汽车稳定控制系统方案

当今汽车电子工程师所面临的严峻挑战就是构建低成本、无故障(fail-silent)甚至在发生故障时也能正常工作的汽车系统。制动、转向以及其他车辆稳定控制功能都属于任务关键型特征，对安全有着极高的要求，即使电子底盘控制技术日益受到大众的青睐，也不能轻易应对上述挑战。

对于主要的汽车系统功能而言，电子底盘管理技术都具有极大的吸引力，但由于种种原因，该技术还很难实现，在安全与可靠性方面还面临众多难题。为应对当前面临的安全规定挑战，国际电工委员会(IEC)已针对电气/电子/可编程电子安全相关系统的功能安全性定义了相关标准。目前，IEC 61508被视为安全关键型系统开发领域的最高级标准。尽管该标准尚未以法律的形式全面强制实施，但还是希望汽车系统设计人员能够满足这一实际的技术标准要求。汽车系统设计人员在构建应用功能安全性时必须考虑到从输入传感器到数字处理和传动装置等整个信号链的要求。

IEC 61508将“危险”与“风险分析”作为系统设计的一部分，并将电子控制单元(Electronic Control Unit)的“功能安全性”定义为“整体安全性的一部分—取决于系统或设备能否对其输入进行正确响应”。如图1所示。系统的每项安全功能均根据“要求”(该功能需要完成什么工作)和“完整性”(圆满执行该功能的可能性)进行评估。此外，该标准还进一步将高强度工作模式或持续工作模式下安全功能发生危险故障的概率分为四种不同的“安全完整性等级”(SIL)。每种等级涵盖一定范围的可接受故障率，也就是“平均故障间隔时间”(MTTF)，而SIL4是其中最严格的标准。SIL评级适用于包括汽车业在内的许多行业，每种SIL分级的定义均适用于各自行业领域。安全完整性等级中的SIL2和SIL3是非道路应用中最常见的安全级别。

图1 总体系统的功能安全性依靠设备响应输入进行正常工作

根据安全功能和重要性的不同，汽车系统可遵从IEC 61508标准下的SIL2或SIL3规定。自检测系统的可靠性要求多级统计获得的“安全故障系数”(SFF)达到99 %，可靠性参数的具体计算方式为检测到的危险故障(包括非危险故障)与所有故障之比。“诊断覆盖率”(DC)是指检测到的危险故障相对于所有危险故障之比。此外，对于安全关键型汽车系统来说，DC应达到99%。

能否通过汽车系统的SIL3认证，通常取决于启动并控制机械系统的电子控制单元(ECU)的性能。诸如德国莱茵集团(TUV Rheinland)等独立安全评估机构负责汽车系统的 ECU评估和SIL3认证工作。TUV是一家国际化的服务集团，可颁发产品、系统及服务的安全和质量证书。

任务关键型集成机械系统(如制动)还不能完全被电子产品取代。但任何SIL3认证要求的高级机械或电子安全性均需通过利用冗余系统来实现，电子系统有助于广泛实施冗余。

电子子系统的SIL3认证

用电子系统取代液压或机械系统，必然使OEM、汽车制造商及消费者各方充分受益。电子系统可消除内燃机的皮带传动负担，从而有助于降低成本、重量与燃油消耗。

汽车制造商可用机械解决方案取代液压制动助力器，并最终完全取消液压传动系统，实现完全电控的线控制动系统，如图2所示。不过，这一革命性转变需要实施冗余系统或后备系统(类似于航空电子系统)，才能避免在危险时刻车辆会完全丧失制动能力的风险。期间的过度性步骤包括“混合制动”模式，也就是只在车辆的一个而不是两个车轴上安装液压后备系统即可。

图2 用电气解决方案取代液压助力器有助于大幅降低燃油消耗、成本及噪声

微处理器(MCU)是ECU中的关键组件。使用传统的汽车MCU不可能达到SIL3认证要求。需要采用全新的芯片架构，以确保处理结果、总线流量的数据完整性以及存储器中数据的安全性与可靠性，同时满足严格的响应时间要求。

根据IEC 61508标准，危险故障的成因包括以下因素：

(1)软件或硬件系统规范不正确;

