汽车车身计算机中的安全性能

开车是一件非常危险的事情。对于跳伞运动员来说，最危险的实际是开车从家到机场这段路程。2002年，欧洲总共有46000多人死于车祸。这个数字比这一地区的艾滋病、脑膜炎、吸毒、哮喘和暴力犯罪及火灾的死亡总人数还要高 。 　　政府对这一统计数字感到非常震惊，多年来一直试图通过诉讼方式，改进这些车辆的安全状况，预防其对公众造成的伤害。自英国于1861年第一次制定出每小时不超过10英里 的速度限制，到美国最近制定胎压监测立法（这部法律将于2007年8月生效实施 ），人类就从未停止旨在提高道路安全的努力。 　　不仅仅是政府感到有义务改进车辆的安全性能，公众也非常想购买更为安全的汽车。因此，汽车行业一直在朝这个方向努力。NCAP最近的调查 显示，安全性能是继价格和功能之后，消费者在购买新车时最关心的问题。 　　在NCAP测试中达到4星或4星以上的安全性能评级，可以将严重或致命伤害的几率减少30% 。这清晰地表明，消费者对更为安全的汽车功能的需求日益增加，并且这些安全功能在挽救生命方面也变得越来越有效。 　　第一辆在NCAP安全标准中获得5星的汽车是2001年3月生产的雷诺Laguna ，其它汽车的安全标准也接近5星，这表明不但乘客和司机的安全保护得到较大提高，行人的安全也有了保障。 　　所面临的问题 　　随着当今生产的汽车越来越多地加入电子元器件，很显然，这些系统的安全也变得越来越重要。飞机早在几年前就开始使用“线控飞行”系统，但它目前还没有遇到汽车行业所面临的价格压力。一些航空系统经常使用系统的冗余性，对一些特定系统，有时甚至达到了“四倍冗余” 。汽车行业向自己发出挑战，它必须在不增加汽车成本的情况下达到类似的水平。现在，该是一级制造商及其供应商提出创新解决方案，以极具竞争力的价格解决重要的安全问题的时候了。 SIL水平 　　1998年，IEC发布了61508标准。该标准中包含一些如何把电子系统中的故障降到最低限度的要求。它给出了系统完整性或其“SIL”水平的几个定义。根据每小时出现的危险故障的几率，可以对应用和系统进行如下分类： 　　1 FIT (Failure In Time)就相当于每小时的危险故障几率为10-9，因此，完整的系统必须在设备的安全预算内，其中，FIT的总累积数就是SIL水平的描述。 　　决定应用要求的SIL水平绝不是一件简单的工作。很显然，飞机的关键系统至少需要符合SIL3，在有些情况下甚至要求SIL4。在汽车中，它表现得没这么明显。但有很多这样的例子，如线控转向或线控制动等，它们明显都要求这样的高水平。系统还提供几种工具，用于分析系统所需的SIL水平。本文无意为不同的系统分配不同的SIL要求，只是说明当今的汽车中有几个必须认真考虑的关键的安全系统。 　　很明显，汽车的操纵和制动系统最为重要。但是，汽车的照明系统或风挡刮水器的重要程度如何呢？在雨天，什么样的FIT水平是系统控制风挡刮水器所能接受的呢？哪些系统“与安全有关”已越来越不成问题，越来越多的问题是，还有没有不安全的系统。 　　当今汽车中的大多数系统都连接在CAN总线或LIN子总线上。这就带来了进一步的问题：在一些非关键应用（如GPS）上的任何错误如何能够传播到另外一个系统（如车门模块）或另一个关键应用上。是不是车内的每个系统都应该最少有SIL2级？ 　　可以肯定的是，随着车身计算机融入了越来越多的功能，对这些应用的SIL评级的关注也将变得更为强烈。市场上有OEM将方向盘锁融入网关或BCU的事例。很显然，如果方向盘由于系统故障而被锁住，那么造成的结果就可能是灾难性的，这就导致某些BCU系统要求SIL3的状态。 软件是谁写的？ 　　在目前的环境中，应用开发人员面临的另一个问题就是软件开发问题。自从软件不再是由一个团队而是由来自几家不同公司的几个团队编写的以来，这个问题就一直存在。CAN驱动软件可能来自一家厂商，新运算法则可能来自于另外一家专业公司，而特定标准应用的算法可能又由OEM和/或一级供应商编写。有了这些来自不同来源的混合软件，OEM日益密切关注这些问题就不足为奇了。 　　事实证明，软件缺陷也越来越成为一个重要问题。2000年，Marcus和Stern就已经指出，40%的系统故障都是由软件缺陷引起的 。随着软件复杂性的增加以及软件供应商数量的增长，软件缺陷将来肯定会成为更为重要的问题。 　　飞思卡尔的先进产品 　　新的飞思卡尔S12X产品系列提供了众多新一代汽车车身计算机所要求的功能。在为现有解决方案提供一条降低成本的路径的同时，还为未来的BCU提供了众多优势。 　　S12X系列具有减轻故障向系统中的其它设备扩散的功能。其时钟监控和电压监控功能得到了极大的改进，因此可以快速有效地响应系统中的故障。这些功能允许微控制器监测振荡器的问题，并代以从内部时钟运行。这不但消除了对另一个时钟的需要，还使微控制器能连续监控振荡器，把振荡器从“安全”状态恢复到“正常”状态。 信息来源于：汽车电子网