|
當(dāng)今的汽車制造商正在把越來越多的高級(jí)功能添加到汽車電子控制單元(ECU)中,以改善駕駛體驗(yàn),增強(qiáng)安全性,當(dāng)然還期望超過同類競爭產(chǎn)品的銷量。在這種情況下,汽車開放系統(tǒng)架構(gòu)(AUTOSAR)計(jì)劃和功能安全國際標(biāo)準(zhǔn)ISO 26262正在快速成為汽車ECU設(shè)計(jì)的技術(shù)和架構(gòu)基礎(chǔ)。 汽車產(chǎn)業(yè)利用可重配置硬件技術(shù),可靈活地綜合車載功能。 當(dāng)今的汽車制造商正在把越來越多的高級(jí)功能添加到汽車電子控制單元(ECU)中,以改善駕駛體驗(yàn),增強(qiáng)安全性,當(dāng)然還期望超過同類競爭產(chǎn)品的銷量。在這種情況下,汽車開放系統(tǒng)架構(gòu)(AUTOSAR)計(jì)劃和功能安全國際標(biāo)準(zhǔn)ISO 26262正在快速成為汽車ECU設(shè)計(jì)的技術(shù)和架構(gòu)基礎(chǔ)。 為了滿足新車型日益提高的功能需求,汽車電子產(chǎn)品的密度不斷增大,FPGA廠商也正在不斷推出更大型的器件。這些器件能夠集成所有的應(yīng)用,而且與前代器件相比,功耗更低,價(jià)格更具競爭力。這種趨勢意味著可重配置計(jì)算技術(shù)在汽車產(chǎn)業(yè)將會(huì)得到進(jìn)一步推廣和應(yīng)用。 我們推出了一種具有開創(chuàng)性的方法,即使用可編程FPGA器件而非基于MCU的平臺(tái)作為ECU的基礎(chǔ),設(shè)計(jì)出一款能夠同時(shí)滿足AUTOSAR和ISO 26262標(biāo)準(zhǔn)的汽車ECU。我們的設(shè)計(jì)方法對(duì)可重配置硬件的關(guān)鍵特性,比如并行性、可定制性、靈活性、冗余性和多功能性進(jìn)行了充分的探索。在概念設(shè)計(jì)完成后,我們希望在原型中實(shí)現(xiàn)設(shè)計(jì)。賽靈思Zynq-7000可擴(kuò)展處理平臺(tái)成為了理想選擇。該款FPGA平臺(tái)將ARM雙核Cortex-A9 MPCore硬處理器和具備動(dòng)態(tài)部分可重配置功能的28nm賽靈思7系列可編程邏輯器件完美結(jié)合在一起,不但可充分滿足所需要求,而且還配備有CAN和以太網(wǎng)等車載網(wǎng)絡(luò)常用的片上通信控制器。 新興應(yīng)用 目前汽車計(jì)算能力借助通過通信網(wǎng)絡(luò)互連的ECU來分配。在未來幾年內(nèi),由于機(jī)動(dòng)車輛中新應(yīng)用的興起,這樣的計(jì)算能力有望進(jìn)一步提高。這些新應(yīng)用包括安全和駕駛員輔助功能、車輛間通信功能、舒適性和控制功能、車載娛樂功能以及為數(shù)眾多的混合動(dòng)力電動(dòng)技術(shù)。毫無疑義,車輛電子設(shè)備的數(shù)量預(yù)計(jì)還會(huì)增加。根據(jù)分析人員的預(yù)測,汽車應(yīng)用半導(dǎo)體市場的規(guī)模將在未來五年內(nèi)以8%的年均復(fù)合增長率(CAGR)增長。其中增長最快的細(xì)分市場之一涉及到微控制器(MCU)和可編程邏輯器件,比如現(xiàn)場可編程門陣列(FPGA)。 在車載功能的數(shù)量和先進(jìn)性與日俱增的同時(shí),設(shè)計(jì)和管理這些系統(tǒng)變得日趨復(fù)雜,汽車制造商認(rèn)為有必要采取有效方式來解決這一難題。其結(jié)果就是當(dāng)今AUTOSAR和ISO 26262兩大標(biāo)準(zhǔn)都在影響著實(shí)際汽車ECU軟硬件系統(tǒng)的架構(gòu)、設(shè)計(jì)和部署方式(見側(cè)邊欄)。 2003年由多家汽車制造商共同制定的AUTOSAR標(biāo)準(zhǔn)旨在為分布于車輛中的ECU定義標(biāo)準(zhǔn)的系統(tǒng)軟件架構(gòu)。而ISO 26262標(biāo)準(zhǔn)的目的則以功能安全性為中心,實(shí)質(zhì)上是以避免或檢測并處理故障為目的,從而減輕故障影響并防止出現(xiàn)對(duì)任何既有的系統(tǒng)安全目標(biāo)的違反行為。隨著全新的安全關(guān)鍵功能(比如駕駛員輔助或動(dòng)態(tài)控制)的推出,功能安全性已經(jīng)成為汽車開發(fā)中的關(guān)鍵問題之一。ISO 26262標(biāo)準(zhǔn)于2011年批準(zhǔn)生效,可為軟硬件的安全開發(fā)提供支持。 因此,整個(gè)ECU的設(shè)計(jì)和開發(fā)流程由需要系統(tǒng)性進(jìn)程的標(biāo)準(zhǔn)進(jìn)行管理。我們的工作就是設(shè)計(jì)一款高性價(jià)比嵌入式計(jì)算平臺(tái),采用可重配置硬件技術(shù)實(shí)現(xiàn)優(yōu)化的系統(tǒng)架構(gòu)。 系統(tǒng)架構(gòu) AUTOSAR和ISO 26262標(biāo)準(zhǔn)主要從軟件開發(fā)的角度著眼,面向的是基于微控制器單元的計(jì)算平臺(tái)。但是,硬件/軟件聯(lián)合設(shè)計(jì)和可重配置計(jì)算技術(shù)的應(yīng)用可為這個(gè)領(lǐng)域帶來眾多優(yōu)勢。雖然標(biāo)準(zhǔn)的MCU往往是汽車ECU硬件平臺(tái)的最佳選擇,但隨著新型FPGA成本的不斷降低,加上部分FPGA產(chǎn)品內(nèi)部集成有硬核處理器,使得FPGA器件也成為這個(gè)市場中值得廣泛應(yīng)用的理想解決方案。 