تصميم الأنظمة الإلكترونية الحرجة في السيارات

|

هل تسائلت يوما عن مسار تصميم نظام الكبح التلقائي بالسيارات ؟ نظام تحديد السرعة أو غيرها من الأنظمة الحيوية التي تتميز بأداء دقيق و مُتَّزن ؟ تشكل المنظومة الكهربائية للسَيارة كيانا مٌعقَّداً مَبني على ترابط عدد ضخم من الأجزاء الالكترونية التي تدير سير عملية القيادة و الحفاظ على سلامة الرُكاب. من أنظمة التحريك (ضبط التسارع، التحكم بالانبعاثات، أنظمة التبريد…) إلى منظومة تعزيز القيادة (تكييف السرعة، الحفاظ على المسار و أنظمة الركن المعزز…) و أنظمة توفير الراحة (التحكم بالحرارة و التهوية، تعديل الكراسي…). بعض هذه الوظائف تعتبر أكثر حساسية من غيرها إذ يتواجد خطر حَقيقي على حياة السائق عند تعرضها للفشل. ما يستدعي إتِّباع مَنهج تصميم أكثر صرامة من طرف مُصنِّعي السيارات من أجل اللإلتزام بمعايير السلامة العالمية.

سنخوض تفاصيل مهمة حول الأنظمة الإلكترونية الحرجة و أهم مراحل التصميم المعتمدة لتحقيق الوظيفة المرجوة و تجنب المخاطر الممكنة من هذه الأنظمة.

أهم العناوين :

مفهوم النظام الحرج:

الصورة 1 – بعض الأنظمة الحرجة في السيارة.

هناك عدد من المواصفات والمتطلبات التي يجب أن تستوفيها الإلكترونيات المستخدمة في السيارات قبل دمجها في عملية التصنيع. تشمل بعض هذه المواصفات احترام معايير السلامة مثل ISO 26262 أو ASpice. بشكل عام، يمكن تصنيف إلكترونيات السيارة إلى 3 أنواع:

  • الأنظمة الإلكترونية الوظيفية : أي الأنظمة الحيوية المطلوبة لتشغيل السيارة كنظام ضخ الوقود، أنظمة الإضاءة، فرامل الركن…
  • الأنظمة الإلكترونية المعيارية : أنظمة أساسية و مطلوبة من قبل المعايير العالمية مثل أنظمة كشف خطر الاصطدام، التحكم بالإنبعاثات، نظام الوسائد الهوائية…
  • أنظمة تعزيز القيادة : تعتمد على تكنولوجيات متقدمة، و غالبا ما تكون غير ضرورية في تشغيل السيارة. على سبيل المثال: أنظمة الإتصال، نظام التحكم بالسرعة التكيفي…

ما الذي يجعل أي نظام إلكتروني حرجا ؟

قبل الدخول في التفاصيل، لنفهم أولاً معنى السلامة الوظيفية في أنظمة السيارات. بشكل عام، تُعد مجموعةَ من القواعد و المفاهيم العامة المسماة ب ISO26262 و التي تطبق على تصميم الأنظمة الألكترونية المُدمجة بهدف تجنب حدوث أي مخاطر بشرية أثناء تعرض هذها لأي نوع من الأعطاب.

من وجهة نظر السلامة الوظيفية، يعتبر النظام الالكتروني حرجا إذا ما تم كشف عدة نقاط محتملة في النظام يمكن من خلالها حدوث خسائر بشرية أو مادية عند التعرض لخلل في التشغيل. يمكن تصنيف بعض هذه المخاطر كفقدان السيطرة على المكابح أثناء القيادة، اشتعال الحريق في أنظمة تزويد الطاقة أو ارتفاع معدل التسارع بطريقة غير طبيعية…

المعايير المعتمدة في التصميم :

مسار التصميم المبني على السلامة الوظيفية

مسار التصميم المبني على السلامة الوظيفية
الصورة 1 – مسار التصميم المبني على السلامة الوظيفية

