從飛思卡爾SafeAssure功能安全保障方案看汽車安全設(shè)計

　　SafeAssure保障方案涵蓋飛思卡爾系列的技術(shù)，包括微控制器、模擬和電源管理IC以及傳感器。SafeAssure安全保障方案對廠商提供了四個方面的支持，包括：

　　安全流程：挑選那些定義和設(shè)計之初就以符合各項標準要求為目標的產(chǎn)品，使功能安全成為產(chǎn)品開發(fā)流程的一個完整組成部分。

　　安全硬件：故障控制通過在飛思卡爾微控制器、電源管理IC和傳感器中內(nèi)置的安全功能實現(xiàn)，例如自測、監(jiān)控和基于硬件的冗余。飛思卡爾汽車模擬器件解決方案提供了額外的系統(tǒng)級安全功能，包括檢查微控制器時序、電壓和故障管理。

　　安全軟件：全面的汽車功能安全軟件產(chǎn)品，包括AUTOSAR OS、MCAL、驅(qū)動和內(nèi)核自測功能，并與領(lǐng)先的第三方軟件提供商合作推出更多的安全軟件解決方案。

　　安全支持：飛思卡爾利用自身覆蓋廣泛的技術(shù)能力，提供功能安全架構(gòu)有關(guān)的客戶培訓(xùn)和系統(tǒng)設(shè)計審核，以及廣泛的安全文檔和技術(shù)支持。

　　SafeAssure主要目標是化繁為簡，為簡化失效故障分析，飛思卡爾還提供一個重要分析工具——失效模式、效果和診斷分析(FMEDA)，這個工具分析客戶整個數(shù)據(jù)，最后算出的結(jié)果是不是達到功能安全所需要的要求。FMEDA工具可以幫助客戶根據(jù)其應(yīng)用來計算最后功能安全結(jié)果，從而使SafeAssure方案有效簡化功能安全設(shè)計工作。

　　從MPC5643L單片機看功能安全機制

　　Yolanda指出：“硬件安全的理念主要通過檢測和消除隨機硬件故障，利用內(nèi)置的安全機制，包括自檢、監(jiān)測和基于硬件的冗余設(shè)計來實現(xiàn)。”廠商可以充分利用在飛思卡爾微控制器、電源管理IC和傳感器中內(nèi)置的功能安全機制實現(xiàn)有效的故障控制，從而實現(xiàn)目標市場對功能安全設(shè)計的要求。

　　功能安全設(shè)計需要針對可能出現(xiàn)功能失效進行預(yù)測，包括單點失效、潛在失效和共因失效。按照ISO 26262的最高等級ASIL D的要求，所設(shè)計的系統(tǒng)要能檢測出大于99%的單點失效率，潛在失效檢測要超過90%。例如，如果一個系統(tǒng)的每小時失效率低于10-8，則落到單片機的每小時失效率必須低于10-9。“在我們的單片機設(shè)計過程中更嚴格，錯誤概率更小。”Yolanda表示，“MPC5643L就是飛思卡爾針對功能安全推出的一款單片機產(chǎn)品，這款產(chǎn)品的設(shè)計體現(xiàn)了功能安全的設(shè)計理念。”

　　冗余設(shè)計是有效提高系統(tǒng)失效安全的有效措施之一，MPC5643L中充分利用了冗余設(shè)計確保嚴格的功能安全標準要求。MPC5643L采用了雙e200Core內(nèi)核鎖步(lockstep)工作模式，一個內(nèi)核工作的同時另一個內(nèi)核進行監(jiān)測。此外，MPC5643L還對主要的模塊如看門狗定時器、內(nèi)存相關(guān)控制單元、總線及外設(shè)都進行了冗余。而且，為了防止單點失效，MPC5643L內(nèi)置的閃存還具有自動糾錯功能。

　　通常，很多系統(tǒng)開始都能正常工作，但是過了幾年之后，因為外部一些因素觸發(fā)而可能產(chǎn)生一些失效故障，這就是潛在失效的概念，功能安全設(shè)計需考慮潛在失效。“過去潛在失效的防范都是由軟件實現(xiàn)，軟件每一次在單片機復(fù)位以后都會對所有的內(nèi)存或者是邏輯進行一次校驗。而在MPC5643L中，將校驗功能由硬件實現(xiàn)，即內(nèi)置自測，這是功能安全對單片機非常重要的要求，這種自測功能可以把內(nèi)存或者是邏輯以及外設(shè)的一些錯誤檢測覆蓋率達到90%以上。”Yolanda指出。

　　除此之外還需要考慮共因失效。“共因失效是什么呢?比如說時鐘，它會提供給很多模塊，還有電壓也會提供給整個的單片機。此外，溫度也是重要考慮的問題，如果一旦芯片溫度過高，也可能導(dǎo)致芯片失效。”Yolanda解釋了共因失效的定義，“這些共因失效都需要檢測，MPC5643L對時鐘、電壓以及溫度都有檢測。”從成本考慮以及應(yīng)用環(huán)境的原因，通常的應(yīng)用中單片機并不具有溫度傳感器這些考慮共因失效的功能特性。

　　除此之外，MPC5643L內(nèi)部還集成了一個獨立于CPU的錯誤收集和應(yīng)對模塊(FCCU)，該模塊在時鐘上也跟CPU獨立開，可以完全獨立操作，把這些錯誤收集起來并做相應(yīng)的應(yīng)對措施。這個功能模塊也是傳統(tǒng)單片機所不具備的?！　?/p>

 

　　圖4：功能安全處理器MPC5643L充分利用了硬件冗余設(shè)計等多種失效保障機制。

　　本文小結(jié)

　　據(jù)Yolanda指出，目前基于功能安全的安全性預(yù)測在歐美和日本等發(fā)達市場已經(jīng)發(fā)展得非常成熟，很多相關(guān)的產(chǎn)品即將推入市場，而在中國國內(nèi)才剛剛開始起步。高級駕駛員輔助系統(tǒng)作為安全性預(yù)測的標志性應(yīng)用，目前已經(jīng)進入很多高端汽車的研發(fā)流程。以飛思卡爾公司為例，對高級駕駛員輔助系統(tǒng)提供了全部整套的解決方案，包括后視的停車輔助、全景輔助、前景安全性預(yù)測(車道偏離預(yù)警、自動巡航系統(tǒng)，等等)。事實上，目前很多全球領(lǐng)先的汽車半導(dǎo)體解決方案提供商都將目標瞄準高級駕駛員輔助系統(tǒng)，基于功能安全的汽車安全性預(yù)測的廣泛應(yīng)用指日可待。