在不久的將來，汽車雷達系統(tǒng)會越來越普及，它們提供很多舒適安全的應用。短距離雷達范圍從幾厘米到30米，可用于盲點探測、倒車輔助或車位測量，以 引導汽車自助泊車。長距離雷達可達到250米，用于啟動自適應巡航控制，使汽車與前車速度保持一致。此外，它還可以啟動更多重要的功能，如碰撞告警、緊急 制動，甚至撞擊預警偵測系統(tǒng)等，這些可能觸發(fā)安全帶張力計或其它主動或被動安全功能。顯而易見，憑借后面這些功能，電子控制系統(tǒng)需要達到最高的功能安全等 級，因為此系統(tǒng)無需駕駛員干預，最終都會轉向或制動汽車。

　　這種雷達技術的發(fā)展創(chuàng)新不斷應用在移動工控機、起重機、工廠安全設備等其他應 用中，而這一應用領域都需要嚴密地安全保護。耦合雷達與機器視覺也可以創(chuàng)建一個強大的組合，這兩種技術相輔相成，可創(chuàng)建更準確和更可靠的系統(tǒng)。當機器視覺 被遮擋時，雷達可在雨水、霧氣和污垢環(huán)境下運行。此外，雷達還可以進一步延伸其探測距離以及探測到非直接視線中的事件。一個結合了機器視覺與雷達及一些智 能傳感器融合算法的系統(tǒng)，可以充分利用這兩種傳感技術帶來的好處。

　　77 GHz雷達技術

　 　在碰撞告警系統(tǒng)中，77 GHz發(fā)射器發(fā)出的信號將被車身前方的物體反射，然后由分布在車身各處的多個接收器捕獲。該發(fā)射器發(fā)出頻率調制的連續(xù)波信號，即在一個固定時段中，頻率隨 著典型的三角波信號而上下變化。由于無線電波是以恒定的光速進行傳播的，因此測量發(fā)射波和接收波之間的頻率差異（即隨時間而變化的頻率斜率）就可以計算出 傳播距離。速度測量采用多普勒效應，即所觀察到的反射信號頻率與發(fā)出的頻率不同。

　　雷達系統(tǒng)并不是新亮點。而新亮點是汽車制造商想在最近 幾年內將這個系統(tǒng)內置在中型汽車中，因此該系統(tǒng)必須是低成本、高質量的。這意味著從昂貴的專業(yè)雷達系統(tǒng)向標準汽車設備類型的一個很大轉變。面臨的挑戰(zhàn)是降 低成本的同時，實際提高產(chǎn)品質量及減少每百萬件的瑕疵部件。這種轉變如“質量與成本營銷價值圖”所示。

　　這個營銷價值圖顯示了從高成本、良好質量系統(tǒng)向中低成本、更高質量系統(tǒng)的轉變。為了實現(xiàn)這一目標，我們必須應對很多挑戰(zhàn)。

　　雷達成本和質量的挑戰(zhàn)

　 　傳統(tǒng)雷達采用旋轉天線。這也是物體空間映射的原理。這可能適合具有昂貴控制系統(tǒng)的大型系統(tǒng)，但肯定不適用于汽車批量生產(chǎn)。消除旋轉天線的一個解決方案就 是，將相控陣列或接線天線用于多通道發(fā)射和接收通道。空分天線將接收有輕微時差的反射信號。這種差別隨后用于重建物體位置，而無需移動天線。這種接線天線 的缺點是，需要多個發(fā)射和接收通道來連接天線。典型系統(tǒng)將采用類似4個發(fā)射天線和16個接收天線。但從經(jīng)濟角度來說，重復16次接收電路和4次發(fā)射電路并 不可行。

　　這時另一個創(chuàng)新就派上用場了。飛思卡爾沒有采用射頻差分電路，而是開發(fā)了一個專用射頻BiCMOS工藝，它的性能足以將77 GHz射頻電路整合到單芯片上。飛思卡爾從開發(fā)高性能SiGe:C（硅鍺碳）180納米工藝開始，還開發(fā)了專用的300GHz Fmax射頻晶體管，能夠在芯片上處理77GHz雷達信號。結合模擬和數(shù)字CMOS電路，這一工藝支持全面集成多通道77GHz片上系統(tǒng)。因此片上集成可 抵消多通道開銷成本。

       高級封裝技術

　　具備77GHz固態(tài)硅工藝是一筆巨大財富，但在印刷電路板上 處理和報告它又是另一個挑戰(zhàn)。傳統(tǒng)封裝寄生阻抗在高頻率時會破壞信號信息。應對這個問題的一種方法就是采用精密引線焊接技術將裸芯片焊接在專用PCB上， 而不是采用典型封裝和更高成本的波峰焊接技術。這時名為“RCP （重分配芯片封裝）”的全新先進封裝技術就派上用場了。

