TMS570 MCU提升汽車制動系統(tǒng)安全性

摘要

　　微處理器 (MCU) 是 ECU 中的關(guān)鍵組件。使用傳統(tǒng)的汽車MCU不可能達到 SIL3 認(rèn)證要求。需要采用全新的芯片架構(gòu)，以確保處理結(jié)果、總線流量的數(shù)據(jù)完整性以及存儲器中數(shù)據(jù)的安全性與可靠性，同時滿足嚴(yán)格的響應(yīng)時間要求。

　　開發(fā)人員可充分利用市場上的微處理器，為 ECU 制動控制功能達到 SIL3 認(rèn)證標(biāo)準(zhǔn)提供所需技術(shù)。TI 與羅伯特•博世有限公司 (Robert Bosch GmbH) 聯(lián)合開發(fā)的 TMS570 就是一款這樣的微處理器。

　　對于任何主要的汽車系統(tǒng)功能而言，電子底盤管理技術(shù)都具有極大的吸引力，但由于種種原因，該技術(shù)還很難實現(xiàn)，更不用說在安全與可靠性方面還面臨眾多難題。不過，為應(yīng)對當(dāng)前面臨的安全規(guī)定挑戰(zhàn)，國際電工委員會 (IEC) 已針對電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全性定義了相關(guān)標(biāo)準(zhǔn)。目前，IEC 61508 被視為安全關(guān)鍵型系統(tǒng)開發(fā)領(lǐng)域的最高級標(biāo)準(zhǔn)。盡管該標(biāo)準(zhǔn)尚未被以法律的形式全面強制實施，但還是希望汽車系統(tǒng)設(shè)計人員能夠滿足這一實際的技術(shù)標(biāo)準(zhǔn)要求。汽車系統(tǒng)設(shè)計人員在構(gòu)建應(yīng)用的功能安全性時必須考慮到從輸入傳感器到數(shù)字處理和傳動裝置等整個信號鏈的要求。

　　圖 1. 總體系統(tǒng)的功能安全性依靠設(shè)備響應(yīng)于輸入進行正常工作。

　　IEC 61508 將“危險”與“風(fēng)險分析”作為系統(tǒng)設(shè)計的一部分，并將電子控制單元 (Electronic Control Unit) 的“功能安全性”定義為“整體安全性的一部分——取決于系統(tǒng)或設(shè)備能否對其輸入進行正確響應(yīng)”。系統(tǒng)的每項安全功能均根據(jù)“要求”(該功能需要完成什么工作)和“完整性”(圓滿執(zhí)行該功能的可能性)進行評估。此外，該標(biāo)準(zhǔn)還進一步將高強度工作模式或持續(xù)工作模式下安全功能發(fā)生危險故障的概率分為四種不同的“安全完整性等級”(SIL)。每種等級涵蓋一定范圍的可接受故障率，也就是“平均故障間隔時間”(MTTF)，而 SIL4 是其中最嚴(yán)格的標(biāo)準(zhǔn)。SIL 評級適用于包括汽車業(yè)在內(nèi)的許多行業(yè)，每種 SIL 分級的定義均適用于各自行業(yè)領(lǐng)域。安全完整性等級中的 SIL2 和 SIL3 是非道路應(yīng)用中最常見的安全級別。

　　根據(jù)安全功能和重要性的不同，汽車系統(tǒng)可遵從IEC 61508標(biāo)準(zhǔn)下的SIL2或SIL3規(guī)定。自檢測系統(tǒng)的可靠性要求多級統(tǒng)計獲得的“安全故障系數(shù)” (SFF) 達到 99%，可靠性參數(shù)的具體計算方式為檢測到的危險故障(包括非危險故障)與所有故障之比。“診斷覆蓋率” (DC) 是指檢測到的危險故障相對于所有危險故障之比。此外，對于安全關(guān)鍵型汽車系統(tǒng)來說，DC 應(yīng)達到 99%。

　　能否通過汽車系統(tǒng)的 SIL3 認(rèn)證，通常取決于啟動并控制機械系統(tǒng)的電子控制單元 (ECU) 的性能。諸如德國萊茵集團 (TÜV Rheinland) 等獨立安全評估機構(gòu)負責(zé)汽車系統(tǒng)的 ECU 評估和 SIL3 認(rèn)證工作。TÜV 是一家國際化的服務(wù)集團，可頒發(fā)產(chǎn)品、系統(tǒng)及服務(wù)的安全和質(zhì)量證書。

　　任務(wù)關(guān)鍵型集成機械系統(tǒng)(如制動)還不能完全被電子產(chǎn)品取代。但任何 SIL3 認(rèn)證要求的高級機械或電子安全性均需通過利用冗余系統(tǒng)來實現(xiàn)，電子系統(tǒng)有助于廣泛實施冗余。

　　電子子系統(tǒng)的 SIL3 認(rèn)證

　　用電子系統(tǒng)取代液壓或機械系統(tǒng)，必然使OEM、汽車制造商及消費者各方充分受益。電子系統(tǒng)可消除內(nèi)燃機的皮帶傳動負擔(dān)，從而有助于降低成本、重量與燃油消耗。

　　汽車制造商可用機械解決方案取代液壓制動助力器，并最終完全取消液壓傳動系統(tǒng)，實現(xiàn)完全電控的線控制動系統(tǒng)。不過，這一革命性轉(zhuǎn)變需要實施冗余系統(tǒng)或后備系統(tǒng)(類似于航空電子系統(tǒng))，才能避免在危險時刻車輛可能完全喪失制動能力的風(fēng)險。期間的過度性步驟包括“混合制動”模式，也就是只在車輛的一個而不是兩個車軸上安裝液壓后備系統(tǒng)即可。

　　圖 2. 盡管完全電控的線控制動系統(tǒng)仍處于開發(fā)階段，但用電氣解決方案取代液壓助力器有助于大幅降低燃油消耗、成本及噪聲。

　　微處理器 (MCU) 是 ECU 中的關(guān)鍵組件。使用傳統(tǒng)的汽車 MCU 不可能達到 SIL3 認(rèn)證要求。需要采用全新的芯片架構(gòu)，以確保處理結(jié)果、總線流量的數(shù)據(jù)完整性以及存儲器中數(shù)據(jù)的安全性與可靠性，同時滿足嚴(yán)格的響應(yīng)時間要求。