详解高级驾驶辅助系统的雷达和功能安全技术(飞思卡尔引领)
2015-08-27
在不久的将来,汽车雷达系统会越来越普及,它们提供很多舒适安全的应用。短距离雷达范围从几厘米到30米,可用于盲点探测、倒车辅助或车位测量,以 引导汽车自助泊车。长距离雷达可达到250米,用于启动自适应巡航控制,使汽车与前车速度保持一致。此外,它还可以启动更多重要的功能,如碰撞告警、紧急 制动,甚至撞击预警侦测系统等,这些可能触发安全带张力计或其它主动或被动安全功能。显而易见,凭借后面这些功能,电子控制系统需要达到最高的功能安全等 级,因为此系统无需驾驶员干预,最终都会转向或制动汽车。
这种雷达技术的发展创新不断应用在移动工控机、起重机、工厂安全设备等其他应 用中,而这一应用领域都需要严密地安全保护。耦合雷达与机器视觉也可以创建一个强大的组合,这两种技术相辅相成,可创建更准确和更可靠的系统。当机器视觉 被遮挡时,雷达可在雨水、雾气和污垢环境下运行。此外,雷达还可以进一步延伸其探测距离以及探测到非直接视线中的事件。一个结合了机器视觉与雷达及一些智 能传感器融合算法的系统,可以充分利用这两种传感技术带来的好处。
77 GHz雷达技术
在碰撞告警系统中,77 GHz发射器发出的信号将被车身前方的物体反射,然后由分布在车身各处的多个接收器捕获。该发射器发出频率调制的连续波信号,即在一个固定时段中,频率随 着典型的三角波信号而上下变化。由于无线电波是以恒定的光速进行传播的,因此测量发射波和接收波之间的频率差异(即随时间而变化的频率斜率)就可以计算出 传播距离。速度测量采用多普勒效应,即所观察到的反射信号频率与发出的频率不同。
雷达系统并不是新亮点。而新亮点是汽车制造商想在最近 几年内将这个系统内置在中型汽车中,因此该系统必须是低成本、高质量的。这意味着从昂贵的专业雷达系统向标准汽车设备类型的一个很大转变。面临的挑战是降 低成本的同时,实际提高产品质量及减少每百万件的瑕疵部件。这种转变如“质量与成本营销价值图”所示。
这个营销价值图显示了从高成本、良好质量系统向中低成本、更高质量系统的转变。为了实现这一目标,我们必须应对很多挑战。
雷达成本和质量的挑战
传统雷达采用旋转天线。这也是物体空间映射的原理。这可能适合具有昂贵控制系统的大型系统,但肯定不适用于汽车批量生产。消除旋转天线的一个解决方案就 是,将相控阵列或接线天线用于多通道发射和接收通道。空分天线将接收有轻微时差的反射信号。这种差别随后用于重建物体位置,而无需移动天线。这种接线天线 的缺点是,需要多个发射和接收通道来连接天线。典型系统将采用类似4个发射天线和16个接收天线。但从经济角度来说,重复16次接收电路和4次发射电路并 不可行。
这时另一个创新就派上用场了。飞思卡尔没有采用射频差分电路,而是开发了一个专用射频BiCMOS工艺,它的性能足以将77 GHz射频电路整合到单芯片上。飞思卡尔从开发高性能SiGe:C(硅锗碳)180纳米工艺开始,还开发了专用的300GHz Fmax射频晶体管,能够在芯片上处理77GHz雷达信号。结合模拟和数字CMOS电路,这一工艺支持全面集成多通道77GHz片上系统。因此片上集成可 抵消多通道开销成本。
高级封装技术
具备77GHz固态硅工艺是一笔巨大财富,但在印刷电路板上 处理和报告它又是另一个挑战。传统封装寄生阻抗在高频率时会破坏信号信息。应对这个问题的一种方法就是采用精密引线焊接技术将裸芯片焊接在专用PCB上, 而不是采用典型封装和更高成本的波峰焊接技术。这时名为“RCP (重分配芯片封装)”的全新先进封装技术就派上用场了。
