在不久的將來,,汽車?yán)走_(dá)系統(tǒng)會越來越普及,,它們提供很多舒適安全的應(yīng)用。短距離雷達(dá)范圍從幾厘米到30米,,可用于盲點探測,、倒車輔助或車位測量,,以 引導(dǎo)汽車自助泊車,。長距離雷達(dá)可達(dá)到250米,用于啟動自適應(yīng)巡航控制,,使汽車與前車速度保持一致,。此外,它還可以啟動更多重要的功能,,如碰撞告警,、緊急 制動,甚至撞擊預(yù)警偵測系統(tǒng)等,,這些可能觸發(fā)安全帶張力計或其它主動或被動安全功能,。顯而易見,憑借后面這些功能,,電子控制系統(tǒng)需要達(dá)到最高的功能安全等 級,,因為此系統(tǒng)無需駕駛員干預(yù),最終都會轉(zhuǎn)向或制動汽車,。
這種雷達(dá)技術(shù)的發(fā)展創(chuàng)新不斷應(yīng)用在移動工控機,、起重機、工廠安全設(shè)備等其他應(yīng) 用中,,而這一應(yīng)用領(lǐng)域都需要嚴(yán)密地安全保護,。耦合雷達(dá)與機器視覺也可以創(chuàng)建一個強大的組合,這兩種技術(shù)相輔相成,,可創(chuàng)建更準(zhǔn)確和更可靠的系統(tǒng),。當(dāng)機器視覺 被遮擋時,雷達(dá)可在雨水,、霧氣和污垢環(huán)境下運行,。此外,雷達(dá)還可以進(jìn)一步延伸其探測距離以及探測到非直接視線中的事件,。一個結(jié)合了機器視覺與雷達(dá)及一些智 能傳感器融合算法的系統(tǒng),,可以充分利用這兩種傳感技術(shù)帶來的好處。
77 GHz雷達(dá)技術(shù)
在碰撞告警系統(tǒng)中,,77 GHz發(fā)射器發(fā)出的信號將被車身前方的物體反射,,然后由分布在車身各處的多個接收器捕獲。該發(fā)射器發(fā)出頻率調(diào)制的連續(xù)波信號,,即在一個固定時段中,,頻率隨 著典型的三角波信號而上下變化。由于無線電波是以恒定的光速進(jìn)行傳播的,,因此測量發(fā)射波和接收波之間的頻率差異(即隨時間而變化的頻率斜率)就可以計算出 傳播距離,。速度測量采用多普勒效應(yīng),即所觀察到的反射信號頻率與發(fā)出的頻率不同。
雷達(dá)系統(tǒng)并不是新亮點,。而新亮點是汽車制造商想在最近 幾年內(nèi)將這個系統(tǒng)內(nèi)置在中型汽車中,,因此該系統(tǒng)必須是低成本、高質(zhì)量的,。這意味著從昂貴的專業(yè)雷達(dá)系統(tǒng)向標(biāo)準(zhǔn)汽車設(shè)備類型的一個很大轉(zhuǎn)變,。面臨的挑戰(zhàn)是降 低成本的同時,實際提高產(chǎn)品質(zhì)量及減少每百萬件的瑕疵部件,。這種轉(zhuǎn)變?nèi)纭百|(zhì)量與成本營銷價值圖”所示,。
這個營銷價值圖顯示了從高成本、良好質(zhì)量系統(tǒng)向中低成本,、更高質(zhì)量系統(tǒng)的轉(zhuǎn)變,。為了實現(xiàn)這一目標(biāo),我們必須應(yīng)對很多挑戰(zhàn),。
雷達(dá)成本和質(zhì)量的挑戰(zhàn)
傳統(tǒng)雷達(dá)采用旋轉(zhuǎn)天線,。這也是物體空間映射的原理。這可能適合具有昂貴控制系統(tǒng)的大型系統(tǒng),,但肯定不適用于汽車批量生產(chǎn),。消除旋轉(zhuǎn)天線的一個解決方案就 是,將相控陣列或接線天線用于多通道發(fā)射和接收通道,??辗痔炀€將接收有輕微時差的反射信號。這種差別隨后用于重建物體位置,,而無需移動天線,。這種接線天線 的缺點是,需要多個發(fā)射和接收通道來連接天線,。典型系統(tǒng)將采用類似4個發(fā)射天線和16個接收天線,。但從經(jīng)濟角度來說,重復(fù)16次接收電路和4次發(fā)射電路并 不可行,。
