汽車(chē)車(chē)身計(jì)算機(jī)中的安全性能

       背景


       開(kāi)車(chē)是一件非常危險(xiǎn)的事情。對(duì)于跳傘運(yùn)動(dòng)員來(lái)說(shuō)，最危險(xiǎn)的實(shí)際是開(kāi)車(chē)從家到機(jī)場(chǎng)這段路程。2002 年，歐洲總共有46000 多人死于車(chē)禍。

      這個(gè)數(shù)字比這一地區(qū)的艾滋病、腦膜炎、吸毒、哮喘和暴力犯罪及火災(zāi)的死亡總?cè)藬?shù)還要高1。


       政府對(duì)這一統(tǒng)計(jì)數(shù)字感到非常震驚，多年來(lái)一直試圖通過(guò)訴訟方式，改進(jìn)這些車(chē)輛的安全狀況，預(yù)防其對(duì)公眾造成的傷害。自英國(guó)于1861 年第一次制定出每小時(shí)不超過(guò)10 英里2的速度限制，到美國(guó)最近制定胎壓監(jiān)測(cè)立法（這部法律將于2007 年8 月生效實(shí)施3），人類(lèi)就從未停止旨在提高道路安全的努力。


       不僅僅是政府感到有義務(wù)改進(jìn)車(chē)輛的安全性能，公眾也非常想購(gòu)買(mǎi)更為安全的汽車(chē)。因此，汽車(chē)行業(yè)一直在朝這個(gè)方向努力。NCAP 最近的調(diào)查4顯示，安全性能是繼價(jià)格和功能之后，消費(fèi)者在購(gòu)買(mǎi)新車(chē)時(shí)最關(guān)心的問(wèn)題。


        在NCAP 測(cè)試中達(dá)到4 星或4 星以上的安全性能評(píng)級(jí)，可以將嚴(yán)重或致命傷害的幾率減少30%5。這清晰地表明，消費(fèi)者對(duì)更為安全的汽車(chē)功能的需求日益增加，并且這些安全功能在挽救生命方面也變得越來(lái)越有效。第一輛在NCAP 安全標(biāo)準(zhǔn)中獲得5 星的汽車(chē)是2001 年3 月生產(chǎn)的雷諾Laguna6，其它汽車(chē)的安全標(biāo)準(zhǔn)也接近5 星，這表明不但乘客和司機(jī)的安全保護(hù)得到較大提高，行人的安全也有了保障。


        所面臨的問(wèn)題


       隨著當(dāng)今生產(chǎn)的汽車(chē)越來(lái)越多地加入電子元器件，很顯然，這些系統(tǒng)的安全也變得越來(lái)越重要。飛機(jī)早在幾年前就開(kāi)始使用“線(xiàn)控飛行”系統(tǒng)，但它目前還沒(méi)有遇到汽車(chē)行業(yè)所面臨的價(jià)格壓力。一些航空系統(tǒng)經(jīng)常使用系統(tǒng)的冗余性，對(duì)一些特定系統(tǒng)，有時(shí)甚至達(dá)到了“四倍冗余” 7。汽車(chē)行業(yè)向自己發(fā)出挑戰(zhàn)，它必須在不增加汽車(chē)成本的情況下達(dá)到類(lèi)似的水平?，F(xiàn)在，該是一級(jí)制造商及其供應(yīng)商提出創(chuàng)新解決方案，以極具競(jìng)爭(zhēng)力的價(jià)格解決重要的安全問(wèn)題的時(shí)候了。


      SIL 水平


       1998 年，IEC 發(fā)布了61508 標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)中包含一些如何把電子系統(tǒng)中的故障降到最低限度的要求。它給出了系統(tǒng)完整性或其“SIL”水平的幾個(gè)定義。根據(jù)每小時(shí)出現(xiàn)的危險(xiǎn)故障的幾率，可以對(duì)應(yīng)用和系統(tǒng)進(jìn)行如下分類(lèi)：



      1 FIT (Failure In Time)就相當(dāng)于每小時(shí)的危險(xiǎn)故障幾率為10-9，因此，完整的系統(tǒng)必須在設(shè)備的安全預(yù)算內(nèi)，其中，F(xiàn)IT 的總累積數(shù)就是SIL 水平的描述。


