寻找供应商
广告
首页 > 汽车技术 > 正文

汽车电子硬件开发常用的安全机制

2025-04-07 08:34:10·  来源:汽车电子与软件  作者:SASETECH社区  
 

作者 | SASETECH社区

编者:

本文节选自机工社25年3月出版的《一本书读懂智能汽车安全》,该书是一本全面讲解智能汽车安全的通俗性著作,系统讲解了汽车研发全流程的功能安全、预期功能安全和网络安全,以及三者在汽车研发中的融合之道。本书由SASETECH汽车安全社区组织编写,汇聚了博世、蔚来、小鹏、磐时、卓驭、地平线、上汽、吉林大学等业界和学界在汽车安全领域的实践经验和研究成果。


以下是正文:

硬件安全机制是保障硬件随机性失效(功能安全)或攻击(网络安全)能够被探测和控制的重要手段。从功能安全的角度来看,硬件需要具备自我诊断和故障容忍的能力,以确保在发生硬件故障的情况下仍能提供可靠的操作。而从网络安全机制的角度来看,硬件需要采用安全认证和加密技术,以保护车辆内部数据免受恶意攻击。本节将重点介绍硬件在功能安全机制和网络安全机制方面的关键技术和要求,全面介绍智能汽车功能安全、网络安全中不同安全机制的适用性和注意事项。

01、感器的安全机制


1. 有效范围检查

对于传感器的安全来说,检查其输出的有效范围几乎是最容易实现且最常见的安全机制,同时在传感器的各种安全机制中也是诊断覆盖率最低的,通常被认为只能检测出短路和短电源的故障。该机制的实现方法是:如果一个传感器的输出范围在各种工况下都在20至80之间,那么控制器如果读到一个小于10或者大于90的数值,可以认为该传感器的输出不在合理范围内,判断其有故障。诊断覆盖率一般被认为是“低”。

2. 1oo22oo2、2oo3 输入比较

利用相互独立的传感器实现投票表决。这种投票表决的安全机制不仅适用于传感器,也适用于处理器和执行器。

常见的投票机制包括One-out-of-one(1oo1,一一 )、One-out-of-two(1oo2,二选 )、Two-out-of-two(2oo2,二选二)、Two-out-of-three(2oo3,三选二)。

在这样的M-out-of-N的投票中,第一个数字M代表保证表决结果正确所要求的有效传感器数量,后一个数字代表传感器总数。

 1oo2 设计中,主备组件之间会进行实时数据同步,包括输入、输出和内部状态等。比较机制会定期比较主备组件的输出结果,如果发现结果不一致,可能意味着主组件或备组件出现故障或错误。针对动态信号、变化率有要求的信号,可以实现高诊断覆盖率;但是对于静态信号,通常认为只有中等诊断覆盖率。在判断1oo2 设计的诊断覆盖率时,我们还需要依赖诊断周期和信号变化周期的关系。

2oo3设计中,其中三个相同的组件执行相同的功能,系统需要至少两个组件在输出上达成一致才被认为是有效的。表5-11展示的是2oo3系统的输-输出真值表。

表 5-11  2oo3系统的输入-输出真值表

图片

在这个真值表中,输入A、B 和 C 表示冗余组件的输入,输出表示2oo3系统的最终输出。 如果至少有两个输入达成一致(即设为1),输出也将为1;如果只有一个或没有输入达成一(全部设为0或只有一个设为1),输出将为0。这种冗余方案确保系统即使其中一个组件发生故障或提供错误的输出,仍然保持可操作性。该方案诊断覆盖率一般被认为是与设计相关,最高可以达到“高”。

3. 测试模式

这种测试是为传感器提供一个定义好的输入,再比较“传感器理论上应该的输出”和“实际的输出”。例如,对于一个电流传感器来说,生成一个变化的电流,再比较该传感器对变化的波形解析出的实际数字结果和预设的结果是否足够吻合,以判断其是否有故障。这个例子中的测试模式需要在系统中实现。有些传感器则将这种测试集成到了传感器内部,自行产生输入并进行判断,输出给外界处理器的就是一个故障状态的信号。该方案诊断覆盖率一般被认为与设计相关,最高可以达到“高”。

4. 传感器相关性诊断

简单来说,该方案就是通过两个类似的传感器的结果比较进行相关性诊断。以温度传感器为例,用电路搭建两个斜率相反的NTC 电路,一个上拉,一个下拉,如图5-5所示。

图片

图 5-5  电路结构

再用模数转换器 (Analogue  to  Digital  Converter,ADC) 采集两个输出电压,比较换算后的电压值差异是否在一定范围内,就可以使MCU对该部分的温度进行相关性诊断。(如果对 ADC 有独立性要求,需要考虑使用不同的ADC,ADC 参考电压的独立性。)该方案诊断覆盖率一般被认为是“高”。

5. 传感器合理性校验

该方案诊断思路与传感器相关性诊断方案类似,不同之处在于合理性校验采用了不同传感器的结果,然后将两者转化为等效值进行校验。以温度传感器为例,在一个系统中,如果某个执行器的电流上升,温度升高,MCU 过NTC也会读到温度升高。但如果其他环境因素保持不变,电流上升而温度反而下降,可以认为两者中有一个可能存在故障。该方案诊断覆盖率一般被认为是“中等”。

   首页   下一页   上一页   尾页 
分享到:
 
反对 0 举报 0 收藏 0 评论 0
  • 汽车测试网V课堂

    汽车测试网V课堂

  • 微信公众号

    微信公众号

  • 汽车测试网手机站

    汽车测试网手机站

• 一文带你了解滤波器 • 漫说信息智能 · 电动车防晕车大作战
• R171.01对DCAS的要求⑨ • 智驾标准法规体系大全
• 一文带你了解自动驾驶数据合成的发展现状 • 驾驶员监控系统DMS合规认证的“中西结合”思考
• 自动驾驶汽车测试关键行人场景生成 • 高效三通道双向电源:释放测试潜能
• 一文讲述汽车电子电气EEA架构 • 纯电动汽车高速工况下底盘后部空腔引起低频噪声问题的分析
0相关评论

编辑推荐

最新资讯

沪ICP备11026917号-25