تصميم الأنظمة الالكترونية الحرجة في السيارات

|

هل تسائلت يوما عن مسار تصميم نظام الكبح التلقائي بالسيارات ؟ أو نظام تحديد السرعة أو غيرها من الأنظمة الحيوية التي تتميز بأداء دقيق و متزن ؟ تشكل المنظومة الكهربائية للسيارة كيانا معقدا ينبني على ترابط عدد ضخم من الأجزاء الالكترونية التي تدير سير عملية القيادة و الحفاظ على سلامة الركاب. من أنظمة التحريك (ضبط التسارع، التحكم بالانبعاثات، أنظمة التبريد…) و منظومة تعزيز القيادة (تكييف السرعة، الحفاظ على المسار و أنظمة الركن المعزز…) إلى أنظمة توفير الراحة (التحكم بالحرارة و التهوية، تعديل الكراسي…). بعض الوظائف تعتبر أكثر حساسية من غيرها إذ تتواجد مخاطر حقيقية على حياة السائق عند تعرضها للفشل. ما يستدعي اعتماد منهج تصميم أكثر صرامة من طرف مصنعي السيارات من أجل التزامها بمعايير السلامة العالمية.

سنخوض تفاصيل مهمة حول الأنظمة الإلكترونية الحرجة و أهم مراحل التصميم المعتمدة لتحقيق الوظيفة المرجوة و تجنب المخاطر الممكنة من هذه الأنظمة.

مفهوم النظام الحرج:

الصورة 1 – بعض الأنظمة الحرجة في السيارة.

هناك عدد من المواصفات والمتطلبات التي يجب أن تستوفيها بعض الإلكترونيات المستخدمة في السيارات قبل دمجها في عملية التصنيع. تشمل بعض هذه المواصفات احترام معايير السلامة ISO 26262 أو ASpice. بشكل عام، يمكن تصنيف إلكترونيات السيارة إلى 3 أنواع:

  • الأنظمة الإلكترونية الوظيفية : أي الأنظمة الحيوية المطلوبة لتشغيل السيارة كنظام ضخ الوقود، أنظمة الإضاءة، فرامل الركن…
  • الأنظمة الإلكترونية المعيارية : أنظمة أساسية و مطلوبة من قبل المعايير العالمية مثل أنظمة كشف خطر الاصطدام، التحكم بالإنبعاثات، نظام الوسائد الهوائية…
  • أنظمة تعزيز القيادة : تعتمد على تكنولوجيات متقدمة، و غالبا ما تكون غير ضرورية في تشغيل السيارة. على سبيل المثال: أنظمة تعزيز القيادة، نظام التحكم بالسرعة التكيفي…

ما الذي يجعل أي نظام إلكتروني حرجا ؟

قبل الدخول في التفاصيل، لنفهم أولا معنى السلامة الوظيفية في أنظمة السيارات. يعبر هذا المصطلح عن مجموعة من القواعد و المفاهيم العامة المسماة ISO26262 و التي تطبق على تصميم بعضاًّ من الأنظمة الألكترونية المدمجة بهدف تجنب حدوث أي مخاطر بشرية  أثناء تعرض هذها لأي نوع من الأعطاب.

من وجهة نظر السلامة الوظيفية، يعتبر النظام الالكتروني حرجا إذا ما تم كشف عدة نقاط محتملة في النظام يمكن من خلالها حدوث خسائر بشرية أو مادية عند التعرض لخلل في التشغيل.  يمكن تصنيف بعض من المخاطر : فقدان السيطرة على المكابح أثناء القيادة، اشتعال الحريق في أنظمة تزويد الطاقة أو ارتفاع معدل التسارع بطريقة غير طبيعية…

المعايير المعتمدة في التصميم :

مسار التصميم المبني على السلامة الوظيفية

مسار التصميم المبني على السلامة الوظيفية
الصورة 1 – مسار التصميم المبني على السلامة الوظيفية

