FlexRay總線的功能安全性分析

關于FlexRay的缺點或弱點，參考文獻[4]提到物理層連接的困難，影響到信號完整性，實際上能較易使用的是有源星型，但這帶來成本的提高;cycle設計約束多，帶來困難;同步和啟動節點配置與容錯有關，是挑戰;由于資源有限，升級演進時很困難(并非像以前強調時間觸發協議的composability優點——筆者注)。參考文獻[5]介紹了在FlexRay中產生各自獨立的時鐘同步小集團的可能性，也就是說雖然各節點都在通信，但是2個集團間無有效通信，是一種故障狀態。解決辦法是用3個冷啟動節點、3個同步節點，但是這與時間同步容錯的要求矛盾。還有就是將調度表排滿，以免形成小集團，這也與留有余地供將來升級擴充的要求矛盾。總之尚無徹底解決方案。再有就是時鐘可能產生同向漂移[6]，與應用時鐘的差造成幀未能就緒或覆蓋引起漏幀。FlexRay雖然是為高可信性設計的，但是在傳送中出錯后處理要通過應用層解決，這帶來新的問題，本文將分析如果不作處理會怎么樣。

3 Audi和BMW的FlexRay總線應用的功能安全等級

BMW和Audi是首批批量使用FlexRay總線的車廠，它們的具體用法尚未查到，但是參考文獻[7]給出了部分使用參數，可以以此作一些初步分析。

3.1 Audi的參數

Audi的cycle為5 ms，每個cycle有62個static slot，slot用于傳送42字節payload的幀，靜態段為4.03 ms。有8個ECU共傳送220個協議數據單元(PDU)。這些PDU經組合，最后在27個slot中傳送。由提供的周期分布可見5 ms消息為8個，10 ms消息為1個，20 ms消息為7個，40 ms消息為6個，其余更長周期的消息先忽略。

由payload可以算出使用的幀長為500位，假定誤碼率為ber=1×10-7(這在銅線中已是相當好的了)，那么誤幀率為fer=5×10-5/frame。

由周期可算出每小時傳送的幀數為n=7.92×105frame/h。假定通信用2個通道同時傳送，那么同時失敗的概率為fer2=2.5×10-9/frame。1小時內所有幀均成功傳送的概率為：P=(1-fer2)n。

1小時內有1次以上錯的概率為1-P≈fer2×n=2.5×10-9×7.92×105/h=1.98×10-3/h。SIL2的安全等級要求是系統失效概率為10-7/h，分配到通信上為10-9/h，由此可見存在巨大的差距。

3.2 BMW的參數

參考文獻[7]也間接給出了BMW的參數：cycle為5 ms，每個cycle有91個static slot，slot用于傳送16字節payload的幀，實際使用的payload為8字節，共有227個PDU。由2.5 ms消息占4%及使用10個slot知，這些PDU沒有合并。由提供的周期分布可見5 ms消息為62個，10 ms消息為45個，20 ms消息為80個，40 ms消息為38個，其余更長周期的消息先忽略。

各個消息的payload長度是不同的，由這個分布，在假設誤碼率為ber=1×10-7時可以算出各自幀長與誤幀率，再算出平均誤幀率fer=1.51×10-5/frame。假定通信用2個通道同時傳送，那么同時失敗的概率為fer2=228×10-9/frame。由周期算出傳送幀數為n=2.79×106/h。同樣算出1小時內有1次以上錯的概率為1-P≈fer2×n=2.28×10-9×2.79×106/h=6.36×10-3/h，也遠大于SIL2分配給通信的要求。

4 主動重發方案的可行性

有2位作者建議了主動重發的方案，其一見參考文獻[8]。主動重發在概念上就是時間上的冗余，幀不但在不同的物理通道上重發，也在不同的時段上重發。由此來分析第3節的兩種情況。

4.1 Audi

當每幀被安排用2個static slot傳送時，2個通道將有4次傳送，同時失敗的概率將小得多，為fer4=6.25×10-17/frame。實際傳送的幀數加倍，但內容未加倍，故計算仍按n進行，1 h內有1次以上錯的概率為1-P≈fer4×n=6.25×10-17×7.92×105/h=4.95×10-11/h。這可以滿足SIL2分配給通信的要求。

理論上，原來的應用占用了27/62的static slot，現在加倍為27/31也還夠用，但是由于消息送達時限的限制，將使調度變得十分困難，是否有解尚無定論。留給將來擴展升級的空間很小，已經表現出FlexRay的帶寬不夠。

4.2 BMW

采用主動重發一次時，1 h內有1次以上錯的概率為1-P≈fer4×n=5.19×10-18×2.79×106/h=1.45×10-11/h。這可以滿足SIL2分配給通信的要求。

但是，原來BMW已占用了2/3的static slot，根本沒有足夠的空余slot可供主動重發。例如BMW的靜態段為3 ms，在2.5~3 ms中總共可安排0.5/3×91=15個slot，它的2.5 ms的消息已占去10個slot，就不可能對它再作冗余傳送。這也說明FlexRay的帶寬不夠。

5 與CAN總線的比較

參考文獻[7]中的BMW系統數據，若用CAN標準幀傳送，可推算出需要的帶寬至少為2.8 Mb/s，明顯顯示CAN總線帶寬不足。但是CAN總線的出錯自動重發機制卻使系統的通信可靠性遠勝于FlexRay。

例如在ber=1×10-7時，CAN總線幀長為108位，誤幀率為fer=1.08×10-5/frame。在傳送幀數為n=2.79×106/h時(假定用多條總線滿足帶寬)出錯的幀有31幀，這31幀重發2次，則全錯的概率為31×fer3=31×126×10-15=3.9×10-14,遠小于SIL2分配給通信的份額。

而且，如果原來的調度分析留有足夠2幀的出錯自動重發時間，也可以算出對送達時間的影響不大。送達時間變化大的是低優先級消息，對高優先級消息影響很小。例如10條2.5 ms周期消息的送達時間約1.2 ms(考慮到填充位與服務間隔)，在2.5 ms內1條消息出錯自動重發2次也只會使送達時間增加到1.5 ms左右。

CAN總線的出錯自動重發機制與主動重發方案相比，需要增加的帶寬很小，幾乎是后者的萬分之一。

6 FlexRay總線的錯幀漏檢

參考文獻[12]對CRC的檢驗強度有討論。在假定錯均勻分布時，2-k是未檢出錯的上界，其中k是校驗和長度，對FlexRay來講k=24，2-24=5.9×10-8。如果位錯不相關，概率強度還要乘上(ber×幀長)HD，其中HD是CRC多項式的海明距離。以1 h計算時要乘1 h內的幀數。按標準[3]，在payload小于248字節時HD=6。按此計算如下：幀長=256字節=2 560 bit，考慮到idle時間，計算每小時幀數時以每幀2 600 μs計，故每小時有3 600/260×106=1.38×107幀。每小時總的漏檢幀為1.38×107×5.9×10-8×(ber×2 560)6=0.81×(ber×2 560)6。ber=10-7時為2.27×10-22,ber=10-5時為2.27×10-10。干擾不是很強，幀也較短時，FlexRay的錯幀漏檢部分還是能滿足SIL2分配給通信的要求。