ECU SIL3 認證使制造商與消費者雙雙受益

作者：Matthias Poppel 與 Markus Staeblein，德州儀器公司

關鍵字：汽車系統 安全 MCU

摘要：

• 目前，IEC 61508 被視為安全關鍵型系統開發領域的較高級標準。汽車系統設計人員在構建應用的功能安全性時必須考慮到從輸入傳感器到數字處理和傳動裝置等整個信號鏈的要求。
• 用電子系統取代液壓或機械系統，必然使OEM、汽車制造商及消費者各方充分受益。電子系統可消除內燃機的皮帶傳動負擔，從而有助于降低成本、重量與燃油消耗。
• 微處理器 (MCU) 是 ECU 中的關鍵組件。使用傳統的汽車MCU不可能達到 SIL3 認證要求。需要采用全新的芯片架構，以確保處理結果、總線流量的數據完整性以及存儲器中數據的安全性與可靠性，同時滿足嚴格的響應時間要求。
• 開發人員可充分利用市場上的微處理器，為 ECU 制動控制功能達到 SIL3 認證標準提供所需技術。TI 與羅伯特?博世有限公司 (Robert Bosch GmbH) 聯合開發的 TMS570 就是一款這樣的微處理器。

當今汽車電子工程師所面臨的一項嚴峻挑戰就是構建低成本、無故障 (fail-silent)，甚至在發生故障時也能正常工作的汽車系統。制動、轉向以及其他車輛穩定控制功能都屬于任務關鍵型特征，對安全有著極高的要求，即使電子底盤控制技術日益受到大眾的青睞，也不能輕易應對上述挑戰。

2006 年 9 月，美國聯邦政府要求未來所有的車輛都采用穩定控制技術。美國國家高速公路交通安全管理局 (NHTSA) 在公布上述要求時指出，該局進行的有關分析明確顯示，裝備有穩定控制技術的車輛發生碰撞事故的幾率會減少 35%。電子穩定控制技術有望將總體重大傷亡事故以及單一車輛事故死亡率分別降低約 43% 和 56%。

早在美國聯邦政府制定上述規定之前，就已有預計顯示，全球車輛電子穩定控制技術的裝配率將從 2006 年的 21% 增至 2012 年的 35%（復合年均增長率 為 12.5%）。此外，線控制動 (Brake-by-wire) 的裝配率預計將從 2006 年的不足 1% 增至 2012 年的 5%（復合年均增長率 為 36.4%）。

對于任何主要的汽車系統功能而言，電子底盤管理技術都具有極大的吸引力，但由于種種原因，該技術還很難實現，更不用說在安全與可靠性方面還面臨眾多難題。不過，為應對當前面臨的安全規定挑戰，國際電工委員會 (IEC) 已針對電氣／電子／可編程電子安全相關系統的功能安全性定義了相關標準。目前，IEC 61508 被視為安全關鍵型系統開發領域的較高級標準。盡管該標準尚未被以法律的形式全面強制實施，但還是希望汽車系統設計人員能夠滿足這一實際的技術標準要求。汽車系統設計人員在構建應用的功能安全性時必須考慮到從輸入傳感器到數字處理和傳動裝置等整個信號鏈的要求。

圖 1. 總體系統的功能安全性依靠設備響應于輸入進行正常工作。

IEC 61508 將“危險”與“風險分析”作為系統設計的一部分，并將電子控制單元 (Electronic Control Unit) 的“功能安全性”定義為“整體安全性的一部分——取決于系統或設備能否對其輸入進行正確響應”。系統的每項安全功能均根據“要求”（該功能需要完成什么工作）和“完整性”（圓滿執行該功能的可能性）進行評估。此外，該標準還進一步將高強度工作模式或持續工作模式下安全功能發生危險故障的概率分為四種不同的“安全完整性等級”(SIL)。每種等級涵蓋一定范圍的可接受故障率，也就是“平均故障間隔時間”(MTTF)，而 SIL4 是其中較嚴格的標準。SIL 評級適用于包括汽車業在內的許多行業，每種 SIL 分級的定義均適用于各自行業領域。安全完整性等級中的 SIL2 和 SIL3 是非道路應用中較常見的安全級別。

根據安全功能和重要性的不同，汽車系統可遵從IEC 61508標準下的SIL2或SIL3規定。自檢測系統的可靠性要求多級統計獲得的“安全故障系數” (SFF) 達到 99%，可靠性參數的具體計算方式為檢測到的危險故障（包括非危險故障）與所有故障之比。“診斷覆蓋率” (DC) 是指檢測到的危險故障相對于所有危險故障之比。此外，對于安全關鍵型汽車系統來說，DC 應達到 99%。

能否通過汽車系統的 SIL3 認證，通常取決于啟動并控制機械系統的電子控制單元 (ECU) 的性能。諸如德國萊茵集團 (TüV Rheinland) 等獨立安全評估機構負責汽車系統的 ECU 評估和 SIL3 認證工作。TüV 是一家國際化的服務集團，可頒發產品、系統及服務的安全和質量證書。

任務關鍵型集成機械系統（如制動）還不能完全被電子產品取代。但任何 SIL3 認證要求的高級機械或電子安全性均需通過利用冗余系統來實現，電子系統有助于廣泛實施冗余。

