SafeAssure保障方案涵蓋飛思卡爾系列的技術(shù)，包括微控制器、模擬和電源管理IC以及傳感器。SafeAssure安全保障方案對(duì)廠商提供了四個(gè)方面的支持，包括：

　　安全流程：挑選那些定義和設(shè)計(jì)之初就以符合各項(xiàng)標(biāo)準(zhǔn)要求為目標(biāo)的產(chǎn)品，使功能安全成為產(chǎn)品開(kāi)發(fā)流程的一個(gè)完整組成部分。

　　安全硬件：故障控制通過(guò)在飛思卡爾微控制器、電源管理IC和傳感器中內(nèi)置的安全功能實(shí)現(xiàn)，例如自測(cè)、監(jiān)控和基于硬件的冗余。飛思卡爾汽車(chē)模擬器件解決方案提供了額外的系統(tǒng)級(jí)安全功能，包括檢查微控制器時(shí)序、電壓和故障管理。

　　安全軟件：全面的汽車(chē)功能安全軟件產(chǎn)品，包括AUTOSAR OS、MCAL、驅(qū)動(dòng)和內(nèi)核自測(cè)功能，并與領(lǐng)先的第三方軟件提供商合作推出更多的安全軟件解決方案。

　　安全支持：飛思卡爾利用自身覆蓋廣泛的技術(shù)能力，提供功能安全架構(gòu)有關(guān)的客戶培訓(xùn)和系統(tǒng)設(shè)計(jì)審核，以及廣泛的安全文檔和技術(shù)支持。

　　SafeAssure主要目標(biāo)是化繁為簡(jiǎn)，為簡(jiǎn)化失效故障分析，飛思卡爾還提供一個(gè)重要分析工具——失效模式、效果和診斷分析(FMEDA)，這個(gè)工具分析客戶整個(gè)數(shù)據(jù)，最后算出的結(jié)果是不是達(dá)到功能安全所需要的要求。FMEDA工具可以幫助客戶根據(jù)其應(yīng)用來(lái)計(jì)算最后功能安全結(jié)果，從而使SafeAssure方案有效簡(jiǎn)化功能安全設(shè)計(jì)工作。

　　從MPC5643L單片機(jī)看功能安全機(jī)制

　　Yolanda指出：“硬件安全的理念主要通過(guò)檢測(cè)和消除隨機(jī)硬件故障，利用內(nèi)置的安全機(jī)制，包括自檢、監(jiān)測(cè)和基于硬件的冗余設(shè)計(jì)來(lái)實(shí)現(xiàn)。”廠商可以充分利用在飛思卡爾微控制器、電源管理IC和傳感器中內(nèi)置的功能安全機(jī)制實(shí)現(xiàn)有效的故障控制，從而實(shí)現(xiàn)目標(biāo)市場(chǎng)對(duì)功能安全設(shè)計(jì)的要求。

　　功能安全設(shè)計(jì)需要針對(duì)可能出現(xiàn)功能失效進(jìn)行預(yù)測(cè)，包括單點(diǎn)失效、潛在失效和共因失效。按照ISO 26262的最高等級(jí)ASIL D的要求，所設(shè)計(jì)的系統(tǒng)要能檢測(cè)出大于99%的單點(diǎn)失效率，潛在失效檢測(cè)要超過(guò)90%。例如，如果一個(gè)系統(tǒng)的每小時(shí)失效率低于10-8，則落到單片機(jī)的每小時(shí)失效率必須低于10-9。“在我們的單片機(jī)設(shè)計(jì)過(guò)程中更嚴(yán)格，錯(cuò)誤概率更小。”Yolanda表示，“MPC5643L就是飛思卡爾針對(duì)功能安全推出的一款單片機(jī)產(chǎn)品，這款產(chǎn)品的設(shè)計(jì)體現(xiàn)了功能安全的設(shè)計(jì)理念。”

