從飛思卡爾SafeAssure功能安全保障方案看汽車安全設(shè)計概要

1、從飛思卡爾SafeAssure功能安全保障方案看汽車安全設(shè)計就在您閱讀完本文不到十分鐘的時間內(nèi)，全球大概有超過二十人已經(jīng)因為車禍 離開這個世界，而其中大約有90%是來自像中國這樣的發(fā)展中國家（數(shù)據(jù)參考世界衛(wèi) 生組織統(tǒng)計。汽車造福人類的同時，在全球科技空前發(fā)達的今天，因為交通事故帶來 如此重大的公共安全威脅不啻為人類的一大悲劇。從汽車誕生開始，人們就沒有停 止過對汽車安全駕駛的追求。最早的安全帶以及后來的安全氣囊等被動安全措施挽 救了數(shù)千萬人的生命，后來發(fā)展起來的ABS（防抱死制動系統(tǒng)、ESP（電子穩(wěn)定程序、 EBD（電子制動力分配系等主動安全功能讓汽車安全性再次大大提高。但盡管如此 交通事故依

2、然是最大非自然死傷原因之一。圖1世界衛(wèi)生組織統(tǒng)計：全球每年因交通事故死亡130萬人，并有5000萬人受傷 隨著系統(tǒng)復(fù)雜性的提高，以及軟件和機電 設(shè)備的大量應(yīng)用，因為系統(tǒng)失效和隨機硬件失效導(dǎo)致的交通事故風(fēng)險也日益增加。因此,近年開始出現(xiàn)了新的汽車安全概念 一一安全性預(yù)測?！痹诮照匍_的“201產(chǎn) 業(yè)和技術(shù)展望媒體研討會”上，飛思卡爾亞太區(qū)汽車及工業(yè)解決方案事業(yè)部全球產(chǎn)品 市場經(jīng)理郗蘊俠（Yolanda博士指出,安全性預(yù)測即汽車?yán)锏囊恍┫到y(tǒng)能實時檢測故 障，在故障發(fā)生之前就能預(yù)警防止故障發(fā)生，這就是當(dāng)前大家倡導(dǎo)的汽車功能安全的 概念?！睘榇?，飛思卡爾推出了命名為“SafeAssureW安全保障方案

3、，旨在幫助系統(tǒng)制 造商更加輕松地滿足汽車和工業(yè)市場中的功能安全標(biāo)準(zhǔn)要求，并大大降低開發(fā)難 度、縮短開發(fā)周期。圖2汽車安全系統(tǒng)的演變一一基于安全性預(yù)測的功能安全出現(xiàn) 從IEC61508到ISO 26262看汽車功能安全演變 2011年11月推出ISO 26262之前, 汽車行業(yè)遵照的功能安全標(biāo)準(zhǔn)是電子、電氣及可編程器件功能安全基本標(biāo)準(zhǔn)IEC61508。然而,作為一種通用基礎(chǔ)安全標(biāo)準(zhǔn)，對于汽車行業(yè)的特殊性而言，該標(biāo)準(zhǔn)有很 多的不足，特別是近年來汽車系統(tǒng)的復(fù)雜性日益增長的條件下。從IEC 61508派生出來的ISO 26262為當(dāng)前汽車行業(yè)量身定制，特別是ISO 26262對于硬件研發(fā)、軟件 研發(fā)的

4、要求適合于當(dāng)前先進的汽車工業(yè)的實際現(xiàn)狀。ISO 26262標(biāo)準(zhǔn)根據(jù)安全風(fēng)險程度對系統(tǒng)或系統(tǒng)某組成部分確定劃分由A到D的安全需求等級（汽車安全完整性等級一一ASIL,其中ASIL D級為最高等級，具有最苛刻的安全要求。對系統(tǒng)供應(yīng)商 而言，必須滿足這些因為安全等級提高而提出的更高的設(shè)計要求。安全事件總是和 通常的功能、質(zhì)量相關(guān)的研發(fā)活動以及產(chǎn)品生產(chǎn)伴隨在一起。ISO26262強調(diào)了研發(fā)活動和產(chǎn)品生產(chǎn)的安全相關(guān)各個方面，并為汽車安全提供了一個生命周期理念，在 這些生命周期階段中提供必要的支持。ISO26262涵蓋了功能安全方面的整體開發(fā) 過程，包括規(guī)劃、設(shè)計、實施、集成、驗證、確認(rèn)和配置。SafeA

5、ssure安全保障方案在ISO26262推出前兩個月，飛思卡爾SafeAssure安全保障方案就在業(yè)內(nèi)率先推 出?！?SafeAssur是針對汽車和工業(yè)市場功能安全標(biāo)準(zhǔn)設(shè)計的解決方案，幫助企業(yè)簡 化達標(biāo)的流程，縮短開發(fā)時間和降低復(fù)雜性?！?Yolanda旨出，基于SafeAssure功能安 全保障方案，廠商可以輕松實現(xiàn)從 ASIL-A至D以及SIL-1至4等級的系統(tǒng)安全標(biāo) 準(zhǔn)?！眻D3:Freescale郗蘊俠:基于SafeAssure功能安全保障方案，廠商可以輕松實現(xiàn) 從ASIL-A至D等級的系統(tǒng)安全標(biāo)準(zhǔn)。SafeAssure保障方案涵蓋飛思卡爾系列的技 術(shù),包括微控制器、模擬和電源管理IC以

