E-Gas 是一种用于动力域系统设计的三层电子监控架构,由欧洲的几大一线主机厂和 tire 1 联合提出,并逐渐形成一个标准《Standardized E-Gas Monitoring Concept for Gasoline and Diesel Engine Control Units-Version 6》。
E-Gas 应用意义
E-Gas 作为广泛应用的安全软件架构方案,具有很强的通用性和适应性。其最初针对汽/柴油发动机管理系统所设计的架构基础扎实,经过适当适配后能够延伸至车身系统、变速箱系统以及新能源的三电系统等不同领域,这充分体现了其良好的扩展性。
对于 E-GAS 来说,它在不同系统中的应用展现出了强大的灵活性。比如在车身系统中,它可以有效监控车身各类电子设备的运行状态,及时发现潜在故障并采取应对措施,保障诸如车门锁、车窗升降、灯光系统等的安全稳定工作。在变速箱系统中,能够精确监测变速箱的工作参数,确保换挡操作的平顺性和准确性,防止因变速箱故障导致的行驶异常。
在新能源三电系统里,E-GAS 可以对电池管理、电机控制等关键环节进行严密监控。它能实时评估电池的状态,包括电量、温度、健康状况等,以确保电池的安全高效使用。同时,对电机的转速、扭矩等参数进行精准把控,保障动力输出的稳定和可靠。
其良好的扩展性还体现在它能够适应不同车型和品牌的需求。不同的汽车制造商可以根据自身产品的特点和要求,对 E-GAS 进行针对性的调整和优化,使其更好地融入各自的车辆架构中。而且,随着技术的不断发展和新功能的涌现,E-GAS 也能够与时俱进地进行更新和升级,不断适应新的安全挑战和要求。
在实际应用中,E-GAS 的广泛应用推动了整个汽车行业对于功能安全的重视。这种广泛的适用性使得 E-GAS 在汽车行业中能够发挥重要作用,无论是传统燃油车系统还是新兴的新能源系统,都能从中受益,保障系统的功能安全。它的存在为汽车电子电气系统的安全运行提供了可靠的保障,有助于降低潜在风险,提高车辆的整体安全性和可靠性。
需要注意的是,通过 E-Gas 架构的分层监视和安全措施,可以有效管理和控制汽车电子电气系统中的安全机制,降低功能安全整体开发难度,提高系统的可靠性和安全性。
在实际应用中,E-gas系统架构设计模式需要根据具体的系统需求和安全要求进行调整和优化。同时,还需要考虑系统的可靠性、可维护性和成本等因素。
E-Gas 三个层次
E-Gas 定义了三个软件级别,分别是功能实现层(function level)、功能监控层(function monitoring level)和控制器监控层(controller monitoring level)。
(Level 1):
功能实现层是 E-Gas 架构的最底层,主要负责实现具体的功能,如控制发动机扭矩、监测传感器数据等。这一层级的软件通常按照质量管理(QM)等级进行开发,以确保其功能的正确性和可靠性。
比如对于电机控制器来说,这一层实现了将请求的扭矩转换为电机的扭矩输出。比如在车道辅助系统中,功能实现层负责实现具体的功能,如通过传感器检测车辆在车道中的位置,并根据车辆的行驶状态和驾驶员的操作,控制车辆的转向和速度,以保持车辆在车道内行驶。
(Level 2):
功能监控层位于功能实现层之上,用于监控功能实现层的运行状态。它通过设计一套方法来判断功能实现层的运行是否正常,例如通过合理性校验、软件多样化冗余等方式。如果功能监控层检测到功能实现层出现异常,它会触发相应的系统反应,以确保系统的安全性。也就是用于监控 Level1 功能的运行是否正常。Level2 的核心是设计一套方法去判断 Level1 的运行是否正常。虽然判断 Level1 运行是否正常的方法,往往跟被监控的功能相关,不同被监控功能有不同的判定方法,比如通过软件多样化冗余,但也有一些适用范围较广的判断方法,比如合理性校验。