RCP采用粗 光刻技术而不是PCB型材料将铜互连层装配在芯片或多芯片系统上。这种无基板的封装技术具有更低的电容和电感寄生行为。与裸芯片焊接工艺相比,通过具有合 格性能的这一封装,可以在77GHz时路由高频率信号。它的优点是,传统PCB的整套工具可用于焊接这个部件,这意味着低成本的处理。
凭借这种工艺和封装技术,飞思卡尔不断设计出集成的发射器和接收器雷达电路。
此发射器集成了77GHz频率合成器、半频率时的压控振荡器、10GHz分频锁相环、功率放大器和一个28位Σ-Δ调制器。这通过SPI接口可附带特定ESD保护(RF和DC)和数字控制。
在接收端,我们在38GHz时集成了典型的4个接收通道和一个本地振荡器,以及输出差分中频。无需低噪声放大器就能实现13dB的典型噪声系数。这有助于保持低功耗、高线性度。
功能安全微控制器
微控制器用来控制射频雷达发射器和处理从接收器传来的数据。如果考虑到应用的关键安全性质,就需要采用功能安全微控制器。系统工程师所面临的挑战是所构 建的系统需要能够防止危险故障的发生或至少在出现故障时能够有效地进行控制。危险故障可能来自随机硬件故障、系统硬件故障及系统软件故障。
功能安全标准IEC 61508和汽车适用的ISO26262标准适用于确保一般工业和汽车应用中的电子系统是完全安全的。IEC 61508标准定义了四个完全安全完整性等级(SIL),其中SIL 4表示最严格的安全等级。ISO标准定义了四个汽车安全完整性等级(ASIL),其中ASIL D表示最严格的安全等级。每个等级对应一个出现安全功能故障的可能性目标范围。
SIL和ASIL等级之间没有直接的对应关系,但是ISO 26262将安全流程和要求推向更深的层次。在整个设计过程的一开始,就必须收集凭证,证明该产品是依据标准进行开发的。发现的任何潜在偏差都必须记录,以确保能够采取足够的挽救措施。
它们采用不同的方法来实现安全微控制器。传统的方法是采用两个独立的微控制器复制完全不同的控制器上的软件。相同的软件可以在每个微控制器上运行,然后 比较运行结果。如果结果相同,则一切正常;如果不相同,那么系统就知道有错误,要么解决它和/或使系统进入安全状态。另一个选择是,一个微控制器只能运行 安全软件并监控正在运行应用软件的另一个微控制器。
采用独立的微控制器,所设计的系统必须从一开始就设计和实施安全系统。
与之相反,现在可提供预认证的微控制器。这些解决方案主要检测和减少单点故障、潜在故障和非独立故障。这通过在微控制器、电源管理IC和传感器中内置的安全功能实现,包括自检、监控和基于硬件的冗余。 对于微控制器来说,提供的片上冗余适用于下列关键部件,如:
- 具有延迟锁步功能的多个CPU计算内核
- I/O处理器内核
- 直接存储器存取控制器
- 中断控制器
- 双交叉开关总线系统
- 存储器保护单元
- 故障采集单元
- 闪存存储器和RAM控制器
- 外围总线桥
- 系统和看门狗定时器
- 以及端到端纠错码
数据复制领域的主要优势是MCU的功能,可检测较频繁发生的软错误等单点故障,不仅检测内核中的,也检测关键的子模块中的错误。
为内核、存储器、交叉开关、通信模块和外设提供内置自检(BIST)机制。此外,该器件进行了优化,可防止时钟或电压电源问题诱发的共因失效。MCU提供检测时钟偏差的硬件模块以及主电压的硬件监控,如内部核心电压和闪存电源电压。
