過(guò)去幾十年，駕駛活動(dòng)發(fā)生了巨大變化。從駕駛員手動(dòng)操控所有駕駛?cè)蝿?wù)到輔助駕駛系統(tǒng)的引入，汽車行業(yè)取得了重大發(fā)展。同時(shí)，這也改變了人們的駕乘體驗(yàn)。

早期，機(jī)械和液壓系統(tǒng)是汽車操作、控制制動(dòng)、轉(zhuǎn)向和加速的基礎(chǔ)。

但是，隨著E/E系統(tǒng)的出現(xiàn)，輔助駕駛E/E系統(tǒng)使駕駛體驗(yàn)得到提升，可協(xié)助駕駛員完成加速、制動(dòng)和轉(zhuǎn)向操作（如車道保持、電子助力轉(zhuǎn)向、緊急制動(dòng)）。如果檢測(cè)到輔助駕駛系統(tǒng)故障，系統(tǒng)對(duì)駕駛操作的影響將受限，或者系統(tǒng)將完全關(guān)閉。機(jī)械系統(tǒng)作為可靠的解決方案仍有一席之地。

這種輔助駕駛系統(tǒng)被稱為失效安全系統(tǒng)。在這種情況下，系統(tǒng)能夠檢測(cè)出此類與功能安全相關(guān)的故障足以，因?yàn)閺墓δ馨踩拍畹慕嵌葋?lái)看，失效安全系統(tǒng)依賴于人類。駕駛員仍需提供驅(qū)動(dòng)力，維持可能已降低的控制水平，直到汽車在電子/電氣系統(tǒng)失效時(shí)處于安全狀態(tài)。

這種轉(zhuǎn)變標(biāo)志著汽車技術(shù)和實(shí)現(xiàn)這一技術(shù)的軟件進(jìn)入新時(shí)代。

向自動(dòng)駕駛轉(zhuǎn)變：

隨著汽車行業(yè)進(jìn)入自動(dòng)駕駛時(shí)代，當(dāng)所有駕駛?cè)蝿?wù)完全由自動(dòng)駕駛E/E系統(tǒng)執(zhí)行后，新的挑戰(zhàn)和機(jī)遇隨之出現(xiàn)。改善和保持汽車功能安全以及減輕汽車重量是汽車制造商必須解決的主要挑戰(zhàn)之一。

傳統(tǒng)的機(jī)械和液壓連接依賴于汽車加速、制動(dòng)和轉(zhuǎn)向命令，但實(shí)際上這些根本無(wú)法滿足自動(dòng)駕駛的需求。

更為復(fù)雜的線控系統(tǒng)逐漸取代它們完成此類操作，同時(shí)改善了功能安全、減輕了汽車重量。這些基于電子傳感器和執(zhí)行器的系統(tǒng)在實(shí)現(xiàn)自主功能方面發(fā)揮了顛覆性作用，為未來(lái)的汽車自動(dòng)駕駛發(fā)展創(chuàng)造了條件。

由于汽車的線控系統(tǒng)不允許失效，因此它們應(yīng)該高度可靠并且能夠正確執(zhí)行相關(guān)命令。

雖然電子系統(tǒng)發(fā)生與功能安全相關(guān)的故障時(shí)，不能選擇機(jī)械后備，但在達(dá)到安全狀態(tài)（如安全停車）之前，部分性能下降可以接受。但關(guān)閉或立即交由駕駛員處理的功能將失效，因此僅失效安全系統(tǒng)不能滿足SAE L3 - L5級(jí)線控和自動(dòng)駕駛功能的需求。

要想制造出真正的自動(dòng)駕駛汽車，必須使用失效可操作系統(tǒng)。與系統(tǒng)故障時(shí)依賴人為干預(yù)的失效安全系統(tǒng)不同，失效可操作系統(tǒng)必須能夠保持連續(xù)、可靠地運(yùn)行。它們可以確保自動(dòng)駕駛汽車能夠在所有領(lǐng)域均安全、可靠地運(yùn)行。失效可操作系統(tǒng)可提供強(qiáng)大的功能安全保障，使汽車在保持運(yùn)行完整性的同時(shí)檢測(cè)并響應(yīng)故障。

