在不久的將來(lái)，汽車(chē)?yán)走_(dá)系統(tǒng)會(huì)越來(lái)越普及，它們提供很多舒適安全的應(yīng)用。短距離雷達(dá)范圍從幾厘米到30米，可用于盲點(diǎn)探測(cè)、倒車(chē)輔助或車(chē)位測(cè)量，以 引導(dǎo)汽車(chē)自助泊車(chē)。長(zhǎng)距離雷達(dá)可達(dá)到250米，用于啟動(dòng)自適應(yīng)巡航控制，使汽車(chē)與前車(chē)速度保持一致。此外，它還可以啟動(dòng)更多重要的功能，如碰撞告警、緊急 制動(dòng)，甚至撞擊預(yù)警偵測(cè)系統(tǒng)等，這些可能觸發(fā)安全帶張力計(jì)或其它主動(dòng)或被動(dòng)安全功能。顯而易見(jiàn)，憑借后面這些功能，電子控制系統(tǒng)需要達(dá)到最高的功能安全等 級(jí)，因?yàn)榇讼到y(tǒng)無(wú)需駕駛員干預(yù)，最終都會(huì)轉(zhuǎn)向或制動(dòng)汽車(chē)。

　　這種雷達(dá)技術(shù)的發(fā)展創(chuàng)新不斷應(yīng)用在移動(dòng)工控機(jī)、起重機(jī)、工廠安全設(shè)備等其他應(yīng) 用中，而這一應(yīng)用領(lǐng)域都需要嚴(yán)密地安全保護(hù)。耦合雷達(dá)與機(jī)器視覺(jué)也可以創(chuàng)建一個(gè)強(qiáng)大的組合，這兩種技術(shù)相輔相成，可創(chuàng)建更準(zhǔn)確和更可靠的系統(tǒng)。當(dāng)機(jī)器視覺(jué) 被遮擋時(shí)，雷達(dá)可在雨水、霧氣和污垢環(huán)境下運(yùn)行。此外，雷達(dá)還可以進(jìn)一步延伸其探測(cè)距離以及探測(cè)到非直接視線中的事件。一個(gè)結(jié)合了機(jī)器視覺(jué)與雷達(dá)及一些智 能傳感器融合算法的系統(tǒng)，可以充分利用這兩種傳感技術(shù)帶來(lái)的好處。

　　77 GHz雷達(dá)技術(shù)

　 　在碰撞告警系統(tǒng)中，77 GHz發(fā)射器發(fā)出的信號(hào)將被車(chē)身前方的物體反射，然后由分布在車(chē)身各處的多個(gè)接收器捕獲。該發(fā)射器發(fā)出頻率調(diào)制的連續(xù)波信號(hào)，即在一個(gè)固定時(shí)段中，頻率隨 著典型的三角波信號(hào)而上下變化。由于無(wú)線電波是以恒定的光速進(jìn)行傳播的，因此測(cè)量發(fā)射波和接收波之間的頻率差異（即隨時(shí)間而變化的頻率斜率）就可以計(jì)算出 傳播距離。速度測(cè)量采用多普勒效應(yīng)，即所觀察到的反射信號(hào)頻率與發(fā)出的頻率不同。

　　雷達(dá)系統(tǒng)并不是新亮點(diǎn)。而新亮點(diǎn)是汽車(chē)制造商想在最近 幾年內(nèi)將這個(gè)系統(tǒng)內(nèi)置在中型汽車(chē)中，因此該系統(tǒng)必須是低成本、高質(zhì)量的。這意味著從昂貴的專(zhuān)業(yè)雷達(dá)系統(tǒng)向標(biāo)準(zhǔn)汽車(chē)設(shè)備類(lèi)型的一個(gè)很大轉(zhuǎn)變。面臨的挑戰(zhàn)是降 低成本的同時(shí)，實(shí)際提高產(chǎn)品質(zhì)量及減少每百萬(wàn)件的瑕疵部件。這種轉(zhuǎn)變?nèi)纭百|(zhì)量與成本營(yíng)銷(xiāo)價(jià)值圖”所示。

