白皮书

应对汽车和
工业市场面临的
功能安全挑战

freescale.com.cn/SafeAssure
 应对汽车和工业市场面临的功能安全挑战

目录 概述
汽车和工业应用的功能安全 对安全关键型应用进行实时控制是长期困扰工程师面临的难题。应用功能变得越来
越复杂，同时行业标准对汽车和工业市场提出了供更复杂的功能安全概念。飞思卡
不断增加的安全应用复杂性
尔已推出SafeAssure计划，帮助系统制造商更轻松地达到即将颁布的国际标准组织
飞思卡尔安全的根基 (ISO) 26262标准和现有的国际电工委员会 (IEC) 61508标准要求。通过采用飞思
卡尔SafeAssure计划中的解决方案，系统设计工程师可以应对困境，并获得所需的
飞思卡尔SafeAssure功能安全计划
文档和安全技术支持，缩短开发安全系统所需的时间。
飞思卡尔功能安全硬件解决方案
本白皮书探讨了功能安全要求将会如何改变设计规则，飞思卡尔SafeAssure计划详
微控制器保证 情，以及为安全应用设计的硬件解决方案。

安全传感器
汽车和工业应用的功能安全
安全配套产品:模拟和电源管理 汽车和工业市场对安全关键应用的关注显著增加，给系统工程师造成了新的压力，
因为他们需要解决安全挑战。
立即构建您的安全系统
汽车行业面临着巨大的压力，需要提供新的和不断改进的车辆安全系统，从基础
的安全气囊系统到极其复杂的高级驾驶员辅助系统(ADAS)，该系统需具有预测
事故和避免事故功能。这些安全功能越来越多的由电子部件来实现，ISO 26262
标准旨在促使电子系统在设计时使系统具备以下能力：防止危险的故障，或在出
现故障时可以对其进行控制。

最近工业领域发生的灾难性事故凸显了对于提高安全性的需求，同时越来越多的工
业控制系统需要通过IEC 61508安全认证。在太阳能、航空和FDA Class III医疗等
行业市场中，对功能安全的要求也正在变得越来越普遍和严格。通常来说，工业市
场的电子产品在恶劣环境中运行时必须具有最低的故障率。

安全应用不断增加的复杂性
因为直接影响人员安全,电子安全系统正面临日益严格的要求。对系统工程师来说，
在设计安全系统时,如何能做到既符合最新的功能安全要求,又能应对逐渐增加的应
用复杂性以及产品上市时间的紧迫性，是一个巨大挑战。

系统工程师所面临的挑战是所构建的系统需要能够防止危险故障的发生或至少在出
现故障时能够有效地进行控制。危险故障可能来自：
随机硬件故障
系统硬件故障
系统软件故障

功能安全标准IEC 61508和汽车适用的ISO 26262标准，这2个标准适用于确保一般

工业和汽车应用中的电子系统是完全安全的。IEC 61508标准定义了四个安全完整
性等级(SILs)，其中SIL 4表示最严格的安全等级。ISO标准定义了四个汽车安全完
整性等级(ASILs)，其中ASIL D表示最严格的安全等级。每个等级对应一个出现安
全功能故障的可能性目标范围。

2
 应对汽车和工业市场面临的功能安全挑战

SIL和ASIL等级之间没有直接的对应关系，但是ISO 26262将安全流程和要求推向更
深的层次。在整个设计过程的一开始，必须收集凭证证明产品是依据标准进行开发
的。发现的任何潜在偏差都必须记录，以确保能够采取足够的挽救措施。已经开发
了新的工具来实现这一个额外的功能，来实现汽车质量保证。

表1：功能安全标准详情
标准定义 等级比较 故障判定 新政策
通用行业标准，适用于电气/ SIL和ASIL等级之间没有 IEC 61508 • 在ISO 26262中,
电子/电子编程安全相关系统 直接对应关系 SIL 随机HWFR目标 对信息更加结构化
IEC SIL ASIL 4 ≥10-9 至 <10-8
• IS0 26262中存在
SIL 1, SIL 2,
61508 完整性等级
SIL 3, SIL 4 (IEC) (ISO) 3 ≥10-8 至 <10-7 安全文化概念
2 ≥10 至 <10
-7 -6
颁布日期 10年前 4
D 1 ≥10-6 至 <10-4 • ISO 26262中详细定义
汽车行业标准，针对道路车辆 了术语（安全计划、
电子电气系统，根据IEC 61508 3 ISO 26262 安全情况、工作产品
进行调整。 C ASIL 随机HWFR目标 和确认措施等。)
ISO 2 D <10-8 h-1
ASILA, ASILB, B
26262 完整性等级
ASILC, ASILD • IS0 26262中更详细地
C <10-7 h-1
定义了岗位和职责
颁布日期 计划2011年年底 1 A (PM,安全管理人员）
B <10 h
-7 -1

