新闻中心

EEPW首页 > 嵌入式系统 > 设计应用 > 基于FPGA的汽车ECU设计充分符合AUTOSAR和ISO 26262标准

基于FPGA的汽车ECU设计充分符合AUTOSAR和ISO 26262标准

作者:Francisco Mariano时间:2014-02-14来源:摘自《电子发烧友》收藏

  详解

本文引用地址:http://www.eepw.com.cn/article/221573.htm

  近年来,电子组件已经取代了车辆中的机械系统和液压系统。随着设计人员开始用软件实现更多的控制、监控和诊断功能,这种趋势正在持续。实际上,用电子技术能够实现仅用机械和液压解决方案无法开发者开发成本高的新功能。但这些部件必须满足严格的安全要求,以避免出错和故障。

  虽然软件相关的故障目前来看比较罕见,但随着软件在汽车这种工业制品中用量的不断增加,系统变得日趋复杂,加上产品开发周期的缩短,最终可能导致产品故障。为解决这个问题,汽车产业通过结盟和实施标准,确保使用和开发安全可靠的软件。

  比如汽车工业软件可靠性协会 (MISRA) 就是由福特和美洲豹路虎这样的汽车制造商、组件供应商和工程咨询方组成的团体。通过制定一系列软件编程规则,MISRA旨在在道路车辆的车载安全相关电子系统和其他嵌入式系统的开发工作中推广最佳实践。

  汽车开放系统架构 () 是来自电子、半导体和软件行业的汽车制造商、供应商和其他公司组建的联合体为解决几项重大问题而制定的一种事实上的汽车电气/电子(E/E)架构开放行业标准。这几项重大问题包括:控制随功能不断增加而导致的日益提高的车载电气/电子系统复杂性;提高灵活性以便产品的修改、升级和更新;在产品线内部以及跨产品线提高解决方案的可扩展性;改善电气/电子系统的质量和可靠性;实现设计初期阶段的出错检测。

  这个架构面临的挑战是必须集成广泛供应商提供的日益丰富的软件和电子技术。通过简化软硬件的交换和更新选项, 架构为可靠地控制汽车车载电气/电子系统日益提高的复杂性奠定了基础,同时在保证质量的情况下改善了成本效益。

  AUTOSAR 架构制定于 2003 年,是更早期的 OSEK/VDX 联合体的自然发展。OSEK/VDX 联合体诞生于十年之前,由部分德国和法国汽车制造商主推。由于有更远大的目标,AUTOSAR如今已经为世界各地大部分汽车制造商采用。

  AUTOSAR 架构的核心成员包括宝马集团、博世、大陆、戴姆勒、福特、通用汽车、雪铁龙、丰田和大众集团。除了这些核心成员公司,另有 160 余家其他成员为联合体的成功发挥着重大作用。由此,在“在标准上合作,在设计上竞争”的口号的指引下,汽车制造商和供应商联合一致,共同制定了这个旨在实现车载电气/电子设计突破的开放标准化系统架构。

  功能安全性

  与此类似,IEC 61508 是负责管理电气、电子和可编程电子系统和组件的功能安全性的国际电工委员会的一般性标准,自 2004 年生效以来已经得到世界各地的认可,适用于各个领域的安全相关系统。

  在专门为功能安全性制定的其他标准中,有一项系专门为汽车行业的功能安全性制定,这就是国际标准化组织的 ISO 26262。这项新标准尚在制定过程中,预计将于 2012 年颁布,旨在支持和推动汽车行业中安全产品的开发工作。它覆盖了从构想、产品开发、生产和经营的所有安全工作。

  事实上,功能安全,即不允许发生因电气/电气系统的功能失常导致的危险性造成不可接受的风险,业已成为汽车设计中的一项重要要求。该拟在近期颁布的标准专门针对汽车行业的实际情况,定义了可接受的风险,重在防范恶性故障。为此,“风险”一词的定义为发生伤害或者损害的可能性及伤害或者损害的严重性。在工程开发阶段,该标准要求提前评估所有潜在的危险和风险,并要求开发人员采取适当的措施尽最大可能予以消除。ISO 26262 提供了适当的要求和流程,指导如何避免这些风险。

  根据该标准的要求,汽车的功能被分成安全相关功能和非安全相关功能两大类。安全相关功能指如果功能失常就会给驾驶员带来风险的功能。对分类为安全相关功能的功能,该标准进一步设定了数个可能的风险等级。就是说从确保具体的安全目标的角度出发,某些功能的比另一些功能更加关键。

  根据可能发生的事故的严重性、出现特定驾驶状况的概率、采用外部措施降低风险的程度,该标准定义了一系列汽车安全完整性等级 (ASIL))。该系列等级具体分为四个等级,从 D 到 A。D 代表最高安全等级,A 代表最低安全等级。每个 ASIL 等级都列明汽车制造商和供应商必须满足的要求或建议,以将“不可容许的严重风险”降低为可容许残余风险。

  例如,如果在车辆行驶中方向盘轴被卡住,驾驶员就可能遭遇事故,因为驾驶员无法转动方向盘。为将该风险降低到可容许的水平,方向盘轴控制功能的设计就必须根据 ISO 26262 标准和为此安全目标设定的 ASIL 等级满足一定的安全设计标准。

  软件开发人员和硬件开发人员必须依据每一项安全目标的 ASIL 等级,在实现涉及的功能的时候思考具体的安全措施。对高安全等级的 ASIL(D 或 C),常用的设计方法是将安全要求分解为冗余安全要求,以便采用充分独立的元件在较低的 ASIL 等级上满足 ASIL 容许度要求。换句话说,就是将原始的安全要求用不同的处理器(一般为 MCU)冗余地实现,采用冗余通道最大程度地降低恶性故障发生的概率。

  最后,制造商和供应商需要向认证机构证明自己的电气/电子系统能够根据行业专门的规定安全可靠地提供要求的功能。


上一页 1 2 3 4 5 下一页

评论


相关推荐

技术专区

关闭