步驟3：若應用在車輛發生碰撞事故之后還能夠繼續工作，系統的碰撞靈敏節點應分布在不同的分支上（見圖3）。這樣一來，一旦線纜被擠壓或被鉗位在一個差分電壓上，只有受影響的分支的數據傳輸被中斷，但主動星型將保證網絡中其它分支的通訊不受影響。

　　圖1

　　圖2

　　圖3

　　步驟4：鑒于共振的出現，暴露在非常惡劣的RF場中的節點或布線也應該分布到不同的分支上（見圖4）。在線纜兩端各利用一個？？終端（FlexRay電氣物理層規范v2.1修訂版B），把RF感應電流轉移到接地位。這就使得線纜上的共模電壓幅度更低，同時不影響與其它分支相連接的節點。因此，接收到的數據流中的抖動可以控制在合理的范圍內。

　　圖4

　　步驟5：為了確保在線纜兩端始終有合適的終端（見圖5），中繼電纜的末端節點不應是可選節點。節點的電氣位置沿線纜的移動不得致使線纜長度超過10米過多。在非可選節點上，可引入短的stub（《1米）。即使有更大的靈活性，主動星型也不必在線纜度終端處。

　　圖5

　　驗證與優化

　　遵照這五個步驟，有助于構建在電子特性方面穩健的FlexRay拓樸結果。建議進行仿真以對定義后的拓樸做進一步驗證和優化。開采用蒙特卡羅（Monte-Carlo）仿真法來估算線束、產量范圍以及依賴于收發器和主動星型的溫度等各項制造公差。

　　此外，FlexRay聯盟已推出了一種涵蓋線束趨膚效應在內的復雜完善的線纜模型。在支持汽車制造商引入FlexRay的同時，NXP也在不斷提高自己在FlexRay拓樸仿真領域的專業能力。

　　關于FlexRay應用的終端、線纜和連接器的更多信息可參見FlexRay電氣物理層規范v2.1修訂版B。電氣物理層應用說明v2.1修訂 版B給出了一些有關拓樸設計的建議。這兩份規范都可通過FlexRay聯盟網站獲得。至于TJA1080 FlexRay收發器的技術細節，可查詢NXP網站。

　　在汽車中采用電子系統已經有幾十年的歷史，它們使汽車安全、節能與環保方面的性能有大幅度的提高。隨著研究的深入，許多系統需要共享和交換信息，為了節省 線纜，就形成了依賴于通信的分布式嵌入系統。目前，世界上90%的都采用基于CAN總線的系統。FlexRay是下一代通信協議事實上的標準，它的功能安 全性如何是至關重要的。

　　1 引起系統安全風險的通信故障

　　通信故障有5種表現形式，第1種是造成值域的錯誤。第2種是造成時域的錯誤，這是工業不同于民用的部分。一條消息不能在預定的時限前送達就失去了實用 意義，例如與安全氣囊引爆有關的傳感器消息不能在數ms內送達就引起安全問題。在多播或廣播通信中還有第3種錯誤：數據完整性錯（拜占庭錯），即各節點收到的結果不一致。它會引起系統性的失效，應對的策略必須將所有有關節點同時考慮。第4種是系統崩潰，除硬件失效外，也有干擾或軟件引起的，例如饒舌錯（babbling idiot）阻止通信。第5種是丟幀，短時間失效，例如可恢復的離線或bug引起的等效離線狀態，又如小集團錯。

