高可靠性嵌入式系统技术的最新进展，以及对更完善的控制和主被动安全性不断增长的需求，已使汽车制造商和供应商着手开发由计算机控制的电控子系统，今后驾驶员无须再与机械装置打交道。这样的子系统包括电子方向盘和电子刹车，由一系列通过多路复用车载计算机网络连接的与机械系统隔离的激励器和控制器构成。

    brian t. murray

    系统安全工程部经理

    robert e. steele

    高级研发工程师

    delphi automotive systems

    近来，作为电控系统基础的时间触发架构已受到极大关注。尽管对协议要求一直存在着不同的看法，但人们已达成一个共识，即整体的战略是正确的。而且，多种可能的容错方法可为多种架构带来许多种可能的配置方案。此外，可在基本的方案之上叠加附加的容错方案。

    基本的时间触发架构有几个特点。它包括多个控制器模块或节点，并通过一个时间触发协议(ttp)在多个通道上进行通信(用于容错)。消息主要是面向状态，而不是面向事件，每条消息一直保持到状态改变，而状态只能在规定的时间间隔上改变。网络对节点来说就像是一个全局存储器，节点进行内部自检，当检测到数据错误和时序错误时，节点就脱开网络。通讯错误(时序和数值的错误)由网络来检测，而不是由应用程序来检测。其主要的容错策略是故障沉默(fail-silent)组件的复制，即当某个任务或节点出错时，另一个立即开始运行，系统则采用正常运行的那一个。这种策略可有很多变化，目的都是尽可能地利用自然的冗余。信号定义、时序和调度是离线完成的，且在系统装配前保证无误，这就很容易采用独立设计和测试的子系统来构成系统。

    这些特点可浓缩为关键的五点内容：1. 可预见性。由于采用确定的时间触发调度机制，计算时延是可预见的；2. 易测性。自动按时间触发协议和调度在恰当的时刻对计算结果进行检测；3. 集成。容易由独立设计和测试的组件或子系统来构成系统；4. 复制确定性。复制组件的行为在组件之间有一致性；每个组件都在同一时刻或某一预定的偏移时刻做同样的事情；5. 会员制。故障状态将依靠通讯网络上的“会员”在某一时间触发架构中自动广播。

    前四个功能特点主要支持设计的正确性和应对复杂性；第五个特点支持容错操作、连续安全状态和多层诊断。其目标是提供容错特性而又不至于过分复杂。目前，ttp是支持时间触发架构的主要协议，但还可能有其它协议。ttp原来专门为支持时间触发架构而开发，该架构和ttp协议都是在维也纳大学开发的，而且ttp协议现已商用化。

    以下从几个方面对时间触发架构进行阐述，包括具有冗余网络节点、故障沉默节点(在检测到错误时停止通讯)以及双通讯通道(用于网络容错)的容错单元。

    时间触发架构设计的精髓是故障沉默组件。故障沉默取决于组件内的自检覆盖率，它也适用于系统的各个方面：软件、控制器硬件、传感器和激励器。假设子系统或汽车上的附加测试和诊断检查可能导致故障沉默以外的动作，可通过各种技术使软件具备自检功能，如计算结果的可接受度检查、多种复制组件以及多种数据的冗余计算。

    对于控制器硬件，delphi公司已经开发出一种从内核就开始完全自检的解决方案，内核是指cpu、内存、进出cpu的主要数据通道。

    delphi公司secured micro架构的核心是一个含有双cpu的芯片，这里第2个cpu(也称“影子”cpu)在同一时刻以同样的数据执行同样的代码。“影子”cpu的计算结果并不被使用，但是要与主cpu的结果进行比较。这种比较功能也是一种自检，如果有某些结果未进行对比，输出将被禁止，但是内部可以进行自我诊断。

    该双内核架构技术确保能检测到在运行期间引起错误的内部cpu硬件故障。同时影响两个cpu且完全相同的故障很少见，而且附加的逻辑电路一般很容易检测到这样的故障。其它的片上功能都要进行自检，或者能很容易地被cpu检测到。数据存储器有检错码，程序存