作者：Matthias Poppel 与 Markus Staeblein

当今汽车电子工程师面临的一大严峻挑战就是构建一个低成本、无故障 (fail-silent)，甚至在发生故障时也能工作的汽车系统。制 动、方向和其他车辆稳定控制的性能都属于关键性任务操作，有着极高的安全要求，即使电子底盘控制技术日益流行，也不能轻易 满足上述挑战的要求。

2006 年 9 月，美国政府要求未来所有的轿车都应采用车辆稳定控制技术。美国国家公路交通安全署 (NHTSA) 在公布上述要求时 指出，该署进行的有关分析明确显示，稳定控制技术可将撞车事故减少 35%。电子稳定控制技术预计可将所有车祸l人员死亡数量 减少约 43%，并可将单车事故死亡率减少 56%。

在美国政府制定上述要求之前，就已经有人预计，全球车辆电子稳定控制技术的装配率将从 2006 年的 21% 上升至 2012 年的 35%（CAGR 为 12.5%）。线控制动 (Brake-by-wire) 的装配率预计将从 2006 年的不足 1% 增至 2012 年的 5%（CAGR 为 36.4%）。

对于任何主要的汽车功能系统而言，电子底盘管理技术都极富吸引力，但由于种种原因还很难实现，尤其是安全与可靠性方面 还面临众多难题。不过，为应对当前面临的安全挑战，我们已经制定了严格的要求，具体可参见国际电子技术委员会 (IEC) 的电气 ／电子／可编程电子 (E/E/PE) 安全相关系统对功能安全性的明确要求。目前，IEC 61508已被视为关键型安全系统开发领域的最高 级标准。尽管该标准尚未通过法律的形式全面强制推出，但人们都希望汽车系统设计人员能够满足这一实际的技术标准要求。汽车 系统设计人员在构建应用的功能安全性时必须考虑到从输入传感器到数字处理和执行器等整个信号链的要求。

图 1：总体系统的功能安全性依靠设备能否响应于输入进行正常工作

IEC 6150 将“危险”与“风险分析”作为系统设计的一部分，并将电子控制单元的“功能安全性”定义为“整体安全性的一部分 — 依靠 系统或设备能否响应于输入进行正常工作”。系统的每项安全功能均根据“要求”（该功能需要完成什么工作）和“完整性”（圆满执行该 功能的可能性）加以评估。此外，该标准还进一步将高强度工作要求下或持续工作模式下安全功能发生危险故障的可能性分为四种 不同的“安全完整性水平”(SIL)。每种水平涵盖一定的可接受的故障率，也就是“平均故障间隔时间”(MTTF)，SIL4 是其中最严格的标准 。SIL 分级适用于许多产业（不仅包括汽车业），每种 SIL 分级的定义独立于具体的产业领域。安全完整性水平中的 SIL2 和 SIL3 是非 道路应用中最常见的安全级别。

根据安全功能和重要性的不同，汽车系统可归从于 IEC 61508 标准下的 SIL2 或 SIL3 规定。自检测系统的可靠性要求多级统计获 得的安全故障系数 (SFF) 达到 99%，可靠性参数的具体计算方式为检测危险故障（包括非危险故障）与所有故障之比。“诊断覆盖” (DC) 是指检测危险故障相对于所有危险故障之比。此外，对于安全关键型汽车系统来说，DC 应达到 99%。

能否通过汽车系统的 SIL3 认证，通常取决于启动并控制机械系统的电子控制单元 (ECU) 的性能。对汽车系统来说，诸如 TUV 等 独立安全评估机构负责进行 ECU 评估和 SIL3 认证。TUV 是一家国际化的服务集团，可颁发产品、系统及服务的安全和质量证书。 任务关键型集成机械系统（如制动）还不能完全被电子产品取代。但任何 SIL3 认证都需要的高级机械或电子安全性需要通过冗余系 统实现，电子系统有助于广泛实施冗余。

通过用电子系统取代液压或机械系统，必然使 OEM、汽车制造商和消费者各方受益。电子系统可消除内燃机引擎的皮带传动负 担，从而有助于降低成本、重量与燃油消耗。

汽车制造商可用机械解决方案取代液压制动助力器 (brake booster)，并最终完全取消液压传动系统，实现完全电控的线控制动系 统。不过，这一转变需要实施冗余系统或后备系统（类似于航空电子系统），才能避免在灾难情况下车辆可能完全丧失制动能力的风 险。期间的过度性步骤包括“混合制动”模式，也就是只在车辆的一个车轴上安装液压后备系统。

微控制器 (MCU) 是 ECU 中的关键组件。传统的汽车 MCU 不可能达到 SIL3 的要求。需要采用全新的芯片架构，以确保处理结果 、总线流量以及存储器中保存的安全和可靠性数据的完整性，同时还要满足严格的响应时间要求。