        決定應(yīng)用要求的SIL 水平絕不是一件簡(jiǎn)單的工作。很顯然，飛機(jī)的關(guān)鍵系統(tǒng)至少需要符合SIL3，在有些情況下甚至要求SIL4。在汽車(chē)中，它表現(xiàn)得沒(méi)這么明顯。但有很多這樣的例子，如線(xiàn)控轉(zhuǎn)向或線(xiàn)控制動(dòng)等，它們明顯都要求這樣的高水平。系統(tǒng)還提供幾種工具，用于分析系統(tǒng)所需的SIL 水平。

        本文無(wú)意為不同的系統(tǒng)分配不同的SIL 要求，只是說(shuō)明當(dāng)今的汽車(chē)中有幾個(gè)必須認(rèn)真考慮的關(guān)鍵的安全系統(tǒng)。


        很明顯，汽車(chē)的操縱和制動(dòng)系統(tǒng)最為重要。但是，汽車(chē)的照明系統(tǒng)或風(fēng)擋刮水器的重要程度如何呢？在雨天，什么樣的FIT 水平是系統(tǒng)控制風(fēng)擋刮水器所能接受的呢？哪些系統(tǒng)“與安全有關(guān)”已越來(lái)越不成問(wèn)題，越來(lái)越多的問(wèn)題是，還有沒(méi)有不安全的系統(tǒng)。


       當(dāng)今汽車(chē)中的大多數(shù)系統(tǒng)都連接在CAN 總線(xiàn)或LIN 子總線(xiàn)上。這就帶來(lái)了進(jìn)一步的問(wèn)題：在一些非關(guān)鍵應(yīng)用（如GPS）上的任何錯(cuò)誤如何能夠傳播到另外一個(gè)系統(tǒng)（如車(chē)門(mén)模塊）或另一個(gè)關(guān)鍵應(yīng)用上。是不是車(chē)內(nèi)的每個(gè)系統(tǒng)都應(yīng)該最少有SIL2 級(jí)？可以肯定的是，隨著車(chē)身計(jì)算機(jī)融入了越來(lái)越多的功能，對(duì)這些應(yīng)用的SIL 評(píng)級(jí)的關(guān)注也將變得更為強(qiáng)烈。市場(chǎng)上有OEM 將方向盤(pán)鎖融入網(wǎng)關(guān)或BCU 的事例。很顯然，如果方向盤(pán)由于系統(tǒng)故障而被鎖住，那么造成的結(jié)果就可能是災(zāi)難性的，這就導(dǎo)致某些BCU 系統(tǒng)要求SIL3 的狀態(tài)。


       軟件是誰(shuí)寫(xiě)的？


       在目前的環(huán)境中，應(yīng)用開(kāi)發(fā)人員面臨的另一個(gè)問(wèn)題就是軟件開(kāi)發(fā)問(wèn)題。自從軟件不再是由一個(gè)團(tuán)隊(duì)而是由來(lái)自幾家不同公司的幾個(gè)團(tuán)隊(duì)編寫(xiě)的以來(lái)，這個(gè)問(wèn)4題就一直存在。CAN 驅(qū)動(dòng)軟件可能來(lái)自一家廠商，新運(yùn)算法則可能來(lái)自于另外一家專(zhuān)業(yè)公司，而特定標(biāo)準(zhǔn)應(yīng)用的算法可能又由OEM 和/或一級(jí)供應(yīng)商編寫(xiě)。有了這些來(lái)自不同來(lái)源的混合軟件，OEM 日益密切關(guān)注這些問(wèn)題就不足為奇了。


        事實(shí)證明，軟件缺陷也越來(lái)越成為一個(gè)重要問(wèn)題。2000年，Marcus和Stern就已經(jīng)指出，40%的系統(tǒng)故障都是由軟件缺陷引起的8。隨著軟件復(fù)雜性的增加以及軟件供應(yīng)商數(shù)量的增長(zhǎng)，軟件缺陷將來(lái)肯定會(huì)成為更為重要的問(wèn)題。