失效可操作系統(tǒng)軟件為什么可以改變行業(yè)規(guī)則？

軟件在實(shí)現(xiàn)失效可操作系統(tǒng)及其成功集成到自動(dòng)駕駛汽車方面發(fā)揮著重要作用。

失效可操作系統(tǒng)應(yīng)該提供什么樣的保障？

失效可操作系統(tǒng)必須能夠高度可靠地執(zhí)行應(yīng)用軟件，為持續(xù)服務(wù)交付提供保障。

此外，通信軟件的執(zhí)行對(duì)于確保處理線控命令時(shí)的高可靠通信至關(guān)重要。

失效可操作系統(tǒng)通常由2個(gè)以主動(dòng)冗余方式運(yùn)行的完全冗余子系統(tǒng)構(gòu)成。這兩個(gè)子系統(tǒng)均采用靜默失效設(shè)計(jì)，即正確操作或不提供服務(wù)，以避免在發(fā)生故障時(shí)影響其他子系統(tǒng)。

只要運(yùn)行正常，各子系統(tǒng)就能夠控制系統(tǒng)。如果一個(gè)子系統(tǒng)失效，另一個(gè)子系統(tǒng)將無(wú)縫接管，確保設(shè)備連續(xù)可靠地運(yùn)行。

為確保服務(wù)持續(xù)交付，通常還需要硬件層級(jí)的冗余和容錯(cuò)。應(yīng)對(duì)系統(tǒng)進(jìn)行“強(qiáng)化”，以防處理環(huán)境中出現(xiàn)故障（如通過(guò)執(zhí)行同一MCU另一個(gè)內(nèi)核上的軟件完成）。

失效可操作系統(tǒng)軟件的重要性

為滿足失效可操作要求，能夠?qū)崿F(xiàn)預(yù)期功能安全相關(guān)功能的軟件必須高度可靠，因此應(yīng)盡量降低其復(fù)雜性和尺寸。

為防止服務(wù)意外中斷，必須對(duì)關(guān)鍵軟件進(jìn)行強(qiáng)化，以防非在同一MCU上執(zhí)行的關(guān)鍵軟件出現(xiàn)故障。具體方法包括使用適當(dāng)機(jī)制確保其免受干擾和在軟件分區(qū)之間使用特定的可靠通信機(jī)制。

各種冗余有助于避免主要、輔助通信信道出現(xiàn)相關(guān)失效。如果軟件根據(jù)較高的質(zhì)量標(biāo)準(zhǔn)（ASIL D而非ASIL B）開發(fā)，則同質(zhì)冗余合法。

線控制動(dòng)、轉(zhuǎn)向和加速是當(dāng)前線控系統(tǒng)的典型用例，這些線控系統(tǒng)在自動(dòng)駕駛汽車中發(fā)揮著關(guān)鍵作用。

現(xiàn)在，這類系統(tǒng)中的幾乎所有電子控制單元均采用Classic AUTOSAR軟件棧開發(fā)而成。為加快線控技術(shù)升級(jí)（無(wú)需機(jī)械后備），很多汽車制造商和一級(jí)供應(yīng)商都要求快速、輕松、靈活地采用經(jīng)過(guò)改進(jìn)的Classic AUTOSAR軟件，以滿足失效可操作系統(tǒng)的要求。

軟件解決方案是實(shí)現(xiàn)失效可操作系統(tǒng)的核心，可確保服務(wù)持續(xù)、可靠地交付。隨著自動(dòng)駕駛汽車的成功推出，失效可操作軟件的開發(fā)對(duì)于確保實(shí)現(xiàn)其功能安全、可靠性和高效性至關(guān)重要。

汽車軟件供應(yīng)商應(yīng)快速創(chuàng)新方法，擴(kuò)展其現(xiàn)有的Classic AUTOSAR軟件產(chǎn)品，以滿足這些關(guān)鍵要求，并為汽車市場(chǎng)提供符合未來(lái)發(fā)展趨勢(shì)且具有競(jìng)爭(zhēng)力的產(chǎn)品。