電子子系統的 SIL3 認證

用電子系統取代液壓或機械系統，必然使OEM、汽車制造商及消費者各方充分受益。電子系統可消除內燃機的皮帶傳動負擔，從而有助于降低成本、重量與燃油消耗。

汽車制造商可用機械解決方案取代液壓制動助力器，并較終完全取消液壓傳動系統，實現完全電控的線控制動系統。不過，這一革命性轉變需要實施冗余系統或后備系統（類似于航空電子系統），才能避免在危險時刻車輛可能完全喪失制動能力的風險。期間的過度性步驟包括“混合制動”模式，也就是只在車輛的一個而不是兩個車軸上安裝液壓后備系統即可。

圖 2. 盡管完全電控的線控制動系統仍處于開發階段，但用電氣解決方案取代液壓助力器有助于大幅降低燃油消耗、成本及噪聲。

微處理器 (MCU) 是 ECU 中的關鍵組件。使用傳統的汽車 MCU 不可能達到 SIL3 認證要求。需要采用全新的芯片架構，以確保處理結果、總線流量的數據完整性以及存儲器中數據的安全性與可靠性，同時滿足嚴格的響應時間要求。

根據 IEC 61508 標準，危險故障的成因包括以下因素：

—— 軟件或硬件系統規范不正確
—— 安全要求規范缺失
—— 硬件隨機故障
—— 系統原因故障
—— 人為錯誤
—— 環境影響（EMI、溫度以及機械等）

從完整系統的角度來說，危險評估和安全完整性要求包括以下因素：

• 在電壓下降、假信號等情況下確保穩定的電源供給和時鐘信號完整性；
• 用于處理與通信的冗余性或真實性檢查，其中包括往返于傳感器和執行器的信號；
• 提供故障檢驗功能；
• 提供故障管理策略，其中包括在故障容錯架構、緊急操作模式及可控系統關斷等情況下定義安全狀態和故障防護；
• 增強型軟件開發進程包括使用正式規范、編程語言子集以及代碼驗證工具等。

硅芯片的強大支持

開發人員可充分利用市場上的微處理器，為 ECU 制動控制功能達到 SIL3 認證標準提供所需技術。TI 與羅伯特?博世有限公司 (Robert Bosch GmbH) 聯合開發的 TMS570 就是一款這樣的微處理器。

在硅芯片設計中，芯片布局本身就是一項很大的挑戰，應包括專用知識產權 (IP) 以減少并檢測隨機硬件和系統原因故障。此外，我們還可用運行于鎖步 (lock-step)模式的雙核處理器架構來比較處理結果，從而避免為開發獨立的檢驗器微處理器軟件耗費大量的時間。為了保護存儲器子系統免受外部事件引發的故障影響，我們應在主存儲器和本地存儲器以及總線流量上實施錯誤校正代碼 (ECC) 和奇偶位保護機制。為簡化開發工作，開發人員還應使用 MCU 上業已實施FlexRay? 網絡協議的器件。這種由領先汽車制造商和供應商開發的確定性通信標準能為高級汽車系統提供全面確定性的冗余通信。

例如，TI 的 TMS570 MCU 是一款基于兩個相同的新一代 ARM? R4 CortexTM 內核之上的對稱型雙核 MCU。每個 Cortex-R4 內核的性能均可達到 300 MIPS，而且 TMS570 還集成了 2MB 的片上閃存、FlexRayTM 網絡、BIST、CAN 及多種外設。雙核與正在申請專利的架構緊密耦合，可實現較高可靠性。

Cortex-R4 的優勢

Cortex-R4 的 64 位 AMBA 3 AXI 存儲器接口能夠提供幾項可加強可靠性的重要性能優勢，其中包括發出多個待定地址，并支持亂序數據返回。

或許較顯著的優勢在于，即便存儲器或外設速度較慢，也不會阻塞總線，進而影響存取速度。這種功能使得內核不必等待速度較慢的存取完成，從而可以執行更多存取。此外，64 位寬總線還提高了可用帶寬，從而僅需四次存取就能完成高速緩存行填充，而不像ARM946E-S一樣需要八次。

與 946E-S 相比，Cortex-R4 還大幅改進了中斷延遲，而且較壞情況中斷延遲和平均中斷延遲均得到了改善。例如，946E-S 必須等著指令或中斷進程完成，而不能中途放棄。在較壞情況下，意味著即便使用零等待狀態存儲器，中斷延遲有可能長達 118 個周期。盡管上述情況不太可能頻繁發生，但實時系統必須做這種較壞的打算。

另一方面，如果在執行過程中收到中斷請求，Cortex-R4 處理器將放棄正常存儲器的多負載指令。經過精心設計，TMS570 MCU可將較長中斷延遲控制在 20 個周期左右，很少甚至可完全不受 AMBA AXI 存儲器和外設的存取時間的影響。

此外，Cortex-R4 處理器還可提供非屏蔽中斷選項，從而避免軟件禁用快速中斷請求 (FIQ)，這對于安全關鍵型應用尤其重要。

結論

對汽車制造商及 OEM 廠商而言，隨著車輛變得日益復雜，集成的功能越來越多，安全標準化也日趨重要。集成 Cortex R4 內核的創新型設計，如 TMS570 器件，可實現 IEC 61508 標準所要求的故障檢測與響應時間。

將基于微處理器的系統的可靠性納入 SIL3 認證范疇，標志著汽車 OEM 廠商與汽車制造商在全面實施車輛線控驅動功能的進程中向前邁進了一大步。

TMS570 MCU 是經 SIL3 認證并符