比如在车道辅助系统中,功能监控层可以通过监测传感器数据、车辆的行驶状态和驾驶员的操作,来判断功能实现层是否正常工作。如果功能监控层检测到功能实现层出现异常,如车辆偏离车道或驾驶员进行了不适当的操作,它会触发相应的故障动作,如发出警报或采取紧急制动措施,以确保车辆的安全。
(Level 3):
控制器监控层是 E-Gas 架构的最顶层,主要由三部分功能构成,包括电子电气系统硬件诊断、独立监控和应用程序流检查。电子电气系统硬件诊断用于监控电子电气系统硬件故障;独立监控是指控制器相关的故障发生后,为了保证安全性,需要外部额外的独立监控模块,来确保即使 MCU 发生严重故障后,依然能够进入安全状态;应用程序流检查用于监控 Level1 和 Level2 的监控程序是否运行正常。也可以理解为监控电子电气系统硬件故障,如控制器的 CPU 核故障、RAM 故障、ROM 故障等。此外,它还包括独立监控和应用程序流检查功能,以确保控制器的正常运行。
比如在车道辅助系统中,控制器监控层可以监测传感器、控制器和执行器等硬件设备的工作状态,以确保它们正常运行。如果控制器监控层检测到硬件设备出现故障,它会触发相应的故障动作,如切换到备用设备或采取其他安全措施,以确保系统的可靠性和安全性。
所以说,这种分层监视框架有效实现了功能安全分解,通常采用 QM(ASIL X)+ASIL X(ASIL X)的安全分解策略,即将功能实现软件(Level1)按照 QM 等级开发,功能冗余软件或安全措施(Level2、Level3)按照最高的要求等级 ASIL X(ASIL X)进行开发,这样可以有效降低功能软件的安全开发成本。
以电机控制器为案例
为了更好地理解E-gas,以下是一个电机控制器的案例:
电机控制器的功能是根据驾驶员的请求,控制电机的扭矩输出。Level 1实现了将请求的扭矩转换为电机的扭矩输出的功能。Level 2通过合理性校验的方法监控Level 1的运行是否正常。
例如,通过比较请求的扭矩和实际输出的扭矩,判断是否存在异常。如果存在异常,Level 2将采取相应的错误处理措施,例如限制扭矩输出或触发故障报警。Level 3则负责监控电子电气系统硬件的故障,例如控制器的CPU核故障、RAM故障、ROM故障等。
同时,Level 3还通过独立监控模块确保在MCU发生严重故障时,能够进入安全状态。此外,应用程序流检查功能用于监控Level 1和Level 2的监控程序是否运行正常,如果程序流出现异常,将触发相应的安全措施。
功能安全软件架构” 的核心
基于 E-Gas 安全架构所强调的核心要素,“诊断框架”无疑是其中关键的一环。尽管所使用的基础软件开发平台可能有所不同,如 AUTOSAR CP、AP 或者非 AUTOSAR,但功能安全软件架构的设计思路确实存在相似之处。
以 AUTOSAR CP 为例,它为功能安全软件架构的实现提供了一个特定的基础和规范。在这个框架下,“诊断框架”的构建需要充分考虑到各种因素。它可能包括对系统硬件状态的实时监测和诊断,能够及时发现潜在的故障点。同时,对于软件运行过程中的异常状态也需要进行精准的判断和分析。
在设计诊断框架时,需要明确不同层次的诊断要求和目标。从底层的硬件检测到上层的功能状态评估,都需要有清晰的界定和策略。而且,要与“分层监视思想”紧密结合,使得诊断过程能够在不同层次之间形成有效的反馈和协调。
此外,还需要考虑与其他安全措施的协同配合。诊断框架所发现的问题应能及时触发相应的安全措施,以保障系统的安全运行。并且,随着技术的不断发展和系统的更新升级,诊断框架也需要不断优化和完善,以适应新的挑战和需求。