飞思卡尔SafeAssure功能安全保障方案应对汽车安全设计需求

从汽车诞生开始，人们就没有停止过对汽车安全驾驶的追求。最早的安全带以及后来的安全气囊等被动安全措施挽救了数千万人的生命，后来发展起来的ABS（防抱死制动系统）、ESP（电子稳定程序）、EBD（电子制动力分配系）等主动安全功能让汽车安全性再次大大提高。但尽管如此，交通事故依然是最大非自然死伤原因之一。

图1：世界卫生组织统计：全球每年因交通事故死亡130万人，并有5000万人受伤。

“随着系统复杂性的提高，以及软件和机电设备的大量应用，因为系统失效和随机硬件失效导致的交通事故风险也日益增加。因此，近年开始出现了新的汽车安全概念——安全性预测。”在近日召开的“2012产业和技术展望媒体研讨会”上，飞思卡尔亚太区汽车及工业解决方案事业部全球产品市场经理郗蕴侠（Yolanda）博士指出，“安全性预测即汽车里的一些系统能实时检测故障，在故障发生之前就能预警防止故障发生，这就是当前大家倡导的汽车功能安全的概念。”为此，飞思卡尔推出了命名为“SafeAssure”的安全保障方案，旨在帮助系统制造商更加轻松地满足汽车和工业市场中的功能安全标准要求，并大大降低开发难度、缩短开发周期。

图2：汽车安全系统的演变——基于安全性预测的功能安全出现。

从IEC61508到ISO 26262，看汽车功能安全演变

2011年11月推出ISO 26262之前，汽车行业遵照的功能安全标准是电子、电气及可编程器件功能安全基本标准IEC 61508。然而，作为一种通用基础安全标准，对于汽车行业的特殊性而言，该标准有很多的不足，特别是近年来汽车系统的复杂性日益增长的条件下。从IEC 61508派生出来的ISO 26262为当前汽车行业量身定制，特别是ISO 26262对于硬件研发、软件研发的要求适合于当前先进的汽车工业的实际现状。

ISO 26262标准根据安全风险程度对系统或系统某组成部分确定划分由A到D的安全需求等级（汽车安全完整性等级——ASIL），其中ASIL D级为最高等级，具有最苛刻的安全要求。对系统供应商而言，必须满足这些因为安全等级提高而提出的更高的设计要求。

安全事件总是和通常的功能、质量相关的研发活动以及产品生产伴随在一起。ISO26262强调了研发活动和产品生产的安全相关各个方面，并为汽车安全提供了一个生命周期理念，在这些生命周期阶段中提供必要的支持。ISO26262涵盖了功能安全方面的整体开发过程，包括规划、设计、实施、集成、验证、确认和配置。 [page]

SafeAssure安全保障方案

在ISO26262推出前两个月，飞思卡尔SafeAssure安全保障方案就在业内率先推出。“SafeAssure是针对汽车和工业市场功能安全标准设计的解决方案，帮助企业简化达标的流程，缩短开发时间和降低复杂性。”Yolanda指出，“基于SafeAssure功能安全保障方案，厂商可以轻松实现从ASIL-A至D以及SIL-1至4等级的系统安全标准。”

图3：Freescale郗蕴侠：基于SafeAssure功能安全保障方案，厂商可以轻松实现从ASIL-A至D等级的系统安全标准。

SafeAssure保障方案涵盖飞思卡尔系列的技术，包括微控制器、模拟和电源管理IC以及传感器。SafeAssure安全保障方案对厂商提供了四个方面的支持，包括：

安全流程：挑选那些定义和设计之初就以符合各项标准要求为目标的产品，使功能安全成为产品开发流程的一个完整组成部分。

安全硬件：故障控制通过在飞思卡尔微控制器、电源管理IC和传感器中内置的安全功能实现，例如自测、监控和基于硬件的冗余。飞思卡尔汽车模拟器件解决方案提供了额外的系统级安全功能，包括检查微控制器时序、电压和故障管理。

