尽管主动安全功能和驾驶员辅助功能会带来很多好处,但这些功能存在的安全风险不容忽视-尤其与底盘系统关联的电子系统。一个系统组件中只要发生一个故障或错误就会造成严重后果。为保证线控系统的安全性,应从一开始就完善系统组件,努力避免出错。
如果故障无法避免,则应采用容错来保护整个系统的特定功能。实现容错需要有额外的方法来补足出错位置本应实现的功能。这里需要区分信息冗余和结构冗余。这两种原理在确保数据通信可靠性方面都非常重要。
信息冗余是通过添加有用的信息作为元信息来实现的,例如用于错误检测和错误纠正。而结构冗余则是通过添加正常情况下不必要的组件扩展来实现的,这样,即使在通信相关组件(例如总线节点)中出现错误时,也可以维护系统规范定义的无故障应用功能。
按激活方式可以划分两种不同的冗余:静态冗余可以持续激活,而动态冗余在发生错误后才会激活。由于分布式安全关键系统的实时功能具有严格要求,因此本领域中通信系统仅考虑静态冗余原理。
为最大程度地降低安全风险,尤其是线控系统中的风险,通信通道的布局也采用冗余的方式,要求相同的信息必须通过两个通信通道传输。只有这样才能容忍一个通道出现故障。“Structural Redundancy”图显示了总线型拓扑通信系统的总线节点和通信通道的冗余布局。
某些特定物理拓扑也会影响通信系统的容错能力。例如,如果系统设计人员决定采用主动星型拓扑,则可以通过断开主动星型耦合器与故障通信分支的连接来避免传播错误。