中心議題：

• 汽車安全概念——安全性預測

解決方案：

• SafeAssure 安全保障方案

就在您閱讀完本文不到十分鍾的時間內，全球大概有超過二十人已經因為車禍離開這個世界，而其中大約有90%是來自像中國這樣的發展中國家（數據參考世界衛 生組織統計）。汽車造福人類的同時，在全球科技空前發達的今天，因為交通事故帶來如此重大的公共安全威脅不啻為人類的一大悲劇。

從(cong)汽(qi)車(che)誕(dan)生(sheng)開(kai)始(shi)，人(ren)們(men)就(jiu)沒(mei)有(you)停(ting)止(zhi)過(guo)對(dui)汽(qi)車(che)安(an)全(quan)駕(jia)駛(shi)的(de)追(zhui)求(qiu)。最(zui)早(zao)的(de)安(an)全(quan)帶(dai)以(yi)及(ji)後(hou)來(lai)的(de)安(an)全(quan)氣(qi)囊(nang)等(deng)被(bei)動(dong)安(an)全(quan)措(cuo)施(shi)挽(wan)救(jiu)了(le)數(shu)千(qian)萬(wan)人(ren)的(de)生(sheng)命(ming)
，後(hou)來(lai)發(fa)展(zhan)起(qi)來(lai)的(de)ABS（防 抱死製動係統）、ESP（電子穩定程序）、EBD（電子製動力分配係）等主動安全功能讓汽車安全性再次大大提高。但盡管如此
，交通事故依然是最大非自然死 傷原因之一。



“隨(sui)著(zhe)係(xi)統(tong)複(fu)雜(za)性(xing)的(de)提(ti)高(gao)，以(yi)及(ji)軟(ruan)件(jian)和(he)機(ji)電(dian)設(she)備(bei)的(de)大(da)量(liang)應(ying)用(yong)
，因(yin)為(wei)係(xi)統(tong)失(shi)效(xiao)和(he)隨(sui)機(ji)硬(ying)件(jian)失(shi)效(xiao)導(dao)致(zhi)的(de)交(jiao)通(tong)事(shi)故(gu)風(feng)險(xian)也(ye)日(ri)益(yi)增(zeng)加(jia)。因(yin)此(ci)，近(jin)年(nian)開(kai)始(shi)出(chu)現(xian)了(le)新(xin)的(de)汽(qi)車(che)安(an)全(quan)概(gai) 念——安全性預測。”在近日召開的“2012產業和技術展望媒體研討會”上，飛思卡爾亞太區汽車及工業解決方案事業部全球產品市場經理郗蘊俠 （Yolanda）博士指出，“安全性預測即汽車裏的一些係統能實時檢測故障，在故障發生之前就能預警防止故障發生，這就是當前大家倡導的汽車功能安全的 概念。”為此，飛思卡爾推出了命名為“SafeAssure”的安全保障方案，旨在幫助係統製造商更加輕鬆地滿足汽車和工業市場中的功能安全標準要求
，並 大大降低開發難度、縮短開發周期。



從IEC61508到ISO 26262，看汽車功能安全演變
2011年11月推出ISO 26262之前


，汽車行業遵照的功能安全標準是電子、電氣及可編程器件功能安全基本標準IEC 61508。然ran而er

，作zuo為wei一yi種zhong通tong用yong基ji礎chu安an全quan標biao準zhun，對dui於yu汽qi車che行xing業ye的de特te殊shu性xing而er言yan
，該gai標biao準zhun有you很hen多duo的de不bu足zu，特te別bie是shi近jin年nian來lai汽qi車che係xi統tong的de複fu雜za性xing日ri益yi增zeng長chang的de條tiao件jian下xia。從congIEC 61508派生出來的ISO 26262為當前汽車行業量身定製，特別是ISO 26262對於硬件研發
、軟件研發的要求適合於當前先進的汽車工業的實際現狀。

ISO 26262標準根據安全風險程度對係統或係統某組成部分確定劃分由A到D的安全需求等級（汽車安全完整性等級——ASIL），其中ASIL D級為最高等級
，具有最苛刻的安全要求。對係統供應商而言
，必須滿足這些因為安全等級提高而提出的更高的設計要求。

安全事件總是和通常的功能、質量相關的研發活動以及產品生產伴隨在一起。ISO26262強調了研發活動和產品生產的安全相關各個方麵，並為汽車安全提供 了一個生命周期理念，在這些生命周期階段中提供必要的支持。ISO26262涵蓋了功能安全方麵的整體開發過程，包括規劃、設計、實施
、集成、驗證、確認 和配置。[page]

SafeAssure安全保障方案
在ISO26262推出前兩個月


，飛思卡爾SafeAssure安全保障方案就在業內率先推出。“SafeAssure是針對汽車和工業市場功能安全標準 設計的解決方案，幫助企業簡化達標的流程
，縮短開發時間和降低複雜性。”Yolanda指出，“基於SafeAssure功能安全保障方案，廠商可以輕鬆 實現從ASIL-A至D以及SIL-1至4等級的係統安全標準。”



SafeAssure保障方案涵蓋飛思卡爾係列的技術
，包括微控製器、模擬和電源管理IC以及傳感器。SafeAssure安全保障方案對廠商提供了四個方麵的支持，包括：
安全流程：挑選那些定義和設計之初就以符合各項標準要求為目標的產品，使功能安全成為產品開發流程的一個完整組成部分。
安全硬件：故障控製通過在飛思卡爾微控製器、電源管理IC和傳感器中內置的安全功能實現，例如自測、監控和基於硬件的冗餘。飛思卡爾汽車模擬器件解決方案提供了額外的係統級安全功能，包括檢查微控製器時序
、電壓和故障管理。
安全軟件：全麵的汽車功能安全軟件產品，包括AUTOSAR OS、MCAL