تتطلب التعقيدات المتزايدة نتيجة تطور التكنولوجيات الإلكترونية و تغيرات السوق العالمية حلولا لا تقتصر على التقاط البنية عالية المستوى فحسب. بل توفير صيغة محكمة لبناء نظام أمن و عملي و هذا ضروري بالأخص عندما يتعلق الأمر بأنظمة الكبح، التحكم بالمسار أو مكونات إدارة الطاقة الكهربائية. وغيرها من الأنظمة الحيوية…

في عملية تصميم الأنظمة المدمجة، تواجه العديد من الفرق الهندسية صعوبة في ربط تصميم النظام الإلكتروني بالبرمجيات المدمجة عند الحاجة للتكيف مع المتطلبات الجديدة و المتغيرة، لا سيما عند العمل باستخدام أدوات متعددة ولغات نمذجة متخصصة. هنا تأتي هندسة الأنظمة لفهم و تحقيق التوافق المطلوب في تأثير قرارات التصميم على مختلف الجهات، من التصميم الطاقي والميكانيكي إلى العمليات البرمجية أثناء مرحلة التطوير.  إذ في بعض الحالات، قد لا يكون المهندسون المسؤولون عن تطوير البرمجيات المدمجة المعزولة على دراية دائمًا بكيفية تأثير خوارزميات التحكم على تصميم النظام ككل.

تتجسد العلاقة بين هندسة الأنظمة والسلامة الوظيفية في المراحل الأولى من دورة التطوير، حيث تشكل هندسة الأنظمة الأساس الذي تُبنى عليه أنشطة تحليل المخاطر وتقييمها. فبدون تعريف واضح للحدود الوظيفية، والسيناريوهات التشغيلية، وتفاعلات النظام مع محيطه، تصبح أنشطة تحليل المخاطر غير مكتملة أو غير واقعية، مما يؤدي إلى تخصيص مستويات سلامة غير دقيقة أو غير كافية.

تلعب هندسة الأنظمة دورًا محوريًا في ترجمة أهداف السلامة إلى متطلبات تقنية موزعة على مستويات النظام المختلفة، بما يشمل العتاد والبرمجيات وواجهات الاتصال. ويضمن هذا التخصيص المنهجي قابلية تتبع المتطلبات من أهداف السلامة العليا إلى آليات التنفيذ والاختبار، كما يمنع التعارض بين متطلبات السلامة ومتطلبات الأداء أو الراحة، وهو أحد أكثر أسباب الفشل شيوعًا في الأنظمة المعقدة.

حدود المسؤوليات بين المصنعين و الموريدين 

يعد التطوير الموزَّع بين مصنعي السيارات والموردين أمرا شائعا في مجال صناعة السيارات. غالبا ما يقوم مصنعي المعدات الأصلية بتضمين متطلبات خاصة بالسلامة في عملية اختيار المورد. قد تشمل طلب رسمي للامتثال لمعيار السلامة أو قائمة بأهداف السلامة الوظيفية أو مجموعة من متطلبات السلامة عالية المستوى. كما يتم تسجيل الأدوار والمسؤوليات والأساليب والأدوات المختارة المنتج النهائي وتخصيصها لكل جهة معنية بذلك..

على مستوى اخر، تَتَّركز متطلبات مصنعي المعدات الأصلية على مايجب تحقيقه في التصميم بينما تنبني أنشطة الموردين على طريقة تنفيذ و تحقيق متطلبات التصميم. يُطبّق مصنّعو المعدات الأصلية (OEMs) ومورّدوهم المحاكاة على كل مكوّن ووحدة وتجميع في النظام الإلكتروني للسيارة. يُحسّن هذا النموذج الأولي الافتراضي الأداء، ويُقلّل من مطالبات الضمان، ويتحقق من السلامة، ويُخفّض التكاليف، ويُسرّع طرح التصاميم الجديدة في السوق.

تقييم المخاطر و صياغة المتطلبات.

