Вход |  Регистрация
 
 
Время электроники Вторник, 20 ноября
 
 

Это интересно!

Новости


Обзоры, аналитика

Итоги Премии «Живая электроника России — 2018»


Интервью, презентации

Ранее

LVDS — НАДЕЖНЫЙ ВИДЕОИНТЕРФЕЙС ДЛЯ АВТОМОБИЛЬНЫХ ПРИЛОЖЕНИЙ

Быстрее всего среди используемых в автомобилях типов данных растет использование видео. До недавнего времени единст­венным видеодисплеем в машине являлся небольшой экран для навигационных систем, расположенный рядом с навигационным компьютером. В дорогих автомобилях к нему присоединялся также ТВ-приемник, изображение которого выводилось на тот же дисплей. Однако при этом видеосигнал необходимо было передавать на значительно большее расстояние — от ТВ-приемника к дисплею, причем в аналоговом формате композитного видеосигнала. Данный материал представляет собой авторизованный перевод статьи Thomas Baumann, Senior FAE, Maxim Integrated Products Inc. "LVDS offers robust video interface for automotive applications".

КАК ДОБАВИТЬ ЦЕННОСТЬ СВОИМ РЕШЕНИЯМ С ПОМОЩЬЮ CAN

ИНТЕЛЛЕКТУАЛЬНЫЕ КЛЮЧИ ФИРМЫ FREESCALE SEMICONDUCTOR ДЛЯ АВТОМОБИЛЬНОЙ ЭЛЕКТРОНИКИ – СЕМЕЙСТВО EXTREME SWITCH

В статье описаны силовые интеллектуальные ключи для автомобильной электроники, объединяющие в себе ряд инновационных технологий компании Freescale Semiconductor. Применение подобных ключей позволяет значительно повысить надежность управления силовыми оконечными устройствами автомобиля, а также снизить стоимость конечного устройства за счет высокой степени интеграции ключей.

 

15 мая

Микроконтроллеры улучшают безопасность электронных схем управления автомобилей

Проблема повышения безопасности электронных систем управления автомобилей приобретает все большее значение в связи с усложнением узлов, применяемых в транспортных средствах и оснащением электронных блоков новыми функциями. В статье рассмотрены основные требования по безопасности, предъявляемые к электронным блокам управления на базе микроконтроллеров. Среди микроконтроллеров, применяемых в автомобильных электронных системах, прибор TMS570 компании Texas Instruments отличается высоконадежной двухядерной архитектурой, которая обеспечивает выполнение требований стандарта IEC 61508 по третьему уровню безопасности систем SIL3.





Вы можете скачать эту статью в формате pdf здесь.

