每一个系统与安全性的关系会越来越大,现在的问题是:有没有什么系统是不安全的呢? 汽车安全性近年来已经得到了提高,无论从政府法令到消费者对更安全的汽车的偏爱都证实了这一点。随着现代汽车集成越来越多的汽车电子系统,显然,与安全性无关的系统的“安全性”越来越受到人们的重视。航天工业多年来一直采用线控飞行控制(fly-by-wire)系统,但是,并未遭受与汽车行业一样的成本压力。若干航空系统常常采用冗余系统,有时侯对特定的系统甚至最多有四冗余系统, 汽车行业面临的挑战有其自身特点:它必须满足类似的鲁棒性要求而不增加车辆的成本。这就要求第一层供应商(Tier-Ones)及其配套厂家要推出创新且新型的解决方案,从而以有竞争力的价格解决严格的安全性要求所面临的难题。 SIL等级 在1998年,国际电子技术委员会(International Electrotechnical Commission, IEC)出版了61508标准,文件中包含对最小化电子系统故障的要求。该标准给出了若干系统完整性等级或SIL的定义。按照每小时危险故障出现的概率对应用和系统分类,如下所列: 一个FIT(故障时间)相当于每小时危险故障数为10-9,因而整个系统必须工作在安全性预算范围内,其中器件的总累积FIT数要达到SIL等级的特征描述的要求。 确定一项应用所需要的安全性等级(SIL等级)决不是一件容易的事情。显然,飞机的关键系统需要至少符合SIL3且在一些情形下要符合SIL4的要求。对汽车没有这么高的要求明显,但是,也存在显然需要高安全性等级的例子,如线控驾驶(steer-by-wire)或线控刹车(brake-by-wire)。有若干工具能够分析系统所需要的SIL等级,但是,本文的目的不是为各种系统分配SIL需求。上述例子足以说明在现代汽车中需要考虑的若干安全性关键的系统。 显然,驾驶和刹车系统极为重要,但是,汽车灯光系统或风档雨雪刷的重要性怎么样?在雨天中,控制雨刷的系统需要具备多少FIT率才是可以接受的?每一个系统与安全性的关系会越来越大,现在的问题是:有没有什么系统是不安全的呢? 目前,大多数汽车电子系统都连接在控制区域网(CAN)总线或本地互连网(LIN)子总线(下图)上。这就提出了进一步的问题:关键应用的错误代码如何能传播到另一个系统?例如,GPS导航系统的错误代码如何被传播到门控模块或另外一个关键的应用?因而,汽车中的每一个系统是否都要满足SIL2等级的最低要求? | 高速CAN总线被用于连接快速执行系统如引擎和动力总成控制系统及主动悬架。 | 毫无疑问,随着车身计算机(下图)集成越来越多的功能,对这些应用的SIL等级的关注会越来越强烈。有这么一个例子,OEM把方向盘(电子控制器)集成到网关或总线控制单元(BCU)中。显然,如果方向盘因系统故障而锁死,就可能引发灾难,因而需要一些BCU系统具备SIL3等级。 在现有环境中,应用开发商面对的另一个挑战是软件开发多样性问题。长久以来就是这样:软件不是由一个团队编写的,而是由来自不同公司的几个团队编写的。CAN驱动程序可能来自一家供应商,新的算法可能来自另外一家专业公司,而标准应用专用算法可能由OEM和第一层供应商共同编写。把这些不同来源的软件混合在一起,难怪OEM越来越密切关注软件设计的问题。据证明,软件缺陷造成重大问题的情况越来越多。例如,在2000年,一些行业信息来源估计,40%的系统故障应归咎于软件缺陷。随着软件复杂性的增加和软件供应商目录的增长,软件缺陷将成为未来越来越重要的问题,这是合乎逻辑的预测。 微控制器的进展 以飞思卡尔公司的S12XE MCU产品为例,它提供许多新一代汽车车身计算机所需要的功能。除了提供降低成本的手段之外,这些器件为将来的BCU提供了许多好处。 S12XE家族具有减轻故障向系统中其它器件传播的功能。由于极大地改善了时钟和电压监测能力,所以微控制器能够快速和有效地响应系统中的此类故障。该功能容许MCU检测振荡器的问题并利用内部时钟运行,从而不必采用第二时钟,与此同时,容许微处理器持续监测该振荡器并从该“安全”状态恢复到“正常状态”。 无需更多担心 通过采用新型的微处理器,就可以防止软件中的系统错误,从而在一定程度上缓解工程师对来自不同供应商的多种软件包的恐惧,并帮助工程师确保他们仅能看、读和写手头任务专用的存储器。 或许S12XE最重大的进展是Xgate,那是一种对S12X核运行完全不同的指令集的协处理器,Xgate运行独立的CPU指令并具备配置灵活性,以便它可以被配置为执行大多数不同的功能,诸如附加内部看门狗、补偿已经存在的计算机正确操作(Computer Operating Properly,COP)模块。 Xgate可以像CPU一样被配置为运行相同的算法(或不同版本的算法),并因而确保正确地执行算法,在不需要附加元件的条件下对器件进行冗余校验。Xgate甚至可以被配置为运行不关键软件,让CPU仅仅集中处理关键的任务,因而改善对系统其它部分错误的响应时间。 S12XE家族的详细资料要等到今年中产品发布时才能拿到。 本文小结 为了满足日益复杂的电子系统的需要,新的标准正在制定之中。新的IEC61508标准花了很长时间才对这些要求提供了更为严格的基本要求。随着汽车OEM努力改善品质、提高安全性并同时降低成本,在传统关键应用上的系统—如刹车和方向盘—要受到这些标准日益详细的审查。 在汽车车身电子中,安全性越来越成为讨论的焦点。诸如新型S12XE家族之类的产品显然将在如此竞争激烈的市场中提供前沿的解决方案。
|