　　冗余設(shè)計(jì)是有效提高系統(tǒng)失效安全的有效措施之一，MPC5643L中充分利用了冗余設(shè)計(jì)確保嚴(yán)格的功能安全標(biāo)準(zhǔn)要求。MPC5643L采用了雙e200Core內(nèi)核鎖步(lockstep)工作模式，一個(gè)內(nèi)核工作的同時(shí)另一個(gè)內(nèi)核進(jìn)行監(jiān)測(cè)。此外，MPC5643L還對(duì)主要的模塊如看門(mén)狗定時(shí)器、內(nèi)存相關(guān)控制單元、總線及外設(shè)都進(jìn)行了冗余。而且，為了防止單點(diǎn)失效，MPC5643L內(nèi)置的閃存還具有自動(dòng)糾錯(cuò)功能。

　　通常，很多系統(tǒng)開(kāi)始都能正常工作，但是過(guò)了幾年之后，因?yàn)橥獠恳恍┮蛩赜|發(fā)而可能產(chǎn)生一些失效故障，這就是潛在失效的概念，功能安全設(shè)計(jì)需考慮潛在失效。“過(guò)去潛在失效的防范都是由軟件實(shí)現(xiàn)，軟件每一次在單片機(jī)復(fù)位以后都會(huì)對(duì)所有的內(nèi)存或者是邏輯進(jìn)行一次校驗(yàn)。而在MPC5643L中，將校驗(yàn)功能由硬件實(shí)現(xiàn)，即內(nèi)置自測(cè)，這是功能安全對(duì)單片機(jī)非常重要的要求，這種自測(cè)功能可以把內(nèi)存或者是邏輯以及外設(shè)的一些錯(cuò)誤檢測(cè)覆蓋率達(dá)到90%以上。”Yolanda指出。

　　除此之外還需要考慮共因失效。“共因失效是什么呢?比如說(shuō)時(shí)鐘，它會(huì)提供給很多模塊，還有電壓也會(huì)提供給整個(gè)的單片機(jī)。此外，溫度也是重要考慮的問(wèn)題，如果一旦芯片溫度過(guò)高，也可能導(dǎo)致芯片失效。”Yolanda解釋了共因失效的定義，“這些共因失效都需要檢測(cè)，MPC5643L對(duì)時(shí)鐘、電壓以及溫度都有檢測(cè)。”從成本考慮以及應(yīng)用環(huán)境的原因，通常的應(yīng)用中單片機(jī)并不具有溫度傳感器這些考慮共因失效的功能特性。

　　除此之外，MPC5643L內(nèi)部還集成了一個(gè)獨(dú)立于CPU的錯(cuò)誤收集和應(yīng)對(duì)模塊(FCCU)，該模塊在時(shí)鐘上也跟CPU獨(dú)立開(kāi)，可以完全獨(dú)立操作，把這些錯(cuò)誤收集起來(lái)并做相應(yīng)的應(yīng)對(duì)措施。這個(gè)功能模塊也是傳統(tǒng)單片機(jī)所不具備的。　　

 

　　圖4：功能安全處理器MPC5643L充分利用了硬件冗余設(shè)計(jì)等多種失效保障機(jī)制。

　　本文小結(jié)

　　據(jù)Yolanda指出，目前基于功能安全的安全性預(yù)測(cè)在歐美和日本等發(fā)達(dá)市場(chǎng)已經(jīng)發(fā)展得非常成熟，很多相關(guān)的產(chǎn)品即將推入市場(chǎng)，而在中國(guó)國(guó)內(nèi)才剛剛開(kāi)始起步。高級(jí)駕駛員輔助系統(tǒng)作為安全性預(yù)測(cè)的標(biāo)志性應(yīng)用，目前已經(jīng)進(jìn)入很多高端汽車(chē)的研發(fā)流程。以飛思卡爾公司為例，對(duì)高級(jí)駕駛員輔助系統(tǒng)提供了全部整套的解決方案，包括后視的停車(chē)輔助、全景輔助、前景安全性預(yù)測(cè)(車(chē)道偏離預(yù)警、自動(dòng)巡航系統(tǒng)，等等)。事實(shí)上，目前很多全球領(lǐng)先的汽車(chē)半導(dǎo)體解決方案提供商都將目標(biāo)瞄準(zhǔn)高級(jí)駕駛員輔助系統(tǒng)，基于功能安全的汽車(chē)安全性預(yù)測(cè)的廣泛應(yīng)用指日可待。