基于FPGA的汽車(chē)ECU設計充分符合AUTOSAR和ISO 26262標準

　　AUTOSAR詳解

　　近年來(lái)，電子組件已經(jīng)取代了車(chē)輛中的機械系統和液壓系統。隨著(zhù)設計人員開(kāi)始用軟件實(shí)現更多的控制、監控和診斷功能，這種趨勢正在持續。實(shí)際上，用電子技術(shù)能夠實(shí)現僅用機械和液壓解決方案無(wú)法開(kāi)發(fā)者開(kāi)發(fā)成本高的新功能。但這些部件必須滿(mǎn)足嚴格的安全要求，以避免出錯和故障。

　　雖然軟件相關(guān)的故障目前來(lái)看比較罕見(jiàn)，但隨著(zhù)軟件在汽車(chē)這種工業(yè)制品中用量的不斷增加，系統變得日趨復雜，加上產(chǎn)品開(kāi)發(fā)周期的縮短，最終可能導致產(chǎn)品故障。為解決這個(gè)問(wèn)題，汽車(chē)產(chǎn)業(yè)通過(guò)結盟和實(shí)施標準，確保使用和開(kāi)發(fā)安全可靠的軟件。

　　比如汽車(chē)工業(yè)軟件可靠性協(xié)會(huì ) (MISRA) 就是由福特和美洲豹路虎這樣的汽車(chē)制造商、組件供應商和工程咨詢(xún)方組成的團體。通過(guò)制定一系列軟件編程規則，MISRA旨在在道路車(chē)輛的車(chē)載安全相關(guān)電子系統和其他嵌入式系統的開(kāi)發(fā)工作中推廣最佳實(shí)踐。

　　汽車(chē)開(kāi)放系統架構 (AUTOSAR) 是來(lái)自電子、半導體和軟件行業(yè)的汽車(chē)制造商、供應商和其他公司組建的聯(lián)合體為解決幾項重大問(wèn)題而制定的一種事實(shí)上的汽車(chē)電氣/電子(E/E)架構開(kāi)放行業(yè)標準。這幾項重大問(wèn)題包括：控制隨功能不斷增加而導致的日益提高的車(chē)載電氣/電子系統復雜性;提高靈活性以便產(chǎn)品的修改、升級和更新;在產(chǎn)品線(xiàn)內部以及跨產(chǎn)品線(xiàn)提高解決方案的可擴展性;改善電氣/電子系統的質(zhì)量和可靠性;實(shí)現設計初期階段的出錯檢測。

　　這個(gè)架構面臨的挑戰是必須集成廣泛供應商提供的日益豐富的軟件和電子技術(shù)。通過(guò)簡(jiǎn)化軟硬件的交換和更新選項，AUTOSAR 架構為可靠地控制汽車(chē)車(chē)載電氣/電子系統日益提高的復雜性奠定了基礎，同時(shí)在保證質(zhì)量的情況下改善了成本效益。

　　AUTOSAR 架構制定于 2003 年，是更早期的 OSEK/VDX 聯(lián)合體的自然發(fā)展。OSEK/VDX 聯(lián)合體誕生于十年之前，由部分德國和法國汽車(chē)制造商主推。由于有更遠大的目標，AUTOSAR如今已經(jīng)為世界各地大部分汽車(chē)制造商采用。

　　AUTOSAR 架構的核心成員包括寶馬集團、博世、大陸、戴姆勒、福特、通用汽車(chē)、雪鐵龍、豐田和大眾集團。除了這些核心成員公司，另有 160 余家其他成員為聯(lián)合體的成功發(fā)揮著(zhù)重大作用。由此，在“在標準上合作，在設計上競爭”的口號的指引下，汽車(chē)制造商和供應商聯(lián)合一致，共同制定了這個(gè)旨在實(shí)現車(chē)載電氣/電子設計突破的開(kāi)放標準化系統架構。