        飛思卡爾的先進(jìn)產(chǎn)品新的飛思卡爾S12X 產(chǎn)品系列提供了眾多新一代汽車(chē)車(chē)身計(jì)算機(jī)所要求的功能。在為現(xiàn)有解決方案提供一條降低成本的路徑的同時(shí)，還為未來(lái)的BCU 提供了眾多優(yōu)勢(shì)。


      S12X 系列具有減輕故障向系統(tǒng)中的其它設(shè)備擴(kuò)散的功能。其時(shí)鐘監(jiān)控和電壓監(jiān)控功能得到了極大的改進(jìn)，因此可以快速有效地響應(yīng)系統(tǒng)中的故障。這些功能允許微控制器監(jiān)測(cè)振蕩器的問(wèn)題，并代以從內(nèi)部時(shí)鐘運(yùn)行。這不但消除了對(duì)另一個(gè)時(shí)鐘的需要，還使微控制器能連續(xù)監(jiān)控振蕩器，把振蕩器從“安全”狀態(tài)恢復(fù)到“正常”狀態(tài)。


      對(duì)來(lái)自多家廠商的軟件包的擔(dān)心還可以通過(guò)系統(tǒng)對(duì)MPU 的應(yīng)用而得到緩解。


      MPU 可以預(yù)防軟件應(yīng)用程序中的系統(tǒng)錯(cuò)誤，有助于確保它們只能看、讀和寫(xiě)到手頭中任務(wù)的特定存儲(chǔ)位置。S12XE 中令人印象最深的改進(jìn)可能就是Xgate 了。這顆很小的協(xié)處理器運(yùn)行在完全不同于S12X 核心的指令集上。它的運(yùn)行獨(dú)立于CPU，此外，它還非常靈活，配置后可以開(kāi)展多種不同的活動(dòng)，如額外的內(nèi)部看門(mén)狗，從而有利地補(bǔ)充8 E. Marcus and H. Stern. Blueprints for high availability: Designing Resilient Distributed Systems.5了已經(jīng)投入使用的計(jì)算機(jī)正常運(yùn)行 (COP)模塊。它還可以在配置后運(yùn)行與CPU一樣的算法（或不同的版本），從而確保算法的正確執(zhí)行，在無(wú)需任何其它組件的情況下提供設(shè)備的冗余性檢查。


      Xgate 是一個(gè)全能型解決方案，它也可以進(jìn)行配置，以運(yùn)行“非關(guān)鍵的”應(yīng)用程序，允許CPU 只處理一些“關(guān)鍵”任務(wù)，因此提高了對(duì)系統(tǒng)中的其它部分的錯(cuò)誤的響應(yīng)速度。


      S12XE 系列的詳細(xì)資料有望于2006 年中期在產(chǎn)品正式推向市場(chǎng)后，從您當(dāng)?shù)氐娘w思卡爾經(jīng)銷(xiāo)商那里獲得。


      結(jié)論


      標(biāo)準(zhǔn)的出現(xiàn)是為了滿(mǎn)足日益復(fù)雜的電子系統(tǒng)的要求。新的IEC61508 標(biāo)準(zhǔn)非常有助于為這些要求提供更為嚴(yán)格的背景。隨著汽車(chē)OEM 努力在降低成本的同時(shí)改進(jìn)質(zhì)量和安全性，就不再是只將制動(dòng)和操縱系統(tǒng)之類(lèi)的系統(tǒng)置于這些標(biāo)準(zhǔn)的監(jiān)管之下了。


       安全問(wèn)題正越來(lái)越多地成為人們討論的熱點(diǎn)，即使是在汽車(chē)的車(chē)身領(lǐng)域也不例外。飛思卡爾一直致力于提供高性能、經(jīng)濟(jì)高效、非常適合于車(chē)身計(jì)算機(jī)市場(chǎng)的器件。毫無(wú)疑問(wèn)，于2006 年中期推向市場(chǎng)的S12XE 系列新產(chǎn)品，將促使飛思卡爾在這一競(jìng)爭(zhēng)市場(chǎng)居于前沿地位。