為了在汽車應(yīng)用中發(fā)揮可重配置硬件的全部優(yōu)勢,我們將以關(guān)于部署最終用戶功能的汽車計(jì)算網(wǎng)絡(luò)中最為重要的ECU之一——“車身控制器模塊”為重點(diǎn),通過使用案例展現(xiàn)這種技術(shù)的潛力。該ECU也稱為“車身域控制器”,負(fù)責(zé)綜合和控制車輛中主要的電子車身功能,比如擋風(fēng)玻璃雨刷/噴水系統(tǒng)、車燈、搖窗器、引擎點(diǎn)火/熄火、車外后視鏡和中控鎖。我們的目標(biāo)是在FPGA平臺(tái)上設(shè)計(jì)出一款配備有安全關(guān)鍵功能且符合AUTOSAR的ECU系統(tǒng)。 實(shí)際情景 如果汽車制造商要想經(jīng)濟(jì)高效地管理日益復(fù)雜的車輛功能,經(jīng)AUTOSAR提倡的ECU系統(tǒng)架構(gòu)的標(biāo)準(zhǔn)化則是必由之路。它能夠?qū)崿F(xiàn)分布在ECU中的各項(xiàng)功能的高度集成和軟件組件的重復(fù)使用。AUTOSAR的主要目的是定義一個(gè)統(tǒng)一的ECU架構(gòu),讓硬件與軟件分離。這樣AUTOSAR通過定義硬件無關(guān)的接口,可提高軟件的重復(fù)使用。換句話說,如果按照AUTOSAR標(biāo)準(zhǔn)編寫的軟件組件,只要正確集成到符合AUTOSAR標(biāo)準(zhǔn)的運(yùn)行環(huán)境中,就能夠在任何廠商的微控制器上運(yùn)行。 這項(xiàng)功能給汽車制造商帶來了更高的靈活性。由于AUTOSAR標(biāo)準(zhǔn)內(nèi)在的即插即用特性,汽車制造商可以在整個(gè)汽車平臺(tái)上以透明的方式更換不同供應(yīng)商開發(fā)的相同軟件模塊的各個(gè)版本,且不會(huì)給汽車中其余功能的發(fā)揮造成負(fù)面效果。最終硬件和軟件實(shí)現(xiàn)彼此高度獨(dú)立。這種分離是通過標(biāo)準(zhǔn)軟件的API將抽象層互聯(lián)實(shí)現(xiàn)的。圖1是AUTOSAR定義的功能層的分解圖。 圖1 從MCU到應(yīng)用層的AUTOSAR分層模型 底部以黑色表示的是硬件層或物理層,由MCU自身(即CPU和與其相連的部分標(biāo)準(zhǔn)外設(shè))構(gòu)成。微控制器之上是基礎(chǔ)軟件(BSW),分為三層:粉色的微控制器抽象層(MCAL)、綠色的ECU抽象層(ECUAL)和復(fù)雜驅(qū)動(dòng)程序、紫色的服務(wù)層(SRV)。這三層經(jīng)組織形成了多個(gè)列或協(xié)議棧(存儲(chǔ)器、通信、輸入/輸出等)。 緊貼硬件組件的是微控制器抽象層。正如其名所示,該層是MCU的抽象。該層的目的是提供一個(gè)硬件獨(dú)立的API,負(fù)責(zé)處理微控制器中的硬件外設(shè)。微控制器抽象層的上一層是ECU抽象層,負(fù)責(zé)抽象ECU開發(fā)板上的其他智能器件,一般直接與MCU接觸(例如,系統(tǒng)電壓調(diào)節(jié)器、智能交換控制器、可配置通信收發(fā)器等)。接下來的第三層是服務(wù)層。該層基本具有硬件獨(dú)立性,其作用是處理所需的不同類型的背景服務(wù)。例如網(wǎng)路服務(wù),系統(tǒng)看門狗的NVRAM處理或管理。通過這三層,AUTOSAR定義了一套基礎(chǔ)軟件功能。這套軟件功能在特定的硬件平臺(tái)下支持著汽車ECU各高級(jí)抽象層的所有功能。 第四層是運(yùn)行環(huán)境(RTE),為應(yīng)用軟件提供通信服務(wù)。它由可從上面的BSW層和應(yīng)用層(APP)共同訪問的一套信號(hào)(發(fā)送器/接收器端口)和服務(wù)(客戶端和服務(wù)器端口)構(gòu)成。該RTE從基礎(chǔ)軟件中抽象出應(yīng)用,明確地勾勒出將通用的可交換軟件代碼(APP))與特定的硬件相關(guān)代碼(BSW)分離的軟件協(xié)議棧架構(gòu)。換句話說,RTE可將軟件應(yīng)用與硬件平臺(tái)分離。因此運(yùn)行在RTE上的所有軟件模塊都具有平臺(tái)無關(guān)性。 在RTE之上,通過應(yīng)用層,軟件架構(gòu)方式從分層變?yōu)橐越M件為基礎(chǔ)。功能主要封裝在軟件組件(SWC)中。因此,完成AUTOSAR軟件組件接口的標(biāo)準(zhǔn)化是支持各項(xiàng)功能跨不同車輛平臺(tái)的ECU實(shí)現(xiàn)可擴(kuò)展性和可移植性的中心環(huán)節(jié)。除復(fù)雜驅(qū)動(dòng)程序外,AUTOSAR標(biāo)準(zhǔn)明確地規(guī)定了這些組件的API及特性。SWC僅通過運(yùn)行環(huán)境與其他模塊(ECU間或內(nèi)部)通信。 隨著ECU不斷集成越來越多的功能,F(xiàn)PGA器件成為了單核或多核MCU的明智替代。通過從總體上把握AUTOSAR的不同層次,可以預(yù)見設(shè)計(jì)人員將這種架構(gòu)部署在可編程邏輯中所能帶來的優(yōu)勢。下文將更深入地介紹我們的設(shè)計(jì)如何實(shí)現(xiàn)基于定制靜態(tài)硬件(基于閃存或SRAM的FPGA技術(shù))的解決方案,然后將這種方法延伸為一種運(yùn)行時(shí)可重配置的硬件實(shí)現(xiàn)方案(基于SRAM的部分可重配置FPGA)。 基于FPGA靜態(tài)硬件的ECU設(shè)計(jì) AUTOSAR架構(gòu)非常適合由CPU、存儲(chǔ)器和可編程邏輯組成的嵌入式系統(tǒng)。