汽車車身計(jì)算機(jī)中的安全性能
開車是一件非常危險的事情。對于跳傘運(yùn)動員來說,最危險的實(shí)際是開車從家到機(jī)場這段路程。2002年,歐洲總共有46000多人死于車禍。這個數(shù)字比這一地區(qū)的艾滋病、腦膜炎、吸毒、哮喘和暴力犯罪及火災(zāi)的死亡總?cè)藬?shù)還要高 。
政府對這一統(tǒng)計(jì)數(shù)字感到非常震驚,多年來一直試圖通過訴訟方式,改進(jìn)這些車輛的安全狀況,預(yù)防其對公眾造成的傷害。自英國于1861年第一次制定出每小時不超過10英里 的速度限制,到美國最近制定胎壓監(jiān)測立法(這部法律將于2007年8月生效實(shí)施 ),人類就從未停止旨在提高道路安全的努力。
不僅僅是政府感到有義務(wù)改進(jìn)車輛的安全性能,公眾也非常想購買更為安全的汽車。因此,汽車行業(yè)一直在朝這個方向努力。NCAP最近的調(diào)查 顯示,安全性能是繼價格和功能之后,消費(fèi)者在購買新車時最關(guān)心的問題。
在NCAP測試中達(dá)到4星或4星以上的安全性能評級,可以將嚴(yán)重或致命傷害的幾率減少30% 。這清晰地表明,消費(fèi)者對更為安全的汽車功能的需求日益增加,并且這些安全功能在挽救生命方面也變得越來越有效。
第一輛在NCAP安全標(biāo)準(zhǔn)中獲得5星的汽車是2001年3月生產(chǎn)的雷諾Laguna ,其它汽車的安全標(biāo)準(zhǔn)也接近5星,這表明不但乘客和司機(jī)的安全保護(hù)得到較大提高,行人的安全也有了保障。
所面臨的問題
隨著當(dāng)今生產(chǎn)的汽車越來越多地加入電子元器件,很顯然,這些系統(tǒng)的安全也變得越來越重要。飛機(jī)早在幾年前就開始使用“線控飛行”系統(tǒng),但它目前還沒有遇到汽車行業(yè)所面臨的價格壓力。一些航空系統(tǒng)經(jīng)常使用系統(tǒng)的冗余性,對一些特定系統(tǒng),有時甚至達(dá)到了“四倍冗余” 。汽車行業(yè)向自己發(fā)出挑戰(zhàn),它必須在不增加汽車成本的情況下達(dá)到類似的水平?,F(xiàn)在,該是一級制造商及其供應(yīng)商提出創(chuàng)新解決方案,以極具競爭力的價格解決重要的安全問題的時候了。
SIL水平
1998年,IEC發(fā)布了61508標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)中包含一些如何把電子系統(tǒng)中的故障降到最低限度的要求。它給出了系統(tǒng)完整性或其“SIL”水平的幾個定義。根據(jù)每小時出現(xiàn)的危險故障的幾率,可以對應(yīng)用和系統(tǒng)進(jìn)行如下分類:
1 FIT (Failure In Time)就相當(dāng)于每小時的危險故障幾率為10-9,因此,完整的系統(tǒng)必須在設(shè)備的安全預(yù)算內(nèi),其中,F(xiàn)IT的總累積數(shù)就是SIL水平的描述。
決定應(yīng)用要求的SIL水平絕不是一件簡單的工作。很顯然,飛機(jī)的關(guān)鍵系統(tǒng)至少需要符合SIL3,在有些情況下甚至要求SIL4。在汽車中,它表現(xiàn)得沒這么明顯。但有很多這樣的例子,如線控轉(zhuǎn)向或線控制動等,它們明顯都要求這樣的高水平。系統(tǒng)還提供幾種工具,用于分析系統(tǒng)所需的SIL水平。本文無意為不同的系統(tǒng)分配不同的SIL要求,只是說明當(dāng)今的汽車中有幾個必須認(rèn)真考慮的關(guān)鍵的安全系統(tǒng)。
很明顯,汽車的操縱和制動系統(tǒng)最為重要。但是,汽車的照明系統(tǒng)或風(fēng)擋刮水器的重要程度如何呢?在雨天,什么樣的FIT水平是系統(tǒng)控制風(fēng)擋刮水器所能接受的呢?哪些系統(tǒng)“與安全有關(guān)”已越來越不成問題,越來越多的問題是,還有沒有不安全的系統(tǒng)。
當(dāng)今汽車中的大多數(shù)系統(tǒng)都連接在CAN總線或LIN子總線上。這就帶來了進(jìn)一步的問題:在一些非關(guān)鍵應(yīng)用(如GPS)上的任何錯誤如何能夠傳播到另外一個系統(tǒng)(如車門模塊)或另一個關(guān)鍵應(yīng)用上。是不是車內(nèi)的每個系統(tǒng)都應(yīng)該最少有SIL2級?
