?? 2006年9月,，美國聯(lián)邦政府要求未來所有的車輛都采用穩(wěn)定控制技術(shù)。美國國家高速公路交通安全管理局(NHTSA)在公布上述要求時指出,，該局進(jìn)行的有關(guān)分析明確顯示,，裝備了穩(wěn)定控制技術(shù)的車輛發(fā)生碰撞事故的幾率會減少35 %。電子穩(wěn)定控制技術(shù)有望將總體重大傷亡事故以及單一車輛事故死亡率分別降低為43%和56%左右,。

?? 早在美國聯(lián)邦政府制定上述規(guī)定之前,，就已有預(yù)計顯示，全球車輛電子穩(wěn)定控制技術(shù)的裝配率將從2006年的21 %增至2012年的35%(復(fù)合年均增長率為12.5%),。此外,，線控制動(Brake-by-wire)的裝配率預(yù)計將從2006年的不足1 %增至2012年的5%（復(fù)合年均增長率為36.4%）。

?? 對于主要的汽車系統(tǒng)功能而言,，電子底盤管理技術(shù)都具有極大的吸引力,，但由于種種原因，該技術(shù)還很難實(shí)現(xiàn),，在安全與可靠性方面還面臨眾多難題,。為應(yīng)對當(dāng)前面臨的安全規(guī)定挑戰(zhàn)，國際電工委員會(IEC)已針對電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全性定義了相關(guān)標(biāo)準(zhǔn),。目前,，IEC 61508被視為安全關(guān)鍵型系統(tǒng)開發(fā)領(lǐng)域的最高級標(biāo)準(zhǔn)。盡管該標(biāo)準(zhǔn)尚未以法律的形式全面強(qiáng)制實(shí)施,，但還是希望汽車系統(tǒng)設(shè)計人員能夠滿足這一實(shí)際的技術(shù)標(biāo)準(zhǔn)要求,。汽車系統(tǒng)設(shè)計人員在構(gòu)建應(yīng)用功能安全性時必須考慮到從輸入傳感器到數(shù)字處理和傳動裝置等整個信號鏈的要求。

?? IEC 61508將“危險”與“風(fēng)險分析”作為系統(tǒng)設(shè)計的一部分,，并將電子控制單元(Electronic Control Unit)的“功能安全性”定義為“整體安全性的一部分——取決于系統(tǒng)或設(shè)備能否對其輸入進(jìn)行正確響應(yīng)”,。如圖1所示。系統(tǒng)的每項(xiàng)安全功能均根據(jù)“要求”(該功能需要完成什么工作）和“完整性”（圓滿執(zhí)行該功能的可能性）進(jìn)行評估,。此外,，該標(biāo)準(zhǔn)還進(jìn)一步將高強(qiáng)度工作模式或持續(xù)工作模式下安全功能發(fā)生危險故障的概率分為四種不同的“安全完整性等級”(SIL)。每種等級涵蓋一定范圍的可接受故障率,，也就是“平均故障間隔時間”(MTTF),，而SIL4是其中最嚴(yán)格的標(biāo)準(zhǔn)。SIL評級適用于包括汽車業(yè)在內(nèi)的許多行業(yè),，每種SIL分級的定義均適用于各自行業(yè)領(lǐng)域。安全完整性等級中的SIL2和SIL3是非道路應(yīng)用中最常見的安全級別。

圖1 總體系統(tǒng)的功能安全性依靠設(shè)備響應(yīng)輸入進(jìn)行正常工作

?? 根據(jù)安全功能和重要性的不同,，汽車系統(tǒng)可遵從IEC 61508標(biāo)準(zhǔn)下的SIL2或SIL3規(guī)定,。自檢測系統(tǒng)的可靠性要求多級統(tǒng)計獲得的“安全故障系數(shù)”(SFF)達(dá)到99 %，可靠性參數(shù)的具體計算方式為檢測到的危險故障（包括非危險故障）與所有故障之比,?！霸\斷覆蓋率”(DC)是指檢測到的危險故障相對于所有危險故障之比。此外,，對于安全關(guān)鍵型汽車系統(tǒng)來說,，DC應(yīng)達(dá)到99%。