飞思卡尔安全的根基
飞思卡尔是领先的安全解决方案供应商，在面向安全关键型应用的双核控制器技
术领域拥有历史悠久的设计经验。飞思卡尔在定制微控制器(MCU)和模拟配套器
件的开发方面具有专业技能，面向用于汽车安全和底盘市场的功能安全系统，已
经交付了6000万套微控制器(MCU)和3000万套模拟配套器件，用于电子稳定控制
系统和防抱死制动等应用。

2008年，飞思卡尔开始开发其最新的32位器件系列，即基于采用Power Architecture®
技术的Qorivva 56xx汽车级微控制器。该系列器件专门为满足ISO 26262安全标准
要求而设计，适用于道路车辆中越来越多的安全关键型系统。

飞思卡尔的安全产品系列还包括市场领先的传感器解决方案，这些解决方案在安
全应用中已被采用了十多年之久。用于汽车安全气囊的第一款基于MEMS的惯性传
感器就是由飞思卡尔于1996年推出的。

飞思卡尔安全解决方案的核心是关注质量。从设计到制造，飞思卡尔采用了ISO
TS 16949认证的质量管理体系和零失效方法，以确保我们的产品能够符合汽车和
工业市场安全应用的严格要求和标准。我们还关注不断改进流程评估、评定/审计
和差距分析，以确保不断优化流程。

freescale.com.cn/SafeAssure
3
 应对汽车和工业市场面临的功能安全挑战

图2：功能安全计划 飞思卡尔SafeAssure功能安全计划
飞思卡尔SafeAssure功能安全计划以公司的安全技术传统和专业技术为基础，使
功能安全标准
系统设计人员能够充满信心地进行开发，更高效地实现其系统级设计目标，并符
汽车 工业
合IEC 61508和ISO 26262的要求。飞思卡尔的功能安全方法涵盖四个关键领域：
ISO 26262 IEC 61508
安全流程 安全流程、安全硬件、安全软件和安全支持。

功能安全的要求启始于公司设计和实施功能安全解决方案的方式—安全流程。飞
安全硬件 安全软件 思卡尔已经将功能安全作为其产品开发流程不可分割的一部分，以符合严格的
IEC 61508和ISO 26262要求。此外，一些飞思卡尔产品在产品定义和设计阶段便
安全支持 以能够符合各项标准为要求，并在开发流程的每个步骤都进行安全分析，并采取
额外的确认措施以帮助确保产品完全满足安全要求。

飞思卡尔安全根基 飞思卡尔的安全硬件概念关注于检测和减少随机硬件故障。这通过在飞思卡尔微
控制器、模拟器件和电源管理集成电路(IC)和传感器中内置安全特性实现，包括
自检、监控和基于硬件的冗余。飞思卡尔汽车模拟器件解决方案提供附加功能
(例如检查 MCU 定时、电压和错误管理)，以帮助提高系统的鲁棒性并简化电子
控制单元设计。飞思卡尔基于Power Architecture技术的Qorivva 56xx汽车级MCU
系列和PXS工业MCU系列，是专为满足IEC 61508和ISO 26262安全标准要求而
设计。该系列中的一些器件已经完成样片设计，一些器件已经完全投产。
MPC564xL MCU是汽车级微控制器系列中的领先产品，主要面向转向和制动应
用，并具有双核架构,可以在锁步模式下运行。PXS20器件是工业市场中的领先
产品，面向各种工业功能安全应用，包括工业自动化和电机控制。

为了实现系统级功能安全目标，硬件和软件必须无缝集成，以便全面符合安全要
求。因此，飞思卡尔功能安全方法的第三个主要领域是安全软件。飞思卡尔正在
开发一组全面的汽车功能安全软件产品系列，包括AUTOSAR OS、相关的微控制
器抽象层(MCAL)驱动和内核自检功能。为了增强面向汽车和工业市场的安全软
件产品系列，飞思卡尔与领先的第三方软件提供商合作，提供更多的安全软件解
决方案。