ECU平臺(tái)需要一個(gè)CPU或主機(jī)處理器來管理應(yīng)用并處理分布在應(yīng)用層的軟件組件中的不同功能。同時(shí),MCU層和部分基礎(chǔ)軟件層可以在可編程邏輯結(jié)構(gòu)中的硬件中綜合。因此,除了能夠?qū)崿F(xiàn)與CPU相連的標(biāo)準(zhǔn)外設(shè),其它定制外設(shè)和協(xié)處理器也能夠在硬件中并存,并在軟件中完全或部分地加以管理。 另外從功能安全的角度來看,專用協(xié)處理器或內(nèi)核處理器也非常適用,因?yàn)橛盟鼈儗?shí)現(xiàn)功能可讓硬件從源頭避免干擾,即便要求冗余性,也能給系統(tǒng)設(shè)計(jì)帶來高靈活性。另外,居于中間的RTE層可以在分布于FPGA中的RAM模塊中,或者在嵌入在器件邏輯單元中的觸發(fā)器中以及外部存儲(chǔ)器中綜合。而且,RTE信號(hào)接口經(jīng)簡單設(shè)計(jì)就能夠同時(shí)進(jìn)行讀寫操作(通過單端口存儲(chǔ)器)或限制架構(gòu)僅進(jìn)行讀操作或者寫操作(通過配有兩個(gè)獨(dú)立讀寫端口的單個(gè)雙端口存儲(chǔ)器),以防范干擾,比如AUTOSAR所定義的彼此對(duì)應(yīng)的發(fā)送器和接收器軟件端口。 圖2 將AUTOSAR ECU架構(gòu)移植到FPGA平臺(tái)上 建議將基于MCU的AUTOSAR ECU架構(gòu)移植到可擴(kuò)展處理平臺(tái)(EPP)或者FPGA器件上,并在各層中確保清晰的系統(tǒng)分區(qū),如圖2所示。位于RTE層以下的有操作系統(tǒng)(OS)、存儲(chǔ)器協(xié)議棧、通信協(xié)議棧、I/O協(xié)議棧等。位于RTE層以上的是軟件組件,它們用于實(shí)現(xiàn)應(yīng)用并通過AUTOSAR接口與RTE進(jìn)行通信。 由于AUTOSAR架構(gòu)內(nèi)在的復(fù)雜性,需要功能強(qiáng)大的嵌入式計(jì)算平臺(tái)才能進(jìn)行部署。如今,典型的ECU設(shè)計(jì)基于運(yùn)行在MCU平臺(tái)上的32位單核處理器。但是單核越來越難以提供所需的全部計(jì)算能力。而使用多核CPU需要通過多處理器總線和仲裁機(jī)制共享程序/數(shù)據(jù)存儲(chǔ)器,往往會(huì)導(dǎo)致高度復(fù)雜的解決方案,造成性能劣化。 作為這種方案的替代,我們提出了一種基于可編程邏輯的設(shè)計(jì)。這種設(shè)計(jì)只采用一個(gè)單核處理器來發(fā)揮工機(jī)CPU的作用,但配有更智能的外設(shè)、協(xié)處理器乃至從處理器。所有這些計(jì)算單元都可以在FPGA架構(gòu)中例化為新的軟核處理器,比如賽靈思PicoBlaze和MicroBlaze,從FPGA的專用RAM模塊運(yùn)行自己的代碼(各個(gè)軟核處理器均分別配有專用程序存儲(chǔ)器),此外,也可例化為定制的硬件加速器。兩種方式的拓?fù)浼軜?gòu)均由一個(gè)主機(jī)CPU和分擔(dān)部分CPU任務(wù)的智能外設(shè)構(gòu)成,從而可降低系統(tǒng)復(fù)雜性。這樣,主機(jī)CPU負(fù)責(zé)管理軟件中的整個(gè)應(yīng)用層,而定制外沒則負(fù)責(zé)管理BSW層,這兩者以并行的方式彼此獨(dú)立地自動(dòng)運(yùn)行。此外,這種外設(shè)設(shè)計(jì)的方法的優(yōu)點(diǎn)還在于能夠讓主機(jī)CPU的軟件執(zhí)行更加線性化,即外設(shè)不會(huì)通過中斷服務(wù)程序產(chǎn)生過多的請求CPU關(guān)注的中斷。圖3顯示了這種系統(tǒng)的方框圖及其對(duì)應(yīng)為FPGA器件中綜合的功能單元的組件細(xì)分情況。 圖3 在FPGA中部署的汽車ECU方框圖 FPGA方法能夠?qū)崿F(xiàn)與多處理器平臺(tái)相媲美的系統(tǒng)性能,且和單核處理器一樣簡單易用,這主要?dú)w功于采用了可與主機(jī)處理器并行處理的功能強(qiáng)大的、自動(dòng)化定制協(xié)處理器。 這種方法能夠?qū)崿F(xiàn)與多處理器平臺(tái)相媲美的系統(tǒng)性能,而且就軟件開發(fā)和維護(hù)而言,和單核處理器一樣簡單易行。通過使用專用硬件構(gòu)建可與主機(jī)處理器并行處理的功能更強(qiáng)大的自動(dòng)化定制協(xié)處理器,就可實(shí)現(xiàn)這種最佳平衡。 從概念上來說,可以通過將這些系統(tǒng)架構(gòu)用RTE接口劃分為頂層和底層兩個(gè)彼此獨(dú)立的主要層次來要簡化設(shè)計(jì)。頂層相當(dāng)于AUTOSAR的應(yīng)用層,由負(fù)責(zé)管理車輛中最終用戶功能的軟件組件構(gòu)成。而底層則由硬件和基礎(chǔ)軟件乃至RTE鏈路構(gòu)成。應(yīng)用層從數(shù)值上來說,可代表約90%的車載高級(jí)功能,而且所有RTE以上的源代碼都可重復(fù)利用。 同時(shí),底層包含能夠賦予頂層靈活性和多用性的全部功能。底層可完成特定硬件平臺(tái)上所有可重用功能的定制化。這樣,頂層從本質(zhì)上說是通過以有限狀態(tài)機(jī)(FSM)形態(tài)實(shí)現(xiàn)的算法來實(shí)現(xiàn)對(duì)某些車輛負(fù)載、傳感器和制動(dòng)器的控制的一套軟件功能。這些算法由CPU循環(huán)執(zhí)行,并在操作系統(tǒng)控制的軟件任務(wù)中調(diào)度。 