基于FPGA的汽车ECU设计充分符合AUTOSAR和ISO 26262标准（三） -

图5显示了一个采用赛灵思 Virtex-4 FPGA 部署的 ECU 系统的示例，由一个静态域和一个部分可重配置域构成。静态域集成了一个MicroBlaze软核处理器和一个基于 ICAP 的重配置控制器，部分可重配置域 （PRR） 则发挥着共享资源的作用，负责在不同时间换入和换出不同的功能任务或应用。

　　最后，如果将前述的构想发挥到极致，可以设计出一种通用汽车 ECU 平台。这种平台可以在生产线上进行配置并针对汽车中特定的 ECU 功能进行定制。这种构想在技术上借助可重配置硬件具有可行性，能够简化制造厂的物流要求，将存货压低到最低水平。这是因为从硬件的角度来看，在生产线上组装的模块对所有车辆都是一样的，都采用单一平台设计或产品架构（基于灵活的硬件）。只有可下载的位流会让 ECU 的功能具有差异。

　　
图5 在由部分可重配置域和静态域构成的运行时可重配置 FPGA 中实现的汽车 ECU 应用的空间分区和临时分区

　　高集成度ECU

　　在当今的汽车产业中，有约 90% 的创新来自汽车电子设备，而且这个势头方兴未艾。未来汽车将采用非常先进的软硬件技术，实现大量的新功能，比如自动驾驶、车辆间通信、娱乐以及和更高安全性。但是，对在这个以大批量制胜的产业而言，控制车载嵌入式系统的成本对汽车制造商极其重要。因此，当前的趋势是在减少车辆中的 ECU 数量的同时让每个 ECU 发挥强劲的功能。要实现这个目标需要功能更加强大的计算平台。

　　许多行业参与方共同采用的方法是开发用作域控制器的高集成度 ECU。就是将多个单核处理器或微控制器布置在同一开发板上，共享总线连接和其他资源，旨在从整车的角度降低系统复杂性。这种趋势让我们联想到可以将可重配置硬件用于 ECU 的设计，从而在有效提高计算并行性，降低 PCB 的复杂性的同时，实现最高性价比解决方案。

　　这种设计方法虽然在我们的工作中尚处于萌芽阶段，却为将 AUTOSAR 和 ISO 26262 标准与运行时可重配置硬件融合用于软/硬件联合设计，实现完整的车载嵌入式 ECU 系统奠定了基础。实际上，虽然目前 AUTOSAR 还没有覆盖到可重配置硬件，但我们不排除将来有这种可能。基于 SRAM 的运行时可重配置 FPGA 已用于航空航天应用，能够满足容易导致 SEU 的更为恶劣的环境条件的要求，况且汽车行业从历史上看有借鉴航空航天行业率先开创的风气的习惯。另外，在市场上已经存在某些合格的用于实现基于 FPGA 的安全相关系统的设计方法和工具，而且行业中涉及 FPGA 器件的标准也已经存在有相当长时间，比如用于规范航空电子业组件和系统设计的 DO-254 标准。

　　联合设计带来模式变革

　　因此，我们的工作将掀起汽车产业计算模式的变革。在特定的 ECU 应用场景中，纯软件的解决方案将被软/硬件联合设计和可重配置计算技术所取代。这是因为采用冯诺依曼型 MCU 的纯软件方法由于性能、复杂性和安全性方面的局限，已不敷使用。可编程逻辑技术的价格的不断降低，加上汽车电子控制单元性能需求的不断走高，将在不久的将来把这场变革变为现实。

　　两大关键标准

　　汽车产业在设计车载电子设备时已将两项关键标准奉为圭皋。其中一项标准是 AUTOSAR，它通过适当的软硬件架构解决嵌入式系统复杂性问题。另一项标准是即将推出的 ISO 26262，用于管理功能安全性。AUTOSAR提出的以及 ISO 26262 采用的相关技术课题主要为安全问题的检测和处理，比如运行时发生的硬件故障、时序失常和应用执行的逻辑顺序打乱、数据损坏等。

　　AUTOSAR详解

　　近年来，电子组件已经取代了车辆中的机械系统和液压系统。随着设计人员开始用软件实现更多的控制、监控和诊断功能，这种趋势正在持续。实际上，用电子技术能够实现仅用机械和液压解决方案无法开发者开发成本高的新功能。但这些部件必须满足严格的安全要求，以避免出错和故障。

　　虽然软件相关的故障目前来看比较罕见，但随着软件在汽车这种工业制品中用量的不断增加，系统变得日趋复杂，加上产品开发周期的缩短，最终可能导致产品故障。为解决这个问题，汽车产业通过结盟和实施标准，确保使用和开发安全可靠的软件。