تحديد المخاطر و تصنيفها :

يتم تعريف النظام عن طريق تحديد وظائفه الأساسية، محيط تشغيله ومدى احتمالية ظهور أحداث خطرة على ركاب السيارة. يليها، عملية مفصلة يتم من خلالها وضع لائحة لكافة الأعطاب المحتمل حدوثها و مختلف أنماطها الممكنة.
عندا الأنتهاء من عملية التقييم، يقوم مهندسو السلامة بتحليل الأعطاب من ثلات جوانب :

  • نسبة الظهور
  • درجة الخطورة،
  • مدى القدرة على التحكم في العطب.

اعتمادا على هذه البيانات، يتم تصنيف النظام إلى واحدة من 4 تصنيفات من A إلى D تسمى بمستويات السلامة ASIL. كلما ارتفع التصنيف، كلما ازدادت صرامة المتطلبات و المجهود المطلوب بذله في عملية التطوير لتحقيق المعايير الضرورية.

ترجمة المخاطر إلى شروط السلامة الوظيفية

اعتمادا على عملية تقييم المخاطر، يتم صياغة أهداف للسلامة الوظيفية و منه يمكن التفرع إلى متطلبات عالية المستوى تشرح الوظائف المطلوبة من النظام للتخفيف من هذه المخاطر. يتم وضع الافتراضات الأولية للهندسة البنيوية للنظام وتفكيك الوظائف في هذا المستوى لتحديد الأنظمة الفرعية التي سيتم تخصيصها لكل وظيفة من وظائف السلامة. تعد مفاهيم التحمُّل الزمني والحالة الآمنة والتدهور جوانب ذات صلة بمتطلبات السلامة الوظيفية. كما يتم أيضا الإجابة على الأسئلة المتعلقة بالعوامل الداخلية أو الخارجية التي تؤثر على قابلية التحكم والتدابير الخارجية للتخفيف من المخاطر. يمكن أن تدعم تقنيات التحليل مثل FMEA و FTA هذه المهمة. نستخدم اللغة الطبيعية و الرسومات التوضيحية للتعبير عن هذه المتطلبات.

تحويل شروط السلامة إلى متطلبات السلامة التقنية :

تعتبر متطلبات السلامة الوظيفية مجرد شرح عام لما يجب على النظام تحقيقه. لتطبيق هذه الشروط، يصبح من الضروري القيام بتفصيل معمق و الوصول إلى متطلبات تركز على تقنيات تطبيق استراتيجات السلامة في مختلف المكونات الإلكترونية و البرمجية المتعلقة بالنظام لتحقيق أهداف السلامة الوظيفية. تركز هذه المتطلبات بشكل أكبر على المفاهيم التقنية…،

  • ماهي المكونات المشاركة في العملية ؟
  • ما طبيعة القيود التقنية ؟
  • كيف تقوم هذه المكونات بالعمل للحفاظ على الوضعية الأمنة ؟
  • مدة و مستوى تحمل الخطأ ؟ تقنيات الإختبار المطلوبة ؟
  • طبيعة الإنذارات و التنبيهات المرجوة؟
الصورة 2 – مسار هندسة متطلبات السلامة

بنية انظمة الإلكترونية الحرجة

من منظور تقني، لضمان استمرار عمل الوظائف الحرجة بالسيارة فى في حالة حدوث أعطال جزئية، من الضروري بناء النظام على مبادئ أساسية تتمثل في ما يلي:

  • الاستقلالية الوظيفية : منع انتقال الخطأ بين الأجزاء الأخرى من النظام.
  • التعدد التكنولوجي : تعني الاعتماد على مختلف التكنولوحيات أو تقنيات التصميم للوصول إلى نفص الأهداف. يساعد هذا النهج في تقليل المخاطر الناتجة عن الأعطال الشائعة حيث ان عطل واحد قد يؤثر مكونات أو أنظمة فرعية متعددة.
  • التشغيل الاحتياطي: مراقبة ومقارنة مزدوجة لمخرجات مختلف مكونات النظام لكشف الأعطال أو تعويضها عبر قنوات بديلة ما يضمن التشغيل الصحيح للنظام و توافقه مع المتطلبات
  • تحمل الأخطاء : قدرة النظام على الاستمرار في العمل دون فقدان وظيفته أو الانتقال إلى وضع خطر.
  • الحفاظ على الوضع الأمن : تصميم يتيح تعطل النظام بشكل أمن و متوقع عندما لا يمكن التعامل معه.