双核锁步MCU在软件级和系统级中不会减少实施安全措施的需求,如非常独立地监控软件路径计算的输出值。然而,在更高集成度的其他方面,这些MCU不会提供关注点分离来进行验证。在基于多个单核MCU的解决方案中,检测和控制随机硬件故障的能力很大程度上取决于软件。
双核锁步MCU可以在独立于软件的硬件级上验证和确认计算基础架构的关键功能安全的有关属性,因为计算基础架构以集成形式提供,它也代表一个集成的安全 机制。这是软硬件协同设计过程内一个显著好处。此外,关注点分离有利于快速定位问题。如果触发了监控双核锁步的安全机制,那么原因可能归结为硬件级的随机 硬件故障,同时如果触发了软件监控,则原因可能归结为系统级故障或软件中的系统性故障。
双核锁步MCU方法提供了一个潜在的可用性优 势。 在现代MCU中,内核面积越来越小,远低于整个MCU的5%,而MCU作为一个整体,通常分配到随机硬件故障的概率指标(PMHF)约为1%。因此,内核 占比起初约为该区域的0.05%。但是,必须要确保内核的正确运行,才能在软件中实施前向恢复技术,才能解决影响PMHF的其余99.95%的因素,保证 系统的可用性。此外,双核锁步MCU提供适当的基础设施来实施多个充分独立的通道。
功能安全配套器件
为了支持面向功能安全应用的完整系统解决方案,飞思卡尔开发了一类配套的电源系统基础芯片(SBC),它结合了面向MCU的安全监控作用和电源生成两种功能。
这些SBC器件为MCU和其他系统负载提供电源,并通过低功耗省电模式优化能耗。 此外,它们通常还集成物理层接口和串行外围接口,采用MCU进行控制和诊断。 MCU和模拟系统基础芯片组合在一起可视为一个SEooC(独立安全单元),有利于评估系统安全性。 这种架构能够减少系统级组件的数量,满足功能安全需求,并增强可靠性。
采取四种安全措施,确保MCU和SBC之间的交互:
- 不间断电源
- 故障安全输入监控关键信号
- 故障安全输出驱动故障安全状态
- 面向先进的时钟监控的看门狗
当与MCU相结合时,每个安全措施可以进行优化,以实现最高的安全性能水平。在系统级,MCU提出的安全检查机制可由SBC器件通过故障采集控制单元 (FCCU)的双稳协议来监控。这种 IC 交叉检验,如对监控定时的查询等,可对系统进行外部检测,作为额外的措施,进一步确保故障检测。为了符合系统基础芯片系列的安全架构,可以通过一个专用的 故障安全输出为安全状态激活提供冗余路径。当发生故障情况时,这些输出将应用设置为确定性状态,以弥补MCU 故障安全输出。
这些硬件实施方案帮助软件工程师简化了软件架构,且实施的软件开发策略侧重于使用单一的MCU方法来确保安全性。
系统与芯片组的合规性
功能安全合规性可在系统级实现,它是系统设计人员的职责。MCU和SBC芯片组是独立于泊车系统、高级驾驶员辅助系统或移动吊车等最终应用之外单独设计 的。 因而,该芯片组可以视为一个SEooC来进行开发。SEooC是一个安全相关的元件,而不是在特性车辆功能或最终应用背景下而开发的。我们按照定制指南开 发符合ISO26262标准的SEooC组件。
飞思卡尔已经汇总了其措施,以支持SafeAssure品牌市场的功能安全需求。它涵盖了安全支持、安全硬件、安全软件和安全流程等四个方面,确保在各种产品的开发阶段充分覆盖这些方面。典型的交付成果将包括:
- 安全架构分析:FMEDA、CCA或FTA
- 用户指南:安全手册、安全应用说明
- 开发过程证据:PPAP、安全计划和证书
其目的是减少开发符合ISO 26262和IEC 61508标准的安全系统的时间和降低其所需的复杂性,并简化系统合规性过程,这些解决方案可满足具体汽车和工业功能安全标准的要求。