飛思卡爾SafeAssure計劃 ISO26262與集成安全系統(tǒng)

　　汽車電子應用于汽車之中，一方面是提升使用者的駕乘體驗，而更重要的一點則是提升駕駛的安全性。得益于整車與半導體廠商在汽車安全領(lǐng)域不懈的努力與競爭，汽車的安全性能不斷得以提升。即便如此，汽車安全依然是汽車廠商與半導體廠商需要持續(xù)完善的重要技術(shù)趨勢。

　　安全在將來的汽車研發(fā)中是關(guān)鍵要素之一，新的功能不僅用于輔助駕駛，也應用于車輛的動態(tài)控制和涉及到安全工程領(lǐng)域的主動安全系統(tǒng)。將來，這些功能的研發(fā)和集成必將加強安全系統(tǒng)研發(fā)過程的需求，同時，也為滿足所有預期的安全目的提供證據(jù)。

　　ISO 26262與集成安全系統(tǒng)

　　先進的車輛控制技術(shù)、駕駛員輔助系統(tǒng)、碰撞預警系統(tǒng)和防碰撞系統(tǒng)都是旨在減少駕駛員失誤和違規(guī)、提高汽車安全的有效主動措施。隨著計算性能的不斷提高，以及嵌入式系統(tǒng)、傳感器、模擬技術(shù)、自動控制和通信技術(shù)的出現(xiàn)，特別是更廉價、更小型，以及更便攜的電子設備、傳感器和中央處理器的加入，與作為響應性防碰撞措施的被動安全系統(tǒng)不同，主動系統(tǒng)一般采取感測(利用攝像頭、雷達等)和驅(qū)動(即控制功能)來主動降低潛在的碰撞可能或風險。這些系統(tǒng)旨在通過感測汽車、駕駛員以及周圍環(huán)境來預測可能出現(xiàn)的駕駛事故，并主動規(guī)避以防止危險事件的發(fā)生，或預先啟動安全系統(tǒng)以在碰撞的危急關(guān)頭減少乘客所受的傷害。基于主動概念，汽車設備制造商提供了各種不同的防碰撞和預警策略，為行車提供額外的安全性和舒適性。

　　從整體去看集成安全，傳感器的加入是至關(guān)重要的一環(huán)，傳感器可以提供額外的狀態(tài)監(jiān)控和態(tài)勢感知功能。安全算法基于傳感器所收集的數(shù)據(jù)，用各種確定性和隨機的方法進行評價、評估、估算、感知和判斷。這些算法可以提供最優(yōu)化、最安全的糾正措施，類似于熟練駕駛員在緊急狀況下會做出的判斷。這些判斷可充當智能副駕駛的角色，最后轉(zhuǎn)換成具體的車輛控制操作(如制動、轉(zhuǎn)向等)?；?干預/驅(qū)動的實際功能是安全系統(tǒng)設計的一部分。

　　硬件部分之外，軟件及整個系統(tǒng)的安全同樣面臨挑戰(zhàn)，汽車產(chǎn)業(yè)是一個不允許系統(tǒng)失效發(fā)生的產(chǎn)業(yè)，因為一旦發(fā)生失效，車輛廠商將面臨巨大風險，為了防止系統(tǒng)失效的發(fā)生，必須有一套嚴謹且可靠的開發(fā)流程來讓系統(tǒng)開發(fā)工程師依循，因此車輛領(lǐng)域的專家即開始著手發(fā)展車輛領(lǐng)域之功能安全標準，ISO 26262在這樣的環(huán)境與需求下應運而生。隨著系統(tǒng)復雜性的提高，軟件和機電設備的應用，來自系統(tǒng)失效和隨機硬件失效的風險也日益增加，制定ISO 26262標準的目的是使得人們對安全相關(guān)功能有一個更好的理解，并盡可能明確地對它們進行解釋，同時為避免這些風險提供了可行性的要求和流程。ISO 26262大約于2005年開始發(fā)展，于 2011年11月14日發(fā)行正式版本，該標準主要衍生于IEC 61508而來，并著重于車輛電子/電機系統(tǒng)的功能安全。ISO 26262為目前全球重要的車輛功能安全設計標準，此標準因?qū)Π踩芷谂c周期內(nèi)之工作項目及產(chǎn)出物有詳細的定義，使得車輛系統(tǒng)功能安全的嚴謹與可靠度大幅提升。

　　ISO26262主要提供了：

　　●汽車生命周期(管理，研發(fā)，生產(chǎn)，運行，服務，拆解)和生命周期中必要的與功能安全有關(guān)的事項能否順利進行

　　●決定風險等級的具體風險評估方法(汽車安全綜合等級，ASILs)

　　●使用ASILs方法來確定獲得可接受的殘余風險的必要安全要求

　　●提供了確保獲得足夠的和可接受的安全等級的有效性和確定性措施

　　可以預見的是，未來的汽車電子特別是與安全相關(guān)的汽車電子系統(tǒng)，將是集MCU、傳感器、模擬技術(shù)與可靠的軟件系統(tǒng)于一體的復雜系統(tǒng)，開發(fā)的難度必將隨著安全保障的力度而不斷增加，需要更好的平臺來幫助車廠應對這樣的挑戰(zhàn)。