تُنفَّذ هذه المبادئ عمليًا من خلال تقنيات متعددة، مثل اعتماد مستشعرات مزدوجة، الاستقطاب المتعدد للبيانات، إضافة إلى استخدام آليات مراقبة الجهد وساعة النظام لاكتشاف الأعطال الصامتة مبكرًا. إن تجاهل هذه الأسس في تصميم المكونات الإلكترونية ينتج عنه بنسبة عالية ظهور أعطال غير مكتشفة قد يصل ذات تأثيرها سلامة الركاب.

من الشائع أن يتبع مهندسي المعدات ومطورو البرمجيات نهجاً منعزلاً في التطوير، حيث يبحث كل منهم عن عمليات وحلول فريدة لتحديد مساهماته الفردية. ومع ذلك، يمكن أن يؤدي هذا التجزؤ إلى مشكلات في المراحل المتأخرة، خاصة عندما يتعلق الأمر بتأثير البرمجيات على سلوك النظام.

إحدى المشكلات المتكررة هي عدم التوافق بين واجهة المعدات والبرمجيات المدمجة، حيث تضيع افتراضات التصميم في عملية الترجمة. قد يتم تجاهل جوانب مهمة مثل تفاصيل تحويل الإشارات أو مستوى استهلاك الطاقة حتى مرحلة متأخرة من التطوير. لذا التعامل مع الأخطاء البرمجية يتطلَّب تحويل المتطلبات التقنية إلى قواعد سلوكية دقيقة تحدد تصرف المكونات البرمجية تحت جميع ظروف الإدخال المتوقعة، مع تجنب الحالات الخطرة عبر تنفيذ أوامر مقيدة، الحفاظ على الأوضاع الآمنة، تتبع الحالات غير الطبيعية، إطلاق التنبيهات، وتخفيف أثر الأعطال المحتملة.

من ناجية أخرى، تمثل الشبكة الإلكترونية نقطة حساسة في عمل النظام، حيث قد يؤدي فقدان البيانات أو تأخرها إلى فشل وظيفي خطير، مما يستدعي تحديد قواعد صارمة للتعامل مع أخطاء الاتصال،  واستخدام الإشارات الحية لاكتشاف فقدان الرسائل، والتصدي للأعطاب الصامتة التي تُعد من أخطر سيناريوهات الفشل في الأنظمة الموزعة.

تقنيات الإختبار و التوافق مع معايير السلامة الوظيفية

الصورة 3 – عملية اختبار جزء من النظام الالكتروني الحرج

تمثل أنشطة الاختبار والتحقق الركيزة الأساسية لإثبات امتثال الأنظمة الإلكترونية الحرجة لمتطلبات السلامة الوظيفية، إذ لا يكفي التصميم الصحيح أو التحليل النظري لضمان سلوك آمن في جميع ظروف التشغيل المتوقعة. يتم نهج مقاربة منهجية تتماشى مع نموذج التطوير القائم على V-Model. فبناءا عليه، تُوزَّع هذه العملية عبر مستويات متعددة تضمن التغطية الشاملة للنظام من المكونات الفردية وصولًا إلى التكامل الكامل:

  • إختبارات منعزلة للبرمجيات و أنظمة التحكم الإلكترونية : تُستخدم اختبارات مخصصة للتحقق من الالتزام بقواعد البرمجة الآمنة، والتأكد من السلوك الحتمي للبرمجيات تحت القيود الزمنية المفروضة، مع التركيز على حالات الخطأ المتوقعة.
  • اختبارات التكامل مع مختلف أنظمة السيارة : يتم تقييم التفاعل بين المكونات البرمجية وأنظمة التحكم الإلكترونية، والتحقق من سلامة تبادل البيانات، وتناسق آليات المراقبة والتشخيص، إضافة إلى الكشف عن الأخطاء الناجمة عن التزامن أو الاعتماد المتبادل بين المكونات.
  • عملية التحقق الكامل : تُجرى اختبارات شاملة تحاكي سيناريوهات التشغيل الواقعية، بما في ذلك ظروف التحميل القصوى، وانخفاض الجهد، وتأخر أو فقدان الإشارات، وأوضاع التدهور الوظيفي الناتجة عن أعطال جزئية.

كما هنالك تقنيات خاصة يتم تطبيقها للإحاطة الكاملة لمختلف أجزاء النظام قهذف التوافق مع معايير السلامة الوظيفية :

  • حقن الأخطاء و محاكاة الأعطاب : تكشف عملية إدخال أعطال أو إشارات غير طبيعية مدى مرونة النظام. إذ تظهِر هذه الأخطاء الممنهجة، (مثل محاكاة فشل المستشعرات أو خلق دوائر قصيرة، أو فقدان الإتصال بالشبكة…) كيفية استجابة عناصر نظام التحكم في الظروف الغير الطبيعية. تسمح هذه التقنية للمهندسين جمع أدلة حول مدى سرعة تفعيل إجراءات اعادة التشغيل أو فعالية المعدات الاحتياطية، مما يبسًط عملية استكشاف الأخطاء وإصلاحها لتلبية المعايير الصارمة بشكل أسرع، و بناء تصميمات قوية يمكنها التعامل مع الاضطرابات غير المتوقعة دون إيقاف التشغيل.
  • الاختبار بواسطة العتاد في الحلقة : عند تمرير الالكترونيات في عملية الاختبار الميداني المباشر، هناك احتمالية الخوض عبر عدة دورات إعادة التصميم للتعامل مع الاعطاب المكتشفة. غير أن الأمر مكلف من ناحية الوقت و الموارد. لذا تشكل عملية الإختبار بواسطة معدات محاكاة واقعية أحد أفضل الطرق للتحقق من السلوك الديناميكي للنظام في مرحلة مبكرة من التطوير و القيام بالتغييرات المناسبة قبل بدأ التصنيع. للقيام بهذه العملية، من الضروري امتلاك مدخلات دقيقة و وضع الشروط التشغيلية المناسبة تضمن أكبر توافق ممكن لنتائج المحاكاة مع النموذح الحقيقي قيد التصنيع.

تُجمع نتائج الاختبار والتحقق على شكل أدلة موضوعية قابلة للتتبع، تُستخدم لاحقًا في بناء ملف السلامة، والذي يشكل المرجع الأساسي لإثبات الامتثال لمتطلبات السلامة الوظيفية خلال مراحل الاعتماد، الإنتاج، والمراجعة اللاحقة.

خاتمة:

إن تصميم الوظائف الحرجة في السيارات يشكل مسألة تفكير منظومي بالدرجة الأولى، وليس استعراضًا للبراعة الفردية. فلا يمكن لأي شيفرة ذكية أن تعوض بنية نظام ضعيفة، أو أوضاع فشل غير محددة، أو غياب مبررات سلامة قابلة للدفاع عنها. العمليات والمعايير لا تحل محل المهندسين، لكنها تكشف بسرعة حدود كفاءتهم؛ فتجاهلها لا يلغي المخاطر بل يؤجلها إلى مرحلة التشغيل الميداني، حيث تصبح الأعطال واقعية وليست افتراضية. صحيح أن السلامة الوظيفية ترفع كلفة التطوير وتعقيده، لكن التجربة الصناعية تؤكد أن الكلفة التقنية والقانونية والإنسانية لفشل مرتبط بالسلامة أعلى بكثير.