　　RCP采用粗 光刻技術而不是PCB型材料將銅互連層裝配在芯片或多芯片系統(tǒng)上。這種無基板的封裝技術具有更低的電容和電感寄生行為。與裸芯片焊接工藝相比，通過具有合 格性能的這一封裝，可以在77GHz時路由高頻率信號。它的優(yōu)點是，傳統(tǒng)PCB的整套工具可用于焊接這個部件，這意味著低成本的處理。

　　憑借這種工藝和封裝技術，飛思卡爾不斷設計出集成的發(fā)射器和接收器雷達電路。

　　此發(fā)射器集成了77GHz頻率合成器、半頻率時的壓控振蕩器、10GHz分頻鎖相環(huán)、功率放大器和一個28位Σ-Δ調制器。這通過SPI接口可附帶特定ESD保護（RF和DC）和數(shù)字控制。

　　在接收端，我們在38GHz時集成了典型的4個接收通道和一個本地振蕩器，以及輸出差分中頻。無需低噪聲放大器就能實現(xiàn)13dB的典型噪聲系數(shù)。這有助于保持低功耗、高線性度。

　　功能安全微控制器

　 　微控制器用來控制射頻雷達發(fā)射器和處理從接收器傳來的數(shù)據(jù)。如果考慮到應用的關鍵安全性質，就需要采用功能安全微控制器。系統(tǒng)工程師所面臨的挑戰(zhàn)是所構 建的系統(tǒng)需要能夠防止危險故障的發(fā)生或至少在出現(xiàn)故障時能夠有效地進行控制。危險故障可能來自隨機硬件故障、系統(tǒng)硬件故障及系統(tǒng)軟件故障。

　 　功能安全標準IEC 61508和汽車適用的 ISO 26262標準適用于確保一般工業(yè)和汽車應用中的電子系統(tǒng)是完全安全的。IEC 61508標準定義了四個完全安全完整性等級（SIL），其中SIL 4表示最嚴格的安全等級。ISO標準定義了四個汽車安全完整性等級（ASIL），其中ASIL D表示最嚴格的安全等級。每個等級對應一個出現(xiàn)安全功能故障的可能性目標范圍。

　　SIL和ASIL等級之間沒有直接的對應關系，但是ISO 26262將安全流程和要求推向更深的層次。在整個設計過程的一開始，就必須收集憑證，證明該產(chǎn)品是依據(jù)標準進行開發(fā)的。發(fā)現(xiàn)的任何潛在偏差都必須記錄，以確保能夠采取足夠的挽救措施。

　 　它們采用不同的方法來實現(xiàn)安全微控制器。傳統(tǒng)的方法是采用兩個獨立的微控制器復制完全不同的控制器上的軟件。相同的軟件可以在每個微控制器上運行，然后 比較運行結果。如果結果相同，則一切正常；如果不相同，那么系統(tǒng)就知道有錯誤，要么解決它和/或使系統(tǒng)進入安全狀態(tài)。另一個選擇是，一個微控制器只能運行 安全軟件并監(jiān)控正在運行應用軟件的另一個微控制器。

采用獨立的微控制器，所設計的系統(tǒng)必須從一開始就設計和實施安全系統(tǒng)。

　　與之相反，現(xiàn)在可提供預認證的微控制器。這些解決方案主要檢測和減少單點故障、潛在故障和非獨立故障。這通過在微控制器、電源管理IC和傳感器中內置的安全功能實現(xiàn)，包括自檢、監(jiān)控和基于硬件的冗余。 對于微控制器來說，提供的片上冗余適用于下列關鍵部件，如：

　　- 具有延遲鎖步功能的多個CPU計算內核

　　- I/O處理器內核

　　- 直接存儲器存取控制器

　　- 中斷控制器

　　- 雙交叉開關總線系統(tǒng)

　　- 存儲器保護單元

　　- 故障采集單元

　　- 閃存存儲器和RAM控制器

　　- 外圍總線橋

　　- 系統(tǒng)和看門狗定時器

　　- 以及端到端糾錯碼

　　數(shù)據(jù)復制領域的主要優(yōu)勢是MCU的功能，可檢測較頻繁發(fā)生的軟錯誤等單點故障，不僅檢測內核中的，也檢測關鍵的子模塊中的錯誤。

　　為內核、存儲器、交叉開關、通信模塊和外設提供內置自檢（BIST）機制。此外，該器件進行了優(yōu)化，可防止時鐘或電壓電源問題誘發(fā)的共因失效。MCU提供檢測時鐘偏差的硬件模塊以及主電壓的硬件監(jiān)控，如內部核心電壓和閃存電源電壓。

　　雙核鎖步MCU在軟件級和系統(tǒng)級中不會減少實施安全措施的需求，如非常獨立地監(jiān)控軟件路徑計算的輸出值。然而，在更高集成度的其他方面，這些MCU不會提供關注點分離來進行驗證。在基于多個單核MCU的解決方案中，檢測和控制隨機硬件故障的能力很大程度上取決于軟件。

