Importanța conceptului „Functional Safety” în dezvoltarea de produse SW automotive

Radu Ivănuș
Head of Advanced Embedded Technologies Business Unit @ NTT DATA Romania

PROGRAMARE

Încep povestea noastră prin a vă descrie ceea ce înseamnă un "ECU", un termen utilizat de regulă, în corelație cu zona automotive. Denumirea ECU provine din engleză: Electronic Control Unit, desemnând un echipament electronic, care conține mai multe componente electronice și cel puțin un microcontroler pe care rulează un software, fie scris în ASM sau C. Cu alte cuvinte, ECU-urile sunt calculatoarele din mașini.

Dacă la început mașinile nu erau echipate cu ECU-uri (Electronic Control Unit), începând cu anii 1970, acestea au devenit un echipament standard de echipare. Primul ECU introdus pe piață în anul 1968, a fost dedicat sistemului de alimentare cu combustibil al motorului și a fost produs de firma Bosch pentru mașini Volkswagen.

Mașinile actuale conțin sute de ECU-uri si milioane de linii de cod, ajungând la o putere de calcul și la o complexitate foarte mare. Odată cu extinderea mașinilor moderne care funcționează și sunt controlate de acestea, nevoia de funcționalități de siguranță a devenit "Functional Safety", de asemenea, inevitabilă.

ECU-urile au evoluat foarte mult de-a lungul anilor, atașându-li-se la ora actuală, alături de microcontrolere și microprocesoare. Pentru cei curioși în legătură cu sumarul evoluției ECU-ului de-a lungul anilor, expunem mai jos următoarele date:

Primul computer lansat pe piață de VW (1968)
1969 - Ford introduce primul sistem antiderapant asistat de calculator.
1971 - General Motors introduce prima lor transmisie controlată de calculator.
1976 - General Motors și Motorola sunt echipate pentru a fi utilizate în vehiculele lor.
1978 - Cadillac introduce computerul de bord controlat de calculator, alimentat de microcontroler Motorola.
1981 - Toate vehiculele General Motors au un ECM bazat pe Motorola 6802 cu control al emisiilor.
1983 - Cipurile microcontrolerului Intel 8061 personalizate au început să fie utilizate în vehiculele Ford
1986 - "Navlab 1" al Universității Carnegie Mellon devine prima mașină autodinamică, autonomă.
1986 - Chrysler introduce module de comunicație prin cablu multiplex cu chipsuri furnizate de Harris Semiconductor.
1987 - Primele microcontrolere produse cu chipset de CAN integrat de către Intel și Philips Semiconductor.
1991 - Ford și Motorola formează un parteneriat pentru proiectarea și producerea microcontrolerelor PTEC de propulsie și transmisie.
2000 - Ford Microelectronics Inc. (FMI) este achiziționat de Intel Corp.
2014 - A fost introdus și comercializat primul vehicul automat de transport persoane ("self-driving"), Navia.
2015 - "Freightliner Inspiration" de la Daimler devine primul camion semi-autonom ("self-driving") Sem Truck.

Sursa imaginii: freightliner.com

2017 - Tesla "Semi" a introdus, primul lor model de camion marfă, electric și semi-autonom.
2017 Intel Corp achiziționează Mobileye, un dezvoltator de sisteme avansate de asistență pentru șofer, bazate pe viziune.
2017 Audi lansează primul vehicul A8 de serie cu Nivel 3 de automatizare, "Audi AI traffic jam pilot".
2018 Dezvoltarea primului oraș de tip "Smart City", Las Vegas, parteneriat între Statul Nevada, USA și compania japoneză NTT (Nippon Telegraph and Telephone Corporation).

Ca proces, siguranța funcțională ("funtional safety") a devenit o componentă esențială a ciclului de dezvoltare de soft pentru ECU. Aceste scheme de siguranță pentru automobile ajută la detectarea disfuncționalităților (electrice și electronice), și specifică acțiuni, tehnici și metode pentru a atenua riscurile și pagubele cauzate de erori la nivel de software și hardware.

Lipsa sau aplicarea incorectă a normelor de siguranță, poate avea consecințe grave: rănirea pasagerilor sau chiar pierderea de vieți omenești, care aduc după sine pierderi financiare și de imagine / brand pentru producătorii de mașini.

De aceea, în ziua de astăzi, automobilele moderne trebuie să respecte standardele internaționale de siguranță definite de ISO 26262: "Road vehicles - Functional safety"

Automotive Safety Integrity Level (ASIL) este o schemă de clasificare a riscurilor în cadrul standardului ISO 26262. Există definite patru nivele de siguranță în cadrul standardului: ASIL A, ASIL B, ASIL C și ASIL D. ASIL D dictează cel mai strict nivel de cerință safety asupra produsului , ASIL A fiind cel mai permisiv. Riscurile identificate ca QM ( "quality managed") nu implică nici o măsură separată de protecție.

