摘要

　　微处理器 (MCU) 是 ECU 中的关键组件。使用传统的汽车MCU不可能达到 SIL3 认证要求。需要采用全新的芯片架构，以确保处理结果、总线流量的数据完整性以及存储器中数据的安全性与可靠性，同时满足严格的响应时间要求。

　　开发人员可充分利用市场上的微处理器，为 ECU 制动控制功能达到 SIL3 认证标准提供所需技术。TI 与罗伯特•博世有限公司 (Robert Bosch GmbH) 联合开发的 TMS570 就是一款这样的微处理器。

　　对于任何主要的汽车系统功能而言，电子底盘管理技术都具有极大的吸引力，但由于种种原因，该技术还很难实现，更不用说在安全与可靠性方面还面临众多难题。不过，为应对当前面临的安全规定挑战，国际电工委员会 (IEC) 已针对电气/电子/可编程电子安全相关系统的功能安全性定义了相关标准。目前，IEC 61508 被视为安全关键型系统开发领域的最高级标准。尽管该标准尚未被以法律的形式全面强制实施，但还是希望汽车系统设计人员能够满足这一实际的技术标准要求。汽车系统设计人员在构建应用的功能安全性时必须考虑到从输入传感器到数字处理和传动装置等整个信号链的要求。

　　图 1. 总体系统的功能安全性依靠设备响应于输入进行正常工作。

　　IEC 61508 将“危险”与“风险分析”作为系统设计的一部分，并将电子控制单元 (EleCTRonIC Control Unit) 的“功能安全性”定义为“整体安全性的一部分——取决于系统或设备能否对其输入进行正确响应”。系统的每项安全功能均根据“要求”(该功能需要完成什么工作)和“完整性”(圆满执行该功能的可能性)进行评估。此外，该标准还进一步将高强度工作模式或持续工作模式下安全功能发生危险故障的概率分为四种不同的“安全完整性等级”(SIL)。每种等级涵盖一定范围的可接受故障率，也就是“平均故障间隔时间”(MTTF)，而 SIL4 是其中最严格的标准。SIL 评级适用于包括汽车业在内的许多行业，每种 SIL 分级的定义均适用于各自行业领域。安全完整性等级中的 SIL2 和 SIL3 是非道路应用中最常见的安全级别。

　　根据安全功能和重要性的不同，汽车系统可遵从IEC 61508标准下的SIL2或SIL3规定。自检测系统的可靠性要求多级统计获得的“安全故障系数” (SFF) 达到 99%，可靠性参数的具体计算方式为检测到的危险故障(包括非危险故障)与所有故障之比。“诊断覆盖率” (DC) 是指检测到的危险故障相对于所有危险故障之比。此外，对于安全关键型汽车系统来说，DC 应达到 99%。

　　能否通过汽车系统的 SIL3 认证，通常取决于启动并控制机械系统的电子控制单元 (ECU) 的性能。诸如德国莱茵集团 (TÜV Rheinland) 等独立安全评估机构负责汽车系统的 ECU 评估和 SIL3 认证工作。TÜV 是一家国际化的服务集团，可颁发产品、系统及服务的安全和质量证书。

　　任务关键型集成机械系统(如制动)还不能完全被电子产品取代。但任何 SIL3 认证要求的高级机械或电子安全性均需通过利用冗余系统来实现，电子系统有助于广泛实施冗余。

　　电子子系统的 SIL3 认证

　　用电子系统取代液压或机械系统，必然使OEM、汽车制造商及消费者各方充分受益。电子系统可消除内燃机的皮带传动负担，从而有助于降低成本、重量与燃油消耗。

　　汽车制造商可用机械解决方案取代液压制动助力器，并最终完全取消液压传动系统，实现完全电控的线控制动系统。不过，这一革命性转变需要实施冗余系统或后备系统(类似于航空电子系统)，才能避免在危险时刻车辆可能完全丧失制动能力的风险。期间的过度性步骤包括“混合制动”模式，也就是只在车辆的一个而不是两个车轴上安装液压后备系统即可。

　　图 2. 尽管完全电控的线控制动系统仍处于开发阶段，但用电气解决方案取代液压助力器有助于大幅降低燃油消耗、成本及噪声。

　　微处理器 (MCU) 是 ECU 中的关键组件。使用传统的汽车 MCU 不可能达到 SIL3 认证要求。需要采用全新的芯片架构，以确保处理结果、总线流量的数据完整性以及存储器中数据的安全性与可靠性，同时满足严格的响应时间要求。

[1] [2]  下一页