從飛思卡爾SafeAssure功能安全保障方案看汽車安全設(shè)計(jì)

　　從汽車誕生開(kāi)始，人們就沒(méi)有停止過(guò)對(duì)汽車安全駕駛的追求。最早的安全帶以及后來(lái)的安全氣囊等被動(dòng)安全措施挽救了數(shù)千萬(wàn)人的生命，后來(lái)發(fā)展起來(lái)的ABS(防抱死制動(dòng)系統(tǒng))、ESP(電子穩(wěn)定程序)、EBD(電子制動(dòng)力分配系)等主動(dòng)安全功能讓汽車安全性再次大大提高。但盡管如此，交通事故依然是最大非自然死傷原因之一。

　　“隨著系統(tǒng)復(fù)雜性的提高，以及軟件和機(jī)電設(shè)備的大量應(yīng)用，因?yàn)橄到y(tǒng)失效和隨機(jī)硬件失效導(dǎo)致的交通事故風(fēng)險(xiǎn)也日益增加。因此，近年開(kāi)始出現(xiàn)了新的汽車安全概念——安全性預(yù)測(cè)。”在近日召開(kāi)的“2012產(chǎn)業(yè)和技術(shù)展望媒體研討會(huì)”上，飛思卡爾亞太區(qū)汽車及工業(yè)解決方案事業(yè)部全球產(chǎn)品市場(chǎng)經(jīng)理郗蘊(yùn)俠(Yolanda)博士指出，“安全性預(yù)測(cè)即汽車?yán)锏囊恍┫到y(tǒng)能實(shí)時(shí)檢測(cè)故障，在故障發(fā)生之前就能預(yù)警防止故障發(fā)生，這就是當(dāng)前大家倡導(dǎo)的汽車功能安全的概念。”為此，飛思卡爾推出了命名為“SafeAssure”的安全保障方案，旨在幫助系統(tǒng)制造商更加輕松地滿足汽車和工業(yè)市場(chǎng)中的功能安全標(biāo)準(zhǔn)要求，并大大降低開(kāi)發(fā)難度、縮短開(kāi)發(fā)周期。

　　圖1：世界衛(wèi)生組織統(tǒng)計(jì)：全球每年因交通事故死亡130萬(wàn)人，并有5000萬(wàn)人受傷。

　　圖2：汽車安全系統(tǒng)的演變——基于安全性預(yù)測(cè)的功能安全出現(xiàn)。

　　從IEC61508到ISO 26262，看汽車功能安全演變

　　2011年11月推出ISO 26262之前，汽車行業(yè)遵照的功能安全標(biāo)準(zhǔn)是電子、電氣及可編程器件功能安全基本標(biāo)準(zhǔn)IEC 61508。然而，作為一種通用基礎(chǔ)安全標(biāo)準(zhǔn)，對(duì)于汽車行業(yè)的特殊性而言，該標(biāo)準(zhǔn)有很多的不足，特別是近年來(lái)汽車系統(tǒng)的復(fù)雜性日益增長(zhǎng)的條件下。從IEC 61508派生出來(lái)的ISO 26262為當(dāng)前汽車行業(yè)量身定制，特別是ISO 26262對(duì)于硬件研發(fā)、軟件研發(fā)的要求適合于當(dāng)前先進(jìn)的汽車工業(yè)的實(shí)際現(xiàn)狀。

　　ISO 26262標(biāo)準(zhǔn)根據(jù)安全風(fēng)險(xiǎn)程度對(duì)系統(tǒng)或系統(tǒng)某組成部分確定劃分由A到D的安全需求等級(jí)(汽車安全完整性等級(jí)——ASIL)，其中ASIL D級(jí)為最高等級(jí)，具有最苛刻的安全要求。對(duì)系統(tǒng)供應(yīng)商而言，必須滿足這些因?yàn)榘踩燃?jí)提高而提出的更高的設(shè)計(jì)要求。

　　安全事件總是和通常的功能、質(zhì)量相關(guān)的研發(fā)活動(dòng)以及產(chǎn)品生產(chǎn)伴隨在一起。ISO26262強(qiáng)調(diào)了研發(fā)活動(dòng)和產(chǎn)品生產(chǎn)的安全相關(guān)各個(gè)方面，并為汽車安全提供了一個(gè)生命周期理念，在這些生命周期階段中提供必要的支持。ISO26262涵蓋了功能安全方面的整體開(kāi)發(fā)過(guò)程，包括規(guī)劃、設(shè)計(jì)、實(shí)施、集成、驗(yàn)證、確認(rèn)和配置。

　　SafeAssure安全保障方案

　　在ISO26262推出前兩個(gè)月，飛思卡爾SafeAssure安全保障方案就在業(yè)內(nèi)率先推出。“SafeAssure是針對(duì)汽車和工業(yè)市場(chǎng)功能安全標(biāo)準(zhǔn)設(shè)計(jì)的解決方案，幫助企業(yè)簡(jiǎn)化達(dá)標(biāo)的流程，縮短開(kāi)發(fā)時(shí)間和降低復(fù)雜性。”Yolanda指出，“基于SafeAssure功能安全保障方案，廠商可以輕松實(shí)現(xiàn)從ASIL-A至D以及SIL-1至4等級(jí)的系統(tǒng)安全標(biāo)準(zhǔn)。”

　　圖3：Freescale郗蘊(yùn)俠：基于SafeAssure功能安全保障方案，廠商可以輕松實(shí)現(xiàn)從ASIL-A至D等級(jí)的系統(tǒng)安全標(biāo)準(zhǔn)。

　　SafeAssure保障方案涵蓋飛思卡爾系列的技術(shù)，包括微控制器、模擬和電源管理IC以及傳感器。SafeAssure安全保障方案對(duì)廠商提供了四個(gè)方面的支持，包括：

　　安全流程：挑選那些定義和設(shè)計(jì)之初就以符合各項(xiàng)標(biāo)準(zhǔn)要求為目標(biāo)的產(chǎn)品，使功能安全成為產(chǎn)品開(kāi)發(fā)流程的一個(gè)完整組成部分。

　　安全硬件：故障控制通過(guò)在飛思卡爾微控制器、電源管理IC和傳感器中內(nèi)置的安全功能實(shí)現(xiàn)，例如自測(cè)、監(jiān)控和基于硬件的冗余。飛思卡爾汽車模擬器件解決方案提供了額外的系統(tǒng)級(jí)安全功能，包括檢查微控制器時(shí)序、電壓和故障管理。

　　安全軟件：全面的汽車功能安全軟件產(chǎn)品，包括AUTOSAR OS、MCAL、驅(qū)動(dòng)和內(nèi)核自測(cè)功能，并與領(lǐng)先的第三方軟件提供商合作推出更多的安全軟件解決方案。

　　安全支持：飛思卡爾利用自身覆蓋廣泛的技術(shù)能力，提供功能安全架構(gòu)有關(guān)的客戶培訓(xùn)和系統(tǒng)設(shè)計(jì)審核，以及廣泛的安全文檔和技術(shù)支持。

　　SafeAssure主要目標(biāo)是化繁為簡(jiǎn)，為簡(jiǎn)化失效故障分析，飛思卡爾還提供一個(gè)重要分析工具——失效模式、效果和診斷分析(FMEDA)，這個(gè)工具分析客戶整個(gè)數(shù)據(jù)，最后算出的結(jié)果是不是達(dá)到功能安全所需要的要求。FMEDA工具可以幫助客戶根據(jù)其應(yīng)用來(lái)計(jì)算最后功能安全結(jié)果，從而使SafeAssure方案有效簡(jiǎn)化功能安全設(shè)計(jì)工作。