?? 能否通過汽車系統(tǒng)的SIL3認(rèn)證,，通常取決于啟動并控制機(jī)械系統(tǒng)的電子控制單元(ECU)的性能,。諸如德國萊茵集團(tuán)(TUV Rheinland)等獨(dú)立安全評估機(jī)構(gòu)負(fù)責(zé)汽車系統(tǒng)的 ECU評估和SIL3認(rèn)證工作。TUV是一家國際化的服務(wù)集團(tuán),，可頒發(fā)產(chǎn)品,、系統(tǒng)及服務(wù)的安全和質(zhì)量證書。

?? 任務(wù)關(guān)鍵型集成機(jī)械系統(tǒng)(如制動)還不能完全被電子產(chǎn)品取代,。但任何SIL3認(rèn)證要求的高級機(jī)械或電子安全性均需通過利用冗余系統(tǒng)來實(shí)現(xiàn),，電子系統(tǒng)有助于廣泛實(shí)施冗余。

電子子系統(tǒng)的SIL3認(rèn)證

?? 用電子系統(tǒng)取代液壓或機(jī)械系統(tǒng),，必然使OEM,、汽車制造商及消費(fèi)者各方充分受益。電子系統(tǒng)可消除內(nèi)燃機(jī)的皮帶傳動負(fù)擔(dān),，從而有助于降低成本,、重量與燃油消耗。

?? 汽車制造商可用機(jī)械解決方案取代液壓制動助力器,，并最終完全取消液壓傳動系統(tǒng),，實(shí)現(xiàn)完全電控的線控制動系統(tǒng)，如圖2所示,。不過,，這一革命性轉(zhuǎn)變需要實(shí)施冗余系統(tǒng)或后備系統(tǒng)（類似于航空電子系統(tǒng)），才能避免在危險時刻車輛會完全喪失制動能力的風(fēng)險,。期間的過度性步驟包括“混合制動”模式,，也就是只在車輛的一個而不是兩個車軸上安裝液壓后備系統(tǒng)即可。

圖2 用電氣解決方案取代液壓助力器有助于大幅降低燃油消耗,、成本及噪聲

?

???微處理器(MCU)是ECU中的關(guān)鍵組件,。使用傳統(tǒng)的汽車MCU不可能達(dá)到SIL3認(rèn)證要求。需要采用全新的芯片架構(gòu),，以確保處理結(jié)果,、總線流量的數(shù)據(jù)完整性以及存儲器中數(shù)據(jù)的安全性與可靠性，同時滿足嚴(yán)格的響應(yīng)時間要求。

?根據(jù)IEC 61508標(biāo)準(zhǔn),，危險故障的成因包括以下因素：

? (1)軟件或硬件系統(tǒng)規(guī)范不正確,；

? (2)安全要求規(guī)范缺失；

? (3)硬件隨機(jī)故障,；

? (4)系統(tǒng)原因故障,；

? (5)人為錯誤；

? (6)環(huán)境影響（EMI,、溫度以及機(jī)械等）,。

?從完整系統(tǒng)的角度來說，危險評估和安全完整性要求包括以下因素：
?· 在電壓下降,、假信號等情況下確保穩(wěn)定的電源供給和時鐘信號完整性,；
?· 用于處理與通信的冗余性或真實(shí)性檢查，其中包括往返于傳感器和執(zhí)行器的信號,；
?· 提供故障檢驗(yàn)功能,；
?· 提供故障管理策略，其中包括在故障容錯架構(gòu),、緊急操作模式及可控系統(tǒng)關(guān)斷等情況下定義安全狀態(tài)和故障防護(hù),；
?· 增強(qiáng)型軟件開發(fā)進(jìn)程包括使用正式規(guī)范、編程語言子集以及代碼驗(yàn)證工具等,。

硅芯片的強(qiáng)大支持
?? 開發(fā)人員可充分利用市場上的微處理器,，為ECU制動控制功能達(dá)到SIL3認(rèn)證標(biāo)準(zhǔn)提供所需技術(shù)。TI與羅伯特·博世有限公司(Robert Bosch GmbH)聯(lián)合開發(fā)的TMS570就是一款這樣的微處理器,。