這時另一個創(chuàng)新就派上用場了,。飛思卡爾沒有采用射頻差分電路,而是開發(fā)了一個專用射頻BiCMOS工藝,,它的性能足以將77 GHz射頻電路整合到單芯片上。飛思卡爾從開發(fā)高性能SiGe:C(硅鍺碳)180納米工藝開始,,還開發(fā)了專用的300GHz Fmax射頻晶體管,,能夠在芯片上處理77GHz雷達(dá)信號。結(jié)合模擬和數(shù)字CMOS電路,,這一工藝支持全面集成多通道77GHz片上系統(tǒng),。因此片上集成可 抵消多通道開銷成本。
高級封裝技術(shù)
具備77GHz固態(tài)硅工藝是一筆巨大財富,,但在印刷電路板上 處理和報告它又是另一個挑戰(zhàn),。傳統(tǒng)封裝寄生阻抗在高頻率時會破壞信號信息,。應(yīng)對這個問題的一種方法就是采用精密引線焊接技術(shù)將裸芯片焊接在專用PCB上, 而不是采用典型封裝和更高成本的波峰焊接技術(shù),。這時名為“RCP (重分配芯片封裝)”的全新先進(jìn)封裝技術(shù)就派上用場了,。
RCP采用粗 光刻技術(shù)而不是PCB型材料將銅互連層裝配在芯片或多芯片系統(tǒng)上。這種無基板的封裝技術(shù)具有更低的電容和電感寄生行為,。與裸芯片焊接工藝相比,,通過具有合 格性能的這一封裝,可以在77GHz時路由高頻率信號,。它的優(yōu)點是,,傳統(tǒng)PCB的整套工具可用于焊接這個部件,這意味著低成本的處理,。
憑借這種工藝和封裝技術(shù),,飛思卡爾不斷設(shè)計出集成的發(fā)射器和接收器雷達(dá)電路。
此發(fā)射器集成了77GHz頻率合成器,、半頻率時的壓控振蕩器,、10GHz分頻鎖相環(huán)、功率放大器和一個28位Σ-Δ調(diào)制器,。這通過SPI接口可附帶特定ESD保護(RF和DC)和數(shù)字控制,。
在接收端,我們在38GHz時集成了典型的4個接收通道和一個本地振蕩器,,以及輸出差分中頻,。無需低噪聲放大器就能實現(xiàn)13dB的典型噪聲系數(shù)。這有助于保持低功耗,、高線性度,。
功能安全微控制器
微控制器用來控制射頻雷達(dá)發(fā)射器和處理從接收器傳來的數(shù)據(jù)。如果考慮到應(yīng)用的關(guān)鍵安全性質(zhì),,就需要采用功能安全微控制器,。系統(tǒng)工程師所面臨的挑戰(zhàn)是所構(gòu) 建的系統(tǒng)需要能夠防止危險故障的發(fā)生或至少在出現(xiàn)故障時能夠有效地進(jìn)行控制。危險故障可能來自隨機硬件故障,、系統(tǒng)硬件故障及系統(tǒng)軟件故障,。
功能安全標(biāo)準(zhǔn)IEC 61508和汽車適用的 ISO 26262標(biāo)準(zhǔn)適用于確保一般工業(yè)和汽車應(yīng)用中的電子系統(tǒng)是完全安全的。IEC 61508標(biāo)準(zhǔn)定義了四個完全安全完整性等級(SIL),,其中SIL 4表示最嚴(yán)格的安全等級,。ISO標(biāo)準(zhǔn)定義了四個汽車安全完整性等級(ASIL),其中ASIL D表示最嚴(yán)格的安全等級,。每個等級對應(yīng)一個出現(xiàn)安全功能故障的可能性目標(biāo)范圍,。
SIL和ASIL等級之間沒有直接的對應(yīng)關(guān)系,但是ISO 26262將安全流程和要求推向更深的層次。在整個設(shè)計過程的一開始,,就必須收集憑證,,證明該產(chǎn)品是依據(jù)標(biāo)準(zhǔn)進(jìn)行開發(fā)的。發(fā)現(xiàn)的任何潛在偏差都必須記錄,,以確保能夠采取足夠的挽救措施,。
