自動駕駛汽車高度重視安全性,隨著汽車走向全自駕未來,車內網路身為傳輸資料的關鍵角色,對於乙太網路IC的性能需求發生變化,需要從晶片層級將功能安全列入考量,並採取適當措施來預防、預測和應對各種故障場景。
現有汽車功能安全措施
(承前文)目前,已有一些功能安全措施能夠應對各種類型的故障,並且可以實現系統的端對端保護。這些安全措施可以檢測資料是否遭到篡改、延遲發送、重複發送或者丟失。簡而言之,目前的車載網路已經實現了相當高的安全水準,甚至可以說我們在這方面已經取得了不小的成就。
但在不久的將來,對功能安全的要求將持續增加。讓我們先來瞭解一下目前常用的方法:汽車利用感測器資料來支援駕駛輔助系統功能,例如自動距離控制,這些資料需要透過端對端保護來確保資料正確無誤,然而,當網路出現故障時,系統無法從感測器獲取有效的資料。此時,系統將立即關閉,並要求駕駛員手動控制汽車。如此一來,汽車才能夠安全地繼續行駛。
讓我們假設自動駕駛汽車也遇到了同樣的問題。由於沒有駕駛員可以接管汽車,系統只能嘗試停下汽車(圖2)。如果車內沒有駕駛員或是能夠及時反應的乘客,自動駕駛汽車進入安全狀態就會直接影響汽車服務的可用性。
網路IC如何保持汽車行駛
前述為經過大幅簡化的情況描述,實際上,汽車在網路故障時是否能夠繼續行駛,仍需要考量具體的環境和系統的組態設定。因此,我們需要更深入地探索如何提升網路IC的性能,以增強汽車服務的可用性。
以下方式能夠確保汽車通訊服務的可用性,進而提高汽車服務的可用性:
.防止故障
.預測故障
.對故障做出適當反應
通訊的可用性取決於訊號通路中元件的可靠性。為了保證元件的可靠性,首先要遵循正確的開發流程,其次是建立生產組織的安全文化,最後還需要在製造過程中採取措施保證汽車的品質,例如基於認證資料和現場回饋篩選合適的技術。這些措施相輔相成,可以有效降低故障率。在測試過程中篩除故障概率較高的不良元件,可以減少現場故障發生,保證系統進入安全狀態。
故障可預測性也十分重要。單從功能安全的角度來看,由於ISO 26262流程主要關注如何檢測故障並可靠地轉入安全狀態,故障可預測性並不重要,一輛停止行駛的車是安全的。不過,故障可預測性對於汽車服務的可用性具有極高價值,可以讓我們提前發現故障並做出相應調整。例如,在溫度過高時,可以關閉系統中非必要的部分,但仍保持重要部分的運行。對於乙太網路來說,可以斷開一些影響較小的資訊娛樂連接,而繼續保持重要的主幹通訊連接。另外,也可以透過乙太網路PHY的訊號品質指標來檢測鏈路品質是否受到環境條件的影響而降低。
最後,有些故障無法提前預知和避免。在許多情況下,這些故障可以在系統級別透過端對端檢測來識別和處理,因此,在低層級增加檢測並不會提高診斷覆蓋率或系統安全性。不過,從另一個面向來看,在故障源附近進行檢測,系統能夠更迅速地對故障作出處理,進而避免其波及整個系統,因此在故障源進行檢測仍然有其好處。具有ECC保護記憶體的乙太網路交換器可以在儲存單元出錯時進行糾正,保證資料正確傳輸,避免網路中斷。另外,網路也可以使用IEEE 802.1CB[2]乙太網路流複製/消除技術來建立冗餘通道,提高電纜或連接器發生故障時的通訊可用性,儘管這並不等同於功能安全上的冗餘。
高可靠網路打造未來汽車
網路元件(特別是乙太網路IC)的功能安全開發有其效益,但我們不能只根據資料手冊中的ASILx等級來做出判斷,還需要深入分析具體的應用場景和安全需求,才能有效地評估安全措施的效果。
為了提高未來汽車服務的可用性和安全性,需要制定成熟的開發流程和高品質的製造過程。除此之外,我們還需要採取適當的措施來預防、預測和應對各種故障場景,替未來高可靠性的汽車網路提供完整的解決方案。
(本文作者皆任職於恩智浦半導體)
參考資料
[2] IEEE 802.1CB:2017,《IEEE局域網和都會區網路標準——可靠性的幀複製和消除》(IEEE Standard for Local and Metropolitan Area Networks – Frame Replication and Elimination for Reliability)
乙太網路IC迎接自駕時代 SEooC/故障預測確保安全運行(1)
乙太網路IC迎接自駕時代 SEooC/故障預測確保安全運行(2)