?? 在硅芯片設(shè)計中,，芯片布局本身就是一項(xiàng)很大的挑戰(zhàn)，應(yīng)包括專用知識產(chǎn)權(quán)(IP)以減少并檢測隨機(jī)硬件和系統(tǒng)故障原因,。此外,，還可用運(yùn)行于鎖步(lock-step)模式的雙核處理器架構(gòu)來比較處理結(jié)果，從而避免為開發(fā)獨(dú)立的檢驗(yàn)微處理器軟件耗費(fèi)大量的時間,。為了保護(hù)存儲器子系統(tǒng)免受外部事件引發(fā)的故障影響,，應(yīng)在主存儲器和本地存儲器以及總線流量上實(shí)施錯誤校正代碼(ECC)和奇偶位保護(hù)機(jī)制。為簡化開發(fā)工作,，開發(fā)人員還應(yīng)使用MCU中已實(shí)施FlexRayTM網(wǎng)絡(luò)協(xié)議的器件,。這種由領(lǐng)先汽車制造商和供應(yīng)商開發(fā)的確定性通信標(biāo)準(zhǔn)能為高級汽車系統(tǒng)提供全面確定的冗余通信。

?? 例如,，TI的TMS570 MCU是一款基于兩個相同的新一代ARM?誖R4 CortexTM內(nèi)核之上的對稱型雙核MCU,。每個Cortex-R4內(nèi)核的性能均可達(dá)到300 MIPS，而且TMS570還集成了2 MB的片上閃存,、FlexRayTM網(wǎng)絡(luò),、BIST,、CAN及多種外設(shè)。雙核與正在申請專利的架構(gòu)緊密耦合,，可實(shí)現(xiàn)最高可靠性,。

Cortex-R4的優(yōu)勢
? ?Cortex-R4的64位AMBA 3 AXI 存儲器接口能夠提供幾項(xiàng)可增強(qiáng)可靠性的重要性能優(yōu)勢，其中包括發(fā)出多個待定地址,，并支持亂序數(shù)據(jù)返回。

?? AMBA 3 AXI存儲接口另一個最顯著的優(yōu)勢還在于,，即便存儲器或外設(shè)速度較慢,，也不會阻塞總線，進(jìn)而影響存取速度,。這種功能使得內(nèi)核不必等待速度較慢的存取完成,，從而可以執(zhí)行更多存取。此外,，64位寬總線還提高了可用帶寬,，從而僅需四次存取就能完成高速緩存行填充，而不像ARM946E-S那樣需要八次,。

?? 與946E-S相比,，Cortex-R4還大幅改進(jìn)了中斷延遲，而且最壞情況中斷延遲和平均中斷延遲均得到了改善,。例如,，946E-S必須等待指令或中斷進(jìn)程完成，而不能中途放棄,。在最壞情況下,，意味著即便使用零等待狀態(tài)存儲器，中斷延遲有可能長達(dá)118個周期,。盡管上述情況不太可能頻繁發(fā)生,，但實(shí)時系統(tǒng)必須做最壞的打算。

? ?另一方面,，如果在執(zhí)行過程中收到中斷請求,，Cortex-R4 處理器將放棄正常存儲器的多負(fù)載指令。經(jīng)過精心設(shè)計,，TMS570 MCU可將最長中斷延遲控制在20個周期左右,，能夠很少甚至可完全不受AMBA AXI存儲器和外設(shè)存取時間的影響。

?

?? 此外,，Cortex-R4處理器還可提供非屏蔽中斷選項(xiàng),，從而避免軟件禁用快速中斷請求(FIQ)，這對于安全關(guān)鍵型應(yīng)用尤其重要,。

?? 對汽車制造商及OEM廠商而言,，隨著車輛變得日益復(fù)雜,，集成的功能越來越多，安全標(biāo)準(zhǔn)化也日趨重要,。集成Cortex R4內(nèi)核的創(chuàng)新型設(shè)計,，如TMS570器件，可實(shí)現(xiàn)IEC 61508標(biāo)準(zhǔn)所要求的故障檢測與響應(yīng)時間,。

?? 將基于微處理器的系統(tǒng)可靠性納入SIL3認(rèn)證范疇,，標(biāo)志著汽車OEM廠商與汽車制造商在全面實(shí)施車輛線控驅(qū)動功能的進(jìn)程中向前邁進(jìn)了一大步。

?? TMS570 MCU是經(jīng)SIL3認(rèn)證并符合制動要求的32位微處理器系列,。TMS570 MCU的技術(shù)發(fā)展策略涵蓋電子穩(wěn)定性控制,、底盤控制及轉(zhuǎn)向系統(tǒng)等。