Elektrobit用于失效可操作系统的AUTOSAR软件

过去几十年，驾驶活动发生了巨大变化。从驾驶员手动操控所有驾驶任务到辅助驾驶系统的引入，汽车行业取得了重大发展。同时，这也改变了人们的驾乘体验。

早期，机械和液压系统是汽车操作、控制制动、转向和加速的基础。

但是，随着E/E系统的出现，辅助驾驶E/E系统使驾驶体验得到提升，可协助驾驶员完成加速、制动和转向操作（如车道保持、电子助力转向、紧急制动）。如果检测到辅助驾驶系统故障，系统对驾驶操作的影响将受限，或者系统将完全关闭。机械系统作为可靠的解决方案仍有一席之地。

这种辅助驾驶系统被称为失效安全系统。在这种情况下，系统能够检测出此类与功能安全相关的故障足以，因为从功能安全概念的角度来看，失效安全系统依赖于人类。驾驶员仍需提供驱动力，维持可能已降低的控制水平，直到汽车在电子/电气系统失效时处于安全状态。

这种转变标志着汽车技术和实现这一技术的软件进入新时代。

向自动驾驶转变：

随着汽车行业进入自动驾驶时代，当所有驾驶任务完全由自动驾驶E/E系统执行后，新的挑战和机遇随之出现。改善和保持汽车功能安全以及减轻汽车重量是汽车制造商必须解决的主要挑战之一。

传统的机械和液压连接依赖于汽车加速、制动和转向命令，但实际上这些根本无法满足自动驾驶的需求。

更为复杂的线控系统逐渐取代它们完成此类操作，同时改善了功能安全、减轻了汽车重量。这些基于电子传感器和执行器的系统在实现自主功能方面发挥了颠覆性作用，为未来的汽车自动驾驶发展创造了条件。

由于汽车的线控系统不允许失效，因此它们应该高度可靠并且能够正确执行相关命令。

虽然电子系统发生与功能安全相关的故障时，不能选择机械后备，但在达到安全状态（如安全停车）之前，部分性能下降可以接受。但关闭或立即交由驾驶员处理的功能将失效，因此仅失效安全系统不能满足SAE L3 - L5级线控和自动驾驶功能的需求。

要想制造出真正的自动驾驶汽车，必须使用失效可操作系统。与系统故障时依赖人为干预的失效安全系统不同，失效可操作系统必须能够保持连续、可靠地运行。它们可以确保自动驾驶汽车能够在所有领域均安全、可靠地运行。失效可操作系统可提供强大的功能安全保障，使汽车在保持运行完整性的同时检测并响应故障。

失效可操作系统软件为什么可以改变行业规则？

软件在实现失效可操作系统及其成功集成到自动驾驶汽车方面发挥着重要作用。

失效可操作系统应该提供什么样的保障？

失效可操作系统必须能够高度可靠地执行应用软件，为持续服务交付提供保障。

此外，通信软件的执行对于确保处理线控命令时的高可靠通信至关重要。

失效可操作系统通常由2个以主动冗余方式运行的完全冗余子系统构成。这两个子系统均采用静默失效设计，即正确操作或不提供服务，以避免在发生故障时影响其他子系统。

只要运行正常，各子系统就能够控制系统。如果一个子系统失效，另一个子系统将无缝接管，确保设备连续可靠地运行。

为确保服务持续交付，通常还需要硬件层级的冗余和容错。应对系统进行“强化”，以防处理环境中出现故障（如通过执行同一MCU另一个内核上的软件完成）。

失效可操作系统软件的重要性

为满足失效可操作要求，能够实现预期功能安全相关功能的软件必须高度可靠，因此应尽量降低其复杂性和尺寸。

为防止服务意外中断，必须对关键软件进行强化，以防非在同一MCU上执行的关键软件出现故障。具体方法包括使用适当机制确保其免受干扰和在软件分区之间使用特定的可靠通信机制。

各种冗余有助于避免主要、辅助通信信道出现相关失效。如果软件根据较高的质量标准（ASIL D而非ASIL B）开发，则同质冗余合法。

线控制动、转向和加速是当前线控系统的典型用例，这些线控系统在自动驾驶汽车中发挥着关键作用。

现在，这类系统中的几乎所有电子控制单元均采用Classic AUTOSAR软件栈开发而成。为加快线控技术升级（无需机械后备），很多汽车制造商和一级供应商都要求快速、轻松、灵活地采用经过改进的Classic AUTOSAR软件，以满足失效可操作系统的要求。

软件解决方案是实现失效可操作系统的核心，可确保服务持续、可靠地交付。随着自动驾驶汽车的成功推出，失效可操作软件的开发对于确保实现其功能安全、可靠性和高效性至关重要。

汽车软件供应商应快速创新方法，扩展其现有的Classic AUTOSAR软件产品，以满足这些关键要求，并为汽车市场提供符合未来发展趋势且具有竞争力的产品。

凭借软件解决方案，失效可操作系统将成为交通运输的基石，彻底改变移动性，增强功能安全，并改变我们的道路驾驶体验。

Elektrobit的相关解决方案：

用于失效可操作系统的AUTOSAR软件 - EB tresos Safety Fail-operational

高度可靠的执行和通信

要实现真正的车辆自动驾驶，失效可操作系统至关重要，而Classic AUTOSAR（汽车开放系统架构）软件解决方案是支持这一转变的关键。

随着汽车行业向SAE L3到L5级自动驾驶汽车迈进，故障安全系统已不再足够。相反，对故障可操作系统的要求是确保在故障期间持续可靠地运行，无需人工干预。

传统的机械和液压连接已无法满足车辆自动驾驶的需求，正逐渐被用于车辆制动和转向指令等活动的更先进的线控系统所取代。通过用电子连接取代机械和液压功能，这些系统在实现自主功能方面发挥了关键作用，为自动驾驶汽车发展创造了条件。

EB tresos Safety Fail-operational采用经过ASIL D安全认证的组件设计，提供Classic AUTOSAR基础软件所必需的全面功能集。这些功能对于未来的自动驾驶和线控系统至关重要，可确保连续任务执行和通信、防止意外服务中断、保证最坏情况执行时间 (WCET)，以及简化和降低复杂性。

优点

加速线控系统上市

符合Classic AUTOSAR堆栈的要求有助于快速集成，实现对现有系统的线控技术的无缝升级。

实现灵活方便的应用分离

支持在不同分区中灵活整合质量管理 (QM) 和功能安全应用，无需重新进行系统安全认证，除非需要更改故障可操作相关软件。

确保通过完整功能集保证运行

保证连续运行，满足关键的失效可操作要求，例如保证任务执行、通信、最坏情况执行时间 (WCET) 和防止意外服务中断。

加强早期系统集成和原型开发

凭借对线控系统至关重要的硬件平台的强大支持，EB tresos Safety Fail-operational有助于早期利用并无缝集成到系统原型开发活动中。

主要功能 – 精简高效

EB tresos Safety Fail-operational提供全面的功能集，针对自动驾驶和线控车辆功能的独特安全应用设计需求量身定制，满足严格的故障可操作要求。

Classic AUTOSAR（汽车开放系统架构）兼容组件，通过了ISO 26262 ASIL D SEooC安全认证

支持高可靠性CAN通信

改进了MCU多核和驱动程序支持，提高了处理性能

EB tresos Safety Fail-operational架构图