、驅動和內核自測功能
，並與領先的第三方軟件提供商合作推出更多的安全軟件解決方案。
安全支持：飛思卡爾利用自身覆蓋廣泛的技術能力，提供功能安全架構有關的客戶培訓和係統設計審核，以及廣泛的安全文檔和技術支持。

SafeAssure主要目標是化繁為簡，為簡化失效故障分析，飛思卡爾還提供一個重要分析工具——失效模式
、效果和診斷分析（FMEDA），這個工具分 析客戶整個數據，最後算出的結果是不是達到功能安全所需要的要求。FMEDA工具可以幫助客戶根據其應用來計算最後功能安全結果，從而使 SafeAssure方案有效簡化功能安全設計工作。

從MPC5643L單片機看功能安全機製
Yolanda指出：“硬件安全的理念主要通過檢測和消除隨機硬件故障

，利用內置的安全機製，包括自檢、監測和基於硬件的冗餘設計來實現。”廠商可以充分 利用在飛思卡爾微控製器、電源管理IC和傳感器中內置的功能安全機製實現有效的故障控製，從而實現目標市場對功能安全設計的要求。

功能安全設計需要針對可能出現功能失效進行預測，包括單點失效
、潛在失效和共因失效。按照ISO 26262的最高等級ASIL D的要求

，所設計的係統要能檢測出大於99%的單點失效率，潛在失效檢測要超過90%。例如
，如果一個係統的每小時失效率低於10-8，則落到單片機的每 小時失效率必須低於10-9。“在我們的單片機設計過程中更嚴格
，錯誤概率更小。”Yolanda表示

，“MPC5643L就是飛思卡爾針對功能安全推出 的一款單片機產品，這款產品的設計體現了功能安全的設計理念。”

冗餘設計是有效提高係統失效安全的有效措施之一
，MPC5643L中充分利用了冗餘設計確保嚴格的功能安全標準要求。MPC5643L采用了雙 e200Core內核鎖步(lockstep)工作模式，一個內核工作的同時另一個內核進行監測。此外，MPC5643L還對主要的模塊如看門狗定時器、 內存相關控製單元
、總線及外設都進行了冗餘。而且，為了防止單點失效
，MPC5643L內置的閃存還具有自動糾錯功能。

tongchang，henduoxitongkaishidounengzhengchanggongzuo
，danshiguolejinianzhihou

，yinweiwaibuyixieyinsuchufaerkenengchanshengyixieshixiaoguzhang，zhejiushiqianzaishixiaodegainian，gongnenganquanshejixukaolvqianzaishixiao。 “過去潛在失效的防範都是由軟件實現，軟件每一次在單片機複位以後都會對所有的內存或者是邏輯進行一次校驗。而在MPC5643L中
，將校驗功能由硬件實 現，即內置自測
，這是功能安全對單片機非常重要的要求
，這種自測功能可以把內存或者是邏輯以及外設的一些錯誤檢測覆蓋率達到90%以上。”Yolanda 指出。

除此之外還需要考慮共因失效。“共因失效是什麼呢
？比如說時鍾，它會提供給很多模塊，還有電壓也會提供給整個的單片機。此外
，溫度也是重要考慮的問題，如 果一旦芯片溫度過高，也可能導致芯片失效。”Yolanda解釋了共因失效的定義
，“這些共因失效都需要檢測

，MPC5643L對時鍾、電壓以及溫度都有 檢測。”從成本考慮以及應用環境的原因，通常的應用中單片機並不具有溫度傳感器這些考慮共因失效的功能特性。[page]

除此之外
，MPC5643L內部還集成了一個獨立於CPU的錯誤收集和應對模塊（FCCU），該模塊在時鍾上也跟CPU獨立開，可以完全獨立操作，把這些錯誤收集起來並做相應的應對措施。這個功能模塊也是傳統單片機所不具備的。



本文小結
據Yolanda指zhi出chu
，目mu前qian基ji於yu功gong能neng安an全quan的de安an全quan性xing預yu測ce在zai歐ou美mei和he日ri本ben等deng發fa達da市shi場chang已yi經jing發fa展zhan得de非fei常chang成cheng熟shu，很hen多duo相xiang關guan的de產chan品pin即ji將jiang推tui入ru市shi場chang

，而er在zai中zhong國guo國guo內nei才cai剛gang剛gang開kai始shi起qi 步bu。高gao級ji駕jia駛shi員yuan輔fu助zhu係xi統tong作zuo為wei安an全quan性xing預yu測ce的de標biao誌zhi性xing應ying用yong，目mu前qian已yi經jing進jin入ru很hen多duo高gao端duan汽qi車che的de研yan發fa流liu程cheng。以yi飛fei思si卡ka爾er公gong司si為wei例li
，對dui高gao級ji駕jia駛shi員yuan輔fu助zhu係xi統tong提ti供gong了le全quan部bu整zheng套tao的de解jie 決方案，包括後視的停車輔助、全景輔助
、前景安全性預測(車道偏離預警

、自動巡航係統，等等)。事實上，目前很多全球領先的汽車半導體解決方案提供商都將 目標瞄準高級駕駛員輔助係統，基於功能安全的汽車安全性預測的廣泛應用指日可待。