《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 嵌入式技術(shù) > 解決方案 > 從飛思卡爾SafeAssure功能安全保障方案看汽車安全設(shè)計

從飛思卡爾SafeAssure功能安全保障方案看汽車安全設(shè)計

2012-03-07
來源:深圳市易維訊信息咨詢有限公司

    就在您閱讀完本文不到十分鐘的時間內(nèi),全球大概有超過二十人已經(jīng)因為車禍離開這個世界,,而其中大約有90%是來自像中國這樣的發(fā)展中國家(數(shù)據(jù)參考世界衛(wèi)生組織統(tǒng)計),。汽車造福人類的同時,在全球科技空前發(fā)達的今天,,因為交通事故帶來如此重大的公共安全威脅不啻為人類的一大悲劇,。

    從汽車誕生開始,人們就沒有停止過對汽車安全駕駛的追求,。最早的安全帶以及后來的安全氣囊等被動安全措施挽救了數(shù)千萬人的生命,,后來發(fā)展起來的ABS(防抱死制動系統(tǒng))、ESP(電子穩(wěn)定程序),、EBD(電子制動力分配系)等主動安全功能讓汽車安全性再次大大提高,。但盡管如此,交通事故依然是最大非自然死傷原因之一,。
世界衛(wèi)生組織統(tǒng)計:全球每年因交通事故死亡130萬人,,并有5000萬人受傷。
 
圖1 世界衛(wèi)生組織統(tǒng)計:全球每年因交通事故死亡130萬人,
并有5000萬人受傷
 
    “隨著系統(tǒng)復(fù)雜性的提高,,以及軟件和機電設(shè)備的大量應(yīng)用,,因為系統(tǒng)失效和隨機硬件失效導(dǎo)致的交通事故風(fēng)險也日益增加。因此,,近年開始出現(xiàn)了新的汽車安全概念——安全性預(yù)測,。”在近日召開的“2012產(chǎn)業(yè)和技術(shù)展望媒體研討會”上,飛思卡爾亞太區(qū)汽車及工業(yè)解決方案事業(yè)部全球產(chǎn)品市場經(jīng)理郗蘊俠(Yolanda)博士指出,,“安全性預(yù)測即汽車?yán)锏囊恍┫到y(tǒng)能實時檢測故障,,在故障發(fā)生之前就能預(yù)警防止故障發(fā)生,這就是當(dāng)前大家倡導(dǎo)的汽車功能安全的概念,。”為此,,飛思卡爾推出了命名為“SafeAssure”的安全保障方案,旨在幫助系統(tǒng)制造商更加輕松地滿足汽車和工業(yè)市場中的功能安全標(biāo)準(zhǔn)要求,,并大大降低開發(fā)難度,、縮短開發(fā)周期。
汽車安全系統(tǒng)的演變——基于安全性預(yù)測的功能安全出現(xiàn)
圖2 汽車安全系統(tǒng)的演變——基于安全性預(yù)測的功能安全出現(xiàn)
 
從IEC61508到ISO 26262,,看汽車功能安全演變 
     2011年11月推出ISO 26262之前,,汽車行業(yè)遵照的功能安全標(biāo)準(zhǔn)是電子、電氣及可編程器件功能安全基本標(biāo)準(zhǔn)IEC 61508,。然而,,作為一種通用基礎(chǔ)安全標(biāo)準(zhǔn),對于汽車行業(yè)的特殊性而言,,該標(biāo)準(zhǔn)有很多的不足,,特別是近年來汽車系統(tǒng)的復(fù)雜性日益增長的條件下。從IEC 61508派生出來的ISO 26262為當(dāng)前汽車行業(yè)量身定制,,特別是ISO 26262對于硬件研發(fā),、軟件研發(fā)的要求適合于當(dāng)前先進的汽車工業(yè)的實際現(xiàn)狀。
 
    ISO 26262標(biāo)準(zhǔn)根據(jù)安全風(fēng)險程度對系統(tǒng)或系統(tǒng)某組成部分確定劃分由A到D的安全需求等級(汽車安全完整性等級——ASIL),,其中ASIL D級為最高等級,,具有最苛刻的安全要求。對系統(tǒng)供應(yīng)商而言,,必須滿足這些因為安全等級提高而提出的更高的設(shè)計要求。
 
