安全系統仿真的案例
面向預期功能安全的決策規劃系統仿真測試方法
因為,觸發機制隱蔽、觸發源往往不是獨立要素(涉及到復合場景)、觸發條件與所產生的危害對應關系不明(作用過程是連續的)
依據上述分析可知:針對環境感知系統分析觸發條件是比較可行的;我們采用了基于事件鏈的分析框架,結合觸發源本體模型進行推演,取得了一定的效果。然而,針對決策規劃系統,想要提出類似的系統性分析方案則非常困難;對于L3+或及復雜場景下的自動駕駛系統而言,上述問題尤甚(注:對于簡單環境中,執行簡單行駛任務的自動駕駛系統而言,尚可進行一定程度的分析)。
由此引出了本文的關鍵問題:如何有效地針對決策規劃系統進行預期功能安全分析與測試?
2 綜述:面向SOTIF的決策規劃系統仿真測試方法
由于決策規劃系統的輸入輸出都是信息和信號,相對于整車在環或場地實車測試而言,系統在環仿真測試是對其進行測試的最主要手段(等效性高、測試效率高、成本低)。此外,在測試過程中,一般將決策規劃系統視為“黑箱”處理。
以下繼續圍繞第一部分留下的關鍵問題,將現有的相關測試方法做分析和梳理,希望明確其中較為可行的仿真測試方法及其適用性。
在此借用一下哈貝馬斯(Habermas)哲學分析理論里的兩個概念:系統(System)與生活世界(Life world);前者是人為設計的、規范的,而后者是自然發生的。
展開 面向預期功能安全的決策規劃系統仿真測試方法
因為,觸發機制隱蔽、觸發源往往不是獨立要素(涉及到復合場景)、觸發條件與所產生的危害對應關系不明(作用過程是連續的)
依據上述分析可知:針對環境感知系統分析觸發條件是比較可行的;我們采用了基于事件鏈的分析框架,結合觸發源本體模型進行推演,取得了一定的效果。然而,針對決策規劃系統,想要提出類似的系統性分析方案則非常困難;對于L3+或及復雜場景下的自動駕駛系統而言,上述問題尤甚(注:對于簡單環境中,執行簡單行駛任務的自動駕駛系統而言,尚可進行一定程度的分析)。
由此引出了本文的關鍵問題:如何有效地針對決策規劃系統進行預期功能安全分析與測試?
2 綜述:面向SOTIF的決策規劃系統仿真測試方法
由于決策規劃系統的輸入輸出都是信息和信號,相對于整車在環或場地實車測試而言,系統在環仿真測試是對其進行測試的最主要手段(等效性高、測試效率高、成本低)。此外,在測試過程中,一般將決策規劃系統視為“黑箱”處理。
以下繼續圍繞第一部分留下的關鍵問題,將現有的相關測試方法做分析和梳理,希望明確其中較為可行的仿真測試方法及其適用性。
在此借用一下哈貝馬斯(Habermas)哲學分析理論里的兩個概念:系統(System)與生活世界(Life world);前者是人為設計的、規范的,而后者是自然發生的。
展開 代做安全結構 行人保護 約束系統和零部件仿真
代做安全結構 行人保護 約束系統和零部件仿真,價格優惠,有意者私聊。
安全系統思維下鹽穴壓氣儲能風險評估與動態仿真研究
摘 要:為研究鹽穴壓氣儲能項目總體風險受單因素變量影響的變化趨勢,文章對鹽穴壓氣儲能項目存在的主要風險進行分析,從組織影響層、事故層及安全監管層三方面著手建立風險分析模型,基于系統動力學原理和實際運行過程的管理模式、管理風險、管理要素間的邏輯關系,結合VENSIM軟件進行仿真模擬。模擬得到:安全監管層中風險預防對總體風險的控制效果最好,優先于應急監管、安全教育和蓄能過程監管等措施。
關鍵詞:鹽穴壓氣儲能;系統動力學;VENSIM軟件;仿真模擬;
1 前言
在我國能源轉型和雙碳戰略的大背景下,抽水蓄能、壓氣蓄能和電池儲能是三大主要儲能技術。相比抽水蓄能的地勢要求,電池蓄能的環境挑戰,壓縮空氣儲能在有鹽穴的地方可以利用鹽穴,沒有鹽穴的地方依靠人工造穴,地質限制小,具備大規模建設的基礎,另外還有規模大、啟動快的優點[1]。由于儲氣庫系統可能受腐蝕、誤操作、鹽巖蠕變等危害因素的不良影響,造成儲氣庫穩定性和安全可靠性降低,甚至引發災難性的事故,如氣體泄漏、溶腔失穩和庫區地表沉陷等,地下儲氣庫的安全問題不容忽視。
2 鹽穴壓氣儲能研究綜述