Împărțirea nivelelor ASIL se face pe baza a trei considerente: frecvența de apariție (F), controlabilitate (C) și severitate (S) asupra erorii HW sau SW, unde Frecvența = Expunere * λ

Mai sus am descris care sunt nivelele de safety aplicate sistemelor, dar în cazul când nivelul ASIL maxim nu poate fi asigurat direct în sistem, standardul ISO26262 permite așa numita decompoziție a lor după cum este prezentată în imaginea de mai jos. Cu cât sistemul este cotat cu un nivel de safety ridicat, cu atât costurile de implementare HW si SW cresc. Când este aplicată decompoziția, ne ajută să împărțim sistemul în elemente redundante cu un nivel de siguranță mai redus, ceea ce duce la îndeplinirea cerințelor sistemului fără a afecta prea mult costurile.

În cele ce urmează, vă voi descrie modalități/exemple de metode aplicate în SW pentru a monitoriza și detecta erori în sistem.

Detecția, controlul și indicarea erorilor din sistem pe următoarele componente HW:

A. Erori la nivel de microcontroller:

Blocare biți regiștri (stuck-at);
Calcularea greșită a adreselor de jump in RAM (stuck-at) ;
ALU - Unitatea aritmetică și logică a microcontrolerului (secvență greșită de cod, timp de execuție prea lent sau prea rapid);
vector/rutina de întrerupere, rutare întreruperi sistem.

Testarea și monitorizarea memoriei RAM (inclusiv CSA - Context Switch Area) și stiva de date (stack underflow/overflow), ROM și EEPROM.

RAM
- testarea memoriei RAM se poate face la fiecare pornire a sistemului și opțional după fiecare reset (dependent de sistem și proiect). Ciclic sau la nevoie și în timpul rulării programului, pe tot RAM-ul sau doar pe anumite blocuri. Pentru aceasta unele metode de siguranță trebuie implementate, atât în SW cât și în HW: protecția variabilelor safety sau a registrelor cu valoare redundantă sau complement. Activarea mecanismelor HW de corecție și detecție ECC (Error-correcting code memory). Mai jos regăsiți un exemplu generic de funcții pentru manipulare date memorie safety.

typedef enum { 
  uint32 value; 
  uint32 complement; 
}Asil_Var32biti; 

Asil_Var32biti Modulel_Varl; 

/• function example to write safety variable */
void Modulel_WriteAsil32(Asil_Var32biti *var
   , uint32 val) 
{ 
  SuspendAlllnterrupts(); 
  #if (USE_COMPLEMENT != ON) /*redundant write */
  var->value = val; 
  var->complement = val; 
  #else /* or with complement */ 
  var->value = val; 
  var->complement = ~val; 
  #endif 
  ResumeAlllnterrupts(); 
}

/* function example to read safety variable */ 
uint32 Modulel_ReadAsil32(Asil_Var32biti* var) 
{ 
  uint32 loc_var = (uint32)0;
  SuspendAlllnterrupts(); 
  #if (USE_COMPLEMENT != ON) /*redundant read */
  if(var->value == var->complement) 
  #else /* or with complement */ 
  if(var->value == ~var->complement) 
  #endif 
  { 
    loc_var = var->value; 
    ResumeAlllnterrupts(); 
  } 
  else 
  {
    ResumeAlllnterrupts(); 
    /* RAM fault detected */ 
    ERROR_REACTION(); 
  }
  return loc_var; 
 }
 void main () 
 {
  /* ... */ 
  unit32 loc_var; 

  Modulel_WriteAsil32(&Modulel_Varl, 0xBEBEBEBE);
  /* code .... */ 
  loc_var = Modulel_ReadAsil32(&Modulel_Varl); 
    /* code .... */ 
}

ROM:
- Aplicarea CRC-urilor asupra anumitor blocuri de date clar definite;
  - Protecția Memoriei prin configurarea HW a anumitor registre - modalitate posibilă doar la unele microcontrolere.
- EEPROM:
  - Folosirea CRC-ului sau markere de date cu valoare prestabilită.

B. Testarea și monitorizarea perifericelor: ADC (convertorul analogic), SPI, CAN și altele.

Convertorul ADC al microcontrolerului poate fi testat pentru a detecta următoarele erori:

Erori de voltaj referință (Gain faut / VA ref drift).
- Pentru a putea detecta acest tip de eroare, una dintre intrările convertorului analogic, trebuie să fie conectată la o tensiune fixă de referință independentă, cu o valoare medie între VGnd si VRref (e.g. pentru VGnd - 0V și VRef 3.3V -> Vref test -> 1.6V) ;
  - Erori de offset (biti blocati "stuck-at 1 or 0") ;
  - Erori de multiplexor; Pentru detecția de error de offset și multiplexor, una dintre intrările convertorului analogic trebuie să fie conectată la o tensiune de "toggle" care poate să varieze între VGnd si Vref (00000000xxxx, 1111111xxxx) sau două intrări conectate la VGnd (V toggle _HIGH - 3.3 V) și V toggle _LOW - 0 V).