    安全事件總是和通常的功能,、質(zhì)量相關(guān)的研發(fā)活動以及產(chǎn)品生產(chǎn)伴隨在一起,。ISO26262強調(diào)了研發(fā)活動和產(chǎn)品生產(chǎn)的安全相關(guān)各個方面,并為汽車安全提供了一個生命周期理念,,在這些生命周期階段中提供必要的支持,。ISO26262涵蓋了功能安全方面的整體開發(fā)過程,包括規(guī)劃、設(shè)計,、實施,、集成、驗證,、確認和配置,。
 
SafeAssure安全保障方案
    在ISO26262推出前兩個月,飛思卡爾SafeAssure安全保障方案就在業(yè)內(nèi)率先推出,。“SafeAssure是針對汽車和工業(yè)市場功能安全標(biāo)準(zhǔn)設(shè)計的解決方案,,幫助企業(yè)簡化達標(biāo)的流程,縮短開發(fā)時間和降低復(fù)雜性,。”Yolanda指出,,“基于SafeAssure功能安全保障方案,廠商可以輕松實現(xiàn)從ASIL-A至D以及SIL-1至4等級的系統(tǒng)安全標(biāo)準(zhǔn),。”
 
圖3:Freescale郗蘊俠:基于SafeAssure功能安全保障方案,,
廠商可以輕松實現(xiàn)從ASIL-A至D等級的系統(tǒng)安全標(biāo)準(zhǔn)。
 
   SafeAssure保障方案涵蓋飛思卡爾系列的技術(shù),,包括微控制器,、模擬和電源管理IC以及傳感器。SafeAssure安全保障方案對廠商提供了四個方面的支持,,包括:
 
安全流程:挑選那些定義和設(shè)計之初就以符合各項標(biāo)準(zhǔn)要求為目標(biāo)的產(chǎn)品,,使功能安全成為產(chǎn)品開發(fā)流程的一個完整組成部分。
 
安全硬件:故障控制通過在飛思卡爾微控制器,、電源管理IC和傳感器中內(nèi)置的安全功能實現(xiàn),,例如自測、監(jiān)控和基于硬件的冗余,。飛思卡爾汽車模擬器件解決方案提供了額外的系統(tǒng)級安全功能,,包括檢查微控制器時序、電壓和故障管理,。
 
安全軟件:全面的汽車功能安全軟件產(chǎn)品,,包括AUTOSAR OS、MCAL,、驅(qū)動和內(nèi)核自測功能,,并與領(lǐng)先的第三方軟件提供商合作推出更多的安全軟件解決方案。
 
安全支持:飛思卡爾利用自身覆蓋廣泛的技術(shù)能力,,提供功能安全架構(gòu)有關(guān)的客戶培訓(xùn)和系統(tǒng)設(shè)計審核,,以及廣泛的安全文檔和技術(shù)支持。
 
     SafeAssure主要目標(biāo)是化繁為簡,,為簡化失效故障分析,,飛思卡爾還提供一個重要分析工具——失效模式,、效果和診斷分析(FMEDA),這個工具分析客戶整個數(shù)據(jù),,最后算出的結(jié)果是不是達到功能安全所需要的要求,。FMEDA工具可以幫助客戶根據(jù)其應(yīng)用來計算最后功能安全結(jié)果,從而使SafeAssure方案有效簡化功能安全設(shè)計工作,。
 
MPC5643L單片機看功能安全機制
    Yolanda指出:“硬件安全的理念主要通過檢測和消除隨機硬件故障,,利用內(nèi)置的安全機制,包括自檢,、監(jiān)測和基于硬件的冗余設(shè)計來實現(xiàn),。”廠商可以充分利用在飛思卡爾微控制器、電源管理IC和傳感器中內(nèi)置的功能安全機制實現(xiàn)有效的故障控制,,從而實現(xiàn)目標(biāo)市場對功能安全設(shè)計的要求,。 
 