　　比如汽车工业软件可靠性协会 （MISRA） 就是由福特和美洲豹路虎这样的汽车制造商、组件供应商和工程咨询方组成的团体。通过制定一系列软件编程规则，MISRA旨在在道路车辆的车载安全相关电子系统和其他嵌入式系统的开发工作中推广最佳实践。

　　汽车开放系统架构 （AUTOSAR） 是来自电子、半导体和软件行业的汽车制造商、供应商和其他公司组建的联合体为解决几项重大问题而制定的一种事实上的汽车电气/电子（E/E）架构开放行业标准。这几项重大问题包括：控制随功能不断增加而导致的日益提高的车载电气/电子系统复杂性；提高灵活性以便产品的修改、升级和更新；在产品线内部以及跨产品线提高解决方案的可扩展性；改善电气/电子系统的质量和可靠性；实现设计初期阶段的出错检测。

　　这个架构面临的挑战是必须集成广泛供应商提供的日益丰富的软件和电子技术。通过简化软硬件的交换和更新选项，AUTOSAR 架构为可靠地控制汽车车载电气/电子系统日益提高的复杂性奠定了基础，同时在保证质量的情况下改善了成本效益。

　　AUTOSAR 架构制定于 2003 年，是更早期的 OSEK/VDX 联合体的自然发展。OSEK/VDX 联合体诞生于十年之前，由部分德国和法国汽车制造商主推。由于有更远大的目标，AUTOSAR如今已经为世界各地大部分汽车制造商采用。

　　AUTOSAR 架构的核心成员包括宝马集团、博世、大陆、戴姆勒、福特、通用汽车、雪铁龙、丰田和大众集团。除了这些核心成员公司，另有 160 余家其他成员为联合体的成功发挥着重大作用。由此，在“在标准上合作，在设计上竞争”的口号的指引下，汽车制造商和供应商联合一致，共同制定了这个旨在实现车载电气/电子设计突破的开放标准化系统架构。

　　功能安全性

　　与此类似，IEC 61508 是负责管理电气、电子和可编程电子系统和组件的功能安全性的国际电工委员会的一般性标准，自 2004 年生效以来已经得到世界各地的认可，适用于各个领域的安全相关系统。

　　在专门为功能安全性制定的其他标准中，有一项系专门为汽车行业的功能安全性制定，这就是国际标准化组织的 ISO 26262。这项新标准尚在制定过程中，预计将于 2012 年颁布，旨在支持和推动汽车行业中安全产品的开发工作。它覆盖了从构想、产品开发、生产和经营的所有安全工作。

　　事实上，功能安全，即不允许发生因电气/电气系统的功能失常导致的危险性造成不可接受的风险，业已成为汽车设计中的一项重要要求。该拟在近期颁布的标准专门针对汽车行业的实际情况，定义了可接受的风险，重在防范恶性故障。为此，“风险”一词的定义为发生伤害或者损害的可能性及伤害或者损害的严重性。在工程开发阶段，该标准要求提前评估所有潜在的危险和风险，并要求开发人员采取适当的措施尽最大可能予以消除。ISO 26262 提供了适当的要求和流程，指导如何避免这些风险。

　　根据该标准的要求，汽车的功能被分成安全相关功能和非安全相关功能两大类。安全相关功能指如果功能失常就会给驾驶员带来风险的功能。对分类为安全相关功能的功能，该标准进一步设定了数个可能的风险等级。就是说从确保具体的安全目标的角度出发，某些功能的比另一些功能更加关键。

　　根据可能发生的事故的严重性、出现特定驾驶状况的概率、采用外部措施降低风险的程度，该标准定义了一系列汽车安全完整性等级 （ASIL））。该系列等级具体分为四个等级，从 D 到 A。D 代表最高安全等级，A 代表最低安全等级。每个 ASIL 等级都列明汽车制造商和供应商必须满足的要求或建议，以将“不可容许的严重风险”降低为可容许残余风险。

　　例如，如果在车辆行驶中方向盘轴被卡住，驾驶员就可能遭遇事故，因为驾驶员无法转动方向盘。为将该风险降低到可容许的水平，方向盘轴控制功能的设计就必须根据 ISO 26262 标准和为此安全目标设定的 ASIL 等级满足一定的安全设计标准。

　　软件开发人员和硬件开发人员必须依据每一项安全目标的 ASIL 等级，在实现涉及的功能的时候思考具体的安全措施。对高安全等级的 ASIL（D 或 C），常用的设计方法是将安全要求分解为冗余安全要求，以便采用充分独立的元件在较低的 ASIL 等级上满足 ASIL 容许度要求。换句话说，就是将原始的安全要求用不同的处理器（一般为 MCU）冗余地实现，采用冗余通道最大程度地降低恶性故障发生的概率。

　　最后，制造商和供应商需要向认证机构证明自己的电气/电子系统能够根据行业专门的规定安全可靠地提供要求的功能。

　　　　　　　　　　　　　 查看评论 回复