نتيجةَ لتَطُّور تكنولوجيا الإلكترونيات و تَغيرات السوق العالمية، تَتطَّلب التعقيدات المُتزايدة في التصميم حلولاً لا تقتصر على إلتقاط البنية عالية المستوى فحسب. بل توفير صِيغة مُحكمة لبناء نظام أمن و عملي. و هذا ضروري بالأخص عندما يتعلق الأمر بأنظمة الكبح، التحكم بالمسار أو مكونات إدارة الطاقة الكهربائية. وغيرها من الأنظمة الحيوية…

خلال عملية التصميم، تواجه العديد من الفُرق الهندسية صعوبة في ربط تصميم النظام الإلكتروني بالبرمجيات المدمجة عند الحاجة للتَكُّيف مع المُتطلبات الجديدة و المتغيرة من السوق، لا سيما عند العمل بأدوات مُتعددة ولغات نمذجة مُتخصصة. هنا تأتي هَندسة الأنظمة لفهم و تحقيق التوافق المطلوب في تأثير قرارات التصميم على مُختلف الجهات، من التصميم الطاقي والميكانيكي إلى العَمليات البرمجية في مرحلة التطوير. في بعض الحالات، قد لا يكون المهندسون المَسؤولون عن تطوير البرمجيات المدمجة المعزولة على دراية دائمًا بكيفية تأثير خوارزميات التحكم على تصميم النظام الإلكتروني كَكُّلٍ.

تتجسد العلاقة بين هندسة الأنظمة والسلامة الوظيفية في المراحل الأولى من دورة التطوير، حيث تشكل هندسة الأنظمة الأساس الذي تُبنى عليه أنشطة تحليل المخاطر وتقييمها. فبدون تعريف واضح للحُدود الوظيفية، السيناريوهات التشغيلية، وتفاعلات النظام مع المحيط، تصبح أنشطة تحليل المخاطر غير مكتملة أو غير واقعية، مما يؤدي إلى تخصيص مستويات سلامة غير دقيقة أو غير كافية.

يَلعب هذا المنهج دورًا مَحوريًا في ترجمة أهداف السلامة إلى مُتطلبات تِقنية مُوزَّعة على مستويات النظام المختلفة، بما يشمل العتاد، البرمجيات وواجهات الاتصال. كما يَضمن هذا التخصيص المنهجي قابلية تتبُّع المُتطلبات من أهداف السلامة العليا إلى آليات التنفيذ والاختبار، و بالإضافة إلى ذلك، يَمنع التعارض بين مُتطلبات السلامة ومتطلبات الأداء الذي أحد يُعتبر أكثر أسباب الفشل شيوعًا في الأنظمة المُعقدة.

حدود المسؤوليات بين المصنعين و الموريدين 

يُعَّد التطوير الموزَّع بين مُصنعي السيارات والموردين أمراً شائعاً في مجال صِناعة السيارات. فغالبا ما يقوم مصنعي المُعدات الأصلية بتضمين متطلبات خاصة بالسلامة في عملية اختيار المُورد. قد تشمل طلبا رسمياً للإمتثال لمعيار السلامة بشكل عام أو قائمة بأهداف السلامة الوظيفية أو مجموعة من متطلبات السلامة عالية المستوى. كما يتم تسجيل الأدوار والمسؤوليات والأساليب والأدوات المختارة المُنتج النهائي وتخصيصها لكل جهة معنية بذلك..

على مستوى اخر، تَتَّركز متطلبات مصنعي المعدات الأصلية على مايجب تحقيقه في التصميم بينما تنبني أنشطة الموردين على طريقة تنفيذ و تحقيق متطلبات التَصميم. يُطبّق مصنّعو المعدات الأصلية (OEMs) ومورّدوهم عَمَليات المحاكاة على كل مكوّن ووحدةٍ ثم القيام بالتجميع في النظام الإلكتروني للسيارة. يَسهم هذا النموذج الأولي الافتراضي في تحسين الأداء التشغيلي، والتحقق المسبق من مُتطلبات السلامة، تقليل حالات المُطالبة بالضمان وخفض التكاليف الإجمالية، إضافةً إلى تسريع دورة تطوير التصاميم الجديدة وإدخالها إلى السوق.

تقييم المخاطر و صياغة المتطلبات.