它們采用不同的方法來實現(xiàn)安全微控制器。傳統(tǒng)的方法是采用兩個獨立的微控制器復(fù)制完全不同的控制器上的軟件,。相同的軟件可以在每個微控制器上運行,,然后 比較運行結(jié)果。如果結(jié)果相同,,則一切正常,;如果不相同,那么系統(tǒng)就知道有錯誤,,要么解決它和/或使系統(tǒng)進(jìn)入安全狀態(tài),。另一個選擇是,一個微控制器只能運行 安全軟件并監(jiān)控正在運行應(yīng)用軟件的另一個微控制器,。
采用獨立的微控制器,,所設(shè)計的系統(tǒng)必須從一開始就設(shè)計和實施安全系統(tǒng)。
與之相反,,現(xiàn)在可提供預(yù)認(rèn)證的微控制器,。這些解決方案主要檢測和減少單點故障、潛在故障和非獨立故障,。這通過在微控制器,、電源管理IC和傳感器中內(nèi)置的安全功能實現(xiàn),包括自檢,、監(jiān)控和基于硬件的冗余,。 對于微控制器來說,提供的片上冗余適用于下列關(guān)鍵部件,,如:
- 具有延遲鎖步功能的多個CPU計算內(nèi)核
- I/O處理器內(nèi)核
- 直接存儲器存取控制器
- 中斷控制器
- 雙交叉開關(guān)總線系統(tǒng)
- 存儲器保護單元
- 故障采集單元
- 閃存存儲器和RAM控制器
- 外圍總線橋
- 系統(tǒng)和看門狗定時器
- 以及端到端糾錯碼
數(shù)據(jù)復(fù)制領(lǐng)域的主要優(yōu)勢是MCU的功能,,可檢測較頻繁發(fā)生的軟錯誤等單點故障,不僅檢測內(nèi)核中的,,也檢測關(guān)鍵的子模塊中的錯誤,。
為內(nèi)核、存儲器,、交叉開關(guān),、通信模塊和外設(shè)提供內(nèi)置自檢(BIST)機制。此外,,該器件進(jìn)行了優(yōu)化,可防止時鐘或電壓電源問題誘發(fā)的共因失效。MCU提供檢測時鐘偏差的硬件模塊以及主電壓的硬件監(jiān)控,,如內(nèi)部核心電壓和閃存電源電壓,。
雙核鎖步MCU在軟件級和系統(tǒng)級中不會減少實施安全措施的需求,如非常獨立地監(jiān)控軟件路徑計算的輸出值,。然而,,在更高集成度的其他方面,這些MCU不會提供關(guān)注點分離來進(jìn)行驗證,。在基于多個單核MCU的解決方案中,,檢測和控制隨機硬件故障的能力很大程度上取決于軟件。
雙核鎖步MCU可以在獨立于軟件的硬件級上驗證和確認(rèn)計算基礎(chǔ)架構(gòu)的關(guān)鍵功能安全的有關(guān)屬性,,因為計算基礎(chǔ)架構(gòu)以集成形式提供,,它也代表一個集成的安全 機制。這是軟硬件協(xié)同設(shè)計過程內(nèi)一個顯著好處,。此外,,關(guān)注點分離有利于快速定位問題。如果觸發(fā)了監(jiān)控雙核鎖步的安全機制,,那么原因可能歸結(jié)為硬件級的隨機 硬件故障,,同時如果觸發(fā)了軟件監(jiān)控,則原因可能歸結(jié)為系統(tǒng)級故障或軟件中的系統(tǒng)性故障,。
雙核鎖步MCU方法提供了一個潛在的可用性優(yōu) 勢,。 在現(xiàn)代MCU中,內(nèi)核面積越來越小,,遠(yuǎn)低于整個MCU的5%,,而MCU作為一個整體,通常分配到隨機硬件故障的概率指標(biāo)(PMHF)約為1%,。因此,,內(nèi)核 占比起初約為該區(qū)域的0.05%。但是,,必須要確保內(nèi)核的正確運行,,才能在軟件中實施前向恢復(fù)技術(shù),才能解決影響PMHF的其余99.95%的因素,,保證 系統(tǒng)的可用性,。此外,雙核鎖步MCU提供適當(dāng)?shù)幕A(chǔ)設(shè)施來實施多個充分獨立的通道,。