(2)安全要求规范缺失;

(3)硬件随机故障;

(4)系统原因故障;

(5)人为错误;

(6)环境影响(EMI、温度以及机械等)。

从完整系统的角度来说，危险评估和安全完整性要求包括以下因素：

在电压下降、假信号等情况下确保稳定的电源供给和时钟信号完整性; 用于处理与通信的冗余性或真实性检查，其中包括往返于传感器和执行器的信号; 提供故障检验功能; 提供故障管理策略，其中包括在故障容错架构、紧急操作模式及可控系统关断等情况下定义安全状态和故障防护; 增强型软件开发进程包括使用正式规范、编程语言子集以及代码验证工具等。

硅芯片的强大支持

开发人员可充分利用市场上的微处理器，为ECU制动控制功能达到SIL3认证标准提供所需技术。TI与罗伯特·博世有限公司(Robert Bosch GmbH)联合开发的TMS570就是一款这样的微处理器。

在硅芯片设计中，芯片布局本身就是一项很大的挑战，应包括专用知识产权(IP)以减少并检测随机硬件和系统故障原因。此外，还可用运行于锁步(lock-step)模式的双核处理器架构来比较处理结果，从而避免为开发独立的检验微处理器软件耗费大量的时间。为了保护存储器子系统免受外部事件引发的故障影响，应在主存储器和本地存储器以及总线流量上实施错误校正代码(ECC)和奇偶位保护机制。为简化开发工作，开发人员还应使用MCU中已实施FlexRayTM网络协议的器件。这种由领先汽车制造商和供应商开发的确定性通信标准能为高级汽车系统提供全面确定的冗余通信。

例如，TI的TMS570 MCU是一款基于两个相同的新一代ARM?誖R4 CortexTM内核之上的对称型双核MCU。每个Cortex-R4内核的性能均可达到300 MIPS，而且TMS570还集成了2 MB的片上闪存、FlexRayTM网络、BIST、CAN及多种外设。双核与正在申请专利的架构紧密耦合，可实现最高可靠性。

Cortex-R4的优势

Cortex-R4的64位AMBA 3 AXI 存储器接口能够提供几项可增强可靠性的重要性能优势，其中包括发出多个待定地址，并支持乱序数据返回。

AMBA 3 AXI存储接口另一个最显著的优势还在于，即便存储器或外设速度较慢，也不会阻塞总线，进而影响存取速度。这种功能使得内核不必等待速度较慢的存取完成，从而可以执行更多存取。此外，64位宽总线还提高了可用带宽，从而仅需四次存取就能完成高速缓存行填充，而不像ARM946E-S那样需要八次。

与946E-S相比，Cortex-R4还大幅改进了中断延迟，而且最坏情况中断延迟和平均中断延迟均得到了改善。例如，946E-S必须等待指令或中断进程完成，而不能中途放弃。在最坏情况下，意味着即便使用零等待状态存储器，中断延迟有可能长达118个周期。尽管上述情况不太可能频繁发生，但实时系统必须做最坏的打算。

另一方面，如果在执行过程中收到中断请求，Cortex-R4 处理器将放弃正常存储器的多负载指令。经过精心设计，TMS570 MCU可将最长中断延迟控制在20个周期左右，能够很少甚至可完全不受AMBA AXI存储器和外设存取时间的影响。

此外，Cortex-R4处理器还可提供非屏蔽中断选项，从而避免软件禁用快速中断请求(FIQ)，这对于安全关键型应用尤其重要。

对汽车制造商及OEM厂商而言，随着车辆变得日益复杂，集成的功能越来越多，安全标准化也日趋重要。集成Cortex R4内核的创新型设计，如TMS570器件，可实现IEC 61508标准所要求的故障检测与响应时间。

将基于微处理器的系统可靠性纳入SIL3认证范畴，标志着汽车OEM厂商与汽车制造商在全面实施车辆线控驱动功能的进程中向前迈进了一大步。

TMS570 MCU是经SIL3认证并符合制动要求的32位微处理器系列。TMS570 MCU的技术发展策略涵盖电子稳定性控制、底盘控制及转向系统等。