汽車(chē)穩定控制系統方案

當今汽車(chē)電子工程師所面臨的嚴峻挑戰就是構建低成本、無(wú)故障(fail-silent)甚至在發(fā)生故障時(shí)也能正常工作的汽車(chē)系統。制動(dòng)、轉向以及其他車(chē)輛穩定控制功能都屬于任務(wù)關(guān)鍵型特征，對安全有著(zhù)極高的要求，即使電子底盤(pán)控制技術(shù)日益受到大眾的青睞，也不能輕易應對上述挑戰。

對于主要的汽車(chē)系統功能而言，電子底盤(pán)管理技術(shù)都具有極大的吸引力，但由于種種原因，該技術(shù)還很難實(shí)現，在安全與可靠性方面還面臨眾多難題。為應對當前面臨的安全規定挑戰，國際電工委員會(huì )(IEC)已針對電氣/電子/可編程電子安全相關(guān)系統的功能安全性定義了相關(guān)標準。目前，IEC 61508被視為安全關(guān)鍵型系統開(kāi)發(fā)領(lǐng)域的最高級標準。盡管該標準尚未以法律的形式全面強制實(shí)施，但還是希望汽車(chē)系統設計人員能夠滿(mǎn)足這一實(shí)際的技術(shù)標準要求。汽車(chē)系統設計人員在構建應用功能安全性時(shí)必須考慮到從輸入傳感器到數字處理和傳動(dòng)裝置等整個(gè)信號鏈的要求。

IEC 61508將“危險”與“風(fēng)險分析”作為系統設計的一部分，并將電子控制單元(Electronic Control Unit)的“功能安全性”定義為“整體安全性的一部分—取決于系統或設備能否對其輸入進(jìn)行正確響應”。如圖1所示。系統的每項安全功能均根據“要求”(該功能需要完成什么工作)和“完整性”(圓滿(mǎn)執行該功能的可能性)進(jìn)行評估。此外，該標準還進(jìn)一步將高強度工作模式或持續工作模式下安全功能發(fā)生危險故障的概率分為四種不同的“安全完整性等級”(SIL)。每種等級涵蓋一定范圍的可接受故障率，也就是“平均故障間隔時(shí)間”(MTTF)，而SIL4是其中最嚴格的標準。SIL評級適用于包括汽車(chē)業(yè)在內的許多行業(yè)，每種SIL分級的定義均適用于各自行業(yè)領(lǐng)域。安全完整性等級中的SIL2和SIL3是非道路應用中最常見(jiàn)的安全級別。

圖1 總體系統的功能安全性依靠設備響應輸入進(jìn)行正常工作

根據安全功能和重要性的不同，汽車(chē)系統可遵從IEC 61508標準下的SIL2或SIL3規定。自檢測系統的可靠性要求多級統計獲得的“安全故障系數”(SFF)達到99 %，可靠性參數的具體計算方式為檢測到的危險故障(包括非危險故障)與所有故障之比。“診斷覆蓋率”(DC)是指檢測到的危險故障相對于所有危險故障之比。此外，對于安全關(guān)鍵型汽車(chē)系統來(lái)說(shuō)，DC應達到99%。

能否通過(guò)汽車(chē)系統的SIL3認證，通常取決于啟動(dòng)并控制機械系統的電子控制單元(ECU)的性能。諸如德國萊茵集團(TUV Rheinland)等獨立安全評估機構負責汽車(chē)系統的 ECU評估和SIL3認證工作。TUV是一家國際化的服務(wù)集團，可頒發(fā)產(chǎn)品、系統及服務(wù)的安全和質(zhì)量證書(shū)。

任務(wù)關(guān)鍵型集成機械系統(如制動(dòng))還不能完全被電子產(chǎn)品取代。但任何SIL3認證要求的高級機械或電子安全性均需通過(guò)利用冗余系統來(lái)實(shí)現，電子系統有助于廣泛實(shí)施冗余。

電子子系統的SIL3認證

用電子系統取代液壓或機械系統，必然使OEM、汽車(chē)制造商及消費者各方充分受益。電子系統可消除內燃機的皮帶傳動(dòng)負擔，從而有助于降低成本、重量與燃油消耗。

汽車(chē)制造商可用機械解決方案取代液壓制動(dòng)助力器，并最終完全取消液壓傳動(dòng)系統，實(shí)現完全電控的線(xiàn)控制動(dòng)系統，如圖2所示。不過(guò)，這一革命性轉變需要實(shí)施冗余系統或后備系統(類(lèi)似于航空電子系統)，才能避免在危險時(shí)刻車(chē)輛會(huì )完全喪失制動(dòng)能力的風(fēng)險。期間的過(guò)度性步驟包括“混合制動(dòng)”模式，也就是只在車(chē)輛的一個(gè)而不是兩個(gè)車(chē)軸上安裝液壓后備系統即可。

圖2 用電氣解決方案取代液壓助力器有助于大幅降低燃油消耗、成本及噪聲

微處理器(MCU)是ECU中的關(guān)鍵組件。使用傳統的汽車(chē)MCU不可能達到SIL3認證要求。需要采用全新的芯片架構，以確保處理結果、總線(xiàn)流量的數據完整性以及存儲器中數據的安全性與可靠性，同時(shí)滿(mǎn)足嚴格的響應時(shí)間要求。

根據IEC 61508標準，危險故障的成因包括以下因素：

(1)軟件或硬件系統規范不正確;