根据 IEC 61508 标准，危险故障的成因包括以下因素：软件或硬件*系统规范不正确*、安全要求规范缺失*、硬件随机故障*、系统 原因故障*、人为错误*、环境影响（EMI、温度以及机械等）。

从完整系统的角度来说，危害评估和安全完整性要求包括以下因素：*在电压下降、假信号等情况下确保稳定的电源和时钟信号 完整性；*用于处理与通信的冗余性或可行性检验，其中包括往返于传感器和执行器的信号；*提供故障检验功能；*提供故障管理策 略，包括在故障容限架构、紧急操作模式和可控系统关断等情况下定义安全状态和故障防护；*增强型软件开发进程，如使用正式规 范、编程语言子集和代码确认工具等。

开发人员可利用市场上的微控制器，为 ECU 制动控制功能达到 SIL3 认证标准提供所需技术。德州仪器 (TI) 与 Robert Bosch GmbH 联合开发的 TMS570 就是一款这样的微控制器。

图 2：尽管完全电子化的线控制动系统仍在开发中，但用电气解决方案取代液压制动助力器仍有助于降低燃油消 耗、成本和噪声

在硅芯片设计挑战中，芯片布局本身就是我们所面临的一项挑战，芯片布局应当包括专用知识产权 (IP) 来减少并检测随机硬件 和系统原因造成的故障。此外，我们还可用运行于锁步 (lock-step) 模式的双核处理器架构来比较处理结果，从而避免为独立的检验 器微处理器软件开发耗费大量的时间。为了保护存储器子系统免受外部事件引发的故障影响，我们应在主存储器和本地存储器以 及总线流量上实施错误校正代码 (ECC) 和奇偶位保护机制。为了简化开发工作，开发人员还应使用 MCU 上已经实施了 FlexRay 网 络协议的器件，这种由领先汽车制造商和供应商开发的确定性通信标准能为高级汽车系统提供全面确定性的冗余通信。

例如，TI 的 TMS570 MCU 就是一款基于两个相同的新一代 ARM Ltd R4 Cortex 内核之上的对称型双核 MCU。每个 Cortex-R4 内核 的性能均可达到 300 MIPS 性能，而且 TMS570 还集成了 2MB 的片上闪存存储器、FlexRay 网络、BIST、CAN 和外设。双核与正在申 请专利的架构紧密耦合，可支持最高的可靠性。

Cortex-R4 的 64 位 AMBA 3 AXI 存储器接口能够提供几项可加强可靠性的重要性能优势，其中包括发出多个待定地址，并支持乱 序数据返回支持等。

或许最显著的优势在于，即便存储器或外设速度较慢，也不会阻塞总线，影响存取速度。这种功能使得内核不必等待速度较慢 的存取完成，而可以执行更多存取。此外，64 位宽总线还提高了可用带宽，从而仅四次存取就能完成高速缓存行填充，而不像 ARM946E-S 一样需要八次存取。

与 946E-S 相比，Cortex-R4 还大幅改进了中断延迟，而且最差情况中断延迟和平均中断延迟均得到了改善。举例来说，946E-S 必 须等着指令或中断进程完成，而不能中途放弃。在最差情况下，即便使用零等待状态存储器，也可能导致中断延迟达到 118 个周期 。尽管上述情况不太可能频繁发生，但实时系统必须考虑到最差情况下可能造成的问题。

另一方面，如果在执行半途中接收到中断请求，那么 Cortex-R4 处理器将放弃正常存储器的多负载指令。通过对 TMS570 MCU 精 心设计，我们可将最长中断延迟保持在约 20 个周期之内，而且不受或不依赖 AMBA AXI 存储器和外设的存取时间的影响。

此外，Cortex-R4 处理器还可提供非屏蔽中断选择，从而避免软件禁用快速中断请求 (FIQ)，这对于安全关键型应用尤其重要。

关于作者

Matthias Poppel 现任 TI 的C2000 全球业务经理。Poppel 在自动化传输系统领域拥有仿真与安全性两项专利。Poppel 先 后毕业于德国达姆施塔特工业大学 (Technical University Darmstadt) 与北卡罗来纳州的杜克大学 (Duke University)，分别获MScEE 学位 与 MBA 学位。

Markus Staeblein 现任 TI 全球高级嵌入式控制汽车市场营销经理。Staeblein 在 TI 的汽车产品领域拥有长达 8 年的丰富 经验。Staeblein 于 1994 年从德国威斯巴登学院 (FH Wiesbaden) 获得电子工程学位，并从位于英国米尔顿•凯恩斯的开放大学商学院 (The Open University Business School) 获得 MBA 学位。