針對鹽穴儲能項目安全風險研究,主要集中于儲氣庫風險研究。駱正山等[2]采用未確知測度理論、變權理論和改進的集對分析方法建立鹽巖儲氣庫建腔期穩定性評價體系,定量評估穩定性等級,分析評價體系狀態變化趨勢。羅金恒等[3]以鹽穴地下儲氣庫作為研究對象,采用系統分析、故障樹分析、定量分析方法等進行研究,為鹽穴地下儲氣庫安全管理提供了依據,同時可為枯竭油氣藏型和含水層型儲氣庫的安全管理提供參考。唐彬[4]將鹽穴地下儲氣庫劃分為四個單元,分別對其運行期間主要危險有害因素進行分析,并針對相應風險控制措施進行探討,為鹽穴地下儲氣庫的運行安全管理提供思路。
展開 
自動代客泊車:利用仿真和測試開發安全可靠的系統和算法
乘用車的自動代客泊車系統將成為首批進入市場的 “無人駕駛” 車輛應用之一。這些系統的推廣將有助于減少交通擁堵,優化現有停車位的使用情況,提高燃油經濟性,助力駕駛員輕松駕駛。AVP 系統的發展需要管理安全性并確保提供可靠的解決方案,以應對復雜的交通狀況并綜合考慮由于狹窄的停車位、障礙物、車輛動力學、天氣和其他干擾造成的各種情況。
本白皮書基于 OEM 和一級供應商資助的研究和項目經驗,重點介紹開發自動代客泊車功能的一些關鍵要求:
? 一個精準的虛擬框架,用于測試和驗證系統和算法,并確定需進行進一步物理驗證的一組簡化關鍵場景
? 集成在可用的實體系統和車輛框架中
? 持續滿足功能、性能和安全需求
▼▼
點擊鏈接登記領取此白皮書
http://t8iw4ulf0hpixn8k.mikecrm.com/qP7OQQx
-nd-
展開 聊一下汽車電傳電控系統中的安全死穴:實時系統和分時系統
操作系統可以以時間片為單位,輪流為每一個進程/指令進行運算處理,一個系統當中,可能會同時存在很多進程,每個進程都會有處理需求,芯片就是在分時系統的控制下,輪流為每一個進程/指令來輪流處理信息,當進程需要的算力多、優先級高的時候,芯片分時系統分給這個進程的運算時間就多一點。這個分配規則就會導致一種情況,我們玩游戲玩著正嗨的時候卡主了,處理大型WORD文件的時候,鼠標轉圈圈,不聽使喚了,我們叫做死機,這個時候我們只能耐心等待,運氣好,電腦過一會會反應過來,運氣不好,只能強行關機重啟。在出現這種情況的時候,如果是筆記本電腦,我們調用任務處理器查看進程,可能就會發現有的進程達到了100%,而且導致你的電腦風扇狂轉散熱,因為這個時候你的CPU算力都被這個進程占用了,因此出現這一情況。
還是用通俗易懂的方式來和大家說下實時系統,實時系統的操作管理控制邏輯和分時系統剛剛是相反的。
上面我們也說了,實時系統首先保證的是響應效率,CPU芯片運算結果的正確性不僅僅是和程序邏輯性相關,還和運算結果產生的時間有關。控制系統能不能及時響應外部時間的請求,在規定時間內完成對特定事件的處理,并且有效控制所有實時任務能夠協調一致的有序運行,這就是實時系統需要做的事情,再簡化一下就是,必須對進程/指令在一定時間內完成,且保證運算結果的正確及時輸出,進而完成外部設備工作控制。高速行駛的汽車,對所有輸入/輸出反應都有強制的時間需要,滿足不了這一個時間規定,你踩剎車了,他系統死機了和分時系統一樣卡主了鼠標在轉圈這樣的情況出現了,等系統反應過來,汽車恐怕已經在幾百米開外了。
汽車A類安全系統,在設計之初就有強制要求,必須滿足規定的時間相應限制要求,不能滿足相應時間,就無法保證安全和可靠。
展開 閥井(室)密閉空間安全監測系統:守護城市地下設施安全
閥井(室)密閉空間安全監測系統的應用,不僅提高了地下設施的安全性,降低了事故發生的概率,同時也為城市的安全運行提供了有力保障。在未來,隨著技術的不斷進步,相信這一系統將會更加完善,為城市的可持續發展貢獻更大的力量。
EPB系統功能安全筆記 (19): 功能安全的認可措施(Confirmation Measures)理解與辨析
本文要點
:ISO 26262將功能安全開發融入了廣為熟知的“V模型”開發流程中。根據系統/軟件/硬件三個層級的劃分,ISO 26262的功能安全開發活動被融入了三個“V模型”之中,如下圖所示。在前面的系列文章中已經對這三個“V模型”中包含的功能安全開發要點進行了說明。
