汽車(chē)車(chē)身計算機中的安全性能

       背景


       開(kāi)車(chē)是一件非常危險的事情。對于跳傘運動(dòng)員來(lái)說(shuō)，最危險的實(shí)際是開(kāi)車(chē)從家到機場(chǎng)這段路程。2002 年，歐洲總共有46000 多人死于車(chē)禍。

      這個(gè)數字比這一地區的艾滋病、腦膜炎、吸毒、哮喘和暴力犯罪及火災的死亡總人數還要高1。


       政府對這一統計數字感到非常震驚，多年來(lái)一直試圖通過(guò)訴訟方式，改進(jìn)這些車(chē)輛的安全狀況，預防其對公眾造成的傷害。自英國于1861 年第一次制定出每小時(shí)不超過(guò)10 英里2的速度限制，到美國最近制定胎壓監測立法（這部法律將于2007 年8 月生效實(shí)施3），人類(lèi)就從未停止旨在提高道路安全的努力。


       不僅僅是政府感到有義務(wù)改進(jìn)車(chē)輛的安全性能，公眾也非常想購買(mǎi)更為安全的汽車(chē)。因此，汽車(chē)行業(yè)一直在朝這個(gè)方向努力。NCAP 最近的調查4顯示，安全性能是繼價(jià)格和功能之后，消費者在購買(mǎi)新車(chē)時(shí)最關(guān)心的問(wèn)題。


        在NCAP 測試中達到4 星或4 星以上的安全性能評級，可以將嚴重或致命傷害的幾率減少30%5。這清晰地表明，消費者對更為安全的汽車(chē)功能的需求日益增加，并且這些安全功能在挽救生命方面也變得越來(lái)越有效。第一輛在NCAP 安全標準中獲得5 星的汽車(chē)是2001 年3 月生產(chǎn)的雷諾Laguna6，其它汽車(chē)的安全標準也接近5 星，這表明不但乘客和司機的安全保護得到較大提高，行人的安全也有了保障。


        所面臨的問(wèn)題


       隨著(zhù)當今生產(chǎn)的汽車(chē)越來(lái)越多地加入電子元器件，很顯然，這些系統的安全也變得越來(lái)越重要。飛機早在幾年前就開(kāi)始使用“線(xiàn)控飛行”系統，但它目前還沒(méi)有遇到汽車(chē)行業(yè)所面臨的價(jià)格壓力。一些航空系統經(jīng)常使用系統的冗余性，對一些特定系統，有時(shí)甚至達到了“四倍冗余” 7。汽車(chē)行業(yè)向自己發(fā)出挑戰，它必須在不增加汽車(chē)成本的情況下達到類(lèi)似的水平?，F在，該是一級制造商及其供應商提出創(chuàng )新解決方案，以極具競爭力的價(jià)格解決重要的安全問(wèn)題的時(shí)候了。


      SIL 水平


       1998 年，IEC 發(fā)布了61508 標準。該標準中包含一些如何把電子系統中的故障降到最低限度的要求。它給出了系統完整性或其“SIL”水平的幾個(gè)定義。根據每小時(shí)出現的危險故障的幾率，可以對應用和系統進(jìn)行如下分類(lèi)：



      1 FIT (Failure In Time)就相當于每小時(shí)的危險故障幾率為10-9，因此，完整的系統必須在設備的安全預算內，其中，FIT 的總累積數就是SIL 水平的描述。


        決定應用要求的SIL 水平絕不是一件簡(jiǎn)單的工作。很顯然，飛機的關(guān)鍵系統至少需要符合SIL3，在有些情況下甚至要求SIL4。在汽車(chē)中，它表現得沒(méi)這么明顯。但有很多這樣的例子，如線(xiàn)控轉向或線(xiàn)控制動(dòng)等，它們明顯都要求這樣的高水平。系統還提供幾種工具，用于分析系統所需的SIL 水平。

        本文無(wú)意為不同的系統分配不同的SIL 要求，只是說(shuō)明當今的汽車(chē)中有幾個(gè)必須認真考慮的關(guān)鍵的安全系統。


        很明顯，汽車(chē)的操縱和制動(dòng)系統最為重要。但是，汽車(chē)的照明系統或風(fēng)擋刮水器的重要程度如何呢？在雨天，什么樣的FIT 水平是系統控制風(fēng)擋刮水器所能接受的呢？哪些系統“與安全有關(guān)”已越來(lái)越不成問(wèn)題，越來(lái)越多的問(wèn)題是，還有沒(méi)有不安全的系統。


