安全需求成为汽车车身电子系统发展的驱动力

汽车安全性近年来已经得到了提高，无论从政府法令到消费者对更安全的汽车的偏爱都证实了这一点。随着现代汽车集成越来越多的汽车电子系统，显然，与安全性无关的系统的“安全性”越来越受到人们的重视。航天工业多年来一直采用线控飞行控制(fly-by-wire)系统，但是，并未遭受与汽车行业一样的成本压力。若干航空系统常常采用冗余系统，有时侯对特定的系统甚至最多有四冗余系统，

汽车行业面临的挑战有其自身特点：它必须满足类似的鲁棒性要求而不增加车辆的成本。这就要求第一层供应商(Tier-Ones)及其配套厂家要推出创新且新型的解决方案，从而以有竞争力的价格解决严格的安全性要求所面临的难题。

SIL等级

在1998年，国际电子技术委员会(International Electrotechnical Commission, IEC)出版了61508标准，文件中包含对最小化电子系统故障的要求。该标准给出了若干系统完整性等级或SIL的定义。按照每小时危险故障出现的概率对应用和系统分类，如下所列：

一个FIT(故障时间)相当于每小时危险故障数为10-9，因而整个系统必须工作在安全性预算范围内，其中器件的总累积FIT数要达到SIL等级的特征描述的要求。

确定一项应用所需要的安全性等级(SIL等级)决不是一件容易的事情。显然，飞机的关键系统需要至少符合SIL3且在一些情形下要符合SIL4的要求。对汽车没有这么高的要求明显，但是，也存在显然需要高安全性等级的例子，如线控驾驶(steer-by-wire)或线控刹车(brake-by-wire)。有若干工具能够分析系统所需要的SIL等级，但是，本文的目的不是为各种系统分配SIL需求。上述例子足以说明在现代汽车中需要考虑的若干安全性关键的系统。

显然，驾驶和刹车系统极为重要，但是，汽车灯光系统或风档雨雪刷的重要性怎么样？在雨天中，控制雨刷的系统需要具备多少FIT率才是可以接受的？每一个系统与安全性的关系会越来越大，现在的问题是：有没有什么系统是不安全的呢？

目前，大多数汽车电子系统都连接在控制区域网(CAN)总线或本地互连网(LIN)子总线(下图)上。这就提出了进一步的问题：关键应用的错误代码如何能传播到另一个系统？例如，GPS导航系统的错误代码如何被传播到门控模块或另外一个关键的应用？因而，汽车中的每一个系统是否都要满足SIL2等级的最低要求？

高速CAN总线被用于连接快速执行系统如引擎和动力总成控制系统及主动悬架。

毫无疑问，随着车身计算机(下图)集成越来越多的功能，对这些应用的SIL等级的关注会越来越强烈。有这么一个例子，OEM把方向盘(电子控制器)集成到网关或总线控制单元(BCU)中。显然，如果方向盘因系统故障而锁死，就可能引发灾难，因而需要一些BCU系统具备SIL3等级。

在现有环境中，应用开发商面对的另一个挑战是软件开发多样性问题。长久以来就是这样：软件不是由一个团队编写的，而是由来自不同公司的几个团队编写的。CAN驱动程序可能来自一家供应商，新的算法可能来自另外一家专业公司，而标准

我要反馈

—— 造车工艺 ——

—— 数字化制造 ——

—— 智能驾驶 ——

—— 新能源技术 ——

—— 机器人技术 ——