　　這個(gè)營(yíng)銷(xiāo)價(jià)值圖顯示了從高成本、良好質(zhì)量系統(tǒng)向中低成本、更高質(zhì)量系統(tǒng)的轉(zhuǎn)變。為了實(shí)現(xiàn)這一目標(biāo)，我們必須應(yīng)對(duì)很多挑戰(zhàn)。

　　雷達(dá)成本和質(zhì)量的挑戰(zhàn)

　 　傳統(tǒng)雷達(dá)采用旋轉(zhuǎn)天線。這也是物體空間映射的原理。這可能適合具有昂貴控制系統(tǒng)的大型系統(tǒng)，但肯定不適用于汽車(chē)批量生產(chǎn)。消除旋轉(zhuǎn)天線的一個(gè)解決方案就 是，將相控陣列或接線天線用于多通道發(fā)射和接收通道?？辗痔炀€將接收有輕微時(shí)差的反射信號(hào)。這種差別隨后用于重建物體位置，而無(wú)需移動(dòng)天線。這種接線天線 的缺點(diǎn)是，需要多個(gè)發(fā)射和接收通道來(lái)連接天線。典型系統(tǒng)將采用類(lèi)似4個(gè)發(fā)射天線和16個(gè)接收天線。但從經(jīng)濟(jì)角度來(lái)說(shuō)，重復(fù)16次接收電路和4次發(fā)射電路并 不可行。

　　這時(shí)另一個(gè)創(chuàng)新就派上用場(chǎng)了。飛思卡爾沒(méi)有采用射頻差分電路，而是開(kāi)發(fā)了一個(gè)專(zhuān)用射頻BiCMOS工藝，它的性能足以將77 GHz射頻電路整合到單芯片上。飛思卡爾從開(kāi)發(fā)高性能SiGe:C（硅鍺碳）180納米工藝開(kāi)始，還開(kāi)發(fā)了專(zhuān)用的300GHz Fmax射頻晶體管，能夠在芯片上處理77GHz雷達(dá)信號(hào)。結(jié)合模擬和數(shù)字CMOS電路，這一工藝支持全面集成多通道77GHz片上系統(tǒng)。因此片上集成可 抵消多通道開(kāi)銷(xiāo)成本。

       高級(jí)封裝技術(shù)

　　具備77GHz固態(tài)硅工藝是一筆巨大財(cái)富，但在印刷電路板上 處理和報(bào)告它又是另一個(gè)挑戰(zhàn)。傳統(tǒng)封裝寄生阻抗在高頻率時(shí)會(huì)破壞信號(hào)信息。應(yīng)對(duì)這個(gè)問(wèn)題的一種方法就是采用精密引線焊接技術(shù)將裸芯片焊接在專(zhuān)用PCB上， 而不是采用典型封裝和更高成本的波峰焊接技術(shù)。這時(shí)名為“RCP （重分配芯片封裝）”的全新先進(jìn)封裝技術(shù)就派上用場(chǎng)了。

　　RCP采用粗 光刻技術(shù)而不是PCB型材料將銅互連層裝配在芯片或多芯片系統(tǒng)上。這種無(wú)基板的封裝技術(shù)具有更低的電容和電感寄生行為。與裸芯片焊接工藝相比，通過(guò)具有合 格性能的這一封裝，可以在77GHz時(shí)路由高頻率信號(hào)。它的優(yōu)點(diǎn)是，傳統(tǒng)PCB的整套工具可用于焊接這個(gè)部件，這意味著低成本的處理。

　　憑借這種工藝和封裝技術(shù)，飛思卡爾不斷設(shè)計(jì)出集成的發(fā)射器和接收器雷達(dá)電路。

　　此發(fā)射器集成了77GHz頻率合成器、半頻率時(shí)的壓控振蕩器、10GHz分頻鎖相環(huán)、功率放大器和一個(gè)28位Σ-Δ調(diào)制器。這通過(guò)SPI接口可附帶特定ESD保護(hù)（RF和DC）和數(shù)字控制。