    功能安全設(shè)計需要針對可能出現(xiàn)功能失效進行預(yù)測,包括單點失效,、潛在失效和共因失效,。按照ISO 26262的最高等級ASIL D的要求,所設(shè)計的系統(tǒng)要能檢測出大于99%的單點失效率,,潛在失效檢測要超過90%,。例如,如果一個系統(tǒng)的每小時失效率低于10-8,,則落到單片機的每小時失效率必須低于10-9,。“在我們的單片機設(shè)計過程中更嚴(yán)格,錯誤概率更小,。”Yolanda表示,,“MPC5643L就是飛思卡爾針對功能安全推出的一款單片機產(chǎn)品,這款產(chǎn)品的設(shè)計體現(xiàn)了功能安全的設(shè)計理念,。”
 
    冗余設(shè)計是有效提高系統(tǒng)失效安全的有效措施之一,,MPC5643L中充分利用了冗余設(shè)計確保嚴(yán)格的功能安全標(biāo)準(zhǔn)要求。MPC5643L采用了雙e200Core內(nèi)核鎖步(lockstep)工作模式,,一個內(nèi)核工作的同時另一個內(nèi)核進行監(jiān)測,。此外,MPC5643L還對主要的模塊如看門狗定時器,、內(nèi)存相關(guān)控制單元,、總線及外設(shè)都進行了冗余。而且,,為了防止單點失效,,MPC5643L內(nèi)置的閃存還具有自動糾錯功能。
 
    通常,,很多系統(tǒng)開始都能正常工作,但是過了幾年之后,因為外部一些因素觸發(fā)而可能產(chǎn)生一些失效故障,,這就是潛在失效的概念,,功能安全設(shè)計需考慮潛在失效。“過去潛在失效的防范都是由軟件實現(xiàn),,軟件每一次在單片機復(fù)位以后都會對所有的內(nèi)存或者是邏輯進行一次校驗,。而在MPC5643L中,將校驗功能由硬件實現(xiàn),,即內(nèi)置自測,,這是功能安全對單片機非常重要的要求,這種自測功能可以把內(nèi)存或者是邏輯以及外設(shè)的一些錯誤檢測覆蓋率達到90%以上,。”Yolanda指出,。
 
    除此之外還需要考慮共因失效。“共因失效是什么呢,?比如說時鐘,,它會提供給很多模塊,還有電壓也會提供給整個的單片機,。此外,,溫度也是重要考慮的問題,如果一旦芯片溫度過高,,也可能導(dǎo)致芯片失效,。”Yolanda解釋了共因失效的定義,“這些共因失效都需要檢測,,MPC5643L對時鐘,、電壓以及溫度都有檢測。”從成本考慮以及應(yīng)用環(huán)境的原因,,通常的應(yīng)用中單片機并不具有溫度傳感器這些考慮共因失效的功能特性,。
 
    除此之外,MPC5643L內(nèi)部還集成了一個獨立于CPU的錯誤收集和應(yīng)對模塊(FCCU),,該模塊在時鐘上也跟CPU獨立開,,可以完全獨立操作,把這些錯誤收集起來并做相應(yīng)的應(yīng)對措施,。這個功能模塊也是傳統(tǒng)單片機所不具備的,。
功能<a class=
等多種失效保障機制
 
本文小結(jié)
    據(jù)Yolanda指出,目前基于功能安全的安全性預(yù)測在歐美和日本等發(fā)達市場已經(jīng)發(fā)展得非常成熟,,很多相關(guān)的產(chǎn)品即將推入市場,,而在中國國內(nèi)才剛剛開始起步。高級駕駛員輔助系統(tǒng)作為安全性預(yù)測的標(biāo)志性應(yīng)用,,目前已經(jīng)進入很多高端汽車的研發(fā)流程,。以飛思卡爾公司為例,,對高級駕駛員輔助系統(tǒng)提供了全部整套的解決方案,包括后視的停車輔助,、全景輔助,、前景安全性預(yù)測(車道偏離預(yù)警、自動巡航系統(tǒng),,等等),。事實上,目前很多全球領(lǐng)先的汽車半導(dǎo)體解決方案提供商都將目標(biāo)瞄準(zhǔn)高級駕駛員輔助系統(tǒng),,基于功能安全的汽車安全性預(yù)測的廣泛應(yīng)用指日可待,。
本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。