(2)安全要求規范缺失;

(3)硬件隨機故障;

(4)系統原因故障;

(5)人為錯誤;

(6)環(huán)境影響(EMI、溫度以及機械等)。

從完整系統的角度來(lái)說(shuō)，危險評估和安全完整性要求包括以下因素：

在電壓下降、假信號等情況下確保穩定的電源供給和時(shí)鐘信號完整性; 用于處理與通信的冗余性或真實(shí)性檢查，其中包括往返于傳感器和執行器的信號; 提供故障檢驗功能; 提供故障管理策略，其中包括在故障容錯架構、緊急操作模式及可控系統關(guān)斷等情況下定義安全狀態(tài)和故障防護; 增強型軟件開(kāi)發(fā)進(jìn)程包括使用正式規范、編程語(yǔ)言子集以及代碼驗證工具等。

硅芯片的強大支持

開(kāi)發(fā)人員可充分利用市場(chǎng)上的微處理器，為ECU制動(dòng)控制功能達到SIL3認證標準提供所需技術(shù)。TI與羅伯特·博世有限公司(Robert Bosch GmbH)聯(lián)合開(kāi)發(fā)的TMS570就是一款這樣的微處理器。

在硅芯片設計中，芯片布局本身就是一項很大的挑戰，應包括專(zhuān)用知識產(chǎn)權(IP)以減少并檢測隨機硬件和系統故障原因。此外，還可用運行于鎖步(lock-step)模式的雙核處理器架構來(lái)比較處理結果，從而避免為開(kāi)發(fā)獨立的檢驗微處理器軟件耗費大量的時(shí)間。為了保護存儲器子系統免受外部事件引發(fā)的故障影響，應在主存儲器和本地存儲器以及總線(xiàn)流量上實(shí)施錯誤校正代碼(ECC)和奇偶位保護機制。為簡(jiǎn)化開(kāi)發(fā)工作，開(kāi)發(fā)人員還應使用MCU中已實(shí)施FlexRayTM網(wǎng)絡(luò )協(xié)議的器件。這種由領(lǐng)先汽車(chē)制造商和供應商開(kāi)發(fā)的確定性通信標準能為高級汽車(chē)系統提供全面確定的冗余通信。

例如，TI的TMS570 MCU是一款基于兩個(gè)相同的新一代ARM?RR4 CortexTM內核之上的對稱(chēng)型雙核MCU。每個(gè)Cortex-R4內核的性能均可達到300 MIPS，而且TMS570還集成了2 MB的片上閃存、FlexRayTM網(wǎng)絡(luò )、BIST、CAN及多種外設。雙核與正在申請專(zhuān)利的架構緊密耦合，可實(shí)現最高可靠性。

Cortex-R4的優(yōu)勢

Cortex-R4的64位AMBA 3 AXI 存儲器接口能夠提供幾項可增強可靠性的重要性能優(yōu)勢，其中包括發(fā)出多個(gè)待定地址，并支持亂序數據返回。

AMBA 3 AXI存儲接口另一個(gè)最顯著(zhù)的優(yōu)勢還在于，即便存儲器或外設速度較慢，也不會(huì )阻塞總線(xiàn)，進(jìn)而影響存取速度。這種功能使得內核不必等待速度較慢的存取完成，從而可以執行更多存取。此外，64位寬總線(xiàn)還提高了可用帶寬，從而僅需四次存取就能完成高速緩存行填充，而不像ARM946E-S那樣需要八次。

與946E-S相比，Cortex-R4還大幅改進(jìn)了中斷延遲，而且最壞情況中斷延遲和平均中斷延遲均得到了改善。例如，946E-S必須等待指令或中斷進(jìn)程完成，而不能中途放棄。在最壞情況下，意味著(zhù)即便使用零等待狀態(tài)存儲器，中斷延遲有可能長(cháng)達118個(gè)周期。盡管上述情況不太可能頻繁發(fā)生，但實(shí)時(shí)系統必須做最壞的打算。

另一方面，如果在執行過(guò)程中收到中斷請求，Cortex-R4 處理器將放棄正常存儲器的多負載指令。經(jīng)過(guò)精心設計，TMS570 MCU可將最長(cháng)中斷延遲控制在20個(gè)周期左右，能夠很少甚至可完全不受AMBA AXI存儲器和外設存取時(shí)間的影響。

此外，Cortex-R4處理器還可提供非屏蔽中斷選項，從而避免軟件禁用快速中斷請求(FIQ)，這對于安全關(guān)鍵型應用尤其重要。

對汽車(chē)制造商及OEM廠(chǎng)商而言，隨著(zhù)車(chē)輛變得日益復雜，集成的功能越來(lái)越多，安全標準化也日趨重要。集成Cortex R4內核的創(chuàng )新型設計，如TMS570器件，可實(shí)現IEC 61508標準所要求的故障檢測與響應時(shí)間。

將基于微處理器的系統可靠性納入SIL3認證范疇，標志著(zhù)汽車(chē)OEM廠(chǎng)商與汽車(chē)制造商在全面實(shí)施車(chē)輛線(xiàn)控驅動(dòng)功能的進(jìn)程中向前邁進(jìn)了一大步。

TMS570 MCU是經(jīng)SIL3認證并符合制動(dòng)要求的32位微處理器系列。TMS570 MCU的技術(shù)發(fā)展策略涵蓋電子穩定性控制、底盤(pán)控制及轉向系統等。