　 　雙核鎖步MCU可以在獨立于軟件的硬件級上驗證和確認計算基礎架構的關鍵功能安全的有關屬性，因為計算基礎架構以集成形式提供，它也代表一個集成的安全 機制。這是軟硬件協(xié)同設計過程內一個顯著好處。此外，關注點分離有利于快速定位問題。如果觸發(fā)了監(jiān)控雙核鎖步的安全機制，那么原因可能歸結為硬件級的隨機 硬件故障，同時如果觸發(fā)了軟件監(jiān)控，則原因可能歸結為系統(tǒng)級故障或軟件中的系統(tǒng)性故障。

　　雙核鎖步MCU方法提供了一個潛在的可用性優(yōu) 勢。 在現(xiàn)代MCU中，內核面積越來越小，遠低于整個MCU的5%，而MCU作為一個整體，通常分配到隨機硬件故障的概率指標（PMHF）約為1%。因此，內核 占比起初約為該區(qū)域的0.05%。但是，必須要確保內核的正確運行，才能在軟件中實施前向恢復技術，才能解決影響PMHF的其余99.95%的因素，保證 系統(tǒng)的可用性。此外，雙核鎖步MCU提供適當?shù)幕A設施來實施多個充分獨立的通道。

       功能安全配套器件

　　為了支持面向功能安全應用的完整系統(tǒng)解決方案，飛思卡爾開發(fā)了一類配套的電源系統(tǒng)基礎芯片（SBC），它結合了面向MCU的安全監(jiān)控作用和電源生成兩種功能。

　 　這些SBC器件為MCU和其他系統(tǒng)負載提供電源，并通過低功耗省電模式優(yōu)化能耗。 此外，它們通常還集成物理層接口和串行外圍接口，采用MCU進行控制和診斷。 MCU和模擬系統(tǒng)基礎芯片組合在一起可視為一個SEooC（獨立安全單元），有利于評估系統(tǒng)安全性。 這種架構能夠減少系統(tǒng)級組件的數(shù)量，滿足功能安全需求，并增強可靠性。

　　采取四種安全措施，確保MCU和SBC之間的交互：

　　- 不間斷電源

　　- 故障安全輸入監(jiān)控關鍵信號

　　- 故障安全輸出驅動故障安全狀態(tài)

　　- 面向先進的時鐘監(jiān)控的看門狗

　 　當與MCU相結合時，每個安全措施可以進行優(yōu)化，以實現(xiàn)最高的安全性能水平。在系統(tǒng)級，MCU提出的安全檢查機制可由SBC器件通過故障采集控制單元 （FCCU）的雙穩(wěn)協(xié)議來監(jiān)控。這種 IC 交叉檢驗，如對監(jiān)控定時的查詢等，可對系統(tǒng)進行外部檢測，作為額外的措施，進一步確保故障檢測。為了符合系統(tǒng)基礎芯片系列的安全架構，可以通過一個專用的 故障安全輸出為安全狀態(tài)激活提供冗余路徑。當發(fā)生故障情況時，這些輸出將應用設置為確定性狀態(tài)，以彌補MCU 故障安全輸出。

　　這些硬件實施方案幫助軟件工程師簡化了軟件架構，且實施的軟件開發(fā)策略側重于使用單一的MCU方法來確保安全性。

　　系統(tǒng)與芯片組的合規(guī)性

　 　功能安全合規(guī)性可在系統(tǒng)級實現(xiàn)，它是系統(tǒng)設計人員的職責。MCU和SBC芯片組是獨立于泊車系統(tǒng)、高級駕駛員輔助系統(tǒng)或移動吊車等最終應用之外單獨設計 的。 因而，該芯片組可以視為一個SEooC來進行開發(fā)。SEooC是一個安全相關的元件，而不是在特性車輛功能或最終應用背景下而開發(fā)的。我們按照定制指南開 發(fā)符合ISO26262標準的SEooC組件。

　　飛思卡爾已經(jīng)匯總了其措施，以支持SafeAssure品牌市場的功能安全需求。它涵蓋了安全支持、安全硬件、安全軟件和安全流程等四個方面，確保在各種產(chǎn)品的開發(fā)階段充分覆蓋這些方面。典型的交付成果將包括：

　　- 安全架構分析：FMEDA、CCA或FTA

　　- 用戶指南：安全手冊、安全應用說明

　　- 開發(fā)過程證據(jù)：PPAP、安全計劃和證書

　　其目的是減少開發(fā)符合ISO 26262和IEC 61508標準的安全系統(tǒng)的時間和降低其所需的復雜性，并簡化系統(tǒng)合規(guī)性過程，這些解決方案可滿足具體汽車和工業(yè)功能安全標準的要求。