　　在接收端，我們?cè)?8GHz時(shí)集成了典型的4個(gè)接收通道和一個(gè)本地振蕩器，以及輸出差分中頻。無(wú)需低噪聲放大器就能實(shí)現(xiàn)13dB的典型噪聲系數(shù)。這有助于保持低功耗、高線性度。

　　功能安全微控制器

　 　微控制器用來(lái)控制射頻雷達(dá)發(fā)射器和處理從接收器傳來(lái)的數(shù)據(jù)。如果考慮到應(yīng)用的關(guān)鍵安全性質(zhì)，就需要采用功能安全微控制器。系統(tǒng)工程師所面臨的挑戰(zhàn)是所構(gòu) 建的系統(tǒng)需要能夠防止危險(xiǎn)故障的發(fā)生或至少在出現(xiàn)故障時(shí)能夠有效地進(jìn)行控制。危險(xiǎn)故障可能來(lái)自隨機(jī)硬件故障、系統(tǒng)硬件故障及系統(tǒng)軟件故障。

　 　功能安全標(biāo)準(zhǔn)IEC 61508和汽車(chē)適用的 ISO 26262標(biāo)準(zhǔn)適用于確保一般工業(yè)和汽車(chē)應(yīng)用中的電子系統(tǒng)是完全安全的。IEC 61508標(biāo)準(zhǔn)定義了四個(gè)完全安全完整性等級(jí)（SIL），其中SIL 4表示最嚴(yán)格的安全等級(jí)。ISO標(biāo)準(zhǔn)定義了四個(gè)汽車(chē)安全完整性等級(jí)（ASIL），其中ASIL D表示最嚴(yán)格的安全等級(jí)。每個(gè)等級(jí)對(duì)應(yīng)一個(gè)出現(xiàn)安全功能故障的可能性目標(biāo)范圍。

　　SIL和ASIL等級(jí)之間沒(méi)有直接的對(duì)應(yīng)關(guān)系，但是ISO 26262將安全流程和要求推向更深的層次。在整個(gè)設(shè)計(jì)過(guò)程的一開(kāi)始，就必須收集憑證，證明該產(chǎn)品是依據(jù)標(biāo)準(zhǔn)進(jìn)行開(kāi)發(fā)的。發(fā)現(xiàn)的任何潛在偏差都必須記錄，以確保能夠采取足夠的挽救措施。

　 　它們采用不同的方法來(lái)實(shí)現(xiàn)安全微控制器。傳統(tǒng)的方法是采用兩個(gè)獨(dú)立的微控制器復(fù)制完全不同的控制器上的軟件。相同的軟件可以在每個(gè)微控制器上運(yùn)行，然后 比較運(yùn)行結(jié)果。如果結(jié)果相同，則一切正常；如果不相同，那么系統(tǒng)就知道有錯(cuò)誤，要么解決它和/或使系統(tǒng)進(jìn)入安全狀態(tài)。另一個(gè)選擇是，一個(gè)微控制器只能運(yùn)行 安全軟件并監(jiān)控正在運(yùn)行應(yīng)用軟件的另一個(gè)微控制器。

采用獨(dú)立的微控制器，所設(shè)計(jì)的系統(tǒng)必須從一開(kāi)始就設(shè)計(jì)和實(shí)施安全系統(tǒng)。

　　與之相反，現(xiàn)在可提供預(yù)認(rèn)證的微控制器。這些解決方案主要檢測(cè)和減少單點(diǎn)故障、潛在故障和非獨(dú)立故障。這通過(guò)在微控制器、電源管理IC和傳感器中內(nèi)置的安全功能實(shí)現(xiàn)，包括自檢、監(jiān)控和基于硬件的冗余。 對(duì)于微控制器來(lái)說(shuō)，提供的片上冗余適用于下列關(guān)鍵部件，如：

　　- 具有延遲鎖步功能的多個(gè)CPU計(jì)算內(nèi)核

　　- I/O處理器內(nèi)核

　　- 直接存儲(chǔ)器存取控制器

　　- 中斷控制器

　　- 雙交叉開(kāi)關(guān)總線系統(tǒng)

