就在您閱讀完本文不到十分鐘的時間內,全球大概有超過二十人已經因為車禍離開這個世界,而其中大約有90%是來自像中國這樣的發展中國家(數據參考世界衛生組織統計)。汽車造福人類的同時,在全球科技空前發達的今天,因為交通事故帶來如此重大的公共安全威脅不啻為人類的一大悲劇。
從汽車誕生開始,人們就沒有停止過對汽車安全駕駛的追求。最早的安全帶以及后來的安全氣囊等被動安全措施挽救了數千萬人的生命,后來發展起來的ABS(防抱死制動系統)、ESP(電子穩定程序)、EBD(電子制動力分配系)等主動安全功能讓汽車安全性再次大大提高。但盡管如此,交通事故依然是最大非自然死傷原因之一。
圖1 世界衛生組織統計:全球每年因交通事故死亡130萬人,
并有5000萬人受傷
“隨著系統復雜性的提高,以及軟件和機電設備的大量應用,因為系統失效和隨機硬件失效導致的交通事故風險也日益增加。因此,近年開始出現了新的汽車安全概念——安全性預測。”在近日召開的“2012產業和技術展望媒體研討會”上,飛思卡爾亞太區汽車及工業解決方案事業部全球產品市場經理郗蘊俠(Yolanda)博士指出,“安全性預測即汽車里的一些系統能實時檢測故障,在故障發生之前就能預警防止故障發生,這就是當前大家倡導的汽車功能安全的概念。”為此,飛思卡爾推出了命名為“SafeAssure”的安全保障方案,旨在幫助系統制造商更加輕松地滿足汽車和工業市場中的功能安全標準要求,并大大降低開發難度、縮短開發周期。
圖2 汽車安全系統的演變——基于安全性預測的功能安全出現
從IEC61508到ISO 26262,看汽車功能安全演變
2011年11月推出ISO 26262之前,汽車行業遵照的功能安全標準是電子、電氣及可編程器件功能安全基本標準IEC 61508。然而,作為一種通用基礎安全標準,對于汽車行業的特殊性而言,該標準有很多的不足,特別是近年來汽車系統的復雜性日益增長的條件下。從IEC 61508派生出來的ISO 26262為當前汽車行業量身定制,特別是ISO 26262對于硬件研發、軟件研發的要求適合于當前先進的汽車工業的實際現狀。
ISO 26262標準根據安全風險程度對系統或系統某組成部分確定劃分由A到D的安全需求等級(汽車安全完整性等級——ASIL),其中ASIL D級為最高等級,具有最苛刻的安全要求。對系統供應商而言,必須滿足這些因為安全等級提高而提出的更高的設計要求。
安全事件總是和通常的功能、質量相關的研發活動以及產品生產伴隨在一起。ISO26262強調了研發活動和產品生產的安全相關各個方面,并為汽車安全提供了一個生命周期理念,在這些生命周期階段中提供必要的支持。ISO26262涵蓋了功能安全方面的整體開發過程,包括規劃、設計、實施、集成、驗證、確認和配置。
SafeAssure安全保障方案
在ISO26262推出前兩個月,飛思卡爾SafeAssure安全保障方案就在業內率先推出。“SafeAssure是針對汽車和工業市場功能安全標準設計的解決方案,幫助企業簡化達標的流程,縮短開發時間和降低復雜性。”Yolanda指出,“基于SafeAssure功能安全保障方案,廠商可以輕松實現從ASIL-A至D以及SIL-1至4等級的系統安全標準。”
圖3:Freescale郗蘊俠:基于SafeAssure功能安全保障方案,
廠商可以輕松實現從ASIL-A至D等級的系統安全標準。
SafeAssure保障方案涵蓋飛思卡爾系列的技術,包括微控制器、模擬和電源管理IC以及傳感器。SafeAssure安全保障方案對廠商提供了四個方面的支持,包括:
安全流程:挑選那些定義和設計之初就以符合各項標準要求為目標的產品,使功能安全成為產品開發流程的一個完整組成部分。
安全硬件:故障控制通過在飛思卡爾微控制器、電源管理IC和傳感器中內置的安全功能實現,例如自測、監控和基于硬件的冗余。飛思卡爾汽車模擬器件解決方案提供了額外的系統級安全功能,包括檢查微控制器時序、電壓和故障管理。
安全軟件:全面的汽車功能安全軟件產品,包括AUTOSAR OS、MCAL、驅動和內核自測功能,并與領先的第三方軟件提供商合作推出更多的安全軟件解決方案。
安全支持:飛思卡爾利用自身覆蓋廣泛的技術能力,提供功能安全架構有關的客戶培訓和系統設計審核,以及廣泛的安全文檔和技術支持。
