汽车安全和数字仪表盘

今年2月，通用汽车最终发现汽车点火锁弹簧薄弱，决定召回200多万辆汽车。如果按键摇摆得太厉害，不仅会导致引擎失灵，还会导致电动刹车和转向失灵。

在过去的几年里，自动变速器的车辆都遇到过突然加速的问题，在没有明显原因的情况下，汽车只是加速行驶。丰田汽车发生多起事故的原因仍未得到解决，不过，在排除了驾驶员失误的情况下，人们怀疑是电子控制器可能暂时内存不足，或者被传感器输入弄混了。

现在是汽车工业的关键时刻。世界各国政府都规定，道路需要更加安全，而关键在于汽车本身，最终要让汽车承担起安全的责任。罗伯特•博世(Robert Bosch)和谷歌等公司对自动驾驶汽车的研究预计，在未来某一天，政府会认为自动驾驶的汽车更安全。

自动驾驶汽车成为公共道路上的常态可能还需要几十年的时间。它们被引入到车辆可以与其他用户隔离的地方，计算机正在逐渐获得更多的控制。长期趋势是采用线控转向和线控制动系统，允许电子控制单元(ecu)控制车辆的行驶方式。他们将与先进的驾驶辅助系统(ADAS)合作，该系统结合了摄像机、雷达和其他传感器，不仅可以警告司机潜在的问题——比如偏离车道——还可以保持汽车正常行驶。

电子设备开始取代机械系统，比如液压制动电缆以及方向盘和车轮之间的直接连接。飞思卡尔半导体(Freescale Semiconductor)汽车现场应用工程师斯蒂芬•辛格(Stefan Singer)表示:“如今的汽车系统实际上是无故障的。“系统关闭了，但有一个机械回退。如果ABS关闭，你仍然有刹车功能。我们就要失去那个机械后撤装置了。系统从无故障转向主动故障，我们需要确保(电子)系统至少在跛行模式下工作。”

除了增加安全系统的数量外，汽车制造商还在努力跟上消费电子产品的快速变化。消费电子产品使用的设备往往是采用更新得多、测试不太充分的工艺技术，而不是使用AEC Q100等标准的合格汽车使用标准。

奥迪半导体项目主管贝特霍尔德•希伦塔尔(Berthold Hellenthal)表示:“如果客户希望在汽车上安装LTE(设备)，我们就必须想办法在汽车上使用它们。”其结果是汽车中电子设备的复杂性和数量大幅增加。

新汽车系统的兴起

Mentor Graphics业务开发总监安德鲁•帕特森(Andrew Patterson)表示:“在这个10年内，电子产品预计将占到汽车价值的50%左右。”Mentor Graphics为汽车行业提供软件和硬件设计工具。

罗伯特•博世(Robert Bosch)企业研发总裁迈克尔•波勒(Michael Bolle)表示:“汽车行业在采用技术方面必须加快步伐。汽车、消费电子和IT技术将会融合。产品的生命周期必须大大加快。”

由于消费技术的变化可能快于汽车的更新换代速度，Bolle说汽车需要适应。“我们的目标是使系统的元素可重新编程。我们希望将新的软件引入市场，而不是将汽车从市场推向经销商。”

帕特森补充道:“旧系统基本上是硬连接在汽车上的。仪表板现在正在被设计为重新皮肤，所以它们可以进入‘比赛模式’和其他设计。”

为了适应可能的变化，博世和其他公司正在寻求预先使用更强大的处理器。Bolle说:“与其优化成本，不如在设计中增加一些空间，并将其用于可重编程。”这反过来又带来了额外的问题:“硬件升级的问题是你必须做大量的工作来验证设计。”

尽管将LTE手机连接到汽车系统上不会对安全性产生影响，但技术趋势意味着消费者和汽车的核心功能将紧密相连。

Mentor公司嵌入式系统部门总经理格伦•佩里(Glenn Perry)表示，硅集成使得在同一个芯片上实现多种功能成为可能。仪表盘后面的控制器需要确保驾驶员的关键信息显示保持最新，同时为乘客处理不太重要的视频。这将要求软件将系统中符合不同临界级别的部分隔离开来。

在与安全相关的主要系统出现故障时，可能会调用其中一些处理器，通过加载不同的软件来提供备份。因此，这个在大部分时间里都不是安全关键的系统，会突然变成一个允许司机回家的系统，即使它不是以最高速度行驶。

汽车系统公司XS Embedded董事总经理Rainer Oder表示:“我们看到了一个巨大的发展趋势，即在相同的PCB或SoC上拥有(不同的安全级别)的系统，并在工程团队中保持相同的开发流程。”

保持正轨

在日益复杂的情况下，该行业未能确定突然加速的确切原因。通用汽车的工程师显然没有分析汽车电子系统关闭点火开关的全部后果。

在微观层面上，机载计算机做出的决定是有意义的。如果汽车不再运行，它为什么需要转向或制动辅助?

