基于FPGA的汽車ECU設(shè)計(jì)充分符合AUTOSAR和ISO 26262標(biāo)準(zhǔn)（三）

　　比如汽車工業(yè)軟件可靠性協(xié)會(huì) （MISRA） 就是由福特和美洲豹路虎這樣的汽車制造商、組件供應(yīng)商和工程咨詢方組成的團(tuán)體。通過制定一系列軟件編程規(guī)則，MISRA旨在在道路車輛的車載安全相關(guān)電子系統(tǒng)和其他嵌入式系統(tǒng)的開發(fā)工作中推廣最佳實(shí)踐。

　　汽車開放系統(tǒng)架構(gòu) （AUTOSAR） 是來自電子、半導(dǎo)體和軟件行業(yè)的汽車制造商、供應(yīng)商和其他公司組建的聯(lián)合體為解決幾項(xiàng)重大問題而制定的一種事實(shí)上的汽車電氣/電子（E/E）架構(gòu)開放行業(yè)標(biāo)準(zhǔn)。這幾項(xiàng)重大問題包括：控制隨功能不斷增加而導(dǎo)致的日益提高的車載電氣/電子系統(tǒng)復(fù)雜性；提高靈活性以便產(chǎn)品的修改、升級(jí)和更新；在產(chǎn)品線內(nèi)部以及跨產(chǎn)品線提高解決方案的可擴(kuò)展性；改善電氣/電子系統(tǒng)的質(zhì)量和可靠性；實(shí)現(xiàn)設(shè)計(jì)初期階段的出錯(cuò)檢測(cè)。

　　這個(gè)架構(gòu)面臨的挑戰(zhàn)是必須集成廣泛供應(yīng)商提供的日益豐富的軟件和電子技術(shù)。通過簡(jiǎn)化軟硬件的交換和更新選項(xiàng)，AUTOSAR 架構(gòu)為可靠地控制汽車車載電氣/電子系統(tǒng)日益提高的復(fù)雜性奠定了基礎(chǔ)，同時(shí)在保證質(zhì)量的情況下改善了成本效益。

　　AUTOSAR 架構(gòu)制定于 2003 年，是更早期的 OSEK/VDX 聯(lián)合體的自然發(fā)展。OSEK/VDX 聯(lián)合體誕生于十年之前，由部分德國(guó)和法國(guó)汽車制造商主推。由于有更遠(yuǎn)大的目標(biāo)，AUTOSAR如今已經(jīng)為世界各地大部分汽車制造商采用。

　　AUTOSAR 架構(gòu)的核心成員包括寶馬集團(tuán)、博世、大陸、戴姆勒、福特、通用汽車、雪鐵龍、豐田和大眾集團(tuán)。除了這些核心成員公司，另有 160 余家其他成員為聯(lián)合體的成功發(fā)揮著重大作用。由此，在“在標(biāo)準(zhǔn)上合作，在設(shè)計(jì)上競(jìng)爭(zhēng)”的口號(hào)的指引下，汽車制造商和供應(yīng)商聯(lián)合一致，共同制定了這個(gè)旨在實(shí)現(xiàn)車載電氣/電子設(shè)計(jì)突破的開放標(biāo)準(zhǔn)化系統(tǒng)架構(gòu)。

　　功能安全性

　　與此類似，IEC 61508 是負(fù)責(zé)管理電氣、電子和可編程電子系統(tǒng)和組件的功能安全性的國(guó)際電工委員會(huì)的一般性標(biāo)準(zhǔn)，自 2004 年生效以來已經(jīng)得到世界各地的認(rèn)可，適用于各個(gè)領(lǐng)域的安全相關(guān)系統(tǒng)。

