汽车控制系统效能升级！FlexRay网络标准详解

　　步骤3：若应用在车辆发生碰撞事故之后还能够继续工作，系统的碰撞灵敏节点应分布在不同的分支上（见图3）。这样一来，一旦线缆被挤压或被钳位在一个差分电压上，只有受影响的分支的数据传输被中断，但主动星型将保证网络中其它分支的通讯不受影响。

　　图1

　　图2

　　图3

　　步骤4：鉴于共振的出现，暴露在非常恶劣的RF场中的节点或布线也应该分布到不同的分支上（见图4）。在线缆两端各利用一个？？终端（FlexRay电气物理层规范v2.1修订版B），把RF感应电流转移到接地位。这就使得线缆上的共模电压幅度更低，同时不影响与其它分支相连接的节点。因此，接收到的数据流中的抖动可以控制在合理的范围内。

　　图4

　　步骤5：为了确保在线缆两端始终有合适的终端（见图5），中继电缆的末端节点不应是可选节点。节点的电气位置沿线缆的移动不得致使线缆长度超过10米过多。在非可选节点上，可引入短的stub（《1米）。即使有更大的灵活性，主动星型也不必在线缆度终端处。

　　图5

　　验证与优化

　　遵照这五个步骤，有助于构建在电子特性方面稳健的FlexRay拓朴结果。建议进行仿真以对定义后的拓朴做进一步验证和优化。开采用蒙特卡罗（Monte-Carlo）仿真法来估算线束、产量范围以及依赖于收发器和主动星型的温度等各项制造公差。

　　此外，FlexRay联盟已推出了一种涵盖线束趋肤效应在内的复杂完善的线缆模型。在支持汽车制造商引入FlexRay的同时，NXP也在不断提高自己在FlexRay拓朴仿真领域的专业能力。

　　关于FlexRay应用的终端、线缆和连接器的更多信息可参见FlexRay电气物理层规范v2.1修订版B。电气物理层应用说明v2.1修订 版B给出了一些有关拓朴设计的建议。这两份规范都可通过FlexRay联盟网站获得。至于TJA1080 FlexRay收发器的技术细节，可查询NXP网站。

　　在汽车中采用电子系统已经有几十年的历史，它们使汽车安全、节能与环保方面的性能有大幅度的提高。随着研究的深入，许多系统需要共享和交换信息，为了节省 线缆，就形成了依赖于通信的分布式嵌入系统。目前，世界上90%的都采用基于CAN总线的系统。FlexRay是下一代通信协议事实上的标准，它的功能安 全性如何是至关重要的。

　　1 引起系统安全风险的通信故障

　　通信故障有5种表现形式，第1种是造成值域的错误。第2种是造成时域的错误，这是工业不同于民用的部分。一条消息不能在预定的时限前送达就失去了实用 意义，例如与安全气囊引爆有关的传感器消息不能在数ms内送达就引起安全问题。在多播或广播通信中还有第3种错误：数据完整性错（拜占庭错），即各节点收到的结果不一致。它会引起系统性的失效，应对的策略必须将所有有关节点同时考虑。第4种是系统崩溃，除硬件失效外，也有干扰或软件引起的，例如饶舌错（babbling idiot）阻止通信。第5种是丢帧，短时间失效，例如可恢复的离线或bug引起的等效离线状态，又如小集团错。

　　2 通信的容许失效率

　　在通信故障对系统安全影响的分析上，参考文献提供了一种方法，根据瞬态干扰出现的可能长度，计算通信失效的时段长，在假定的通信失效率下，推出系统的 失效率。在该实例中，路段上电场超100 V/m的区间有可能引起通信失效，失效率近似5×10-3，车速为90 km/h，识别出的可能失效时间约74 s。通信以6 ms为周期，连续7个周期丢帧视为系统失效，在此条件下系统失效率为1.640 9×10-10，认为可以达到SIL4的安全要求。这种分析方法是有效的，但是假设的条件太多，例如：误码率有很大的变化区间；帧长的变化影响一次传送的失效率；干扰持续时间的假定；连续丢7帧也与应用的场合有关，对90 km/h的车42 ms的失控对刹车系统而言有约1 m的距离，恐怕对撞击的后果有完全不同的评估；还假设SIL4完全分配给通信，将CPU与软件有关的部分失效率忽略不计，在软件规模越来越大的今天，这个假设是不合理的。另一方面，决定系统失效率时还应考虑其他的通信故障形式，例如出现小集团错到发生冲突的时间取决于相对的时钟漂移，越精确，其间时间越 长，失效的时间就越长，参考文献中在人为制造出小集团后需300 ms才发现冲突，远远超出上述的42 ms。所以一般讨论系统安全的文章中都单独规定通信的失效率是相应安全等级失效率的1/100。

　　3 影响通信失效率的因素

　　功能安全等级与故障检测的覆盖率有关，如果有的故障未被检查到（未认识到或做不到），当然那种失效情景就不可能计算在内，安全等级的划分就有错。

　　参考文献介绍了SFF（Safety Failure Fraction）的概念：失效分为引起危害的失效和安全失效，它们又各分为能检测出和未检测出两种。安全失效比例SFF是能检测出危害失效与安全失效在总的失效中的份额。诊断覆盖率DC（Diagnostic Coverage）是能检测出的危害失效占总危害失效的份额。可导出SFF与DC有线性关系。而SFF又与SIL有关。IEC61508的SIL等级与 SFF有关，在SFF占90%~99%时SIL3可容许1个故障。因此DC也决定了能达到的SIL等级。根据有关文章介绍，瞬态故障的概率比硬件失效概率 大2个数量级，因此可大致推断瞬态故障诊断覆盖率应达到90%~99%。危害失效可能由通信失效引起，诊断覆盖率也就成了评价通信协议的重要一环。

　　在通信中，由于CRC有漏检，这是明显的诊断未覆盖区，诊断未覆盖率就相当于错帧漏检率，例如CAN的错帧漏检。

　　在通信中发生值域错或时域错而丢帧是能诊断出的危害失效（这是本文分析的主要对象）。而假冒错、拜占庭错等应属于未检测出的危害失效。发生小集团错时 既可能产生丢帧，也可能产生拜占庭错。CAN的等效离线失效也属于未覆盖的诊断引起的危害失效。要计算这些未覆盖的诊断引起的危害失效占总危害失效的比例 还相当困难，因为确定故障概率模型很难。但从定性上讲，只有尽量排除假冒错、拜占庭错和小集团错，才能使诊断覆盖率提高（SIL等级提高）。

　　关于FlexRay的缺点或弱点，参考文献提到物理层连接的困难，影响到信号完整性，实际上能较易使用的是有源星型，但这带来成本的提高；cycle设计 约束多，带来困难；同步和启动节点配置与容错有关，是挑战；由于资源有限，升级演进时很困难（并非像以前强调时间触发协议的 composability优点——笔者注）。参考文献介绍了在FlexRay中产生各自独立的时钟同步小集团的可能性，也就是说虽然各节点都在通信，但 是2个集团间无有效通信，是一种故障状态。解决办法是用3个冷启动节点、3个同步节点，但是这与时间同步容错的要求矛盾。还有就是将调度表排满，以免形成 小集团，这也与留有余地供将来升级扩充的要求矛盾。总之尚无彻底解决方案。再有就是时钟可能产生同向漂移，与应用时钟的差造成帧未能就绪或覆盖引起漏帧。