　　功能安全性

　　與此類(lèi)似，IEC 61508 是負責管理電氣、電子和可編程電子系統和組件的功能安全性的國際電工委員會(huì )的一般性標準，自 2004 年生效以來(lái)已經(jīng)得到世界各地的認可，適用于各個(gè)領(lǐng)域的安全相關(guān)系統。

　　在專(zhuān)門(mén)為功能安全性制定的其他標準中，有一項系專(zhuān)門(mén)為汽車(chē)行業(yè)的功能安全性制定，這就是國際標準化組織的 ISO 26262。這項新標準尚在制定過(guò)程中，預計將于 2012 年頒布，旨在支持和推動(dòng)汽車(chē)行業(yè)中安全產(chǎn)品的開(kāi)發(fā)工作。它覆蓋了從構想、產(chǎn)品開(kāi)發(fā)、生產(chǎn)和經(jīng)營(yíng)的所有安全工作。

　　事實(shí)上，功能安全，即不允許發(fā)生因電氣/電氣系統的功能失常導致的危險性造成不可接受的風(fēng)險，業(yè)已成為汽車(chē)設計中的一項重要要求。該擬在近期頒布的標準專(zhuān)門(mén)針對汽車(chē)行業(yè)的實(shí)際情況，定義了可接受的風(fēng)險，重在防范惡性故障。為此，“風(fēng)險”一詞的定義為發(fā)生傷害或者損害的可能性及傷害或者損害的嚴重性。在工程開(kāi)發(fā)階段，該標準要求提前評估所有潛在的危險和風(fēng)險，并要求開(kāi)發(fā)人員采取適當的措施盡最大可能予以消除。ISO 26262 提供了適當的要求和流程，指導如何避免這些風(fēng)險。

　　根據該標準的要求，汽車(chē)的功能被分成安全相關(guān)功能和非安全相關(guān)功能兩大類(lèi)。安全相關(guān)功能指如果功能失常就會(huì )給駕駛員帶來(lái)風(fēng)險的功能。對分類(lèi)為安全相關(guān)功能的功能，該標準進(jìn)一步設定了數個(gè)可能的風(fēng)險等級。就是說(shuō)從確保具體的安全目標的角度出發(fā)，某些功能的比另一些功能更加關(guān)鍵。

　　根據可能發(fā)生的事故的嚴重性、出現特定駕駛狀況的概率、采用外部措施降低風(fēng)險的程度，該標準定義了一系列汽車(chē)安全完整性等級 (ASIL))。該系列等級具體分為四個(gè)等級，從 D 到 A。D 代表最高安全等級，A 代表最低安全等級。每個(gè) ASIL 等級都列明汽車(chē)制造商和供應商必須滿(mǎn)足的要求或建議，以將“不可容許的嚴重風(fēng)險”降低為可容許殘余風(fēng)險。

　　例如，如果在車(chē)輛行駛中方向盤(pán)軸被卡住，駕駛員就可能遭遇事故，因為駕駛員無(wú)法轉動(dòng)方向盤(pán)。為將該風(fēng)險降低到可容許的水平，方向盤(pán)軸控制功能的設計就必須根據 ISO 26262 標準和為此安全目標設定的 ASIL 等級滿(mǎn)足一定的安全設計標準。

　　軟件開(kāi)發(fā)人員和硬件開(kāi)發(fā)人員必須依據每一項安全目標的 ASIL 等級，在實(shí)現涉及的功能的時(shí)候思考具體的安全措施。對高安全等級的 ASIL(D 或 C)，常用的設計方法是將安全要求分解為冗余安全要求，以便采用充分獨立的元件在較低的 ASIL 等級上滿(mǎn)足 ASIL 容許度要求。換句話(huà)說(shuō)，就是將原始的安全要求用不同的處理器(一般為 MCU)冗余地實(shí)現，采用冗余通道最大程度地降低惡性故障發(fā)生的概率。

　　最后，制造商和供應商需要向認證機構證明自己的電氣/電子系統能夠根據行業(yè)專(zhuān)門(mén)的規定安全可靠地提供要求的功能。