　　- 存儲(chǔ)器保護(hù)單元

　　- 故障采集單元

　　- 閃存存儲(chǔ)器和RAM控制器

　　- 外圍總線橋

　　- 系統(tǒng)和看門(mén)狗定時(shí)器

　　- 以及端到端糾錯(cuò)碼

　　數(shù)據(jù)復(fù)制領(lǐng)域的主要優(yōu)勢(shì)是MCU的功能，可檢測(cè)較頻繁發(fā)生的軟錯(cuò)誤等單點(diǎn)故障，不僅檢測(cè)內(nèi)核中的，也檢測(cè)關(guān)鍵的子模塊中的錯(cuò)誤。

　　為內(nèi)核、存儲(chǔ)器、交叉開(kāi)關(guān)、通信模塊和外設(shè)提供內(nèi)置自檢（BIST）機(jī)制。此外，該器件進(jìn)行了優(yōu)化，可防止時(shí)鐘或電壓電源問(wèn)題誘發(fā)的共因失效。MCU提供檢測(cè)時(shí)鐘偏差的硬件模塊以及主電壓的硬件監(jiān)控，如內(nèi)部核心電壓和閃存電源電壓。

　　雙核鎖步MCU在軟件級(jí)和系統(tǒng)級(jí)中不會(huì)減少實(shí)施安全措施的需求，如非常獨(dú)立地監(jiān)控軟件路徑計(jì)算的輸出值。然而，在更高集成度的其他方面，這些MCU不會(huì)提供關(guān)注點(diǎn)分離來(lái)進(jìn)行驗(yàn)證。在基于多個(gè)單核MCU的解決方案中，檢測(cè)和控制隨機(jī)硬件故障的能力很大程度上取決于軟件。

　 　雙核鎖步MCU可以在獨(dú)立于軟件的硬件級(jí)上驗(yàn)證和確認(rèn)計(jì)算基礎(chǔ)架構(gòu)的關(guān)鍵功能安全的有關(guān)屬性，因?yàn)橛?jì)算基礎(chǔ)架構(gòu)以集成形式提供，它也代表一個(gè)集成的安全 機(jī)制。這是軟硬件協(xié)同設(shè)計(jì)過(guò)程內(nèi)一個(gè)顯著好處。此外，關(guān)注點(diǎn)分離有利于快速定位問(wèn)題。如果觸發(fā)了監(jiān)控雙核鎖步的安全機(jī)制，那么原因可能歸結(jié)為硬件級(jí)的隨機(jī) 硬件故障，同時(shí)如果觸發(fā)了軟件監(jiān)控，則原因可能歸結(jié)為系統(tǒng)級(jí)故障或軟件中的系統(tǒng)性故障。

　　雙核鎖步MCU方法提供了一個(gè)潛在的可用性?xún)?yōu) 勢(shì)。 在現(xiàn)代MCU中，內(nèi)核面積越來(lái)越小，遠(yuǎn)低于整個(gè)MCU的5%，而MCU作為一個(gè)整體，通常分配到隨機(jī)硬件故障的概率指標(biāo)（PMHF）約為1%。因此，內(nèi)核 占比起初約為該區(qū)域的0.05%。但是，必須要確保內(nèi)核的正確運(yùn)行，才能在軟件中實(shí)施前向恢復(fù)技術(shù)，才能解決影響PMHF的其余99.95%的因素，保證 系統(tǒng)的可用性。此外，雙核鎖步MCU提供適當(dāng)?shù)幕A(chǔ)設(shè)施來(lái)實(shí)施多個(gè)充分獨(dú)立的通道。

       功能安全配套器件

　　為了支持面向功能安全應(yīng)用的完整系統(tǒng)解決方案，飛思卡爾開(kāi)發(fā)了一類(lèi)配套的電源系統(tǒng)基礎(chǔ)芯片（SBC），它結(jié)合了面向MCU的安全監(jiān)控作用和電源生成兩種功能。