“V模型”中的功能安全開發,截圖來自ISO 26262
做工程項目的朋友都知道,對于一款量產產品,除了完成開發工作以外,還需要對開發產物進行審核,審核通過后方能釋放產品。功能安全開發也是如此。“ISO 26262,part2,功能安全管理”中詳細介紹了功能安全的審核流程和要求,對應的術語為“認可措施,Confirmation measures”。
安全管理流程圖,截圖來自ISO 26262-2018, part2
一個現實的情況是,當讀者實際上去讀ISO 26262中“認可措施,Confirmation measures”相關的解釋和要求時,很容易就被其中包含的三個維度的措施給繞暈了,尤其是結合中文國標GB/T 34590對這三個維度的翻譯更加混淆,如下所示:
Confirmation review (認可評審)
Functional safety audit (功能安全審核)
Functional safety assessment (功能安全評估)
基于此,本文將試圖對“認可措施,Confirmation measures”以及其中包含的三個維度的措施進行辨析,旨在為讀者提供有價值的參考。
Note:
1. 考慮到中文翻譯的混淆性,除非有必要,本文接下來將使用英文概念進行描述。
2.
展開 特斯拉Autopilot系統安全研究
智遠程轉向控制
在本節中,我們將介紹 APE 單元如何與 EPAS(電動助力轉向)單元一起實現轉向系統控制。此外,由于我們已經獲得了 APE 的 root 訪問權限,我們將演示如何遠程影響 EPAS 單元以控制特斯拉汽車在不同駕駛模式下的轉向系統。
APE是特斯拉高級駕駛輔助系統的核心單元。它負責汽車在輔助駕駛和自動泊車模式下的轉向系統控制和電子速度控制。據我們所知,這些先進的輔助駕駛功能是基于高級視覺和汽車總線(以太網、CAN、LIN、FlexRay)系統。
CAN總線系統
圖6 APE的CAN總線系統
通過對APE中與CAN總線相關的一些服務(canrx、cantx等)進行逆向工程,初步了解了APE CAN總線系統的網絡結構。如圖6所示,APE集成了兩個CAN-Bus接口(CAN0和CAN1),通過CAN1與雷達互連。為了冗余機制或其他安全考慮,CAN0和LB一起連接到私有CAN總線。
此外,由于域隔離,APE與LB單元共享一個邏輯CAN(稱為APE2LB_CAN)總線,用于與PT(動力總成)和CH(底盤)CAN總線通信。
對于特斯拉汽車,轉向系統可由底盤 CAN 總線上的 EPAS 單元控制。雖然有了APE的系統的完全接入,但顯然我們需要打破APE的CAN總線系統的一些安全機制障礙,比如冗余CAN總線、CAN消息計數器和域隔離。
我們主要關注 cantx 服務,它接收來自視覺系統的中間信號,然后將信號轉換為車輛控制命令。這些命令將被封裝到特殊的 CAN 消息(APE2LB_CAN)中,并通過 LB 單元轉發到 PT/CH CAN 總線。
展開 汽車安全氣囊系統
汽車安全氣囊系統
談安全系統設計中的冗余技術
在安全系統設計中,為防護硬件隨機性故障造成的功能失效,會用到不同于一般電子產品的設計方法,這些設計方法在功能安全標準如IEC61508、ISO26262有推薦的方法列表,根據電子系統的不同組成部分,可以應用不同的設計方法。本文來談談應用比較多的冗余技術,具體有硬件冗余、信息冗余、軟件冗余。
硬件冗余:
硬件冗余是將多個硬件單元復制作為一個整體來提供功能。從組成部分來看,多個硬件單元可以是相同的,也可以是不同的,如使用相同的硬件,但是操作系統和應用不同,或者只有應用不同的。從最終輸出來看,可以沒有獨立的表決器,由其中一個處理單元準備輸出,也可以有獨立的表決器。下面介紹幾種典型的冗余架構:
主/從控制架構:以一個計算單元作為主控制輸出,另一個計算單元作為從控制。在下面的架構中,主控制單元和從控制單元都對輸入數據進行處理,并進行互相交互的校核,當從控制單元檢查主控制單元的輸出存在故障時,對主控制單元進行復位。該架構中當從控制單元的檢查存在時間上的延遲,需要對故障輸出的延遲時間影響增加分析。
