汽車車身計算機中的安全性能

開車是一件非常危險的事情。對于跳傘運動員來說，最危險的實際是開車從家到機場這段路程。2002年，歐洲總共有46000多人死于車禍。這個數字比這一地區的艾滋病、腦膜炎、吸毒、哮喘和暴力犯罪及火災的死亡總人數還要高 。

政府對這一統計數字感到非常震驚，多年來一直試圖通過訴訟方式，改進這些車輛的安全狀況，預防其對公眾造成的傷害。自英國于1861年第一次制定出每小時不超過10英里 的速度限制，到美國最近制定胎壓監測立法（這部法律將于2007年8月生效實施 ），人類就從未停止旨在提高道路安全的努力。

不僅僅是政府感到有義務改進車輛的安全性能，公眾也非常想購買更為安全的汽車。因此，汽車行業一直在朝這個方向努力。NCAP最近的調查 顯示，安全性能是繼價格和功能之后，消費者在購買新車時最關心的問題。

在NCAP測試中達到4星或4星以上的安全性能評級，可以將嚴重或致命傷害的幾率減少30% 。這清晰地表明，消費者對更為安全的汽車功能的需求日益增加，并且這些安全功能在挽救生命方面也變得越來越有效。

第一輛在NCAP安全標準中獲得5星的汽車是2001年3月生產的雷諾Laguna ，其它汽車的安全標準也接近5星，這表明不但乘客和司機的安全保護得到較大提高，行人的安全也有了保障。

所面臨的問題

隨著當今生產的汽車越來越多地加入電子元器件，很顯然，這些系統的安全也變得越來越重要。飛機早在幾年前就開始使用“線控飛行”系統，但它目前還沒有遇到汽車行業所面臨的價格壓力。一些航空系統經常使用系統的冗余性，對一些特定系統，有時甚至達到了“四倍冗余”  。汽車行業向自己發出挑戰，它必須在不增加汽車成本的情況下達到類似的水平。現在，該是一級制造商及其供應商提出創新解決方案，以極具競爭力的價格解決重要的安全問題的時候了。

SIL水平

1998年，IEC發布了61508標準。該標準中包含一些如何把電子系統中的故障降到最低限度的要求。它給出了系統完整性或其“SIL”水平的幾個定義。根據每小時出現的危險故障的幾率，可以對應用和系統進行如下分類：

 

1 FIT (Failure In Time)就相當于每小時的危險故障幾率為10-9，因此，完整的系統必須在設備的安全預算內，其中，FIT的總累積數就是SIL水平的描述。

決定應用要求的SIL水平絕不是一件簡單的工作。很顯然，飛機的關鍵系統至少需要符合SIL3，在有些情況下甚至要求SIL4。在汽車中，它表現得沒這么明顯。但有很多這樣的例子，如線控轉向或線控制動等，它們明顯都要求這樣的高水平。系統還提供幾種工具，用于分析系統所需的SIL水平。本文無意為不同的系統分配不同的SIL要求，只是說明當今的汽車中有幾個必須認真考慮的關鍵的安全系統。

很明顯，汽車的操縱和制動系統最為重要。但是，汽車的照明系統或風擋刮水器的重要程度如何呢？在雨天，什么樣的FIT水平是系統控制風擋刮水器所能接受的呢？哪些系統“與安全有關”已越來越不成問題，越來越多的問題是，還有沒有不安全的系統。

當今汽車中的大多數系統都連接在CAN總線或LIN子總線上。這就帶來了進一步的問題：在一些非關鍵應用（如GPS）上的任何錯誤如何能夠傳播到另外一個系統（如車門模塊）或另一個關鍵應用上。是不是車內的每個系統都應該最少有SIL2級？

可以肯定的是，隨著車身計算機融入了越來越多的功能，對這些應用的SIL評級的關注也將變得更為強烈。市場上有OEM將方向盤鎖融入網關或BCU的事例。很顯然，如果方向盤由于系統故障而被鎖住，那么造成的結果就可能是災難性的，這就導致某些BCU系統要求SIL3的狀態。

軟件是誰寫的？

在目前的環境中，應用開發人員面臨的另一個問題就是軟件開發問題。自從軟件不再是由一個團隊而是由來自幾家不同公司的幾個團隊編寫的以來，這個問題就一直存在。CAN驅動軟件可能來自一家廠商，新運算法則可能來自于另外一家專業公司，而特定標準應用的算法可能又由OEM和/或一級供應商編寫。有了這些來自不同來源的混合軟件，OEM日益密切關注這些問題就不足為奇了。

事實證明，軟件缺陷也越來越成為一個重要問題。2000年，Marcus和Stern就已經指出，40%的系統故障都是由軟件缺陷引起的 。隨著軟件復雜性的增加以及軟件供應商數量的增長，軟件缺陷將來肯定會成為更為重要的問題。

飛思卡爾的先進產品

新的飛思卡爾S12X產品系列提供了眾多新一代汽車車身計算機所要求的功能。在為現有解決方案提供一條降低成本的路徑的同時，還為未來的BCU提供了眾多優勢。

S12X系列具有減輕故障向系統中的其它設備擴散的功能。其時鐘監控和電壓監控功能得到了極大的改進，因此可以快速有效地響應系統中的故障。這些功能允許微控制器監測振蕩器的問題，并代以從內部時鐘運行。這不但消除了對另一個時鐘的需要，還使微控制器能連續監控振蕩器，把振蕩器從“安全”狀態恢復到“正常”狀態。

對來自多家廠商的軟件包的擔心還可以通過系統對MPU的應用而得到緩解。MPU可以預防軟件應用程序中的系統錯誤，有助于確保它們只能看、讀和寫到手頭中任務的特定存儲位置。

S12XE中令人印象最深的改進可能就是Xgate了。這顆很小的協處理器運行在完全不同于S12X核心的指令集上。它的運行獨立于CPU，此外，它還非常靈活，配置后可以開展多種不同的活動，如額外的內部看門狗，從而有利地補充了已經投入使用的計算機正常運行 (COP)模塊。它還可以在配置后運行與CPU一樣的算法（或不同的版本），從而確保算法的正確執行，在無需任何其它組件的情況下提供設備的冗余性檢查。

Xgate是一個全能型解決方案，它也可以進行配置，以運行“非關鍵的”應用程序，允許CPU只處理一些“關鍵”任務，因此提高了對系統中的其它部分的錯誤的響應速度。

S12XE系列的詳細資料有望于2006年中期在產品正式推向市場后，從您當地的飛思卡爾經銷商那里獲得。 

結論

標準的出現是為了滿足日益復雜的電子系統的要求。新的IEC61508標準非常有助于為這些要求提供更為嚴格的背景。隨著汽車OEM努力在降低成本的同時改進質量和安全性，就不再是只將制動和操縱系統之類的系統置于這些標準的監管之下了。

安全問題正越來越多地成為人們討論的熱點，即使是在汽車的車身領域也不例外。飛思卡爾一直致力于提供高性能、經濟高效、非常適合于車身計算機市場的器件。毫無疑問，于2006年中期推向市場的S12XE系列新產品，將促使飛思卡爾在這一競爭市場居于前沿地位。