底層還負(fù)責(zé)實(shí)現(xiàn)CPU連接的所有標(biāo)準(zhǔn)外設(shè)的驅(qū)動(dòng)程序,例如A/D轉(zhuǎn)換器、PWM控制器、定時(shí)器或者存儲(chǔ)器控制器,從而讓頂層的抽象具備可行性。底層負(fù)責(zé)管理那些需要得到實(shí)時(shí)響應(yīng)的事件。在這方面可編程邏輯能夠起到一定的作用。其構(gòu)想為:讓主機(jī)CPU將應(yīng)用當(dāng)作一個(gè)簡單的免受通常硬件造成的外部事件影響的軟件功能序列來處理,但要定期讀或?qū)慠TE信號(hào),讓FSM進(jìn)行相應(yīng)的調(diào)整。底層對(duì)硬件事件進(jìn)行隱藏與管理,然后在RTE中對(duì)其進(jìn)行預(yù)處理并更新特定信號(hào),或作為結(jié)果,根據(jù)自身具體任務(wù)安排實(shí)時(shí)地執(zhí)行特定的行動(dòng)。 將定制硬件控制器連接至系統(tǒng)CPU可以最大限度地降低對(duì)共享資源的需求,只要這些控制器能夠自動(dòng)運(yùn)行。從操作系統(tǒng)的角度來看,這樣做有助于降低系統(tǒng)的復(fù)雜性(避免仲裁、時(shí)延、重試機(jī)制等)。 采用專用硬件的另一項(xiàng)優(yōu)勢在于可以更簡便地實(shí)現(xiàn)——般在軟件中通過多線程才能實(shí)現(xiàn)的某些功能,因?yàn)橛布^軟件內(nèi)在更具并行性。另外,這種靈活的硬件能夠采用并行和流水線硬件設(shè)計(jì),將算法計(jì)算強(qiáng)度高的部分進(jìn)行硬連接,而不是采用馮.諾伊曼(Von Neumann)計(jì)算機(jī)所采用的序列軟件方法,從而減少執(zhí)行時(shí)間。 用戶可以將在MCU和BSW層中綜合的外設(shè)和硬件協(xié)處理器設(shè)置成高智能化水平,以釋放CPU時(shí)間,從而簡化車載ECU的軟件。 隨著ECU平臺(tái)日趨復(fù)雜化,系統(tǒng)所需的I/O線路數(shù)也在不斷增加。在這方面FPGA較微控制器有明顯的優(yōu)勢,因?yàn)镕PGA一般能夠提供多得多的用戶引腳數(shù)。這一點(diǎn)一般與基于MCU的ECU有關(guān),因?yàn)檫@種ECU需要采用執(zhí)行并—串?dāng)?shù)據(jù)轉(zhuǎn)換的外部芯片(比如數(shù)字移位寄存器或模擬多路復(fù)用器)來擴(kuò)展ECU的輸入和輸出。采用FPGA可以繞開這些外部組件,進(jìn)而縮減材料清單成本以及電子開發(fā)板的PCB尺寸。 先進(jìn)的FPGA器件已經(jīng)集成有模數(shù)轉(zhuǎn)換器。這個(gè)特性對(duì)汽車設(shè)計(jì)意義重大,因?yàn)樵S多ECU使用模擬信號(hào)(比如電池電壓)來實(shí)現(xiàn)所需的部分功能。在可編程邏輯器件中集成模數(shù)轉(zhuǎn)換器為FPGA開辟了新的應(yīng)用領(lǐng)域。 與MCU類似,F(xiàn)PGA也提供遠(yuǎn)程更新功能。但在這里需要提醒的是,下載到FPGA巾的位流不僅涉及到軟件代碼,而且與硬件電路也息息相關(guān)。這意味著就算產(chǎn)品已經(jīng)進(jìn)入量產(chǎn)階段,仍然可以通過系統(tǒng)更新或升級(jí)來修改硬件設(shè)計(jì)。汽車產(chǎn)業(yè)非常欣賞這種靈活性,因?yàn)樗軌蛟诋a(chǎn)品發(fā)布后修改缺陷(軟/硬件均可)。 在任何嵌入有符合ISO 26262安全相關(guān)要求的功能的ECU中,涉及該實(shí)現(xiàn)方案的軟硬件必須根據(jù)其分類滿足一定程度的保護(hù)要求。從軟件的角度講,它必須體現(xiàn)出抗干擾能力,即運(yùn)行在ECU中的非安全相關(guān)代碼一定不能危及同一ECU中安全相關(guān)類的代碼的運(yùn)行。這種隔離是保證安全相關(guān)功能與非安全相關(guān)功能在同一處理器上正確并行運(yùn)行所必須的。一般來說,在可編程邏輯中管理這些指標(biāo)比在MCU中具有更大的靈活性。 對(duì)于面向功能安全的存儲(chǔ)器保護(hù)策略,有必要確保只能授權(quán)的安全軟件組件有權(quán)對(duì)特定安全相關(guān)信號(hào)進(jìn)行寫入存取。在MCU器件環(huán)境中,存儲(chǔ)器分區(qū)提供了一種故障約束機(jī)制,能夠?qū)④浖?yīng)用彼此分離,避免其間發(fā)生數(shù)據(jù)錯(cuò)誤。可編程邏輯很有可能實(shí)現(xiàn)一種更有效的自我保護(hù)機(jī)制。可編程邏輯可以通過專用的單個(gè)雙端口存儲(chǔ)器來管理與安全信號(hào)相關(guān)的RTE緩存,這樣數(shù)據(jù)從寫端口寫入,從讀端口讀取。采用這種方法,可以采用專用的硬件控制器給寫入或讀取這些來自軟件側(cè)的信號(hào)設(shè)置不同的約束條件。這種方法也可以采用寄存器業(yè)實(shí)現(xiàn)。 能夠在ECU系統(tǒng)中導(dǎo)入定制硬件解決方案是FPGA的一大優(yōu)勢,特別是對(duì)安全相關(guān)的功能而言。具體而言,對(duì)I/O引腳和GPIO控制器,在安全功能中涉及的引腳布局可以組合成定制的I/O端口,僅供ECU中的安全組件訪問,與器件的其余引腳分離。這是將系統(tǒng)的安全相關(guān)引腳與非安全相關(guān)引腳分開的理想辦法,從設(shè)計(jì)上避免了干擾的發(fā)生。任何對(duì)非安全引腳的訪問都不會(huì)破壞安全引腳的狀態(tài),因?yàn)榘踩_只受安全相關(guān)代碼的管理。