在线工博会

基于FlexRay网络的汽车分布式安全系统
为节省流量,手机版未显示文章中的图片,请点击此处浏览网页版
网络拓扑结构对于汽车网络系统安全具有重要的影响,要保证汽车环境下通讯系统的可用性和可靠性,需要面向特定应用进行优化。在这方面,最近出现的FlexRay物理层技术具有很大潜力。本文将从简单的网络例子入手,由简至繁,最后推出一种可靠精密的解决方案,在此过程中我们将讨论几种可能的不同网络配置以及它们的优缺点。
FlexRay具有创新的功能和安全的特点,能够使汽车系统安全达到一个很高的水平。FlexRay不仅能简化汽车电子和通信系统架构,同时还可帮助汽车电子单元变得更加稳定和可靠。包括丰田、日产、本田、现代以及起亚汽车公司在内的主要亚洲汽车生产商都已经加入FlexRay联盟,进一步加强了该联盟在创建针对汽车线控操作(by-wire)技术通用标准上所做的努力。随着一些新汽车生产商的加入,全球每年生产的汽车中每10辆几乎有7辆是由FlexRay成员生产。
在开始讨论之前,我们先简单介绍一下FlexRay协议。FlexRay是一种灵活的通讯系统,能够满足未来先进汽车高速控制应用的需要。同时FlexRay支持分布式控制系统,并可补充CAN、LIN和面向媒体应用的MOST光学数据总线等主要车内网络标准。FlexRay协议旨在应用于需要高通信带宽和决定性容错数据传输能力的底盘控制、车身和动力总成等场合。
但FlexRay通信系统并非仅仅是一个通信协议,它还包括一种特殊设计的高速收发器,并定义了FlexRay节点不同部件间的硬件和软件接口。FlexRay协议定义了网络汽车系统中的通信过程格式和功能。除了开发中的协议、软件和支持服务外,FlexRay联盟还致力于通过联盟成员中的领先工具厂商和测试机构来保证提供通信系统设计、测试测量以及仿真所需要的工具。
无论什么时候,控制系统都必须收集实际系统中足够多的信息以保持对汽车的控制并增强其性能。汽车内采用的传感器越来越多,特别是感知外部信息的传感器,用来感知路面信息以及前方、邻近以车辆后面的障碍物,此类传感器包括视频、雷达和光电传感器,它们所捕捉的大量数据都实时传输到车内ECU进行处理。
FlexRay利用两条独立的物理线路进行通信,每条的数据速率为10Mbps。两条通信线路主要用来实现冗余,因此消息传输具有容错能力,当然也可以利用两条线路来传输不同的消息,这样数据吞吐量可以加倍。
FlexRay还可以工作在较低的数据速率。速度低于1Mbps时,允许支持传输总线结构(如CAN);速度在1Mbps以上时,不同的节点利用主动星型耦合器以点到点方式进行连接。
FlexRay的重要目标应用之一是线控操作(如线控转向、线控刹车等),即利用容错的电气/电子系统取代机械/液压部分。线控操作包括从转向到刹车和加速等所有汽车控制应用互连技术,它可以补充并将最终代替目前的机械和液压解决方案。车内部件特别是机械和液压部件减少后就不必再支付这部分费用,因此就总体器件和组装成本来说,采用电子系统比采用机械和液压部件更便宜。
业界正致力于在汽车设计中转向全电子系统,它将通过创新的智能驾驶辅助系统为司机和乘员提供更高的安全性以及更舒适的车内环境。
对于汽车购买者来说,另一项可以感受得到的好处是FlexRay将带来更高设计自由,特别是在汽车内饰方面。由于没有占用很大空间的驾驶杆,未来的汽车将具有全新的面貌和乘坐感觉。除了线控操作以外,FlexRay在汽车动力总成和安全电子系统方面也有很大的应用空间,这些应用都需要高速数据传输,如作为中央电子骨干总线连接车内各种总线网络,而且便于在车内引入新的电子控制系统。
对于亚洲汽车生产商来说,FlexRay标准化所带来的好处包括可削减开发和生产成本,降低采用这种创新性技术的风险,从而使这种新系统在市场中得到广泛采用。目前汽车中不同控制设备、传感器和制动器之间的数据交换主要是通过CAN网络完成的,但新出现的线控操作系统对于通信网络提出了更高的要求,特别是在消息传输的容错性和时间确定性方面。通过在固定时隙内进行消息传输,并同时利用两个通道提供消息传输容错和冗余机制,FlexRay可满足这些方面的要求。
完全冗余系统

(图片)

