UseCase,而平臺(tái)搭建能力則是對(duì)下一代自動(dòng)駕駛系統(tǒng)測(cè)試的巨大挑戰(zhàn)。因?yàn)槠渲邪朔抡鏈y(cè)試與實(shí)車測(cè)試兩種方式。
展開 系統(tǒng)安全架構(gòu)設(shè)計(jì)的相關(guān)專題、標(biāo)簽、搜索
系統(tǒng)安全架構(gòu)設(shè)計(jì)系統(tǒng)架構(gòu)設(shè)計(jì)架構(gòu)設(shè)計(jì)軟件架構(gòu)設(shè)計(jì)SOA架構(gòu)設(shè)計(jì)VCU架構(gòu)設(shè)計(jì) 系統(tǒng)工程電力系統(tǒng)優(yōu)化設(shè)計(jì)EDA設(shè)計(jì)工業(yè)設(shè)計(jì)機(jī)械設(shè)計(jì) 新澳 發(fā)布系統(tǒng)架構(gòu)與安全應(yīng)用指南從功能安全視角看軟件架構(gòu)設(shè)計(jì)mes系統(tǒng) 架構(gòu)設(shè)計(jì)案例aeb系統(tǒng)架構(gòu)分析及設(shè)計(jì)系統(tǒng)架構(gòu)設(shè)計(jì)師 ai負(fù)載預(yù)測(cè) 云原生架構(gòu)優(yōu)化液冷負(fù)載保護(hù)系統(tǒng) 架構(gòu)設(shè)計(jì)