這種構(gòu)思的具體描述見圖4。 圖4 軟/硬件聯(lián)合設(shè)計(jì)的安全架構(gòu),可將安全相關(guān)端口和非安全相關(guān)端口隔離開來,以保證無干擾 另外,還能夠根據(jù)應(yīng)用或處理該應(yīng)用的軟件組件的需求定制每個(gè)GPIO端口的大小,從而避免將GPIO端口轉(zhuǎn)換為不同應(yīng)用共享的物理資源,如MCU端口的情況。用這種方法,F(xiàn)PGA中每一個(gè)由不同軟件組件(比如車窗升降器、雨刷、外后視鏡等)管理的應(yīng)用都能夠?qū)⒆约禾囟ǖ亩刷逵成涞较到y(tǒng)存儲(chǔ)映射中特定的寄存器。這在MCU平臺(tái)上無法做到,因?yàn)镸CU的端門有固定尺寸(一般為8、16或32位寬)且按字長尋址,而非按位尋址。因此在采用MCU的情況下,這種控制寄存器在程序執(zhí)行的時(shí)候變成了有多個(gè)SWC訪問的共享資源。 我們可以把用于GPIO控制器的策略擴(kuò)展用于其它標(biāo)準(zhǔn)外設(shè)。這樣AUTOSAR借助SWC概念在頂層提倡的功能分區(qū)和隔離思路也可以在可編程硬件的幫助下推廣運(yùn)用到較低層的資源上。這種技術(shù)如果采用基于標(biāo)準(zhǔn)MCU器件的靜態(tài)硬件解決方案是無法實(shí)現(xiàn)的。 我們上文介紹的用于MCU標(biāo)準(zhǔn)外設(shè)的隔離策略也可以用于安全功能的各個(gè)通道或數(shù)據(jù)路徑。這一特性尤其適用于按ISO 26262標(biāo)準(zhǔn)的ASIL分級(jí)組織的精細(xì)分類安全目標(biāo)(見側(cè)邊欄)。此項(xiàng)功能可用于將各個(gè)通道或者數(shù)據(jù)路徑分解成較低ASIL級(jí)別的冗余分區(qū),這樣每一個(gè)通道或路徑都以冗余方式運(yùn)行,后續(xù)根據(jù)各自的新級(jí)別予以實(shí)現(xiàn)。這種基于冗余的安全策略是選擇可編程邏輯的又一理由,因?yàn)榭删幊踢壿嬆軌蛟谕黄骷卸啻卫鄠(gè)相同、獨(dú)立的處理引擎。另外,滿足某個(gè)ASIL級(jí)別的要求用架構(gòu)方法(硬件)往往比用抽象軟件能夠更輕松明晰地證明,特別是像抗干擾這樣的功能。C編程語言中的棧溢出或是數(shù)據(jù)指針處理不當(dāng)可能會(huì)給系統(tǒng)帶來出乎意料的安全性問題。 這種基于冗余的安全策略是選擇可編程邏輯的又一理由,因?yàn)榭删幊踢壿嬆軌蛟谕黄骷卸啻卫鄠(gè)相同、獨(dú)立的處理引擎。 可編程邏輯的靈活性及其對(duì)功能安全的適用性還帶來另一項(xiàng)設(shè)計(jì)優(yōu)勢,就是可以采用三模冗余(TMR)策略。這是航空航天應(yīng)用中用于緩解單粒子翻轉(zhuǎn)(SEU)風(fēng)險(xiǎn)的常見方法。這種緩解方案由三個(gè)相同邏輯電路構(gòu)成,并行執(zhí)行相同的任務(wù),對(duì)應(yīng)的輸出由一個(gè)多數(shù)表決電路進(jìn)行比較。采用硬件實(shí)現(xiàn)這種策略效率很高。 另外,在這個(gè)高度關(guān)注成本和功耗的市場上,賽靈思Zynq-7000 EPP等一些可編程邏輯器件能夠支持多項(xiàng)降低系統(tǒng)總體功耗的功能,其中的部分功能是從MCU繼承而米。像處理系統(tǒng)的僅加電模式、休眠模式和外設(shè)獨(dú)立時(shí)鐘域這樣的功能能夠大幅降低器件待機(jī)期間的動(dòng)態(tài)功耗。 某些可編程邏輯器件在結(jié)構(gòu)中配備有硬核處理器,便于設(shè)計(jì)人員第一步先用軟件開發(fā)整個(gè)系統(tǒng)功能,就像他們尋常在MCU平臺(tái)上所做的一樣,隨后逐步地在設(shè)計(jì)中增加硬件,將部分設(shè)計(jì)移植到可編程邏輯資源。這種方法能夠讓設(shè)計(jì)人員為解決方案開發(fā)出不同的版本,而且與純軟件方法相比,能夠?qū)崿F(xiàn)在定制硬件中綜合部分功能的優(yōu)勢。 在運(yùn)行時(shí)可重配置硬件上進(jìn)行ECU設(shè)計(jì) 在探討完畢借助可編程邏輯在靜態(tài)硬件和軟件上實(shí)現(xiàn)ECU的優(yōu)勢后,我們接下來探討采用基于SRAM并具備運(yùn)行時(shí)部分可重配置功能的FPGA設(shè)計(jì)ECU。部分可重配置技術(shù)能夠?yàn)槠囋O(shè)計(jì)人員提供更多優(yōu)勢。 事實(shí)上,其中的一大優(yōu)勢是如果FPGA包含有不必在啟動(dòng)時(shí)(如在ECU喚醒或加電)配置的部分可重配置區(qū)域,可以縮短系統(tǒng)啟動(dòng)時(shí)間。不支持動(dòng)態(tài)部分可重配置的FPGA在加電時(shí)需要配置所有的FPGA資源,但運(yùn)行時(shí)可重配置FPGA只需下載部分位流進(jìn)行部分重配置。 由于當(dāng)今先進(jìn)的FPGA器件具有巨大的容量,故在加電時(shí)下載完整的位流會(huì)引起可觀的配置時(shí)間開銷。運(yùn)行時(shí)部分可重配置技術(shù)能夠顯著地縮短這種配置時(shí)延。在那種情況下,有可能在加電時(shí)只配置一個(gè)最起碼的子系統(tǒng)(即引導(dǎo)載入程序和立即需要的部分系統(tǒng)應(yīng)用),讓系統(tǒng)其余部分保持待機(jī)狀態(tài),直到有必要初始化為止。如果系統(tǒng)在加電或喚醒時(shí)需要快速響應(yīng),可將這種啟動(dòng)工作劃分為兩個(gè)階段,以加快初始化過程。