Скрыть/показать html версию статьи
background image
ав
т
о
моб
и
ль
ная
э
лек
тр
оник
а
73
электронные компоненты №5 2008
Проблема повышения безопасности электронных систем управления
автомобилей приобретает все большее значение в связи с усложнением
узлов, применяемых в транспортных средствах и оснащением электрон-
ных блоков новыми функциями. В статье рассмотрены основные требова-
ния по безопасности, предъявляемые к электронным блокам управления
на базе микроконтроллеров. Среди микроконтроллеров, применяемых в
автомобильных электронных системах, прибор TMS570 компании Texas
Instruments отличается высоконадежной двухядерной архитектурой,
которая обеспечивает выполнение требований стандарта IEC 61508 по
третьему уровню безопасности систем SIL3.
микроконтроллерЫ УлУЧШаЮт
беЗоПаСноСть электроннЫХ
СиСтем УПравления автомобилеЙ
Маттиас ПоППель (Matthias PoPPel), Маркус стеблейн (Markus staeblein), инженеры, Texas Instruments
уровни безоПасности
автоМобильных электронных
систеМ
В настоящее время перед специали-
стами по автомобильной электронике
стоит проблема разработки рента-
бельных, безотказных автомобильных
систем, а также решений, позволяющих
сохранить работоспособность даже при
отказе системы. Функции электронного
управления в автомобилях продолжа-
ют расширяться, однако обеспечение
чрезвычайно высоких требований к без-
опасности, учитывая особую роль таких
систем, как тормоза и рулевое управле-
ние, остается весьма трудной задачей.
В сентябре 2006 г. правительство
США выпустило постановление о том,
что все производимые в стране авто-
мобили должны быть оборудованы
системами контроля курсовой устой-
чивости. Национальное управление
по безопасности дорожного движения
(NHTSA) распространило результаты
анализа, который убедительно показал,
что вероятность столкновения авто-
мобилей, оборудованных средствами
контроля устойчивости, на 35% меньше,
чем у автомобилей без таких систем.
Ожидается, что подобные электронные
системы обеспечат снижение общего
числа автокатастроф с человечески-
ми жертвами приблизительно на 43%,
а число серьезных аварий с участием
одного транспортного средства снизит-
ся на 56%.
По прогнозам, рост общемирово-
го уровня оснащенности автомобилей
электронными средствами контроля
курсовой устойчивости должен соста-
вить с 21% в 2006 году до 35% в 2012 году
(годовой прирост 12,5%). При этом,
предполагалось, что доля автомобилей,
оборудованных электронными тормоз-
ными системами вырастет с менее 1%
в 2006 году до 5% в 2012 году (годовой
прирост 36,4%).
Оснащение шасси автомобиля,
как одной из основных функциональ-
ных систем, средствами электронного
управления может быть заманчивой,
однако труднореализуемой задачей
по целому ряду причин, не последни-
ми из которых являются безопасность
и надежность системы. Требования к
безопасности автомобильных систем
на сегодняшний день определены стан-
дартом Международной электротехни-
ческой комиссии (IEC) для электриче-
ских/электронных/программируемых
электронных (E/E/PE) систем, связанных
с обеспечением безопасности. В настоя-
щее время IEC 61508 считается наиболее
современным стандартом для систем с
особыми требованиями к обеспечению
безопасности. Хотя он еще полностью не
вошел в юридическую силу, предполага-
ется, что разработчики автомобильных
систем будут следовать требованиям
этого стандарта, как отражающего совре-
менное состояние технологий обеспе-
чения безопасности. При построении
системы функциональной безопасности
разработчик автомобильных систем
должен рассматривать всю цепь пере-
дачи сигнала от входных датчиков через
систему цифровой обработки данных до
исполнительного устройства (привода)
(см. рис. 1).
Стандарт IEC 61508 описывает про-
цедуры оценки вероятности отказов как
составную часть разработки системы, а
также определяет функциональную без-
опасность электронных блоков управле-
ния, например, как «часть общей систе-
мы обеспечения безопасности, которая
зависит от корректности работы обо-
рудования в ответ на входные сигналы».
Каждая функция обеспечения безопас-
ности в системе оценивается исходя
из требований к ней (что эта функция
предположительно должна делать) и
ее целостности (насколько вероятно
выполнение этой функции). Далее стан-
дарт подразделяет вероятность угро-
жающих отказов функции обеспечения
безопасности, действующей в сложных
условиях или в непрерывном режиме
работы, на четыре уровня совокупной
безопасности (Safety Integrity Level —
SIL). Каждый уровень охватывает свой
диапазон допустимой интенсивности
отказов или, иными словами, среднего
времени до отказа, причем SIL4 является
наиболее строгим из них. Классы SIL
применяются во многих отраслях про-
мышленности, помимо автомобильной,
и определение каждой категории SIL
зависит от области применения. Уровни
безопасности SIL2 и SIL3 — это самые
распространенные уровни, применяе-
мые для внедорожных автомобилей.
Согласно требованиям стандарта
IEC61508 в зависимости от выполняемых
функций и важности для обеспечения
безопасности автомобильные системы
Рис. 1. Функциональная схема электронной систе-
мы управления автомобиля
background image
74
ав
т
о
моб
и
ль
ная
э
лек
тр
оник
а
www. elcp.ru
сертифицируются по уровням SIL2 или
SIL3. Такой многоуровневый подход к
представлению надежности систем с
функциями самодиагностики требует,