تحديد المخاطر و تصنيفها :

يَتم تعريف النِظام عن طريق تحديد وظائفه الأساسية، محيط تشغيله ومدى احتمالية ظهور أحداث خطرة على ركاب السيارة. يَليها، عَملية مفصلة يتم من خلالها وضع لائحة لكافة الأعطاب المحتمل حدوثها و مختلف أنماطها الممكنة.
عندا الأنتهاء من عملية التقييم، يقوم مهندسو السلامة بتحليل الأعطاب من ثلات جوانب :

  • نِسبة الظهور
  • درجة الخطورة،
  • مدى القدرة على التحكم في العطب.

إعتماداً على هذه البيانات، يتم تصنيف النظام إلى واحدة من أربع تصنيفات (من A إلى D) تسمى بطبقات سلامة أنظمة السيارة ASIL. كلما ارتفع التصنيف، كلما ازدادت صرامة المتطلبات و المجهود المَطلوب بَذله في عملية التطوير لتحقيق المَعايير.

ترجمة المخاطر إلى شروط السلامة الوظيفية

إستناداً على عملية تقييم المخاطر، تُصاغ أهداف للسلامة الوظيفية و منه يُمكن التَفرع إلى متطلبات عالية المستوى تشرح الوظائف المطلوبة من النظام للتخفيف من هذه المخاطر. يتم وضع الافتراضات الأولية للهندسة البِنيوية للنظام وتفكيك الوظائف في هذا المستوى لتحديد الأنظمة الفرعية التي سيتم تخصيصها لكل وظيفة من وظائف السلامة. تُظهِر مفاهيم التحمُّل الزمني والحالة الآمنة و مستوى التدهور جوانب مُهمة ذات صلة مباشرة بمُتطلبات السلامة الوظيفية. كما يتم أيضا الإجابة على الأسئلة المُتعِّلقة بالعوامل الداخلية أو الخارجية التي تؤثر على قابلية التحكم بالمخاطر والتدابير الخارجية للتخفيف منها. تستخدم تقنيات التحليل المنهجي مثل تحليل أنماط الإخفاق و تأثيرته (FMEA) و تحليل شجرة الأعطال (FTA) لتنفيذ هذه المُهِّمة و لاستخلاص المعلومات الضرورية. كما يُستعان بأساليب الوصف باللغة الطبيعية و الرسومات التوضيحية للتَوضيح هذه المُتطلبات.

تحويل شروط السلامة إلى متطلبات السلامة التقنية :

تُعتبر مُتطلبات السلامة الوظيفية مجرد شرح عام لما يجب على النظام تحقيقه بشكل أَمن. لتطبيق هذه الشروط، من الضروري القيام بتَفصيل مُعَمق و الوصول إلى متطلبات تُركز على تقنيات تطبيق استراتيجات السلامة في مُختلف المكونات الإلكترونية و البرمجية المتعلقة بالنظام. و بصورة أكثر تحديداً، يرتكز التحليل على الأسئلة التقنية التالية :

  • ماهي المُكونات المشاركة في العملية ؟
  • ما طبيعة القيود التقنية ؟
  • كيف تقوم هذه المكونات بالعمل للحفاظ على الوضعية الأمنة ؟
  • مستوى تَحَمُّل الخطأ == المُدة الزمنية لتعقب الخطأ و الرجوع للحالة الأَمنة ؟ أهم تقنيات الإختبار المطلوبة ؟
  • طبيعة الإنذارات و التنبيهات المرجوة؟
الصورة 2 – مسار هندسة متطلبات السلامة

بنية انظمة الإلكترونية الحرجة

لضمان استمرار عَمل الوظائف الحرجة بالسيارة عِند حدوث أعطال جزئية، يَتُّعَين تصميم النظام وفق مجموعة من المبادئ الأساسية تتمثل فيما يلي:

  • الاستقلالية الوظيفية : منع انتقال العُطل بين الأجزاء الأخرى من النظام.
  • التعدد التكنولوجي: الاعتماد على تنوع التقنيات أو أساليب التصميم لتحقيق الوظيفة نفسها، بما يوفّر تعددية في الحلول الهندسية ويحدّ من المخاطر المرتبطة بالأعطال الشائعة، إذ أَنَّ فشل عنصر واحد قد يمتد تأثيره إلى عدة مكونات أو أنظمة فرعية مترابطة.
  • التشغيل الاحتياطي: مراقبة ومقارنة مزدوجة لمُخرجات مختلف مكونات النظام لكشف الأعطال أو تعويضها عبر قنوات بديلة ما يضمن التشغيل الصحيح للنظام و توافقه مع المتطلبات.
  • تحمل الأخطاء : قدرة النظام على الاستمرار في العمل دون فقدان وظيفته أو الانتقال إلى وضع خطر.
  • الحفاظ على الوضع الأمن : اعتماد تصميم يضمن انتقال النظام إلى حالة توقف آمنة ومتحكم فيها عند تعذر احتواء العطل أو استعادة التشغيل ضمن الحدود التشغيلية المسموح بها.

