作者 | SASETECH社區(qū)

編者：

本文節(jié)選自機(jī)工社25年3月出版的《一本書(shū)讀懂智能汽車安全》，該書(shū)是一本全面講解智能汽車安全的通俗性著作，系統(tǒng)講解了汽車研發(fā)全流程的功能安全、預(yù)期功能安全和網(wǎng)絡(luò)安全，以及三者在汽車研發(fā)中的融合之道。本書(shū)由SASETECH汽車安全社區(qū)組織編寫(xiě)，匯聚了博世、蔚來(lái)、小鵬、磐時(shí)、卓馭、地平線、上汽、吉林大學(xué)等業(yè)界和學(xué)界在汽車安全領(lǐng)域的實(shí)踐經(jīng)驗(yàn)和研究成果。

以下是正文：

硬件安全機(jī)制是保障硬件隨機(jī)性失效(功能安全)或攻擊(網(wǎng)絡(luò)安全)能夠被探測(cè)和控制的重要手段。從功能安全的角度來(lái)看，硬件需要具備自我診斷和故障容忍的能力，以確保在發(fā)生硬件故障的情況下仍能提供可靠的操作。而從網(wǎng)絡(luò)安全機(jī)制的角度來(lái)看，硬件需要采用安全認(rèn)證和加密技術(shù)，以保護(hù)車輛內(nèi)部數(shù)據(jù)免受惡意攻擊。本節(jié)將重點(diǎn)介紹硬件在功能安全機(jī)制和網(wǎng)絡(luò)安全機(jī)制方面的關(guān)鍵技術(shù)和要求，全面介紹智能汽車功能安全、網(wǎng)絡(luò)安全中不同安全機(jī)制的適用性和注意事項(xiàng)。

01、感器的安全機(jī)制

1. 有效范圍檢查

對(duì)于傳感器的安全來(lái)說(shuō)，檢查其輸出的有效范圍幾乎是最容易實(shí)現(xiàn)且最常見(jiàn)的安全機(jī)制，同時(shí)在傳感器的各種安全機(jī)制中也是診斷覆蓋率最低的，通常被認(rèn)為只能檢測(cè)出短路和短電源的故障。該機(jī)制的實(shí)現(xiàn)方法是：如果一個(gè)傳感器的輸出范圍在各種工況下都在20至80之間，那么控制器如果讀到一個(gè)小于10或者大于90的數(shù)值，可以認(rèn)為該傳感器的輸出不在合理范圍內(nèi)，判斷其有故障。診斷覆蓋率一般被認(rèn)為是“低”。

2. 1oo2、2oo2、2oo3 輸入比較

利用相互獨(dú)立的傳感器實(shí)現(xiàn)投票表決。這種投票表決的安全機(jī)制不僅適用于傳感器，也適用于處理器和執(zhí)行器。

常見(jiàn)的投票機(jī)制包括One-out-of-one(1oo1，一選一 )、One-out-of-two(1oo2，二選一 )、Two-out-of-two(2oo2，二選二)、Two-out-of-three(2oo3，三選二)。

在這樣的M-out-of-N的投票中，第一個(gè)數(shù)字M代表保證表決結(jié)果正確所要求的有效傳感器數(shù)量，后一個(gè)數(shù)字N 代表傳感器總數(shù)。

在 1oo2 設(shè)計(jì)中，主備組件之間會(huì)進(jìn)行實(shí)時(shí)數(shù)據(jù)同步，包括輸入、輸出和內(nèi)部狀態(tài)等。比較機(jī)制會(huì)定期比較主備組件的輸出結(jié)果，如果發(fā)現(xiàn)結(jié)果不一致，可能意味著主組件或備組件出現(xiàn)故障或錯(cuò)誤。針對(duì)動(dòng)態(tài)信號(hào)、變化率有要求的信號(hào)，可以實(shí)現(xiàn)高診斷覆蓋率；但是對(duì)于靜態(tài)信號(hào)，通常認(rèn)為只有中等診斷覆蓋率。在判斷1oo2 設(shè)計(jì)的診斷覆蓋率時(shí)，我們還需要依賴診斷周期和信號(hào)變化周期的關(guān)系。