　 　這些SBC器件為MCU和其他系統(tǒng)負(fù)載提供電源，并通過(guò)低功耗省電模式優(yōu)化能耗。 此外，它們通常還集成物理層接口和串行外圍接口，采用MCU進(jìn)行控制和診斷。 MCU和模擬系統(tǒng)基礎(chǔ)芯片組合在一起可視為一個(gè)SEooC（獨(dú)立安全單元），有利于評(píng)估系統(tǒng)安全性。 這種架構(gòu)能夠減少系統(tǒng)級(jí)組件的數(shù)量，滿(mǎn)足功能安全需求，并增強(qiáng)可靠性。

　　采取四種安全措施，確保MCU和SBC之間的交互：

　　- 不間斷電源

　　- 故障安全輸入監(jiān)控關(guān)鍵信號(hào)

　　- 故障安全輸出驅(qū)動(dòng)故障安全狀態(tài)

　　- 面向先進(jìn)的時(shí)鐘監(jiān)控的看門(mén)狗

　 　當(dāng)與MCU相結(jié)合時(shí)，每個(gè)安全措施可以進(jìn)行優(yōu)化，以實(shí)現(xiàn)最高的安全性能水平。在系統(tǒng)級(jí)，MCU提出的安全檢查機(jī)制可由SBC器件通過(guò)故障采集控制單元 （FCCU）的雙穩(wěn)協(xié)議來(lái)監(jiān)控。這種 IC 交叉檢驗(yàn)，如對(duì)監(jiān)控定時(shí)的查詢(xún)等，可對(duì)系統(tǒng)進(jìn)行外部檢測(cè)，作為額外的措施，進(jìn)一步確保故障檢測(cè)。為了符合系統(tǒng)基礎(chǔ)芯片系列的安全架構(gòu)，可以通過(guò)一個(gè)專(zhuān)用的 故障安全輸出為安全狀態(tài)激活提供冗余路徑。當(dāng)發(fā)生故障情況時(shí)，這些輸出將應(yīng)用設(shè)置為確定性狀態(tài)，以彌補(bǔ)MCU 故障安全輸出。

　　這些硬件實(shí)施方案幫助軟件工程師簡(jiǎn)化了軟件架構(gòu)，且實(shí)施的軟件開(kāi)發(fā)策略側(cè)重于使用單一的MCU方法來(lái)確保安全性。

　　系統(tǒng)與芯片組的合規(guī)性

　 　功能安全合規(guī)性可在系統(tǒng)級(jí)實(shí)現(xiàn)，它是系統(tǒng)設(shè)計(jì)人員的職責(zé)。MCU和SBC芯片組是獨(dú)立于泊車(chē)系統(tǒng)、高級(jí)駕駛員輔助系統(tǒng)或移動(dòng)吊車(chē)等最終應(yīng)用之外單獨(dú)設(shè)計(jì) 的。 因而，該芯片組可以視為一個(gè)SEooC來(lái)進(jìn)行開(kāi)發(fā)。SEooC是一個(gè)安全相關(guān)的元件，而不是在特性車(chē)輛功能或最終應(yīng)用背景下而開(kāi)發(fā)的。我們按照定制指南開(kāi) 發(fā)符合ISO26262標(biāo)準(zhǔn)的SEooC組件。

　　飛思卡爾已經(jīng)匯總了其措施，以支持SafeAssure品牌市場(chǎng)的功能安全需求。它涵蓋了安全支持、安全硬件、安全軟件和安全流程等四個(gè)方面，確保在各種產(chǎn)品的開(kāi)發(fā)階段充分覆蓋這些方面。典型的交付成果將包括：

　　- 安全架構(gòu)分析：FMEDA、CCA或FTA

　　- 用戶(hù)指南：安全手冊(cè)、安全應(yīng)用說(shuō)明

　　- 開(kāi)發(fā)過(guò)程證據(jù)：PPAP、安全計(jì)劃和證書(shū)

　　其目的是減少開(kāi)發(fā)符合ISO 26262和IEC 61508標(biāo)準(zhǔn)的安全系統(tǒng)的時(shí)間和降低其所需的復(fù)雜性，并簡(jiǎn)化系統(tǒng)合規(guī)性過(guò)程，這些解決方案可滿(mǎn)足具體汽車(chē)和工業(yè)功能安全標(biāo)準(zhǔn)的要求。