憑借軟件解決方案，失效可操作系統(tǒng)將成為交通運(yùn)輸?shù)幕瑥氐赘淖円苿?dòng)性，增強(qiáng)功能安全，并改變我們的道路駕駛體驗(yàn)。

Elektrobit的相關(guān)解決方案：

用于失效可操作系統(tǒng)的AUTOSAR軟件- EB tresos Safety Fail-operational

高度可靠的執(zhí)行和通信

要實(shí)現(xiàn)真正的車輛自動(dòng)駕駛，失效可操作系統(tǒng)至關(guān)重要，而Classic AUTOSAR（汽車開放系統(tǒng)架構(gòu)）軟件解決方案是支持這一轉(zhuǎn)變的關(guān)鍵。

隨著汽車行業(yè)向SAE L3到L5級(jí)自動(dòng)駕駛汽車邁進(jìn)，故障安全系統(tǒng)已不再足夠。相反，對(duì)故障可操作系統(tǒng)的要求是確保在故障期間持續(xù)可靠地運(yùn)行，無(wú)需人工干預(yù)。

傳統(tǒng)的機(jī)械和液壓連接已無(wú)法滿足車輛自動(dòng)駕駛的需求，正逐漸被用于車輛制動(dòng)和轉(zhuǎn)向指令等活動(dòng)的更先進(jìn)的線控系統(tǒng)所取代。通過(guò)用電子連接取代機(jī)械和液壓功能，這些系統(tǒng)在實(shí)現(xiàn)自主功能方面發(fā)揮了關(guān)鍵作用，為自動(dòng)駕駛汽車發(fā)展創(chuàng)造了條件。

EB tresos Safety Fail-operational采用經(jīng)過(guò)ASIL D安全認(rèn)證的組件設(shè)計(jì)，提供Classic AUTOSAR基礎(chǔ)軟件所必需的全面功能集。這些功能對(duì)于未來(lái)的自動(dòng)駕駛和線控系統(tǒng)至關(guān)重要，可確保連續(xù)任務(wù)執(zhí)行和通信、防止意外服務(wù)中斷、保證最壞情況執(zhí)行時(shí)間 (WCET)，以及簡(jiǎn)化和降低復(fù)雜性。

優(yōu)點(diǎn)

加速線控系統(tǒng)上市

符合Classic AUTOSAR堆棧的要求有助于快速集成，實(shí)現(xiàn)對(duì)現(xiàn)有系統(tǒng)的線控技術(shù)的無(wú)縫升級(jí)。

實(shí)現(xiàn)靈活方便的應(yīng)用分離

支持在不同分區(qū)中靈活整合質(zhì)量管理 (QM) 和功能安全應(yīng)用，無(wú)需重新進(jìn)行系統(tǒng)安全認(rèn)證，除非需要更改故障可操作相關(guān)軟件。

確保通過(guò)完整功能集保證運(yùn)行

保證連續(xù)運(yùn)行，滿足關(guān)鍵的失效可操作要求，例如保證任務(wù)執(zhí)行、通信、最壞情況執(zhí)行時(shí)間 (WCET) 和防止意外服務(wù)中斷。

加強(qiáng)早期系統(tǒng)集成和原型開發(fā)

憑借對(duì)線控系統(tǒng)至關(guān)重要的硬件平臺(tái)的強(qiáng)大支持，EB tresos Safety Fail-operational有助于早期利用并無(wú)縫集成到系統(tǒng)原型開發(fā)活動(dòng)中。

主要功能 – 精簡(jiǎn)高效

EB tresos Safety Fail-operational提供全面的功能集，針對(duì)自動(dòng)駕駛和線控車輛功能的獨(dú)特安全應(yīng)用設(shè)計(jì)需求量身定制，滿足嚴(yán)格的故障可操作要求。

Classic AUTOSAR（汽車開放系統(tǒng)架構(gòu)）兼容組件，通過(guò)了ISO 26262 ASIL D SEooC安全認(rèn)證

支持高可靠性CAN通信

改進(jìn)了MCU多核和驅(qū)動(dòng)程序支持，提高了處理性能

EB tresos Safety Fail-operational架構(gòu)圖