чтобы доля безопасных отказов состав-
ляла 99%. Этот показатель надежности
вычисляется как отношение суммы
обнаруженных опасных и безопасных
отказов к общему количеству отказов.
Параметр «диагностическое покрытие»
определяется как количество обнару-
женных опасных отказов к общему коли-
честву опасных отказов. Предполагается,
что диагностическое покрытие также
должно достигать 99% в автомобильных
системах с особыми требованиями к
безопасности.
Сертификация на соответствие SIL3
для автомобильных систем обычно под-
тверждается на основании эксплуатаци-
онных показателей электронного блока
управления какой-либо механической
системы. Проверка электронного блока
управления автомобильных систем и
сертификация по SIL3 регламентируют-
ся такими независимыми организация-
ми по оценке уровня безопасности, как
Technischer Überwachungsverein (TÜV).
Эта международная техническая орга-
низация оказывает услуги по докумен-
тальному подтверждению безопасности
и качества изделий, систем и служб.
В настоящее время полная замена
электронными устройствами ключевых
механических систем, таких как тормоз-
ная система, пока невозможна. Однако,
высокий уровень безопасности, необ-
ходимый для сертификации механиче-
ских или электронных компонентов на
соответствие SIL3, достигается за счет
применения дублирующих систем, и
электронные системы могут играть одну
из ключевых ролей в построении таких
систем.
обесПечение уровня
безоПасности sil3 для
электронных ПодсистеМ
Замена гидравлических или механи-
ческих систем на электронные выгодна
как производителям автомобилей и ком-
плектного оборудования, так и потреби-
телям. Применение электронных систем
снижает стоимость, вес и потребление
топлива автомобилем благодаря умень-
шению нагрузки на двигатель ременных
приводов различных механизмов.
В случае тормозной системы произ-
водители автомобилей могут заменить
гидравлический усилитель тормозов
механическим блоком и, в конечном
счете, полностью устранить гидравли-
ческий контур, перейдя к тормозной
системе с электронным управлением. Но
такой шаг требует реализации резерв-
ных или дублирующих систем, наподо-
бие систем, применяемых в авиации,
чтобы автомобиль полностью не лишил-
ся средств торможения в случае ава-
рии. Промежуточным решением может
служить модель гибридного тормоза,
когда резервная гидравлическая систе-
ма устанавливается не на двух, а лишь на
одной оси автомобиля (см. рис.2).
Критически важным компонентом
электронного блока управления явля-
ется микроконтроллер. Использование
стандартных автомобильных микро-
контроллеров не позволяет электрон-
ной системе отвечать требования SIL3.
Для этого необходима новая архитек-
тура кристаллов, обеспечивающая
целостность обрабатываемых данных,
высокую производительность шины
передачи данных, а также защищен-
ность и надежность данных, находя-
щихся в памяти системы. При этом
быстродействие системы должно
соответствовать строгим временным
требованиям.
Согласно стандарту IEC 61508, опас-
ные отказы могут быть вызваны следую-
щими причинами:
– неправильные спецификации
аппаратной части или программного
обеспечения системы;
– ошибки в спецификациях требова-
ний безопасности;
– случайные отказы;
– систематические отказы;
– ошибки, связанные с человече-
ским фактором;
– внешние воздействия (электро-
магнитные помехи, влияние температу-
ры, механические воздействия и т.д.).
Если рассматривать комплексную
систему, обеспечение оценки опас-
ных факторов и требований полноты
безопасности включают в себя сле-
дующее:
– защита источников питания от
перепадов напряжения, кратковремен-
ных импульсных помех, а также обеспе-
чение целостности сигналов синхрони-
зации;
– дополнительная избыточность или
проверка корректности обрабатываемых
и передаваемых данных, включая данные
и сигналы датчиков и приводов;
– обеспечение проверки ошибок;
– обеспечение стратегии обработ-
ки отказов: определение безопасных
состояний, а также отказобезопасной и
отказоустойчивой архитектуры систе-
мы, специальный режим действий при
возникновении возможных неисправ-
ностей (limp mode), контролируемое
отключение системы и т.д.;
– применение усовершенствован-
ных методов разработки программного
обеспечения, например, применение
формальной спецификации, специаль-
ных языков программирования, а также
различных средств проверки правиль-
ности программного кода.
Пути Повышения надежности
Микроконтроллеров для
автоМобильных систеМ
уПравления
В настоящее время на рынке автомо-
бильных систем появились микрокон-
троллеры, поддерживающие техноло гию,
которая обеспечивает сертификацию по
уровню SIL3 электронных блоков управ-
ления тормозной системой.
При проектировании таких микро-
схем необходимо предусматри-
вать специальные средства, обычно
являющиеся интеллектуальной соб-
ственностью компании-разработчика,
направленные на сокращение числа
и детектирование случайных и систе-
матических отказов устройства. Кроме
того, может быть использована двух-
ъядерная архитектура процессора,
работающего в режиме lock-step (оба
ядра исполняют одну и ту же коман-
ду, после чего результат сравнивает-
ся с помощью логической схемы), что
исключает дополнительные затраты
времени на разработку программного
обеспечения для специального про-
верочного микроконтроллера. Чтобы
предохранить подсистему памяти от