飞思卡尔功能安全方法的第四个领域是强大的安全支持，其以简化系统级集成和
易于符合功能安全标准要求为目标。飞思卡尔的技术支持范围广泛，从客户培训、
关于功能安全架构的系统设计审核，到广泛的安全文档和技术支持。

如需要为您的设计需求选择合适的产品，请参见Freescale SafeAssure解决方案
标志。它指出了可以在功能安全应用和在系统工程师设计需要符合IEC/ISO标准
的系统中所能使用的硬件和软件。该标志表示这些采用功能安全技术的产品是最
佳选择，完全可以支持系统级设计并符合功能安全标准，包括支持故障分析、以
及硬件和软件集成。

4
 应对汽车和工业市场面临的功能安全挑战

飞思卡尔功能安全硬件解决方案
功能安全系统不仅仅单靠微控制器(MCU)或微处理器，还需要电源管理器件和传
感器。飞思卡尔是能够提供全方位系统解决方案的少数几个公司之一—在
SafeAssure计划中，所有三个类别的产品均有提供，这简化了系统设计和合规性。

飞思卡尔的安全硬件概念关注检测和减少单点故障、潜在故障和非独立故障。这
通过在飞思卡尔微控制器（MCU)、电源管理集成电路(IC)和传感器中内置的安全
功能实现，包括自检、监控和基于硬件的冗余。

图3：内置安全功能
微控制器 模拟和电源管理 传感器
锁步内核 电压监控器 定时检查器
带ECC的存储器 外部错误监控器 信号链数字扫描
冗余功能 高级看门狗 DSI3和PSI5安全数字链路
监控器 内置自检 带ECC的存储器
内置自检 触发的自检
故障采集和控制

微控制器保证
飞思卡尔在其微控制器(MCU)中已经开发了许多用于功能安全应用的创新，在市
场中已经得到广泛的采用，例如故障采集和控制单元、一致安全内核机制（已获
得专利)和自检的模数转换器(ADC)。

此外，还推出了面向特定应用的Qorivva MCU产品系列，包括从用于安全气囊和超
声波停车辅助的单核MPC560xP MCU系列，到用于高级驾驶员辅助系统(ADAS)
的具有高性能的多核MPC567xK MCU系列。

飞思卡尔不断在下一代技术节点（55 nm及以下）中开发基于锁步(计算shell)架构
的产品，运用目前市场上最强大的功能安全供应商传统之一，专注于安全气囊、
转向、制动应用，以及不断增长的ADAS应用、动力总成应用、车身控制器应用和
各种工业应用领域。

凭借在针对安全关键型应用的双核控制器技术领域丰富的设计经验，飞思卡尔开
发了用于安全关键型应用的两个全新的32位双核MCU产品系列。其中，Qorivva
MPC5643L微控制器是适用于需要符合ISO 26262标准的汽车应用，PXS20微控制
器是适用于需要符合IEC 61508标准的工业应用。

双核Qorivva MPC564xL和PXS20都包含两个“通道”，其中每个“通道”都包含
一个内核、总线、中断控制器、存储器控制器和其他内核关联模块。与使用2个微
控制器(MCU)的安全关键型应用相比，双核MPC564xL和PXS20更有助于简化系
统级设计，从而降低了复杂性并缩短了开发时间，并使系统符合ISO 26262汽车安
全标准或IEC 61508工业安全标准。

freescale.com.cn/SafeAssure
5
 应对汽车和工业市场面临的功能安全挑战

Qorivva MPC5643L
表4：Qorriva MPC5643L的主要安全特性

SWT Debug PMU PMU

Power Architecture® Power Architecture
内核的冗余设计领域 内部稳压器Vreg
e200 core e200 core SWT
MCM JTAG 冗余电压监控
e200 内核
FPU FPU MCM
增强型 eDMA Nexus
STM
中断控制器,软件看门狗等 VLE VLE STM
MMU INTC MMU MMU
FlexRay™ INTC
CACHE RC CACHE
eDMA eDMA

Crossbar Cross Bar Switch Cross Bar Switch Flash

冗余 ECC
Memory Protection Unit Memory Protection Unit

I/O Bridge RC RC I/O Bridge RAM

ECC
Flash (ECC) SRAM (ECC)