為此,可將系統(tǒng)架構(gòu)分解為一個(gè)靜態(tài)域和一個(gè)或者多個(gè)部分可重配置域(PRR)。靜態(tài)域涵蓋負(fù)責(zé)執(zhí)行啟動(dòng)過程的系統(tǒng)(一般來說是主機(jī)CPU),以及可重配置引擎和通往位流庫的數(shù)據(jù)鏈路。由特定部分位流描述的其他域可按應(yīng)用需求,隨后下載。 另外,如果禁用PRR域,則可以讓器件的功耗與禁用區(qū)域部分成比例降低。在使用汽車電池供電的ECU中,節(jié)能模式尤為重要。為此,在車輛未使用時(shí)(即處于休眠模式時(shí)),車載ECU可使用低功耗模式,以讓ECU功耗保持最低。同樣,可以在不需要的時(shí)候使用空白位流禁用FPGA的部分區(qū)域,減少邏輯活動(dòng),從而降低動(dòng)態(tài)功耗。 在采用運(yùn)行時(shí)可重配置邏輯的系統(tǒng)中,汽車設(shè)計(jì)人員還可使用一種從航空航天應(yīng)用中借鑒來的重配置技術(shù)。重配置(configuration scrubbing)可以將系統(tǒng)從因單粒子翻轉(zhuǎn)(SEU)和電磁干擾造成的SRAM故障中恢復(fù)過來。定期重新配置硬件外設(shè)可保證系統(tǒng)在出現(xiàn)故障時(shí)自我修復(fù)。另外,這樣也可以將故障的最大時(shí)長限制在重配置時(shí)間間隔內(nèi)。這種技術(shù)也通常運(yùn)用在軟件中,作為一種常見的抗干擾保護(hù)措施,例如MCU外設(shè)的定期重配置。 另一項(xiàng)運(yùn)行時(shí)部分重配置技術(shù)的靈活性帶來的有前景的功能是在FPGA資源的某個(gè)特定二維位置出現(xiàn)永久性或不可修復(fù)的電路故障,比如影響到特定邏輯單元或RAM模塊時(shí),可通過功能重定位實(shí)現(xiàn)故障修復(fù)。一旦發(fā)現(xiàn)有硬件或軟件故障出現(xiàn),可以在運(yùn)行中將所需的功能自動(dòng)重定位到同一ECU中的可編程邏輯器件的其他部分。雖然這個(gè)構(gòu)思是可行的,但這項(xiàng)功能還沒有得到當(dāng)今的自動(dòng)化工具的完全支持。 適用于汽車產(chǎn)業(yè)的運(yùn)行時(shí)可重配置計(jì)算技術(shù)最強(qiáng)大的特性無疑是共享的硬件資源上功能的實(shí)時(shí)時(shí)分復(fù)用。可以對(duì)由ECU中的相同計(jì)算資源處理的功能性應(yīng)用進(jìn)行時(shí)間共享,如果應(yīng)用間相互獨(dú)立(例如,當(dāng)車輛向前直行駛時(shí)使用行車道偏離預(yù)警功能,倒車時(shí),則切換到后視攝像頭視圖或停車輔助應(yīng)用)。這種設(shè)計(jì)思路可以幫助降低此類嵌入式系統(tǒng)的成本和復(fù)雜性,釋放空間,減輕車身重量。 這種設(shè)計(jì)思路還可用于實(shí)現(xiàn)特定算法在不斷變化的環(huán)境條件或者外部條件中的自適應(yīng)性。例如,給定的引擎控制算法可通過部分可重配置自主調(diào)整部分硬件模塊,以在任何運(yùn)行溫度下或電池電壓下實(shí)現(xiàn)理想的運(yùn)行。同樣的理念對(duì)通信系統(tǒng)也適用,比如可以設(shè)計(jì)某種加密控制器,能夠在運(yùn)行中運(yùn)用特定的參數(shù)函數(shù)制定專門的安全等級(jí)。另如,可以設(shè)計(jì)某種ECC加密器/解密器IP,用于在高噪聲通信信道中檢測和修改數(shù)據(jù)傳輸錯(cuò)誤,能夠根據(jù)感應(yīng)到的信噪比動(dòng)態(tài)適應(yīng)其硬件架構(gòu)。 圖5顯示了一個(gè)采用賽靈思Virtex-4 FPGA部署的ECU系統(tǒng)的示例,由一個(gè)靜態(tài)域和一個(gè)部分可重配置域構(gòu)成。靜態(tài)域集成了一個(gè)MicroBlaze軟核處理器和一個(gè)基于ICAP的重配置控制器,部分可重配置域(PRR)則發(fā)揮著共享資源的作用,負(fù)責(zé)在不同時(shí)間換入和換出不同的功能任務(wù)或應(yīng)用。 圖5 在由部分可重配置域和靜態(tài)域構(gòu)成的運(yùn)行時(shí)可重配置FPGA中實(shí)現(xiàn)的汽車ECU應(yīng)用的空間分區(qū)和臨時(shí)分區(qū) 最后,如果將前述的構(gòu)想發(fā)揮到極致,可以設(shè)計(jì)出一種通用汽車ECU平臺(tái)。這種平臺(tái)可以在生產(chǎn)線上進(jìn)行配置并針對(duì)汽車中特定的ECU功能進(jìn)行定制。這種構(gòu)想在技術(shù)上借助可重配置硬件具有可行性,能夠簡化制造廠的物流要求,將存貨壓低到最低水平。這是因?yàn)閺挠布慕嵌葋砜矗谏a(chǎn)線上組裝的模塊對(duì)所有車輛都是一樣的,都采用單一平臺(tái)設(shè)計(jì)或產(chǎn)品架構(gòu)(基于靈活的硬件)。只有可下載的位流會(huì)讓ECU的功能具有差異。 高集成度ECU 在當(dāng)今的汽車產(chǎn)業(yè)中,有約90%的創(chuàng)新來自汽車電子設(shè)備,而且這個(gè)勢頭方興未艾。未來汽車將采用非常先進(jìn)的軟硬件技術(shù),實(shí)現(xiàn)大量的新功能,比如自動(dòng)駕駛、車輛間通信、娛樂以及和更高安全性。但是,對(duì)在這個(gè)以大批量制勝的產(chǎn)業(yè)而言,控制車載嵌入式系統(tǒng)的成本對(duì)汽車制造商極其重要。