сбоев, которые могут быть вызваны
внешними событиями, для основных
и локальных модулей памяти, а также
для шины данных должны быть реали-
зованы механизмы защиты целостно-
Рис. 2. Варианты реализации тормозной системы автомобиля
background image
ав
т
о
моб
и
ль
ная
э
лек
тр
оник
а
75
электронные компоненты №5 2008
сти данных на основе кода коррекции
ошибок и бита контроля четности. Для
облегчения процесса проектирования
разработчики могут также использо-
вать устройства с поддержкой сете-
вого протокола FlexRay™. Этот стан-
дарт связи, разработанный ведущими
автомобильными производителями и
поставщиками, обеспечивает полно-
стью детерминированные коммуника-
ции с резервированием в автомобиль-
ных системах.
Примером такого высоконадежно-
го микроконтроллера для автомо-
бильных систем служит устройство
TMS570, разработанное компанией
Texas Instruments совместно с компа-
нией Robert Bosch GmbH. Этот при-
бор представляет собой симметрич-
ный двухъядерный микроконтроллер
на основе двух одинаковых ARM-ядер
следующего поколения Cortex-R4.
Каждое процессорное ядро Cortex-R4
обеспечивает производительность
300 MIPS. В состав микроконтролле-
ра TMS570 входит встроенная флэш-
память объемом 2 Мбайта, средства
поддержки FlexRay™, система само-
проверки BIST, интерфейс CAN и
другая периферия. Применение двух
процессорных ядер в сочетании с
запатентованной компанией архитек-
турой обеспечивает максимальную
надежность системы.
ПреиМущества Процессорного
ядра Cortex-r4
64-разрядный интерфейс памяти
AMBA 3 AXI (AMBA eXtended Interface —
расширенный интерфейс AMBA) про-
цессора Cortex-R4 имеет ряд важ-
ных преимуществ при обеспечении
надежности, включая формирование
нескольких адресов для последующей
обработки и поддержку возвращаемых
данных.
Но наиболее важное преимуще-
ство состоит, по-видимому, в том, что
медленная память или периферийные
устройства не блокируют шину во
время обращения к ним. Это позво-
ляет процессорному ядру осущест-
влять другие операции, не дожидаясь
завершения доступа к медленному
устройству. 64-разрядная шина также
увеличивает ширину полосы пропуска-
ния, обеспечивая заполнение строки
буферной памяти за четыре операции
доступа вместо восьми, как это требу-
ется, например, в случае процессора
ARM946E-S.
Кроме того, в процессоре Cortex-R4,
по сравнению с 946E-S, значительно
снижено время ожидания обработ-
ки прерываний. Процессор 946E-S не
может, например, прервать испол-
нение команды или обработать пре-
рывание до завершения исполнения
команды. В самом худшем случае
это означает, что задержка обработ-
ки прерывания может составить до
118 рабочих циклов, даже при исполь-
зовании памяти, работающей без так-
тов ожидания. Хотя подобные условия
возникают достаточно редко, систе-
ма реального времени должна быть
разработана с учетом возникновения
такой ситуации.
В отличие от ARM946E-S ядро
Cortex-R4 вызовет прерывание выпол-
нения команды множественной загруз-
ки из обычной памяти, если получен
запрос на прерывание во время ее
исполнения. Архитектура микрокон-
троллера TMS570 обеспечивает мак-
симальную задержку обработки пре-
рывания, равную приблизительно
20 тактам, практически не увеличивая
время доступа к памяти и периферий-
ным устройствам через интерфейс
AMBA AXI.
В ядре Cortex-R4 также имеется опция
немаскируемого прерывания. Это пре-
дотвращает программное отключение
запросов быстрого прерывания (FIQ),
что особенно важно для приложений,
критичных с точки зрения безопасно-
сти.
заключение
По мере того как транспортные
средства становятся все более сложны-
ми и оснащаются новыми функциями,
стандартизация средств обеспечения
безопасности приобретает все боль-
шее значение и для производителей
автомобилей, и для изготовителей ком-
плектного оборудования. Такие устрой-
ства, как TMS570, которые используют в
своей архитектуре процессорные ядра
Cortex-R4, позволяют обеспечить веро-
ятность обнаружения отказов и гаранти-
руют время реакции системы согласно
требованиям стандарта IEC 61508.
Для изготовителей комплектного
автомобильного оборудования и про-
изводителей автомобилей включение
систем на базе микроконтроллеров в
состав средств обеспечения надежно-
сти согласно квалификационным тре-
бованиям SIL3 означает серьезный шаг
вперед в реализации задачи построе-
ния системы электронного управления
автомобилем (drive-by-wire).
Микроконтроллеры TMS570 пред-
ставляют собой сертифицируемое
согласно SIL3 семейство 32-разряд-
ных микроконтроллеров, допущенных
к применению в тормозных системах
транспортных средств 2008 модельно-
го года. В перспективные планы разра-
ботки автомобильных систем на основе
микроконтроллеров TMS570 входит реа-
лизация электронного контроля курсо-
вой устойчивости, систем управления
шасси и рулевого управления.
background image
Оцените материал:

Автор: Маттиас Поппель (Matthias Poppel), Маркус Стеблейн (Markus Staeblein), инженеры, Texas Instruments



Комментарии

0 / 0
0 / 0

Прокомментировать





 

Горячие темы

 
 




Rambler's Top100
Руководителям  |  Разработчикам  |  Производителям  |  Снабженцам
© 2007 - 2018 Издательский дом Электроника
Использование любых бесплатных материалов разрешено, при условии наличия ссылки на сайт «Время электроники».
Создание сайтаFractalla Design | Сделано на CMS DJEM ®
Контакты