图1是一个汽车网络应用的例子,其中有四个车轮节点(1至4)、一个中央电子控制单元(ECU)(5)以及一个备份ECU(6)。在应用软件中采取适当措施后,一个ECU出现故障系统并不会受到影响。
然而简单的FMEA(故障模式和效果分析)提醒我们可能会出现更严重的故障,如水进入连接器导致连接到某个ECU的两个通道都出现问题、ECU印刷电路板断裂或机械冲击使电缆固定套脱落或变形等等,这些都会导致两个通道出现同种故障模式(如图2),使得某些节点的通信完全中断。
部分冗余系统
避免上述事故的一种方法是降低网络拓扑的复杂性。让我们回到熟知的两条独立对角线这一原则,那么可以得到一种可能的简单解决方案(图3)。
现在,车轮节点仅连接到一个通道,中央ECU及备份ECU仍连接到两个通道。ECU及其备份可以针对机械冲击进行更好的保护,因为可以将它们放在乘员单元,如中央控制台的后面。连线更少意味着故障模式更少,对有些应用这种解决方案可能适用,但上面提到的共同故障模式风险仍然没有消除,因此有必要寻求进一步的改进。FlexRay通过引入主动星型(active star)连接器来解决这一问题。
采用主动星型连接器的FlexRay系统
图4给出的网络拓扑与上面的类似,只是在一个通道中增加了一个主动星型连接器。
主动星型连接器作为一个路由器,在正常通信工作过程中将来自一个分支的输入消息发送到所有其它分支。主动星型连接器的好处是可以检测到出现问题的分支或者传输时间超过时间限制的消息,当检测到此类非法异常问题时,主动星型连接器会断开受影响的网络分支,从而保证网络中其它分支的通信不受影响。与其它物理层连接方式相比,主动星型连接器可断开出现故障的区域,这也是其最主要的优点。
假设结点6出现的故障影响到两个分支(图5),系统仍然可以工作,尽管性能有所降低(但还是可以接受的),当然节点2和3的通信会丢失。如果故障发生在节点5而不是节点6,那么情况也完全类似。这一结果非常有趣,因为仅仅在一个通道中使用了主动星型连接器,因此整个网络拓扑是非对称的。
采用两个主动星型连接器的FlexRay系统

(图片)

在另一个通道中也引入一个主动星型连接器可使网络更为对称,同时在应用软件中采用相应的措施后,甚至在如图6的故障情况下系统性能也不会降低。此时,所有四个轮胎节点仍然处于可访问状态,中央ECU之一(这里是节点5)拥有对整个系统的控制。
当一个轮胎节点的线缆连接短路时,连接到这一对角线的另一个轮胎也会受到影响,在这样的故障模式下,这种网络拓扑与用一个主动星型连接器的网络相比并没有什么优势。然而对于有些应用同时有两个轮胎节点失去通信可能是无法接受的,这时就需要寻找一种不同的解决方案。其实也很容易找到,先连到短接线缆再连接至主动星型连接器的节点可以直接连接到主动星型连接器,这样每个主动星型连接器需要再多一个支路。
不使用短接线缆的FlexRay系统
与前面所讨论的所有故障模式相比,图7中的配置保证了最大网络可用性。顺便说一句,在本文所讨论的所有例子中,这种网络拓扑还提供了最好的电磁兼容(EMC)性,因为这里不再有短接线缆。
总结
如前所述,网络拓扑布局主要由通信链路最低可用性要求所决定。对于确定的故障模式,总能够找到满足可用性要求的解决方案。FlexRay的可扩展能力允许在系统成本和安全性之间进行最优的平衡。支持这种物理层方法的第一款FlexRay收发器(Philips TJA 1080)已经推出,这款收发器还可用于构建主动星型连接器。目前正在进行的车辆测试和进一步理论分析将会应用这些结果,并推广到多于6个节点的要求更为苛刻的应用网络。
除了这里所讨论的故障模式外,在时域也存在一些严重的故障模式,此时主动星型连接器也具有一定的优势。出现传送错误的节点不会影响连到主动星型连接器的其它节点正在进行的通信,因为主动星型连接器会继续路由其它分支消息。此外,主动星型连接器还会断开或抛弃超出一定时间限制的消息,因此可防止通信信道被独占。
某些情况下为保证特殊的安全性要求可能对“时域信号安全性”有更高的要求,此时可能需要采用所谓的总线监控器(bus guardian),FlexRay总线监控器可以监视通信控制器在每个节点的时序是否符合要求。 7/6/2006


电脑版 客户端 关于我们
佳工机电网 - 机电行业首选网站