因此,當(dāng)前的趨勢是在減少車輛中的ECU數(shù)量的同時(shí)讓每個(gè)ECU發(fā)揮強(qiáng)勁的功能。要實(shí)現(xiàn)這個(gè)目標(biāo)需要功能更加強(qiáng)大的計(jì)算平臺(tái)。 許多行業(yè)參與方共同采用的方法是開發(fā)用作域控制器的高集成度ECU。就是將多個(gè)單核處理器或微控制器布置在同一開發(fā)板上,共享總線連接和其他資源,旨在從整車的角度降低系統(tǒng)復(fù)雜性。這種趨勢讓我們聯(lián)想到可以將可重配置硬件用于ECU的設(shè)計(jì),從而在有效提高計(jì)算并行性,降低PCB的復(fù)雜性的同時(shí),實(shí)現(xiàn)最高性價(jià)比解決方案。 這種設(shè)計(jì)方法雖然在我們的工作中尚處于萌芽階段,卻為將AUTOSAR和ISO 26262標(biāo)準(zhǔn)與運(yùn)行時(shí)可重配置硬件融合用于軟/硬件聯(lián)合設(shè)計(jì),實(shí)現(xiàn)完整的車載嵌入式ECU系統(tǒng)奠定了基礎(chǔ)。實(shí)際上,雖然目前AUTOSAR還沒有覆蓋到可重配置硬件,但我們不排除將來有這種可能。基于SRAM的運(yùn)行時(shí)可重配置FPGA已用于航空航天應(yīng)用,能夠滿足容易導(dǎo)致SEU的更為惡劣的環(huán)境條件的要求,況且汽車行業(yè)從歷史上看有借鑒航空航天行業(yè)率先開創(chuàng)的風(fēng)氣的習(xí)慣。另外,在市場上已經(jīng)存在某些合格的用于實(shí)現(xiàn)基于FPGA的安全相關(guān)系統(tǒng)的設(shè)計(jì)方法和工具,而且行業(yè)中涉及FPGA器件的標(biāo)準(zhǔn)也已經(jīng)存在有相當(dāng)長時(shí)間,比如用于規(guī)范航空電子業(yè)組件和系統(tǒng)設(shè)計(jì)的DO-254標(biāo)準(zhǔn)。 聯(lián)合設(shè)計(jì)帶來模式變革 因此,我們的工作將掀起汽車產(chǎn)業(yè)計(jì)算模式的變革。在特定的ECU應(yīng)用場景中,純軟件的解決方案將被軟/硬件聯(lián)合設(shè)計(jì)和可重配置計(jì)算技術(shù)所取代。這是因?yàn)椴捎民T諾依曼型MCU的純軟件方法由于性能、復(fù)雜性和安全性方面的局限,已不敷使用。可編程邏輯技術(shù)的價(jià)格的不斷降低,加上汽車電子控制單元性能需求的不斷走高,將在不久的將來把這場變革變?yōu)楝F(xiàn)實(shí)。 兩大關(guān)鍵標(biāo)準(zhǔn) 汽車產(chǎn)業(yè)在設(shè)計(jì)車載電子設(shè)備時(shí)已將兩項(xiàng)關(guān)鍵標(biāo)準(zhǔn)奉為圭皋。其中一項(xiàng)標(biāo)準(zhǔn)是AUTOSAR,它通過適當(dāng)?shù)能浻布軜?gòu)解決嵌入式系統(tǒng)復(fù)雜性問題。另一項(xiàng)標(biāo)準(zhǔn)是即將推出的ISO 26262,用于管理功能安全性。AUTOSAR提出的以及ISO 26262采用的相關(guān)技術(shù)課題主要為安全問題的檢測和處理,比如運(yùn)行時(shí)發(fā)生的硬件故障、時(shí)序失常和應(yīng)用執(zhí)行的邏輯順序打亂、數(shù)據(jù)損壞等。 AUTOSAR詳解 近年來,電子組件已經(jīng)取代了車輛中的機(jī)械系統(tǒng)和液壓系統(tǒng)。隨著設(shè)計(jì)人員開始用軟件實(shí)現(xiàn)更多的控制、監(jiān)控和診斷功能,這種趨勢正在持續(xù)。實(shí)際上,用電子技術(shù)能夠?qū)崿F(xiàn)僅用機(jī)械和液壓解決方案無法開發(fā)者開發(fā)成本高的新功能。但這些部件必須滿足嚴(yán)格的安全要求,以避免出錯(cuò)和故障。 雖然軟件相關(guān)的故障目前來看比較罕見,但隨著軟件在汽車這種工業(yè)制品中用量的不斷增加,系統(tǒng)變得日趨復(fù)雜,加上產(chǎn)品開發(fā)周期的縮短,最終可能導(dǎo)致產(chǎn)品故障。為解決這個(gè)問題,汽車產(chǎn)業(yè)通過結(jié)盟和實(shí)施標(biāo)準(zhǔn),確保使用和開發(fā)安全可靠的軟件。 比如汽車工業(yè)軟件可靠性協(xié)會(huì)(MISRA)就是由福特和美洲豹路虎這樣的汽車制造商、組件供應(yīng)商和工程咨詢方組成的團(tuán)體。通過制定一系列軟件編程規(guī)則,MISRA旨在在道路車輛的車載安全相關(guān)電子系統(tǒng)和其他嵌入式系統(tǒng)的開發(fā)工作中推廣最佳實(shí)踐。 汽車開放系統(tǒng)架構(gòu)(AUTOSAR)是來自電子、半導(dǎo)體和軟件行業(yè)的汽車制造商、供應(yīng)商和其他公司組建的聯(lián)合體為解決幾項(xiàng)重大問題而制定的一種事實(shí)上的汽車電氣/電子(E/E)架構(gòu)開放行業(yè)標(biāo)準(zhǔn)。這幾項(xiàng)重大問題包括:控制隨功能不斷增加而導(dǎo)致的日益提高的車載電氣/電子系統(tǒng)復(fù)雜性;提高靈活性以便產(chǎn)品的修改、升級(jí)和更新;在產(chǎn)品線內(nèi)部以及跨產(chǎn)品線提高解決方案的可擴(kuò)展性;改善電氣/電子系統(tǒng)的質(zhì)量和可靠性;實(shí)現(xiàn)設(shè)計(jì)初期階段的出錯(cuò)檢測。 