       當今汽車(chē)中的大多數系統都連接在CAN 總線(xiàn)或LIN 子總線(xiàn)上。這就帶來(lái)了進(jìn)一步的問(wèn)題：在一些非關(guān)鍵應用（如GPS）上的任何錯誤如何能夠傳播到另外一個(gè)系統（如車(chē)門(mén)模塊）或另一個(gè)關(guān)鍵應用上。是不是車(chē)內的每個(gè)系統都應該最少有SIL2 級？可以肯定的是，隨著(zhù)車(chē)身計算機融入了越來(lái)越多的功能，對這些應用的SIL 評級的關(guān)注也將變得更為強烈。市場(chǎng)上有OEM 將方向盤(pán)鎖融入網(wǎng)關(guān)或BCU 的事例。很顯然，如果方向盤(pán)由于系統故障而被鎖住，那么造成的結果就可能是災難性的，這就導致某些BCU 系統要求SIL3 的狀態(tài)。


       軟件是誰(shuí)寫(xiě)的？


       在目前的環(huán)境中，應用開(kāi)發(fā)人員面臨的另一個(gè)問(wèn)題就是軟件開(kāi)發(fā)問(wèn)題。自從軟件不再是由一個(gè)團隊而是由來(lái)自幾家不同公司的幾個(gè)團隊編寫(xiě)的以來(lái)，這個(gè)問(wèn)4題就一直存在。CAN 驅動(dòng)軟件可能來(lái)自一家廠(chǎng)商，新運算法則可能來(lái)自于另外一家專(zhuān)業(yè)公司，而特定標準應用的算法可能又由OEM 和/或一級供應商編寫(xiě)。有了這些來(lái)自不同來(lái)源的混合軟件，OEM 日益密切關(guān)注這些問(wèn)題就不足為奇了。


        事實(shí)證明，軟件缺陷也越來(lái)越成為一個(gè)重要問(wèn)題。2000年，Marcus和Stern就已經(jīng)指出，40%的系統故障都是由軟件缺陷引起的8。隨著(zhù)軟件復雜性的增加以及軟件供應商數量的增長(cháng)，軟件缺陷將來(lái)肯定會(huì )成為更為重要的問(wèn)題。


        飛思卡爾的先進(jìn)產(chǎn)品新的飛思卡爾S12X 產(chǎn)品系列提供了眾多新一代汽車(chē)車(chē)身計算機所要求的功能。在為現有解決方案提供一條降低成本的路徑的同時(shí)，還為未來(lái)的BCU 提供了眾多優(yōu)勢。


      S12X 系列具有減輕故障向系統中的其它設備擴散的功能。其時(shí)鐘監控和電壓監控功能得到了極大的改進(jìn)，因此可以快速有效地響應系統中的故障。這些功能允許微控制器監測振蕩器的問(wèn)題，并代以從內部時(shí)鐘運行。這不但消除了對另一個(gè)時(shí)鐘的需要，還使微控制器能連續監控振蕩器，把振蕩器從“安全”狀態(tài)恢復到“正?！睜顟B(tài)。


      對來(lái)自多家廠(chǎng)商的軟件包的擔心還可以通過(guò)系統對MPU 的應用而得到緩解。


      MPU 可以預防軟件應用程序中的系統錯誤，有助于確保它們只能看、讀和寫(xiě)到手頭中任務(wù)的特定存儲位置。S12XE 中令人印象最深的改進(jìn)可能就是Xgate 了。這顆很小的協(xié)處理器運行在完全不同于S12X 核心的指令集上。它的運行獨立于CPU，此外，它還非常靈活，配置后可以開(kāi)展多種不同的活動(dòng)，如額外的內部看門(mén)狗，從而有利地補充8 E. Marcus and H. Stern. Blueprints for high availability: Designing Resilient Distributed Systems.5了已經(jīng)投入使用的計算機正常運行 (COP)模塊。它還可以在配置后運行與CPU一樣的算法（或不同的版本），從而確保算法的正確執行，在無(wú)需任何其它組件的情況下提供設備的冗余性檢查。


      Xgate 是一個(gè)全能型解決方案，它也可以進(jìn)行配置，以運行“非關(guān)鍵的”應用程序，允許CPU 只處理一些“關(guān)鍵”任務(wù)，因此提高了對系統中的其它部分的錯誤的響應速度。


      S12XE 系列的詳細資料有望于2006 年中期在產(chǎn)品正式推向市場(chǎng)后，從您當地的飛思卡爾經(jīng)銷(xiāo)商那里獲得。


      結論


      標準的出現是為了滿(mǎn)足日益復雜的電子系統的要求。新的IEC61508 標準非常有助于為這些要求提供更為嚴格的背景。隨著(zhù)汽車(chē)OEM 努力在降低成本的同時(shí)改進(jìn)質(zhì)量和安全性，就不再是只將制動(dòng)和操縱系統之類(lèi)的系統置于這些標準的監管之下了。


       安全問(wèn)題正越來(lái)越多地成為人們討論的熱點(diǎn)，即使是在汽車(chē)的車(chē)身領(lǐng)域也不例外。飛思卡爾一直致力于提供高性能、經(jīng)濟高效、非常適合于車(chē)身計算機市場(chǎng)的器件。毫無(wú)疑問(wèn)，于2006 年中期推向市場(chǎng)的S12XE 系列新產(chǎn)品，將促使飛思卡爾在這一競爭市場(chǎng)居于前沿地位。