　　2 通信的容許失效率

　　在通信故障對系統安全影響的分析上，參考文獻提供了一種方法，根據瞬態干擾出現的可能長度，計算通信失效的時段長，在假定的通信失效率下，推出系統的 失效率。在該實例中，路段上電場超100 V/m的區間有可能引起通信失效，失效率近似5×10-3，車速為90 km/h，識別出的可能失效時間約74 s。通信以6 ms為周期，連續7個周期丟幀視為系統失效，在此條件下系統失效率為1.640 9×10-10，認為可以達到SIL4的安全要求。這種分析方法是有效的，但是假設的條件太多，例如：誤碼率有很大的變化區間；幀長的變化影響一次傳送的失效率；干擾持續時間的假定；連續丟7幀也與應用的場合有關，對90 km/h的車42 ms的失控對剎車系統而言有約1 m的距離，恐怕對撞擊的后果有完全不同的評估；還假設SIL4完全分配給通信，將CPU與軟件有關的部分失效率忽略不計，在軟件規模越來越大的今天，這個假設是不合理的。另一方面，決定系統失效率時還應考慮其他的通信故障形式，例如出現小集團錯到發生沖突的時間取決于相對的時鐘漂移，越精確，其間時間越 長，失效的時間就越長，參考文獻中在人為制造出小集團后需300 ms才發現沖突，遠遠超出上述的42 ms。所以一般討論系統安全的文章中都單獨規定通信的失效率是相應安全等級失效率的1/100。

　　3 影響通信失效率的因素

　　功能安全等級與故障檢測的覆蓋率有關，如果有的故障未被檢查到（未認識到或做不到），當然那種失效情景就不可能計算在內，安全等級的劃分就有錯。

　　參考文獻介紹了SFF（Safety Failure Fraction）的概念：失效分為引起危害的失效和安全失效，它們又各分為能檢測出和未檢測出兩種。安全失效比例SFF是能檢測出危害失效與安全失效在總的失效中的份額。診斷覆蓋率DC（Diagnostic Coverage）是能檢測出的危害失效占總危害失效的份額。可導出SFF與DC有線性關系。而SFF又與SIL有關。IEC61508的SIL等級與 SFF有關，在SFF占90%~99%時SIL3可容許1個故障。因此DC也決定了能達到的SIL等級。根據有關文章介紹，瞬態故障的概率比硬件失效概率 大2個數量級，因此可大致推斷瞬態故障診斷覆蓋率應達到90%~99%。危害失效可能由通信失效引起，診斷覆蓋率也就成了評價通信協議的重要一環。

　　在通信中，由于CRC有漏檢，這是明顯的診斷未覆蓋區，診斷未覆蓋率就相當于錯幀漏檢率，例如CAN的錯幀漏檢。

　　在通信中發生值域錯或時域錯而丟幀是能診斷出的危害失效（這是本文分析的主要對象）。而假冒錯、拜占庭錯等應屬于未檢測出的危害失效。發生小集團錯時 既可能產生丟幀，也可能產生拜占庭錯。CAN的等效離線失效也屬于未覆蓋的診斷引起的危害失效。要計算這些未覆蓋的診斷引起的危害失效占總危害失效的比例 還相當困難，因為確定故障概率模型很難。但從定性上講，只有盡量排除假冒錯、拜占庭錯和小集團錯，才能使診斷覆蓋率提高（SIL等級提高）。

　　關于FlexRay的缺點或弱點，參考文獻提到物理層連接的困難，影響到信號完整性，實際上能較易使用的是有源星型，但這帶來成本的提高；cycle設計 約束多，帶來困難；同步和啟動節點配置與容錯有關，是挑戰；由于資源有限，升級演進時很困難（并非像以前強調時間觸發協議的 composability優點——筆者注）。參考文獻介紹了在FlexRay中產生各自獨立的時鐘同步小集團的可能性，也就是說雖然各節點都在通信，但 是2個集團間無有效通信，是一種故障狀態。解決辦法是用3個冷啟動節點、3個同步節點，但是這與時間同步容錯的要求矛盾。還有就是將調度表排滿，以免形成 小集團，這也與留有余地供將來升級擴充的要求矛盾。總之尚無徹底解決方案。再有就是時鐘可能產生同向漂移，與應用時鐘的差造成幀未能就緒或覆蓋引起漏幀。