這個(gè)架構(gòu)面臨的挑戰(zhàn)是必須集成廣泛供應(yīng)商提供的日益豐富的軟件和電子技術(shù)。通過簡化軟硬件的交換和更新選項(xiàng),AUTOSAR架構(gòu)為可靠地控制汽車車載電氣/電子系統(tǒng)日益提高的復(fù)雜性奠定了基礎(chǔ),同時(shí)在保證質(zhì)量的情況下改善了成本效益。 AUTOSAR架構(gòu)制定于2003年,是更早期的OSEK/VDX聯(lián)合體的自然發(fā)展。OSEK/VDX聯(lián)合體誕生于十年之前,由部分德國和法國汽車制造商主推。由于有更遠(yuǎn)大的目標(biāo),AUTOSAR如今已經(jīng)為世界各地大部分汽車制造商采用。 AUTOSAR架構(gòu)的核心成員包括寶馬集團(tuán)、博世、大陸、戴姆勒、福特、通用汽車、雪鐵龍、豐田和大眾集團(tuán)。除了這些核心成員公司,另有160余家其他成員為聯(lián)合體的成功發(fā)揮著重大作用。由此,在“在標(biāo)準(zhǔn)上合作,在設(shè)計(jì)上競爭”的口號(hào)的指引下,汽車制造商和供應(yīng)商聯(lián)合一致,共同制定了這個(gè)旨在實(shí)現(xiàn)車載電氣/電子設(shè)計(jì)突破的開放標(biāo)準(zhǔn)化系統(tǒng)架構(gòu)。 功能安全性 與此類似,IEC 61508是負(fù)責(zé)管理電氣、電子和可編程電子系統(tǒng)和組件的功能安全性的國際電工委員會(huì)的一般性標(biāo)準(zhǔn),自2004年生效以來已經(jīng)得到世界各地的認(rèn)可,適用于各個(gè)領(lǐng)域的安全相關(guān)系統(tǒng)。 在專門為功能安全性制定的其他標(biāo)準(zhǔn)中,有一項(xiàng)系專門為汽車行業(yè)的功能安全性制定,這就是國際標(biāo)準(zhǔn)化組織的ISO 26262。這項(xiàng)新標(biāo)準(zhǔn)尚在制定過程中,預(yù)計(jì)將于2012年頒布,旨在支持和推動(dòng)汽車行業(yè)中安全產(chǎn)品的開發(fā)工作。它覆蓋了從構(gòu)想、產(chǎn)品開發(fā)、生產(chǎn)和經(jīng)營的所有安全工作。 事實(shí)上,功能安全,即不允許發(fā)生因電氣/電氣系統(tǒng)的功能失常導(dǎo)致的危險(xiǎn)性造成不可接受的風(fēng)險(xiǎn),業(yè)已成為汽車設(shè)計(jì)中的一項(xiàng)重要要求。該擬在近期頒布的標(biāo)準(zhǔn)專門針對(duì)汽車行業(yè)的實(shí)際情況,定義了可接受的風(fēng)險(xiǎn),重在防范惡性故障。為此,“風(fēng)險(xiǎn)”一詞的定義為發(fā)生傷害或者損害的可能性及傷害或者損害的嚴(yán)重性。在工程開發(fā)階段,該標(biāo)準(zhǔn)要求提前評(píng)估所有潛在的危險(xiǎn)和風(fēng)險(xiǎn),并要求開發(fā)人員采取適當(dāng)?shù)拇胧┍M最大可能予以消除。ISO 26262提供了適當(dāng)?shù)囊蠛土鞒蹋笇?dǎo)如何避免這些風(fēng)險(xiǎn)。 根據(jù)該標(biāo)準(zhǔn)的要求,汽車的功能被分成安全相關(guān)功能和非安全相關(guān)功能兩大類。安全相關(guān)功能指如果功能失常就會(huì)給駕駛員帶來風(fēng)險(xiǎn)的功能。對(duì)分類為安全相關(guān)功能的功能,該標(biāo)準(zhǔn)進(jìn)一步設(shè)定了數(shù)個(gè)可能的風(fēng)險(xiǎn)等級(jí)。就是說從確保具體的安全目標(biāo)的角度出發(fā),某些功能的比另一些功能更加關(guān)鍵。 根據(jù)可能發(fā)生的事故的嚴(yán)重性、出現(xiàn)特定駕駛狀況的概率、采用外部措施降低風(fēng)險(xiǎn)的程度,該標(biāo)準(zhǔn)定義了一系列汽車安全完整性等級(jí)(ASIL))。該系列等級(jí)具體分為四個(gè)等級(jí),從D到A。D代表最高安全等級(jí),A代表最低安全等級(jí)。每個(gè)ASIL等級(jí)都列明汽車制造商和供應(yīng)商必須滿足的要求或建議,以將“不可容許的嚴(yán)重風(fēng)險(xiǎn)”降低為可容許殘余風(fēng)險(xiǎn)。 例如,如果在車輛行駛中方向盤軸被卡住,駕駛員就可能遭遇事故,因?yàn)轳{駛員無法轉(zhuǎn)動(dòng)方向盤。為將該風(fēng)險(xiǎn)降低到可容許的水平,方向盤軸控制功能的設(shè)計(jì)就必須根據(jù)ISO 26262標(biāo)準(zhǔn)和為此安全目標(biāo)設(shè)定的ASIL等級(jí)滿足一定的安全設(shè)計(jì)標(biāo)準(zhǔn)。 軟件開發(fā)人員和硬件開發(fā)人員必須依據(jù)每一項(xiàng)安全目標(biāo)的ASIL等級(jí),在實(shí)現(xiàn)涉及的功能的時(shí)候思考具體的安全措施。對(duì)高安全等級(jí)的ASIL(D或C),常用的設(shè)計(jì)方法是將安全要求分解為冗余安全要求,以便采用充分獨(dú)立的元件在較低的ASIL等級(jí)上滿足ASIL容許度要求。換句話說,就是將原始的安全要求用不同的處理器(一般為MCU)冗余地實(shí)現(xiàn),采用冗余通道最大程度地降低惡性故障發(fā)生的概率。 最后,制造商和供應(yīng)商需要向認(rèn)證機(jī)構(gòu)證明自己的電氣/電子系統(tǒng)能夠根據(jù)行業(yè)專門的規(guī)定安全可靠地提供要求的功能。 |