安全软件：全面的汽车功能安全软件产品，包括AUTOSAR OS、MCAL、驱动和内核自测功能，并与领先的第三方软件提供商合作推出更多的安全软件解决方案。

安全支持：飞思卡尔利用自身覆盖广泛的技术能力，提供功能安全架构有关的客户培训和系统设计审核，以及广泛的安全文档和技术支持。

SafeAssure主要目标是化繁为简，为简化失效故障分析，飞思卡尔还提供一个重要分析工具——失效模式、效果和诊断分析（FMEDA），这个工具分析客户整个数据，最后算出的结果是不是达到功能安全所需要的要求。FMEDA工具可以帮助客户根据其应用来计算最后功能安全结果，从而使SafeAssure方案有效简化功能安全设计工作。

从MPC5643L单片机看功能安全机制

Yolanda指出：“硬件安全的理念主要通过检测和消除随机硬件故障，利用内置的安全机制，包括自检、监测和基于硬件的冗余设计来实现。”厂商可以充分利用在飞思卡尔微控制器、电源管理IC和传感器中内置的功能安全机制实现有效的故障控制，从而实现目标市场对功能安全设计的要求。

功能安全设计需要针对可能出现功能失效进行预测，包括单点失效、潜在失效和共因失效。按照ISO 26262的最高等级ASIL D的要求，所设计的系统要能检测出大于99%的单点失效率，潜在失效检测要超过90%。例如，如果一个系统的每小时失效率低于10-8，则落到单片机的每小时失效率必须低于10-9。“在我们的单片机设计过程中更严格，错误概率更小。”Yolanda表示，“MPC5643L就是飞思卡尔针对功能安全推出的一款单片机产品，这款产品的设计体现了功能安全的设计理念。”

冗余设计是有效提高系统失效安全的有效措施之一，MPC5643L中充分利用了冗余设计确保严格的功能安全标准要求。MPC5643L采用了双e200Core内核锁步(lockstep)工作模式，一个内核工作的同时另一个内核进行监测。此外，MPC5643L还对主要的模块如看门狗定时器、内存相关控制单元、总线及外设都进行了冗余。而且，为了防止单点失效，MPC5643L内置的闪存还具有自动纠错功能。

[page]

通常，很多系统开始都能正常工作，但是过了几年之后，因为外部一些因素触发而可能产生一些失效故障，这就是潜在失效的概念，功能安全设计需考虑潜在失效。“过去潜在失效的防范都是由软件实现，软件每一次在单片机复位以后都会对所有的内存或者是逻辑进行一次校验。而在MPC5643L中，将校验功能由硬件实现，即内置自测，这是功能安全对单片机非常重要的要求，这种自测功能可以把内存或者是逻辑以及外设的一些错误检测覆盖率达到90%以上。”Yolanda指出。

除此之外还需要考虑共因失效。“共因失效是什么呢？比如说时钟，它会提供给很多模块，还有电压也会提供给整个的单片机。此外，温度也是重要考虑的问题，如果一旦芯片温度过高，也可能导致芯片失效。”Yolanda解释了共因失效的定义，“这些共因失效都需要检测，MPC5643L对时钟、电压以及温度都有检测。”从成本考虑以及应用环境的原因，通常的应用中单片机并不具有温度传感器这些考虑共因失效的功能特性。

除此之外，MPC5643L内部还集成了一个独立于CPU的错误收集和应对模块（FCCU），该模块在时钟上也跟CPU独立开，可以完全独立操作，把这些错误收集起来并做相应的应对措施。这个功能模块也是传统单片机所不具备的。

图4：功能安全处理器MPC5643L充分利用了硬件冗余设计等多种失效保障机制。

本文小结

据Yolanda指出，目前基于功能安全的安全性预测在欧美和日本等发达市场已经发展得非常成熟，很多相关的产品即将推入市场，而在中国国内才刚刚开始起步。高级驾驶员辅助系统作为安全性预测的标志性应用，目前已经进入很多高端汽车的研发流程。

以飞思卡尔公司为例，对高级驾驶员辅助系统提供了全部整套的解决方案，包括后视的停车辅助、全景辅助、前景安全性预测(车道偏离预警、自动巡航系统，等等)。事实上，目前很多全球领先的汽车半导体解决方案提供商都将目标瞄准高级驾驶员辅助系统，基于功能安全的汽车安全性预测的广泛应用指日可待。