微波EDA网,见证研发工程师的成长!
首页 > 硬件设计 > 模拟电路设计 > 基于FPGA的汽车ECU设计充分符合AUTOSAR和ISO 26262标准(三)

基于FPGA的汽车ECU设计充分符合AUTOSAR和ISO 26262标准(三)

时间:10-07 来源:互联网 点击:

项重大问题包括:控制随功能不断增加而导致的日益提高的车载电气/电子系统复杂性;提高灵活性以便产品的修改、升级和更新;在产品线内部以及跨产品线提高解决方案的可扩展性;改善电气/电子系统的质量和可靠性;实现设计初期阶段的出错检测。

  这个架构面临的挑战是必须集成广泛供应商提供的日益丰富的软件和电子技术。通过简化软硬件的交换和更新选项,AUTOSAR 架构为可靠地控制汽车车载电气/电子系统日益提高的复杂性奠定了基础,同时在保证质量的情况下改善了成本效益。

  AUTOSAR 架构制定于 2003 年,是更早期的 OSEK/VDX 联合体的自然发展。OSEK/VDX 联合体诞生于十年之前,由部分德国和法国汽车制造商主推。由于有更远大的目标,AUTOSAR如今已经为世界各地大部分汽车制造商采用。

  AUTOSAR 架构的核心成员包括宝马集团、博世、大陆、戴姆勒、福特、通用汽车、雪铁龙、丰田和大众集团。除了这些核心成员公司,另有 160 余家其他成员为联合体的成功发挥着重大作用。由此,在“在标准上合作,在设计上竞争”的口号的指引下,汽车制造商和供应商联合一致,共同制定了这个旨在实现车载电气/电子设计突破的开放标准化系统架构。

  功能安全性

  与此类似,IEC 61508 是负责管理电气、电子和可编程电子系统和组件的功能安全性的国际电工委员会的一般性标准,自 2004 年生效以来已经得到世界各地的认可,适用于各个领域的安全相关系统。

  在专门为功能安全性制定的其他标准中,有一项系专门为汽车行业的功能安全性制定,这就是国际标准化组织的 ISO 26262。这项新标准尚在制定过程中,预计将于 2012 年颁布,旨在支持和推动汽车行业中安全产品的开发工作。它覆盖了从构想、产品开发、生产和经营的所有安全工作。

  事实上,功能安全,即不允许发生因电气/电气系统的功能失常导致的危险性造成不可接受的风险,业已成为汽车设计中的一项重要要求。该拟在近期颁布的标准专门针对汽车行业的实际情况,定义了可接受的风险,重在防范恶性故障。为此,“风险”一词的定义为发生伤害或者损害的可能性及伤害或者损害的严重性。在工程开发阶段,该标准要求提前评估所有潜在的危险和风险,并要求开发人员采取适当的措施尽最大可能予以消除。ISO 26262 提供了适当的要求和流程,指导如何避免这些风险。

  根据该标准的要求,汽车的功能被分成安全相关功能和非安全相关功能两大类。安全相关功能指如果功能失常就会给驾驶员带来风险的功能。对分类为安全相关功能的功能,该标准进一步设定了数个可能的风险等级。就是说从确保具体的安全目标的角度出发,某些功能的比另一些功能更加关键。

  根据可能发生的事故的严重性、出现特定驾驶状况的概率、采用外部措施降低风险的程度,该标准定义了一系列汽车安全完整性等级 (ASIL))。该系列等级具体分为四个等级,从 D 到 A。D 代表最高安全等级,A 代表最低安全等级。每个 ASIL 等级都列明汽车制造商和供应商必须满足的要求或建议,以将“不可容许的严重风险”降低为可容许残余风险。

  例如,如果在车辆行驶中方向盘轴被卡住,驾驶员就可能遭遇事故,因为驾驶员无法转动方向盘。为将该风险降低到可容许的水平,方向盘轴控制功能的设计就必须根据 ISO 26262 标准和为此安全目标设定的 ASIL 等级满足一定的安全设计标准。

  软件开发人员和硬件开发人员必须依据每一项安全目标的 ASIL 等级,在实现涉及的功能的时候思考具体的安全措施。对高安全等级的 ASIL(D 或 C),常用的设计方法是将安全要求分解为冗余安全要求,以便采用充分独立 的元件在较低的 ASIL 等级上满足 ASIL 容许度要求。换句话说,就是将原始的安全要求用不同的处理器(一般为 MCU)冗余地实现,采用冗余通道最大程度地降低恶性故障发生的概率。

  最后,制造商和供应商需要向认证机构证明自己的电气/电子系统能够根据行业专门的规定安全可靠地提供要求的功能。

Copyright © 2017-2020 微波EDA网 版权所有

网站地图

Top