RC
时钟监控 温度传感器
检测和消除时钟扰动 冗余

IRCOSC
FMPLL

TSENS
TSENS
FLPLL
SSCM

CMU
CMU
BAM

CRC

PIT
故障采集单元

FlexPWM

FlexCAN
FlexCAN
eTIMER
eTIMER

eTIMER
WAKE
XOSC

FCCU
LFlex
LFlex

DSPI
DSPI
DSPI
ADC
ADC

CTU
SIU
MC
当错误发生时能及时检测到
对外指示有错误产生
独立于内核,软件可控制

安全传感器
当发生碰撞时，车辆迅速减速，同时其结构吸收大部分碰撞力。 安全气囊和安全
带减少了车上人员的头部和上半身碰撞某些车辆内饰部件的概率。通过将碰撞力更
均匀地分布在车上人员的身体上，还有助于减少受到严重伤害的风险。在碰撞开始
时，整个展开和充气膨胀过程只需约50毫秒，比眨眼的时间还要快。

因为车辆在碰撞中速度会快速改变，如果要降低车上人员碰撞车辆内饰的风险，
MEMS传感器必须在几毫秒内检测到碰撞，安全气囊也必须立刻充气膨胀。飞思卡
尔有多个满足安全气囊解决方案严格要求的先进的Xtrinsic产品，包括基于MEMS的
MMA5xxxW卫星碰撞加速度传感器，以及用于安全气囊ECU的基于MEMS的
MMA68xxQ双轴碰撞传感器。

飞思卡尔的Xtrinsic MMA5xxxW是业界首个PSI5 X轴或Z轴卫星惯性传感器，采用四方

扁平无引线(QFN)封装，旨在实现小型封装。凭借飞思卡尔先进的过阻尼感应元件，
MMA5xxxW系列支持小型、可靠的正面和侧面安全气囊卫星传感器解决方案，抑制谐
振提高了系统可靠性。这些加速度传感器符合PSI5 rev 1.3标准协议，可以作为整体
PSI5安全气囊系统的部件轻松集成，并包括可简化菊花链配置的总线开关驱动。

Xtrinsic MMA68xxQ数字惯性传感器系列可以作为主碰撞传感器，或安全气囊应
用中的安全传感器。过阻尼感应元件与高共振频率封装相结合，可避免在碰撞检
测应用中遇到高幅和高频震荡而引发的过载情况。这些特性使实现可靠的安全气
囊设计成为可能。

安全配套产品：模拟和电源管理
为了提供面向功能安全应用的完整的系统解决方案，飞思卡尔开发并向市场推出了
一种集成了安全方法的电源系统基础芯片(SBC)，它与飞思卡尔微控制器系列相匹
配，为MCU提供安全监控和电源供应,目前已经投放市场。

飞思卡尔MC33789 SBC是用于安全气囊安全应用的混合信号模拟IC。MC33789
SBC提供灵活的系统IC解决方案，覆盖轿车和卡车中使用的安全气囊范围。为了保
护车上人员，MC33789提供一个安全保护状态机，以防止出现意外事件，并增强
系统功能安全性。安全保护功能包括使用逻辑和独立的MCU，来监控板载和远程
卫星，并确定是否提供充足的惯性活动以保证系统装备部署。

6
 应对汽车和工业市场面临的功能安全挑战

板载传感器自检通常用于验证功能，以及传感器和MCU之间的连接。为了方便测
试，无需激活因为故障产生的装配安全气囊输出，MC33789 SBC监控来自MCU的
模拟传感器自检控制信号。它可以用于检测安全带开关输入状态，并通过新的
PSI5主接口与远程碰撞传感器通信，以满足行业标准。 MC33789 SBC允许在广
泛的点火回路中实现可扩展性，同时提供增强的安全性和系统可靠性，因此非常
适合从低端到高端的安全气囊系统。

表5：飞思卡尔SafeAssure硬件解决方案
目标市场 产品类型 产品 目标应用
Qorivva
高级驾驶员辅助系统(ADAS)
MPC567xK

Qorivva
电子助力转向(EPS)
微控制器 电子稳定控制
MPC564xL
ADAS
Qorivva 安全气囊
MPC560xP 电子助力转向(EPS)

汽车 模拟和电源管理 MC33789 安全气囊

Xtrinsic
安全气囊
MMA16/26xx

Xtrinsic
安全气囊
传感器 MMA51/52xx
Xtrinsic
安全气囊
MMA65/68xx
Xtrinsic
电子稳定控制
MMA69xx
PXS20 安全关闭系统
PXS30 太阳能逆变器，电机驱动，
工业 微控制器 工业自动化，航空
机器人

