从汽车诞生开始,人们就没有停止过对汽车安全驾驶的追求。最早的安全带以及后来的安全气囊等被动安全措施挽救了数千万人的生命,后来发展起来的ABS(防抱死制动系统)、ESP(电子稳定程序)、EBD(电子制动力分配系)等主动安全功能让汽车安全性再次大大提高。但尽管如此,交通事故依然是最大非自然死伤原因之一。
“随着系统复杂性的提高,以及软件和机电设备的大量应用,因为系统失效和随机硬件失效导致的交通事故风险也日益增加。因此,近年开始出现了新的汽车安全概念——安全性预测。”在近日召开的“2012产业和技术展望媒体研讨会”上,飞思卡尔亚太区汽车及工业解决方案事业部全球产品市场经理郗蕴侠(Yolanda)博士指出,“安全性预测即汽车里的一些系统能实时检测故障,在故障发生之前就能预警防止故障发生,这就是当前大家倡导的汽车功能安全的概念。”为此,飞思卡尔推出了命名为“SafeAssure”的安全保障方案,旨在帮助系统制造商更加轻松地满足汽车和工业市场中的功能安全标准要求,并大大降低开发难度、缩短开发周期。
图1:世界卫生组织统计:全球每年因交通事故死亡130万人,并有5000万人受伤。
图2:汽车安全系统的演变——基于安全性预测的功能安全出现。
从IEC61508到ISO 26262,看汽车功能安全演变
2011年11月推出ISO 26262之前,汽车行业遵照的功能安全标准是电子、电气及可编程器件功能安全基本标准IEC 61508。然而,作为一种通用基础安全标准,对于汽车行业的特殊性而言,该标准有很多的不足,特别是近年来汽车系统的复杂性日益增长的条件下。从IEC 61508派生出来的ISO 26262为当前汽车行业量身定制,特别是ISO 26262对于硬件研发、软件研发的要求适合于当前先进的汽车工业的实际现状。
ISO 26262标准根据安全风险程度对系统或系统某组成部分确定划分由A到D的安全需求等级(汽车安全完整性等级——ASIL),其中ASIL D级为最高等级,具有最苛刻的安全要求。对系统供应商而言,必须满足这些因为安全等级提高而提出的更高的设计要求。
安全事件总是和通常的功能、质量相关的研发活动以及产品生产伴随在一起。ISO26262强调了研发活动和产品生产的安全相关各个方面,并为汽车安全提供了一个生命周期理念,在这些生命周期阶段中提供必要的支持。ISO26262涵盖了功能安全方面的整体开发过程,包括规划、设计、实施、集成、验证、确认和配置。
SafeAssure安全保障方案
在ISO26262推出前两个月,飞思卡尔SafeAssure安全保障方案就在业内率先推出。“SafeAssure是针对汽车和工业市场功能安全标准设计的解决方案,帮助企业简化达标的流程,缩短开发时间和降低复杂性。”Yolanda指出,“基于SafeAssure功能安全保障方案,厂商可以轻松实现从ASIL-A至D以及SIL-1至4等级的系统安全标准。”
图3:Freescale郗蕴侠:基于SafeAssure功能安全保障方案,厂商可以轻松实现从ASIL-A至D等级的系统安全标准。
SafeAssure保障方案涵盖飞思卡尔系列的技术,包括微控制器、模拟和电源管理IC以及传感器。SafeAssure安全保障方案对厂商提供了四个方面的支持,包括:
安全流程:挑选那些定义和设计之初就以符合各项标准要求为目标的产品,使功能安全成为产品开发流程的一个完整组成部分。
安全硬件:故障控制通过在飞思卡尔微控制器、电源管理IC和传感器中内置的安全功能实现,例如自测、监控和基于硬件的冗余。飞思卡尔汽车模拟器件解决方案提供了额外的系统级安全功能,包括检查微控制器时序、电压和故障管理。
安全软件:全面的汽车功能安全软件产品,包括AUTOSAR OS、MCAL、驱动和内核自测功能,并与领先的第三方软件提供商合作推出更多的安全软件解决方案。
安全支持:飞思卡尔利用自身覆盖广泛的技术能力,提供功能安全架构有关的客户培训和系统设计审核,以及广泛的安全文档和技术支持。
SafeAssure主要目标是化繁为简,为简化失效故障分析,飞思卡尔还提供一个重要分析工具——失效模式、效果和诊断分析(FMEDA),这个工具分析客户整个数据,最后算出的结果是不是达到功能安全所需要的要求。FMEDA工具可以帮助客户根据其应用来计算最后功能安全结果,从而使SafeAssure方案有效简化功能安全设计工作。