可以肯定的是,隨著車身計(jì)算機(jī)融入了越來越多的功能,對這些應(yīng)用的SIL評級的關(guān)注也將變得更為強(qiáng)烈。市場上有OEM將方向盤鎖融入網(wǎng)關(guān)或BCU的事例。很顯然,如果方向盤由于系統(tǒng)故障而被鎖住,那么造成的結(jié)果就可能是災(zāi)難性的,這就導(dǎo)致某些BCU系統(tǒng)要求SIL3的狀態(tài)。
軟件是誰寫的?
在目前的環(huán)境中,應(yīng)用開發(fā)人員面臨的另一個問題就是軟件開發(fā)問題。自從軟件不再是由一個團(tuán)隊(duì)而是由來自幾家不同公司的幾個團(tuán)隊(duì)編寫的以來,這個問題就一直存在。CAN驅(qū)動軟件可能來自一家廠商,新運(yùn)算法則可能來自于另外一家專業(yè)公司,而特定標(biāo)準(zhǔn)應(yīng)用的算法可能又由OEM和/或一級供應(yīng)商編寫。有了這些來自不同來源的混合軟件,OEM日益密切關(guān)注這些問題就不足為奇了。
事實(shí)證明,軟件缺陷也越來越成為一個重要問題。2000年,Marcus和Stern就已經(jīng)指出,40%的系統(tǒng)故障都是由軟件缺陷引起的 。隨著軟件復(fù)雜性的增加以及軟件供應(yīng)商數(shù)量的增長,軟件缺陷將來肯定會成為更為重要的問題。
飛思卡爾的先進(jìn)產(chǎn)品
新的飛思卡爾S12X產(chǎn)品系列提供了眾多新一代汽車車身計(jì)算機(jī)所要求的功能。在為現(xiàn)有解決方案提供一條降低成本的路徑的同時,還為未來的BCU提供了眾多優(yōu)勢。
S12X系列具有減輕故障向系統(tǒng)中的其它設(shè)備擴(kuò)散的功能。其時鐘監(jiān)控和電壓監(jiān)控功能得到了極大的改進(jìn),因此可以快速有效地響應(yīng)系統(tǒng)中的故障。這些功能允許微控制器監(jiān)測振蕩器的問題,并代以從內(nèi)部時鐘運(yùn)行。這不但消除了對另一個時鐘的需要,還使微控制器能連續(xù)監(jiān)控振蕩器,把振蕩器從“安全”狀態(tài)恢復(fù)到“正?!睜顟B(tài)。
對來自多家廠商的軟件包的擔(dān)心還可以通過系統(tǒng)對MPU的應(yīng)用而得到緩解。MPU可以預(yù)防軟件應(yīng)用程序中的系統(tǒng)錯誤,有助于確保它們只能看、讀和寫到手頭中任務(wù)的特定存儲位置。
S12XE中令人印象最深的改進(jìn)可能就是Xgate了。這顆很小的協(xié)處理器運(yùn)行在完全不同于S12X核心的指令集上。它的運(yùn)行獨(dú)立于CPU,此外,它還非常靈活,配置后可以開展多種不同的活動,如額外的內(nèi)部看門狗,從而有利地補(bǔ)充了已經(jīng)投入使用的計(jì)算機(jī)正常運(yùn)行 (COP)模塊。它還可以在配置后運(yùn)行與CPU一樣的算法(或不同的版本),從而確保算法的正確執(zhí)行,在無需任何其它組件的情況下提供設(shè)備的冗余性檢查。
Xgate是一個全能型解決方案,它也可以進(jìn)行配置,以運(yùn)行“非關(guān)鍵的”應(yīng)用程序,允許CPU只處理一些“關(guān)鍵”任務(wù),因此提高了對系統(tǒng)中的其它部分的錯誤的響應(yīng)速度。
S12XE系列的詳細(xì)資料有望于2006年中期在產(chǎn)品正式推向市場后,從您當(dāng)?shù)氐娘w思卡爾經(jīng)銷商那里獲得。
結(jié)論
標(biāo)準(zhǔn)的出現(xiàn)是為了滿足日益復(fù)雜的電子系統(tǒng)的要求。新的IEC61508標(biāo)準(zhǔn)非常有助于為這些要求提供更為嚴(yán)格的背景。隨著汽車OEM努力在降低成本的同時改進(jìn)質(zhì)量和安全性,就不再是只將制動和操縱系統(tǒng)之類的系統(tǒng)置于這些標(biāo)準(zhǔn)的監(jiān)管之下了。
安全問題正越來越多地成為人們討論的熱點(diǎn),即使是在汽車的車身領(lǐng)域也不例外。飛思卡爾一直致力于提供高性能、經(jīng)濟(jì)高效、非常適合于車身計(jì)算機(jī)市場的器件。毫無疑問,于2006年中期推向市場的S12XE系列新產(chǎn)品,將促使飛思卡爾在這一競爭市場居于前沿地位。
評論