　　面向安全SafeAssure計劃

　　作為重要的汽車半導體供應商，飛思卡爾半導體推出SafeAssure計劃，致力于幫助汽車設計人員降低構(gòu)建符合國際標準化組織(ISO) 26262標準的功能安全系統(tǒng)的復雜性，并縮短了開發(fā)時間。SafeAssure計劃包括廣泛的MCU、傳感器和模擬IC選項，以及多種支持，包括面向功能安全應用設計的培訓、安全文檔和技術(shù)支持。

　　飛思卡爾的功能安全實現(xiàn)途徑包括四個主要領(lǐng)域：安全流程、安全硬件、安全軟件和安全支持。

　　解決安全流程問題，即公司設計和生產(chǎn)功能安全解決方案的方式。飛思卡爾的產(chǎn)品在定義和設計之初便以符合各項標準要求為目標，在開發(fā)流程的每個步驟都執(zhí)行安全分析，并采取額外的確認措施幫助確保產(chǎn)品完全滿足各種安全要求。

　　安全硬件概念關(guān)注于檢測和減少隨機硬件故障。故障控制通過在飛思卡爾微控制器、模擬器件和電源管理IC和傳感器中內(nèi)置的安全特性實現(xiàn)，例如自檢、監(jiān)控和基于硬件的冗余。飛思卡爾汽車模擬解決方案提供了附加功能(檢查微控制器(MCU)定時、電壓和錯誤管理)，可幫助提高系統(tǒng)可靠性，并簡化電子控制單元設計。

　　為了實現(xiàn)系統(tǒng)級功能安全目標，必須將硬件和軟件無縫集成，以便全面符合安全要求。飛思卡爾正在開發(fā)一組全面的汽車功能安全軟件產(chǎn)品系列，包括AUTOSAR OS、相關(guān)的微控制器抽象層(MCAL) 驅(qū)動和內(nèi)核自檢功能。為了增強面向汽車和工業(yè)市場的安全軟件產(chǎn)品系列，飛思卡爾與領(lǐng)先的第三方軟件提供商合作推出更多的安全軟件解決方案。

　　功能安全途徑的第四個領(lǐng)域是強大的安全支持，以簡化系統(tǒng)級集成和易于符合功能安全標準要求為目標。飛思卡爾的技術(shù)支持范圍廣泛，從與功能安全架構(gòu)有關(guān)的特定客戶培訓和系統(tǒng)設計審核，到廣泛的安全文檔和技術(shù)支持。

　　飛思卡爾具備滿足SafeAssure解決方案的廣泛的MCU、模擬器件和傳感器產(chǎn)品線。MCU是汽車安全系統(tǒng)控制的核心，飛思卡爾最新推出的面向汽車功能安全的產(chǎn)品包括Qorivva MPC574xP 32位MCU 和SBC MC33906/7/8 系列，可幫助汽車系統(tǒng)滿足包括最嚴格的ASIL D級在內(nèi)的所有汽車安全完整性等級(ASIL)。面向的應用包括電動助力轉(zhuǎn)向、電子穩(wěn)定控制系統(tǒng)、汽車動力和底盤控制、安全域控制、自適應巡航控制和盲點檢測。MPC574xP將許多特性集成至一個安全平臺，與之前的飛思卡爾產(chǎn)品相比，在存儲器、性能和電機控制功能等方面實現(xiàn)了翻倍。SBC器件為MCU和其他系統(tǒng)負載供電，并通過低功率省電模式優(yōu)化能耗。MC33906/7/8器件專為滿足ASIL D要求而開發(fā)，包括廣泛的集成安全措施，例如關(guān)鍵模擬參數(shù)監(jiān)控、故障安全狀態(tài)機和高級看門狗等。

　　Qorivva系列的多核MCU MPC5746M基于新型200 MHz四核Power Architecture平臺的高性能32位MCU產(chǎn)品，旨在滿足全球?qū)μ岣咂噭恿偝上到y(tǒng)性能日益增長的需求，同時又能符合最新的安全和應用要求。這種新設計擁有集成式安全校驗器和并行I/O處理器，有助于優(yōu)化多核平臺上的軟件和安全策略。MPC5746M最適合內(nèi)燃機、混合動力系統(tǒng)和傳輸系統(tǒng);隨著車輛聯(lián)網(wǎng)程度提高，它還有助于識別和預防電子系統(tǒng)故障，保護車輛免受可能的軟件攻擊。作為滿足SafeAssure解決方案的MPC5746M，其結(jié)構(gòu)和設計過程有助于縮短設計時間，降低遵從ISO 26262標準開發(fā)汽車安全應用的復雜性。MPC5746M運用飛思卡爾在使用創(chuàng)新內(nèi)存安全概念的多核安全平臺領(lǐng)域的可靠專業(yè)經(jīng)驗，采用延遲鎖步內(nèi)核、端到端糾錯碼及數(shù)據(jù)校正防止重大故障等功能，使安全應用滿足最嚴格的汽車安全完整性等級ASIL-D的要求。