雙核鎖步架構:芯片內的雙核鎖步架構冗余技術,每條CPU指令都由兩個處理器獨立地執行,每個處理器讀取、寫入數據后執行下一條指令,主處理器控制總線,從控制器控制一個監控器,當兩個處理器發生不一致時,監控器用來使芯片輸出導向安全,輸出報警給外部的監控芯片。為了防止外部瞬態的電磁干擾,兩個處理器在執行的時序上采用分時執行的方法。
NooM架構:由兩個硬件計算單元構成的2oo2架構,由2個以上的計算單元可以構成2*2oo2或2oo3架構。2oo2架構能檢查單個單元的故障,但是無法容錯。
展開 
淺談系統安全架構設計
對于一個系統,架構設計通常決定了該系統的整體性能表現,而功能安全標準對架構設計的要求及安全分析方法論引用比較復雜,如何在系統設計之初,合理并充分的考慮其安全設計成為了當前很多同行在做安全設計的一個難點。
筆者從事功能安全領域工作八年有余,有過多家外企合資企業的三電系統,ADAS系統相關產品的安全開發設計經驗。此次受SESETECH安全技術論壇邀請,結合個人經驗分享一下對系統安全架構設計的淺薄理解,希望能夠解決部分同行對于安全架構設計的痛點。限于個人認知,此文僅供各位同行交流討論,不針對任何企業或者產品安全提出設計建議。
內容框架:
安全架構設計必須了解的術語及安全方法說明
E-GAS三層架構的理解及使用約束
ADAS系統安全架構設計及安全等級的分解
02
安全架構設計必須了解的
術語及安全方法說明
在ISO 26262的第三部分,第四部分及第九部分,提到了很多關于系統或者相關項的安全術語,包括故障類型判斷,安全分解策略,故障控制/避免措施,等。如何正確地理解并應用這些術語及背后的方法論,對于安全架構設計尤為重要。本文主要針對涉及到系統安全架構設計的必要術語進行一些系統性闡述,幫助大家理解其中關系。
故障控制措施(Fault control)
和故障避免措施(Fault avoidance)
在功能安全標準或者一些教學中,經常會提到系統性失效和隨機硬件失效兩個概念作為電子電氣系統的兩大失效來源。
展開 集成安全帶系統模型開發 ¥200
目的是開發一個 FE 模型,該模型代表最近型號乘用車的帶有集成安全帶的座椅。有限元模型是使用 LS-DYNA 軟件開發的,并使用適當的 ATD 模型進行動態碰撞模擬。 進行了靜態測試以評估座椅變形和潛在的失效機制,以評估高強度前后碰撞碰撞中的乘員運動學和傷害。 所有測試數據,連同座椅拆卸測量和組件測試。
附件為
數值模型與實體結構:
乘員運動學和傷害分析:
博世主動安全系統—ESP
博世主動安全系統—ESP
基于STM32的遠程廚房安全系統設計
本系統采用STM32F103C8T6芯片作為核心處理器,搭配WiFi技術實現無線傳輸,從而把煙霧傳感器和火焰傳感器實時采集到的廚房煙霧濃度和火焰傳送到阿里云服務器。再結合OLED顯示屏、蜂鳴器進行數據的顯示和報警。
1 遠程廚房安全系統設計
1.1 系統性能目標
系統設計目標主要是每個家庭廚房內的煙霧、火焰等環境狀態。現代化信息技術以及物聯網技術的發展,人們的生活變得更加舒適,從而對廚房的安全性也有了更高的期待。其總體設計主要體現在以下幾個方面。
1)將廚房的遠程控制優勢發揮出來,使用戶可通過阿里云服務器隨時查看廚房內各類電器的相關參數。在對整個系統進行設計之前,不僅要考慮成本的高低,還需要滿足通用性的需求。
2)主控芯片能實現對各類信息的集中控制,保證系統運行的可靠性和安全性。
3)所設計的網絡通信系統在保障各項功能的同時,提升信息傳遞速率。
4)為實現對系統的控制,每個傳感器都能與中心系統通信,以便完成信息實時傳輸與采集。
1.2 系統總體框架設計
遠程廚房安全系統主要由主控單元、傳感器模塊、WiFi通信模塊和阿里云服務器4個部分組成。各種傳感器主要負責采集各種數據傳遞到主控芯片,主控芯片對數據進行接收并處理,然后通過WiFi模塊傳遞到阿里云服務器[3]。總體框架如圖1所示。
圖1 遠程廚房安全總體框架設計圖
1.3 各子模塊介紹
1.3.1 STM32主控模塊
本系統用STM32F103C8T6作為主控芯片,是控制遠程節點的核心。
展開 