تُنفَّذ هذه المبادئ عمليًا من خلال تقنيات مُتعددة، مثل اعتماد مستشعرات مُزدوجة، الاستقطاب المتعدد للبيانات إضافة إلى استخدام آليات مراقبة الجهد لاكتشاف الأعطال الصامتة مُبكرًا. إن تجاهل هذه الأُسًس في تصميم المكونات الإلكترونية يَنتج عنه ظَهور أعطال غير مكتشفة قد يصل ذات تأثيرها إلى سلامة الركاب.

مِن الشائع أن يَتبع مُهندسي المُعَدات ومُطورو البرمجيات نهجاً منعزلاً في التطوير، حيث يبحث كل منهم عن تِقنيات وحلول فريدة لتحديد مساهماته الفردية في النظام. ومع ذلك، يمكن أن يؤدي هذا التَجزؤ إلى مشاكل في المراحل المُتأخرة من التَطوير، خاصة عندما يتعلق الأمر بتأثير البَرمجيات على سُلوك النظام.

إحدى المشكلات المتكررة في هذا السياق هي عدم التوافق بين وَاجهة المُعدات والبرمجيات المُدمجة، حيث تَضيع إِفتراضات التصميم في عملية الترجمة. قد يَتم تجاهل جوانب مُهِّمة كتفاصيل تحويل الإشارات أو مستوى استهلاك الطاقة حتى مرحلة متأخرة من التطوير. لذا التعامل مع الأخطاء البرمجية يتطلَّب تَحويل المتطلبات التقنية إلى قواعد سُلوكية دقيقةٍ تُحدد تصرف المكونات البرمجية تحت جميع المُدخلات المتوقعة، مع تجنب الحالات الخطرة عبر تنفيذ أوامر مُقَيَّدة، الحفاظ على الأوضاع الآمنة، تتبع الحالات غير الطبيعية، إطلاق التنبيهات، وتخفيف أثر الأعطال المحتملة.

من ناحية أخرى، تُمثل الشبكة الإلكترونية نُقطة حساسة في عمل النظام، حيث قَد يُؤدي فقدان البيانات أو تأخرها إلى فشل وَظيفي خطير، مِمَّا يستدعي تحديد قواعد صارمة للتعامل مع أخطاء الإتصال كاستخدام الإشارات الحَية لإكتشاف فقدان الرسائل، والتصدي للأعطال الصامتة التي تُعد من أخطر سيناريوهات الفشل في الأنظمة المدمجة المُوزَعَة.

تقنيات الإختبار و التوافق مع معايير السلامة الوظيفية

الصورة 3 – عملية اختبار جزء من النظام الالكتروني الحرج

تُعد أنشطة الاختبار والتحقق خط الدفاع الأخير الذي يَفصل بين التصميم النظري والتشغيل الآمن في الواقع. فكما هو شائع في أدبيات الهندسة، يُنظر إلى الاختبار على أنه جسر العبور من المختبر إلى الميدان، حيث لا يكفي أن يكون النظام مصمماً بشكل صحيح على الورق، بل يجب أن يثبت قدرته على الصمود أمام ظروف التشغيل الفِعلية والمتغيرة. لذلك، يُعتمد نهج منهجي منظم يتماشى مع نموذج التطوير القائم على V-Model، حيث تُوزَّع أنشطة الاختبار والتحقق عبر مستويات مُتدرجة تضمن تغطية شاملة لمكونات النظام، بدءاً من العناصر الفردية وصولاً إلى التكامل الكامل.