SafeAssure主要目標是化繁為簡,為簡化失效故障分析,飛思卡爾還提供一個重要分析工具——失效模式、效果和診斷分析(FMEDA),這個工具分析客戶整個數據,最后算出的結果是不是達到功能安全所需要的要求。FMEDA工具可以幫助客戶根據其應用來計算最后功能安全結果,從而使SafeAssure方案有效簡化功能安全設計工作。
從MPC5643L單片機看功能安全機制
Yolanda指出:“硬件安全的理念主要通過檢測和消除隨機硬件故障,利用內置的安全機制,包括自檢、監測和基于硬件的冗余設計來實現。”廠商可以充分利用在飛思卡爾微控制器、電源管理IC和傳感器中內置的功能安全機制實現有效的故障控制,從而實現目標市場對功能安全設計的要求。
功能安全設計需要針對可能出現功能失效進行預測,包括單點失效、潛在失效和共因失效。按照ISO 26262的最高等級ASIL D的要求,所設計的系統要能檢測出大于99%的單點失效率,潛在失效檢測要超過90%。例如,如果一個系統的每小時失效率低于10-8,則落到單片機的每小時失效率必須低于10-9。“在我們的單片機設計過程中更嚴格,錯誤概率更小。”Yolanda表示,“MPC5643L就是飛思卡爾針對功能安全推出的一款單片機產品,這款產品的設計體現了功能安全的設計理念。”
冗余設計是有效提高系統失效安全的有效措施之一,MPC5643L中充分利用了冗余設計確保嚴格的功能安全標準要求。MPC5643L采用了雙e200Core內核鎖步(lockstep)工作模式,一個內核工作的同時另一個內核進行監測。此外,MPC5643L還對主要的模塊如看門狗定時器、內存相關控制單元、總線及外設都進行了冗余。而且,為了防止單點失效,MPC5643L內置的閃存還具有自動糾錯功能。
通常,很多系統開始都能正常工作,但是過了幾年之后,因為外部一些因素觸發而可能產生一些失效故障,這就是潛在失效的概念,功能安全設計需考慮潛在失效。“過去潛在失效的防范都是由軟件實現,軟件每一次在單片機復位以后都會對所有的內存或者是邏輯進行一次校驗。而在MPC5643L中,將校驗功能由硬件實現,即內置自測,這是功能安全對單片機非常重要的要求,這種自測功能可以把內存或者是邏輯以及外設的一些錯誤檢測覆蓋率達到90%以上。”Yolanda指出。
除此之外還需要考慮共因失效。“共因失效是什么呢?比如說時鐘,它會提供給很多模塊,還有電壓也會提供給整個的單片機。此外,溫度也是重要考慮的問題,如果一旦芯片溫度過高,也可能導致芯片失效。”Yolanda解釋了共因失效的定義,“這些共因失效都需要檢測,MPC5643L對時鐘、電壓以及溫度都有檢測。”從成本考慮以及應用環境的原因,通常的應用中單片機并不具有溫度傳感器這些考慮共因失效的功能特性。
除此之外,MPC5643L內部還集成了一個獨立于CPU的錯誤收集和應對模塊(FCCU),該模塊在時鐘上也跟CPU獨立開,可以完全獨立操作,把這些錯誤收集起來并做相應的應對措施。這個功能模塊也是傳統單片機所不具備的。
等多種失效保障機制
本文小結
據Yolanda指出,目前基于功能安全的安全性預測在歐美和日本等發達市場已經發展得非常成熟,很多相關的產品即將推入市場,而在中國國內才剛剛開始起步。高級駕駛員輔助系統作為安全性預測的標志性應用,目前已經進入很多高端汽車的研發流程。以飛思卡爾公司為例,對高級駕駛員輔助系統提供了全部整套的解決方案,包括后視的停車輔助、全景輔助、前景安全性預測(車道偏離預警、自動巡航系統,等等)。事實上,目前很多全球領先的汽車半導體解決方案提供商都將目標瞄準高級駕駛員輔助系統,基于功能安全的汽車安全性預測的廣泛應用指日可待。
本站內容除特別聲明的原創文章之外,轉載內容只為傳遞更多信息,并不代表本網站贊同其觀點。轉載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創文章及圖片等內容無法一一聯系確認版權者。如涉及作品內容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經濟損失。聯系電話:010-82306118;郵箱:aet@chinaaet.com。