电子产品世界

　　根据 IEC 61508 标准，危险故障的成因包括以下因素：

　　—— 软件或硬件系统规范不正确

　　—— 安全要求规范缺失

　　—— 硬件随机故障

　　—— 系统原因故障

　　—— 人为错误

　　—— 环境影响(EMI、温度以及机械等)

　　从完整系统的角度来说，危险评估和安全完整性要求包括以下因素：

　　在电压下降、假信号等情况下确保稳定的电源供给和时钟信号完整性;

　　用于处理与通信的冗余性或真实性检查，其中包括往返于传感器和执行器的信号;

　　提供故障检验功能;

　　提供故障管理策略，其中包括在故障容错架构、紧急操作模式及可控系统关断等情况下定义安全状态和故障防护;

　　增强型软件开发进程包括使用正式规范、编程语言子集以及代码验证工具等。

　　硅芯片的强大支持

　　开发人员可充分利用市场上的微处理器，为 ECU 制动控制功能达到 SIL3 认证标准提供所需技术。TI 与罗伯特•博世有限公司 (Robert Bosch GmbH) 联合开发的TMS570 就是一款这样的微处理器。

　　在硅芯片设计中，芯片布局本身就是一项很大的挑战，应包括专用知识产权 (IP) 以减少并检测随机硬件和系统原因故障。此外，我们还可用运行于锁步 (lock-step)模式的双核处理器架构来比较处理结果，从而避免为开发独立的检验器微处理器软件耗费大量的时间。为了保护存储器子系统免受外部事件引发的故障影响，我们应在主存储器和本地存储器以及总线流量上实施错误校正代码 (ECC) 和奇偶位保护机制。为简化开发工作，开发人员还应使用 MCU 上业已实施FlexRay™ 网络协议的器件。这种由领先汽车制造商和供应商开发的确定性通信标准能为高级汽车系统提供全面确定性的冗余通信。

　　例如，TI 的 TMS570 MCU 是一款基于两个相同的新一代 ARM® R4 CortexTM 内核之上的对称型双核MCU。每个 Cortex-R4 内核的性能均可达到 300 MIPS，而且 TMS570 还集成了 2MB 的片上闪存、FlexRayTM 网络、BIST、CAN 及多种外设。双核与正在申请专利的架构紧密耦合，可实现最高可靠性。

　　Cortex-R4 的优势

　　Cortex-R4 的 64 位 AMBA 3 AXI 存储器接口能够提供几项可加强可靠性的重要性能优势，其中包括发出多个待定地址，并支持乱序数据返回。

　　或许最显著的优势在于，即便存储器或外设速度较慢，也不会阻塞总线，进而影响存取速度。这种功能使得内核不必等待速度较慢的存取完成，从而可以执行更多存取。此外，64 位宽总线还提高了可用带宽，从而仅需四次存取就能完成高速缓存行填充，而不像ARM946E-S一样需要八次。

　　与 946E-S 相比，Cortex-R4 还大幅改进了中断延迟，而且最坏情况中断延迟和平均中断延迟均得到了改善。例如，946E-S 必须等着指令或中断进程完成，而不能中途放弃。在最坏情况下，意味着即便使用零等待状态存储器，中断延迟有可能长达 118 个周期。尽管上述情况不太可能频繁发生，但实时系统必须做这种最坏的打算。

　　另一方面，如果在执行过程中收到中断请求，Cortex-R4 处理器将放弃正常存储器的多负载指令。经过精心设计，TMS570 MCU可将最长中断延迟控制在 20 个周期左右，很少甚至可完全不受 AMBA AXI 存储器和外设的存取时间的影响。

　　此外，Cortex-R4 处理器还可提供非屏蔽中断选项，从而避免软件禁用快速中断请求 (FIQ)，这对于安全关键型应用尤其重要。

　　结论

　　对汽车制造商及 OEM 厂商而言，随着车辆变得日益复杂，集成的功能越来越多，安全标准化也日趋重要。集成 Cortex R4 内核的创新型设计，如 TMS570 器件，可实现 IEC 61508 标准所要求的故障检测与响应时间。

　　将基于微处理器的系统的可靠性纳入 SIL3 认证范畴，标志着汽车 OEM 厂商与汽车制造商在全面实施车辆线控驱动功能的进程中向前迈进了一大步。

　　TMS570 MCU 是经 SIL3 认证并符合制动要求的 32 位微处理器系列，将在2008 型式年份的车辆中实施。TMS570 MCU的技术发展策略涵盖电子稳定性控制、底盘控制及转向系统等。

关键词： TMS 570 MCU 汽车制动系统