立即构建您的安全系统
设计安全关键型系统时,系统设计人员面临新的挑战：需要确保符合IEC 61508和
ISO 26262功能安全标准。飞思卡尔为此推出了SafeAssure计划，其中包括飞思卡
尔如何面向广泛的解决方案提供设计和实施功能安全解决方案，其中包括MCU、
传感器和模拟IC，以及对功能安全应用设计的支持，该支持扩展至培训、安全文档
和技术支持。SafeAssure计划重点突出特定解决方案—包括硬件和软件—专门针
对功能安全应用，使系统设计人员能够充满信心地进行设计，更高效地实现其系
统级设计目标，并符合各项标准。

freescale.com.cn/SafeAssure
7
联系我们：
中文主页： 本文档中的信息仅供系统和软件实施者使用飞思卡尔半导体公司产品时参考。不提供明示或隐含的版
freescale.com.cn
权许可授权来设计或制造任何集成电路或基于本文档信息的集成电路。

SafeAssure计划信息:
freescale.com.cn/SafeAssure
飞思卡尔半导体保留进行修改的权力，恕不另行通知。飞思卡尔半导体关于其产品对任何特定目的的
电子邮件： 适用性不做任何保证、声明或担保，也不承担因为应用或使用任何产品或电路而产生的责任，特别声
support@freescale.com
明不承担包括但不限于间接或附带损失的所有责任。飞思卡尔半导体公司的数据手册和/或规格中提供
美国/欧洲和未列出的地址： 的“典型”参数在不同的应用中可能不同，而且的确不同,实际性能可能会随着时间发生变化。所有运
Freescale Semiconductor 行参数，包括“典型”参数必须由客户的技术专家对每个客户应用进行验证。飞思卡尔半导体公司不
Technical Information Center, CH370
1300 N. Alma School Road 转让其专利权和他人权利的任何许可。飞思卡尔半导体公司产品并非为了用作通过外科手术移植到人
Chandler, Arizona 85224 体内的系统的组件而设计或授权，也不用于旨在支持或维持生命的其他应用中，或任何如果飞思卡尔
1-800-521-6274
480-768-2130 半导体产品发生故障则可能导致人身伤害或死亡的情况的应用。如果买方购买或使用飞思卡尔半导体
support@freescale.com 公司产品用于上述意外或未经授权的应用，则买方使飞思卡尔半导体公司及其管理人员、员工、子公
欧洲、中东和非洲： 司、关联公司和经销商免受任何由于此类应用而直接或间接产生的索赔、费用、损失和花费以及合理
Freescale Halbleiter Deutschland GmbH 的律师费，任何由于用于上述目的而造成的与人身伤害或死亡相关的索赔，即使此类索赔声称飞思卡
Technical Information Center
尔半导体在该部件的设计或制造存在疏忽过失。
Schatzbogen 7
81829 Muenchen, Germany
+44 1296 380 456 (English)
+46 8 52200080 (English)
+49 89 92103 559 (German)
+33 1 69 35 48 48 (French)
support@freescale.com

日本：
Freescale Semiconductor Japan Ltd.
Headquarters
ARCO Tower 15F
1-8-1, Shimo-Meguro, Meguro-ku,
Tokyo 153-0064, Japan
0120 191014
+81 3 5437 9125
support.japan@freescale.com

亚太地区：
Freescale Semiconductor Hong Kong Ltd.
Technical Information Center
2 Dai King Street
Tai Po Industrial Estate,
Tai Po, N.T., Hong Kong
+800 2666 8080
support.asia@freescale.com

如仅需文档：
Freescale Semiconductor
Literature Distribution Center
P.O. Box 5405
Denver, Colorado 80217
1-800-441-2447
303-675-2140
Fax: 303-675 2150
LDCForFreescaleSemiconductor@hibbertgroup.com

有关详细信息，请访问 freescale.com.cn/SafeAssure
Freescale和Freescale标识是飞思卡尔半导体公司在美国专利和商标局注册的商标。Qorivva、SafeAssure和Xtrinsic是飞思卡尔半导体公司的
注册商标。所有其他产品或服务名称是其各自所有者的财产。Power Architecture和Power.org文字商标、Power和Power.org标识以及相关标
记为Power.org授权的注册商标和服务标记。© 飞思卡尔半导体公司2011年版权所有。

文档编号：FCTNLSFTYWP REV 0