在2oo3設(shè)計(jì)中，其中三個(gè)相同的組件執(zhí)行相同的功能，系統(tǒng)需要至少兩個(gè)組件在輸出上達(dá)成一致才被認(rèn)為是有效的。表5-11展示的是2oo3系統(tǒng)的輸入-輸出真值表。

表 5-11  2oo3系統(tǒng)的輸入-輸出真值表

在這個(gè)真值表中，輸入A、B 和 C 表示冗余組件的輸入，輸出表示2oo3系統(tǒng)的最終輸出。 如果至少有兩個(gè)輸入達(dá)成一致(即設(shè)為1)，輸出也將為1；如果只有一個(gè)或沒(méi)有輸入達(dá)成一致(全部設(shè)為0或只有一個(gè)設(shè)為1)，輸出將為0。這種冗余方案確保系統(tǒng)即使其中一個(gè)組件發(fā)生故障或提供錯(cuò)誤的輸出，仍然保持可操作性。該方案診斷覆蓋率一般被認(rèn)為是與設(shè)計(jì)相關(guān)，最高可以達(dá)到“高”。

3. 測(cè)試模式

這種測(cè)試是為傳感器提供一個(gè)定義好的輸入，再比較“傳感器理論上應(yīng)該的輸出”和“實(shí)際的輸出”。例如，對(duì)于一個(gè)電流傳感器來(lái)說(shuō)，生成一個(gè)變化的電流，再比較該傳感器對(duì)變化的波形解析出的實(shí)際數(shù)字結(jié)果和預(yù)設(shè)的結(jié)果是否足夠吻合，以判斷其是否有故障。這個(gè)例子中的測(cè)試模式需要在系統(tǒng)中實(shí)現(xiàn)。有些傳感器則將這種測(cè)試集成到了傳感器內(nèi)部，自行產(chǎn)生輸入并進(jìn)行判斷，輸出給外界處理器的就是一個(gè)故障狀態(tài)的信號(hào)。該方案診斷覆蓋率一般被認(rèn)為與設(shè)計(jì)相關(guān)，最高可以達(dá)到“高”。

4. 傳感器相關(guān)性診斷

簡(jiǎn)單來(lái)說(shuō)，該方案就是通過(guò)兩個(gè)類似的傳感器的結(jié)果比較進(jìn)行相關(guān)性診斷。以溫度傳感器為例，用電路搭建兩個(gè)斜率相反的NTC 電路，一個(gè)上拉，一個(gè)下拉，如圖5-5所示。

圖 5-5  電路結(jié)構(gòu)

再用模數(shù)轉(zhuǎn)換器 (Analogue  to  Digital  Converter，ADC) 采集兩個(gè)輸出電壓，比較換算后的電壓值差異是否在一定范圍內(nèi)，就可以使MCU對(duì)該部分的溫度進(jìn)行相關(guān)性診斷。(如果對(duì) ADC 有獨(dú)立性要求，需要考慮使用不同的ADC，并注意ADC 參考電壓的獨(dú)立性。)該方案診斷覆蓋率一般被認(rèn)為是“高”。

5. 傳感器合理性校驗(yàn)

該方案診斷思路與傳感器相關(guān)性診斷方案類似，不同之處在于合理性校驗(yàn)采用了不同傳感器的結(jié)果，然后將兩者轉(zhuǎn)化為等效值進(jìn)行校驗(yàn)。以溫度傳感器為例，在一個(gè)系統(tǒng)中，如果某個(gè)執(zhí)行器的電流上升，溫度升高，MCU 通過(guò)NTC也會(huì)讀到溫度升高。但如果其他環(huán)境因素保持不變，電流上升而溫度反而下降，可以認(rèn)為兩者中有一個(gè)可能存在故障。該方案診斷覆蓋率一般被認(rèn)為是“中等”。