C. Monitorizarea și detecția de erori la nivelul HW-ului/ sistemului ECU:

Monitorizarea principalelor linii de alimentare sistem/ECU: 1.5V, 3.3.V, 5V si 12V

D. Monitorizarea execuției SW prin (PFM - Program Flow Monitor)

void Functionl(void) { 
  PfmStart(Threadl, 1) ; 
  /* function body, part 1 */
  FunctionX() ; 
  /* function body, part 2 */
  PfmEntry(Threadl, 2);
  /* function body, part 3 *I 
  FunctionY(); 
  /* function body, part 4 */
  PfmEntry(Threadl, 3) ; 
  /* function body, part 5 */
  FunctionZ(); 
  /* function body, part 6 */
  PfmEnd(Threadl); 
} 
main(void) {
  PfmStart(Thread2, 1);
  /* main body, part 1 */
  Functionl();
  /* main body, part 2 */
  PfmEnd(Thread2); 
}

E. Monitorizarea sistemului de operare - "OS tasks":

Execuția corectă a taskurilor în timp (recurența configurată);
Verificarea ciclicității acestora (execuția sau ne-execuția lor în timp);

TASK(TASK_lOMS) 
{
  /* task's local variable definitions */
  StartTaskMon(TASK_lOMS); 
  ...
  /* task implementation */ 
  ...
  EndTaskMon(TASK_lOMS); 
  (void)TerminateTask(); 
}

e.g. Pentru un task de 2 milisecunde pe care îl dorim să-l monitorizam într-un interval de 10 milisecunde, ne vom aștepta să avem un număr de cinci execuții ale taskului de 2 mil în caz ideal; în mod normal, putem să calculăm și o toleranță de ±1 task, rezultând un interval corect de execuție, care poate fi cuprins între [4-6] execuții.

F. Monitorizarea și comunicarea cu Watchdogul extern (WDT). Acesta este un chip electronic care comunică cu microcontrolerul pe bază de SPI. Rolul lui este de a monitoriza corecta funcționare a microcontrolerului, fundamentat pe jocul QA (question and answer game) și generarea unui reset, în caz contrar.

Jocul QA funcționează pe baza generării aleatorii a unui set de 15 întrebări ( în funcție de un algoritm fixat dinainte) care sunt trimise către microcontroler pe linia de SPI în intervale de timp prestabilite.

Fiecărei întrebări îi corespunde un răspuns fix, prestabilit pe care WDT-ul îl așteaptă via SPI, în interval de timp configurat.

Pentru obține un nivel ridicat de siguranță, trebuie să efectuăm următoarele teste:

trimiterea intenționată a unui răspuns greșit și verificarea WDT-ului, care reacționează corect incrementându-și error counterul aferent citirii registrului de eroare.
trimeterea/omiterea unui răspuns în intervalul așteptat de WDT (așa numitul "watchdog window") și verificarea reacției acestuia.

Nivelul ASIL dat sistemului este influențat de aplicabilitatea lui în vehicul: ce tip de ECU este și ce controlează (e.g. suspensie, transmisie, motor, scaune, system infotainment, etc.).

Important de menționat câțiva termeni care țin de zona de safety în automotive:

FTI (Fault Tolerant Time) - timpul care trece din momentul apariției unei erori până la punerea sistemului în așa numita zonă de siguranță ("safe state").
FDT (Fault Detection Time) - timpul care trece din momentul apariției unei erori până la detecția de către SW.
FRT (Fault Reaction Time) - timpul maxim acceptat de reacție în cazul unei erori, de la detecția ei până la punerea în zona de safe a sistemului.
Debounce counter - valoarea de reacție a sistemului în caz de eroare detectată (în cazul erorilor recurente softul incrementează un numerator care îl verifică recurent cu valoarea de prag, în caz de egalitate sistemul trece din stare de funcţionare normală în cea de siguranță ("safe state"). Aplicarea unui reset sistemului nu este întotdeauna necesară și este dependent de proiect și sistem.

Fault Tolerant Time

Închei acest articol prin a vă prezenta, mai jos, un exemplu de arhitectură ECU control electrovalve sau motoare electrice, cu aplicabilitate în zona de transmisie automată, suspensie controlată sau control direcție. Componentele marcate cu buline roșii reprezintă zonele safety din sistem care trebuie monitorizate și controlate de SW pentru a atinge nivelul ASIL cerut. Exemplu de ECU generic ASIL C