功能安全配套器件
為了支持面向功能安全應(yīng)用的完整系統(tǒng)解決方案,,飛思卡爾開發(fā)了一類配套的電源系統(tǒng)基礎(chǔ)芯片(SBC),它結(jié)合了面向MCU的安全監(jiān)控作用和電源生成兩種功能,。
這些SBC器件為MCU和其他系統(tǒng)負(fù)載提供電源,,并通過低功耗省電模式優(yōu)化能耗,。 此外,它們通常還集成物理層接口和串行外圍接口,,采用MCU進(jìn)行控制和診斷,。 MCU和模擬系統(tǒng)基礎(chǔ)芯片組合在一起可視為一個SEooC(獨立安全單元),有利于評估系統(tǒng)安全性,。 這種架構(gòu)能夠減少系統(tǒng)級組件的數(shù)量,,滿足功能安全需求,并增強可靠性,。
采取四種安全措施,,確保MCU和SBC之間的交互:
- 不間斷電源
- 故障安全輸入監(jiān)控關(guān)鍵信號
- 故障安全輸出驅(qū)動故障安全狀態(tài)
- 面向先進(jìn)的時鐘監(jiān)控的看門狗
當(dāng)與MCU相結(jié)合時,每個安全措施可以進(jìn)行優(yōu)化,,以實現(xiàn)最高的安全性能水平,。在系統(tǒng)級,MCU提出的安全檢查機制可由SBC器件通過故障采集控制單元 (FCCU)的雙穩(wěn)協(xié)議來監(jiān)控,。這種 IC 交叉檢驗,,如對監(jiān)控定時的查詢等,可對系統(tǒng)進(jìn)行外部檢測,,作為額外的措施,,進(jìn)一步確保故障檢測。為了符合系統(tǒng)基礎(chǔ)芯片系列的安全架構(gòu),,可以通過一個專用的 故障安全輸出為安全狀態(tài)激活提供冗余路徑,。當(dāng)發(fā)生故障情況時,這些輸出將應(yīng)用設(shè)置為確定性狀態(tài),,以彌補MCU 故障安全輸出,。
這些硬件實施方案幫助軟件工程師簡化了軟件架構(gòu),且實施的軟件開發(fā)策略側(cè)重于使用單一的MCU方法來確保安全性,。
系統(tǒng)與芯片組的合規(guī)性
功能安全合規(guī)性可在系統(tǒng)級實現(xiàn),,它是系統(tǒng)設(shè)計人員的職責(zé)。MCU和SBC芯片組是獨立于泊車系統(tǒng),、高級駕駛員輔助系統(tǒng)或移動吊車等最終應(yīng)用之外單獨設(shè)計 的,。 因而,該芯片組可以視為一個SEooC來進(jìn)行開發(fā),。SEooC是一個安全相關(guān)的元件,,而不是在特性車輛功能或最終應(yīng)用背景下而開發(fā)的。我們按照定制指南開 發(fā)符合ISO26262標(biāo)準(zhǔn)的SEooC組件,。
飛思卡爾已經(jīng)匯總了其措施,,以支持SafeAssure品牌市場的功能安全需求。它涵蓋了安全支持,、安全硬件,、安全軟件和安全流程等四個方面,,確保在各種產(chǎn)品的開發(fā)階段充分覆蓋這些方面。典型的交付成果將包括:
- 安全架構(gòu)分析:FMEDA,、CCA或FTA
- 用戶指南:安全手冊,、安全應(yīng)用說明
- 開發(fā)過程證據(jù):PPAP、安全計劃和證書
其目的是減少開發(fā)符合ISO 26262和IEC 61508標(biāo)準(zhǔn)的安全系統(tǒng)的時間和降低其所需的復(fù)雜性,,并簡化系統(tǒng)合規(guī)性過程,這些解決方案可滿足具體汽車和工業(yè)功能安全標(biāo)準(zhǔn)的要求,。