6、及傳感器。SafeAssure安全保障方案對廠 商提供了四個方面的支持，包括:安全流程:挑選那些定義和設(shè)計之初就以符合各項標(biāo) 準(zhǔn)要求為目標(biāo)的產(chǎn)品，使功能安全成為產(chǎn)品開發(fā)流程的一個完整組成部分。安全硬 件:故障控制通過在飛思卡爾微控制器、電源管理IC和傳感器中內(nèi)置的安全功能實現(xiàn)，例如自測、監(jiān)控和基于硬件的冗余。飛思卡爾汽車模擬器件解決方案提供了額 外的系統(tǒng)級安全功能，包括檢查微控制器時序、電壓和故障管理。安全軟件：全面的汽車功能安全軟件產(chǎn)品，包括AUTOSAR OS、MCAL、驅(qū)動和內(nèi)核自測功能，并與領(lǐng) 先的第三方軟件提供商合作推出更多的安全軟件解決方案。安全支持：飛思卡爾利用自身覆蓋廣泛的技術(shù)

7、能力，提供功能安全架構(gòu)有關(guān)的客戶培訓(xùn)和系統(tǒng)設(shè)計審核，以及廣泛的安全 文檔和技術(shù)支持。SafeAssure主要目標(biāo)是化繁為簡，為簡化失效故障分析，飛思卡爾 還提供一個重要分析工具一一失效模式、效果和診斷分析（FMEDA,這個工具分析 客戶整個數(shù)據(jù)，最后算出的結(jié)果是不是達到功能安全所需要的要求。FMEDA工具可以幫助客戶根據(jù)其應(yīng)用來計算最后功能安全結(jié)果，從而使SafeAssure方案有效簡化 功能安全設(shè)計工作。從MPC5643L單片機看功能安全機制Yola nda指出：硬件安全 的理念主要通過檢測和消除隨機硬件故障，利用內(nèi)置的安全機制，包括自檢、監(jiān)測和 基于硬件的冗余設(shè)計來實現(xiàn)?！睆S商可以充分利用

8、在飛思卡爾微控制器、電源管理 IC和傳感器中內(nèi)置的功能安全機制實現(xiàn)有效的故障控制，從而實現(xiàn)目標(biāo)市場對功能安全設(shè)計的要求。功能安全設(shè)計需要針對可能出現(xiàn)功能失效進行預(yù)測，包括單點失效、潛在失效和共因失效。按照ISO 26262的最高等級ASIL D的要求，所設(shè)計的系 統(tǒng)要能檢測出大于99%的單點失效率，潛在失效檢測要超過90%。例如,如果一個系 統(tǒng)的每小時失效率低于10-8,則落到單片機的每小時失效率必須低于 10-9。在我們 的單片機設(shè)計過程中更嚴(yán)格，錯誤概率更小?！?Yola nd表示，“ MPC5643就是飛思卡 爾針對功能安全推出的一款單片機產(chǎn)品，這款產(chǎn)品的設(shè)計體現(xiàn)了功能安全的設(shè)計理 念。

9、”冗余設(shè)計是有效提高系統(tǒng)失效安全的有效措施之一,MPC5643L中充分利用了冗余設(shè)計確保嚴(yán)格的功能安全標(biāo)準(zhǔn)要求。MPC5643L采用了雙e200Core內(nèi)核鎖步 (lockstep工作模式，一個內(nèi)核工作的同時另一個內(nèi)核進行監(jiān)測。此外 ,MPC5643L還 對主要的模塊如看門狗定時器、內(nèi)存相關(guān)控制單元、總線及外設(shè)都進行了冗余。而 且，為了防止單點失效,MPC5643L內(nèi)置的閃存還具有自動糾錯功能。通常,很多系統(tǒng) 開始都能正常工作，但是過了幾年之后，因為外部一些因素觸發(fā)而可能產(chǎn)生一些失效 故障，這就是潛在失效的概念，功能安全設(shè)計需考慮潛在失效。過去潛在失效的防范都是由軟件實現(xiàn)，軟件每一次在單片機復(fù)

10、位以后都會對所有的內(nèi)存或者是邏輯進行 一次校驗。而在MPC5643L中，將校驗功能由硬件實現(xiàn)，即內(nèi)置自測，這是功能安全對 單片機非常重要的要求，這種自測功能可以把內(nèi)存或者是邏輯以及外設(shè)的一些錯誤 檢測覆蓋率達到90%以上?！?Yolanda旨出。除此之外還需要考慮共因失效。共因失效是什么呢？比如說時鐘,它會提供給很多模塊，還有電壓也會提供給整個的單片 機。此外，溫度也是重要考慮的問題，如果一旦芯片溫度過高，也可能導(dǎo)致芯片失 效?！?Yola nd解釋了共因失效的定義,這些共因失效都需要檢測，MPC5643L對時 鐘、電壓以及溫度都有檢測?！睆某杀究紤]以及應(yīng)用環(huán)境的原因，通常的應(yīng)用中單片 機并不具有溫度傳感器這些考慮共因失效的功能特性。除此之外,MPC5643L內(nèi)部還集成了一個獨立于CPU的錯誤收集和應(yīng)對模塊(FCCU,該模塊在時鐘上也跟CPU 獨立開，可以完全獨立操作，把這些錯誤收集起來并做相應(yīng)的應(yīng)對措施。這個功能模 塊也是傳統(tǒng)單片機所不具備的。等多種失效保障機制本文小結(jié)據(jù)Yolanda指出，目前基于功能安全的安全性預(yù)測在歐美和日本等發(fā)達市場已經(jīng)發(fā)展得非常成熟，很多相關(guān)的產(chǎn)品即將推入市場，而在中國國內(nèi)才剛剛開始起步。高級駕駛員輔助系統(tǒng)作 為安