　　在專門為功能安全性制定的其他標(biāo)準(zhǔn)中，有一項(xiàng)系專門為汽車行業(yè)的功能安全性制定，這就是國(guó)際標(biāo)準(zhǔn)化組織的 ISO 26262。這項(xiàng)新標(biāo)準(zhǔn)尚在制定過程中，預(yù)計(jì)將于 2012 年頒布，旨在支持和推動(dòng)汽車行業(yè)中安全產(chǎn)品的開發(fā)工作。它覆蓋了從構(gòu)想、產(chǎn)品開發(fā)、生產(chǎn)和經(jīng)營(yíng)的所有安全工作。

　　事實(shí)上，功能安全，即不允許發(fā)生因電氣/電氣系統(tǒng)的功能失常導(dǎo)致的危險(xiǎn)性造成不可接受的風(fēng)險(xiǎn)，業(yè)已成為汽車設(shè)計(jì)中的一項(xiàng)重要要求。該擬在近期頒布的標(biāo)準(zhǔn)專門針對(duì)汽車行業(yè)的實(shí)際情況，定義了可接受的風(fēng)險(xiǎn)，重在防范惡性故障。為此，“風(fēng)險(xiǎn)”一詞的定義為發(fā)生傷害或者損害的可能性及傷害或者損害的嚴(yán)重性。在工程開發(fā)階段，該標(biāo)準(zhǔn)要求提前評(píng)估所有潛在的危險(xiǎn)和風(fēng)險(xiǎn)，并要求開發(fā)人員采取適當(dāng)?shù)拇胧┍M最大可能予以消除。ISO 26262 提供了適當(dāng)?shù)囊蠛土鞒?，指?dǎo)如何避免這些風(fēng)險(xiǎn)。

　　根據(jù)該標(biāo)準(zhǔn)的要求，汽車的功能被分成安全相關(guān)功能和非安全相關(guān)功能兩大類。安全相關(guān)功能指如果功能失常就會(huì)給駕駛員帶來風(fēng)險(xiǎn)的功能。對(duì)分類為安全相關(guān)功能的功能，該標(biāo)準(zhǔn)進(jìn)一步設(shè)定了數(shù)個(gè)可能的風(fēng)險(xiǎn)等級(jí)。就是說從確保具體的安全目標(biāo)的角度出發(fā)，某些功能的比另一些功能更加關(guān)鍵。

　　根據(jù)可能發(fā)生的事故的嚴(yán)重性、出現(xiàn)特定駕駛狀況的概率、采用外部措施降低風(fēng)險(xiǎn)的程度，該標(biāo)準(zhǔn)定義了一系列汽車安全完整性等級(jí) （ASIL））。該系列等級(jí)具體分為四個(gè)等級(jí)，從 D 到 A。D 代表最高安全等級(jí)，A 代表最低安全等級(jí)。每個(gè) ASIL 等級(jí)都列明汽車制造商和供應(yīng)商必須滿足的要求或建議，以將“不可容許的嚴(yán)重風(fēng)險(xiǎn)”降低為可容許殘余風(fēng)險(xiǎn)。

　　例如，如果在車輛行駛中方向盤軸被卡住，駕駛員就可能遭遇事故，因?yàn)轳{駛員無法轉(zhuǎn)動(dòng)方向盤。為將該風(fēng)險(xiǎn)降低到可容許的水平，方向盤軸控制功能的設(shè)計(jì)就必須根據(jù) ISO 26262 標(biāo)準(zhǔn)和為此安全目標(biāo)設(shè)定的 ASIL 等級(jí)滿足一定的安全設(shè)計(jì)標(biāo)準(zhǔn)。

　　軟件開發(fā)人員和硬件開發(fā)人員必須依據(jù)每一項(xiàng)安全目標(biāo)的 ASIL 等級(jí)，在實(shí)現(xiàn)涉及的功能的時(shí)候思考具體的安全措施。對(duì)高安全等級(jí)的 ASIL（D 或 C），常用的設(shè)計(jì)方法是將安全要求分解為冗余安全要求，以便采用充分獨(dú)立