作者 | SASETECH社區(qū)

編者：

本文節(jié)選自機工社25年3月出版的《一本書讀懂智能汽車安全》，該書是一本全面講解智能汽車安全的通俗性著作，系統(tǒng)講解了汽車研發(fā)全流程的功能安全、預(yù)期功能安全和網(wǎng)絡(luò)安全，以及三者在汽車研發(fā)中的融合之道。本書由SASETECH汽車安全社區(qū)組織編寫，匯聚了博世、蔚來、小鵬、磐時、卓馭、地平線、上汽、吉林大學(xué)等業(yè)界和學(xué)界在汽車安全領(lǐng)域的實踐經(jīng)驗和研究成果。

以下是正文：

硬件安全機制是保障硬件隨機性失效(功能安全)或攻擊(網(wǎng)絡(luò)安全)能夠被探測和控制的重要手段。從功能安全的角度來看，硬件需要具備自我診斷和故障容忍的能力，以確保在發(fā)生硬件故障的情況下仍能提供可靠的操作。而從網(wǎng)絡(luò)安全機制的角度來看，硬件需要采用安全認證和加密技術(shù)，以保護車輛內(nèi)部數(shù)據(jù)免受惡意攻擊。本節(jié)將重點介紹硬件在功能安全機制和網(wǎng)絡(luò)安全機制方面的關(guān)鍵技術(shù)和要求，全面介紹智能汽車功能安全、網(wǎng)絡(luò)安全中不同安全機制的適用性和注意事項。

01、感器的安全機制

1. 有效范圍檢查

對于傳感器的安全來說，檢查其輸出的有效范圍幾乎是最容易實現(xiàn)且最常見的安全機制，同時在傳感器的各種安全機制中也是診斷覆蓋率最低的，通常被認為只能檢測出短路和短電源的故障。該機制的實現(xiàn)方法是：如果一個傳感器的輸出范圍在各種工況下都在20至80之間，那么控制器如果讀到一個小于10或者大于90的數(shù)值，可以認為該傳感器的輸出不在合理范圍內(nèi)，判斷其有故障。診斷覆蓋率一般被認為是“低”。

2. 1oo2、2oo2、2oo3 輸入比較

利用相互獨立的傳感器實現(xiàn)投票表決。這種投票表決的安全機制不僅適用于傳感器，也適用于處理器和執(zhí)行器。

常見的投票機制包括One-out-of-one(1oo1，一選一 )、One-out-of-two(1oo2，二選一 )、Two-out-of-two(2oo2，二選二)、Two-out-of-three(2oo3，三選二)。

在這樣的M-out-of-N的投票中，第一個數(shù)字M代表保證表決結(jié)果正確所要求的有效傳感器數(shù)量，后一個數(shù)字N 代表傳感器總數(shù)。

在 1oo2 設(shè)計中，主備組件之間會進行實時數(shù)據(jù)同步，包括輸入、輸出和內(nèi)部狀態(tài)等。比較機制會定期比較主備組件的輸出結(jié)果，如果發(fā)現(xiàn)結(jié)果不一致，可能意味著主組件或備組件出現(xiàn)故障或錯誤。針對動態(tài)信號、變化率有要求的信號，可以實現(xiàn)高診斷覆蓋率；但是對于靜態(tài)信號，通常認為只有中等診斷覆蓋率。在判斷1oo2 設(shè)計的診斷覆蓋率時，我們還需要依賴診斷周期和信號變化周期的關(guān)系。

在2oo3設(shè)計中，其中三個相同的組件執(zhí)行相同的功能，系統(tǒng)需要至少兩個組件在輸出上達成一致才被認為是有效的。表5-11展示的是2oo3系統(tǒng)的輸入-輸出真值表。

表 5-11  2oo3系統(tǒng)的輸入-輸出真值表

在這個真值表中，輸入A、B 和 C 表示冗余組件的輸入，輸出表示2oo3系統(tǒng)的最終輸出。 如果至少有兩個輸入達成一致(即設(shè)為1)，輸出也將為1；如果只有一個或沒有輸入達成一致(全部設(shè)為0或只有一個設(shè)為1)，輸出將為0。這種冗余方案確保系統(tǒng)即使其中一個組件發(fā)生故障或提供錯誤的輸出，仍然保持可操作性。該方案診斷覆蓋率一般被認為是與設(shè)計相關(guān)，最高可以達到“高”。

3. 測試模式

這種測試是為傳感器提供一個定義好的輸入，再比較“傳感器理論上應(yīng)該的輸出”和“實際的輸出”。例如，對于一個電流傳感器來說，生成一個變化的電流，再比較該傳感器對變化的波形解析出的實際數(shù)字結(jié)果和預(yù)設(shè)的結(jié)果是否足夠吻合，以判斷其是否有故障。這個例子中的測試模式需要在系統(tǒng)中實現(xiàn)。有些傳感器則將這種測試集成到了傳感器內(nèi)部，自行產(chǎn)生輸入并進行判斷，輸出給外界處理器的就是一個故障狀態(tài)的信號。該方案診斷覆蓋率一般被認為與設(shè)計相關(guān)，最高可以達到“高”。

4. 傳感器相關(guān)性診斷

簡單來說，該方案就是通過兩個類似的傳感器的結(jié)果比較進行相關(guān)性診斷。以溫度傳感器為例，用電路搭建兩個斜率相反的NTC 電路，一個上拉，一個下拉，如圖5-5所示。

圖 5-5  電路結(jié)構(gòu)

再用模數(shù)轉(zhuǎn)換器 (Analogue  to  Digital  Converter，ADC) 采集兩個輸出電壓，比較換算后的電壓值差異是否在一定范圍內(nèi)，就可以使MCU對該部分的溫度進行相關(guān)性診斷。(如果對 ADC 有獨立性要求，需要考慮使用不同的ADC，并注意ADC 參考電壓的獨立性。)該方案診斷覆蓋率一般被認為是“高”。

5. 傳感器合理性校驗

該方案診斷思路與傳感器相關(guān)性診斷方案類似，不同之處在于合理性校驗采用了不同傳感器的結(jié)果，然后將兩者轉(zhuǎn)化為等效值進行校驗。以溫度傳感器為例，在一個系統(tǒng)中，如果某個執(zhí)行器的電流上升，溫度升高，MCU 通過NTC也會讀到溫度升高。但如果其他環(huán)境因素保持不變，電流上升而溫度反而下降，可以認為兩者中有一個可能存在故障。該方案診斷覆蓋率一般被認為是“中等”。