  • إختبارات منعزلة للبرمجيات و أنظمة التحكم الإلكترونية : تُستخدم اختبارات مخصصة للتحقق من الالتزام بقواعد البرمجة الآمنة، والتأكد من السلوك الحتمي للبرمجيات تحت القيود الزمنية المفروضة، مع التركيز على حالات الخطأ المتوقعة.
  • اختبارات التكامل مع مختلف أنظمة السيارة : يتم تقييم التفاعل بين المكونات البرمجية وأنظمة التحكم الإلكترونية، والتحقق من سلامة تبادل البيانات، وتناسق آليات المراقبة والتشخيص، إضافة إلى الكشف عن الأخطاء الناجمة عن التزامن أو الاعتماد المتبادل بين المكونات.
  • عملية التحقق الكامل : تُجرى اختبارات شاملة تحاكي سيناريوهات التشغيل الواقعية، بما في ذلك ظروف التحميل القصوى، وانخفاض الجهد، وتأخر أو فقدان الإشارات، وأوضاع التدهور الوظيفي الناتجة عن أعطال جزئية.

كما توجد تقنيات متخصصة تُطبَّق لضمان التغطية الشاملة لكافة مكونات النظام، بهدف تحقيق التوافق الكامل مع معايير السلامة الوظيفية.

  • حقن الأخطاء و محاكاة الأعطاب : تكشف عملية الحقن الممنهج للأعطال أو الإشارات غير الطبيعية (مثل محاكاة فشل المستشعرات أو خلق دوائر قصيرة، أو فقدان الإتصال بالشبكة…) مدى مرونة النظام لمختلف الظروف. إذ تظهِر هذه العَمليِة الممنهجة استجابة مكونات نِظام التَحَكم في الظروف الغير الطبيعية. كما تسمح للمٌهندسين بِجمع أَدلِة حول مدى سرعة تفعيل إجراءات اعادة التشغيل أو فعالية المُعِدات الإحتياطية، مما يُبسًط عملية استكشاف الأعطال وإصلاحها لتلبية معايير السلامة الصارمة بشكل أسرع، و بناء تصميمات قَوية يُمكنها التعامل مع الاضطرابات غير المتوقعة دون إيقاف التشغيل.
  • الاختبار بواسطة العتاد في الحلقة : عِند تمرير الإلكترونيات في عملية الإختبار الميداني المُباشر، هناك احتمالية الخوض عبر عدة دورات إعادة التصميم للتعامل مع الاعطاب المكتشفة. غَير أن الأمر مُكِلف من ناحية الوقت و الموارد. لذا تشكل عملية الإختبار بواسطة مُعدات مُحاكاة وَاقعية أحد أفضل الطرق للتحقق من السلوك الديناميكي في مُرحلة مبكرة من التطوير و القيام بالتغييرات المناسبة. للقيام بهذه العملية، من الضروري امتلاك مُدخلات دقيقة و وضع شروط تشغيلية مُناسبة تضمن أكبر توافق ممكن لنتائج المحاكاة مع النَموذح الحقيقيِ قيد التصنيع.

تُجمع نتائج الاختبار والتحقق على شكل أدلة موضوعية قابلة للتتبع، تُستخدم لاحقًا في بناء مِلف السلامة، والذي يشكل المرجع الأساسي لإثبات الامتثال لمتطلبات السلامة الوظيفية خلال مراحل الاعتماد، الإنتاج، والمُراجعة اللاحقة.

خاتمة:

إن تصميم الوظائف الحرجة في السيارات يٌشكل مسألة تفكير منظومي بالدرجة الأولى. فلا يمكن لأي شيفرة ذكية أن تعوض بنية نظام ضعيفة، أو أوضاع فشل غير محددة، أو غياب مبررات سلامة قابلة للدفاع عنها. هذخه المعايير تكشف بسرعة حدود كفاءة المهندسين؛ فتجاهلها لا يلغي المخاطر بل يؤجلها إلى مرحلة التشغيل الميداني. صحيح أن السلامة الوظيفية ترفع كلفة التطوير وتعقيده، لكن الخبرة الصناعية توضح أن الأعباء التقنية والقانونية والبشرية الناتجة عن أي فشل يتعلق بالسلامة تفوق بكثير التكاليف المرتبطة بالتصميم أو التنفيذ، مما يبرر الاستثمار المكثف في إجراءات الوقاية والتحقق المبكر.