问题在于在美国高速公路上时速65英里时，这些决定的组合。系统知道它必须对条件的变化做出反应。对这种变化的错误假设导致了非常不恰当的反应。

汽车行业能做得更好吗?在很大程度上，制造商们相信国际标准组织(ISO) 2011年发布的一项标准，该标准得到了捷豹路虎(Jaguar Land Rover)等汽车制造商安全专家的大量投入。ISO 26262在安全标准中是罕见的，因为没有政府要求实施它。但汽车制造商很快就采用了它。

ISO 26262所采取的方法应该会导致更安全的系统，因为它关注的是系统而不是组件级别的问题。但对于制造商来说，该标准还有另一个重要的，几乎是护身符的作用。自ISO 26262于2011年发布后，为该行业提供咨询的律师认为，ISO 26262代表了开发安全系统的部分最新水平。当涉及到产品责任时，这有重要的后果。如果一个有缺陷系统的供应商可以证明它遵循了最先进的技术，那么它就可以避免责任，因为处于相同位置的其他供应商不可能开发出更安全的系统。

标准本身承认“绝对安全是一个无法实现的目标”。其目的是帮助制造商建立证据，以“证明该系统没有不合理的风险”。制造商正在积累大量的证据。

福特(Ford)电子和电气系统工程总监吉姆•布茨科夫斯基(Jim Buczkowski)表示:“这与其他ISO标准类似:这是一个可重复、可追溯、记录良好的过程。您需要确保所做的决定得到数据的支持。这是一项艰巨的任务。要应用它需要做很多工作。我不认为有任何东西可以保证一个完美的系统，但如果你有一个可重复和可跟踪的过程，你可以使用这个过程来确保最好的结果。”

安全强迫函数

美国国家仪器公司汽车和航空航天网络产品经理Noah Reding表示:“ISO 26262的关键要素之一是，在每个阶段，您都需要将所做的工作与安全要求联系起来。这些需求变得至关重要。这是一种强迫功能。工程师不仅要从功能的角度看，还要从安全的角度看，团队必须验证它是否满足安全要求。它促进了良好的习惯，尤其是在系统工程方面。”

Singer对此表示赞同:“通常来说，ISO 26262有一个很好的方法。它是关于功能上下文中的安全性。可能会有你不关心的错误发生。还有一些可能会产生巨大影响的问题，比如电子转向系统会受到影响。”

采用ISO 26262的动力不仅给向汽车制造商销售子系统的供应商(汽车供应链术语中的“一级”)带来了下行压力，也给向这些供应商提供零部件和软件的公司带来了下行压力。

“ISO 26262要求我们为设计过程创建无数的文档，”辛格说。

雷丁说:“我认为ISO 26262将在很多领域影响供应链。它在行业中真正的推动力在于，它在供应商和原始设备制造商之间带来了非常详细的对话:谁将做什么，以及实际功能是什么。OEM可能认为他们的要求很具体。

“因为供应商现在正在考虑如何将所有这些与要求和安全要求相匹配，他们现在变得更加严格。这肯定会促进基于模型的设计工具的使用，以帮助交流规范，以及在测试和验证方面使用更合格的工具，”Reding补充道。

模型和模拟正在成为测试这些系统的关键方式，不仅是为了测试它们的安全证书，而且是为了演示它们如何工作。这些模拟已经发展成为完整的虚拟原型，汽车的功能在一台或多台计算机中实现。

布茨科夫斯基表示:“现在的区别在于软件。很多汽车行业的人花了一段时间才明白这一点。我们在建模方面做得越多，并提出一个不需要物理构建的概念证明，我们就能越快地做出权衡。当有这么多系统相互通信时，设计这些系统是非常困难的。”

模拟系统

在真实的系统中，汽车制造商并没有将测试司机置于危险之中，而是在虚拟原型中随意注入错误，以观察对系统其他部分的影响。如果引擎停止，就可以测试它对其他系统的连锁反应，看看它们的反应是否合理。

开发工具供应商Cadence Design Systems的高级总监Frank Schirrmeister说:“每当有人提到ISO 26262时，你就需要引入某些类型的测试模式并注入某些错误。“用你能严格控制的东西来做会更好，这往往是模拟的。”

传统的需求驱动开发过程通常遵循v型模式，在这种模式中，在开始时创建需求不仅是为了帮助驱动开发，而且是为了帮助测试。随着开发的进行，项目沿着V的左臂向下移动，在此过程中生成模块级测试例程。当系统集成到最终形式时，该过程向上移动到可以根据完整的需求集对其进行完整测试的点。

捷豹路虎(Jaguar Land Rover)等公司正在转向双v流程。与从概念到系统集成和测试的传统V软件开发过程不同，该电机公司采用虚拟集成和测试，在进入第二个V之前可以安全地分析故障模式，在第二个V中逐步更换真正的硬件。

“它们连接到物理系统，但测试刺激、数据记录和控制模型都保持不变(与虚拟原型一样)。如果你可以使用一个软件环境，让你把模型换成物理系统，你就不必每次都去发明轮子来执行测试，”Reding说。

模拟的问题在于，它需要时间来捕捉所有的可能性，这可能不足以支持向自动驾驶的转变。

Bolle表示:“随着自动驾驶技术的发展，新的问题也随之出现。要实现自动制动，你需要进行一定程度的验证。我们已经了解了验证自动驾驶需要什么，估计所需的时间为10万年。我们需要研究界的突破性解决方案。”