汽車安全氣囊系統(tǒng)自動(dòng)故障防護(hù)功能的實(shí)現(xiàn)

安全氣囊在汽車輔助約束系統(tǒng)(SRS)中發(fā)揮著關(guān)鍵的作用。目前，乘用車安裝安全氣囊已經(jīng)成為一種標(biāo)準(zhǔn)。大家都知道在汽車產(chǎn)生碰撞時(shí)，安全氣囊和安全帶可降低車內(nèi)人員頭部和上身撞擊車內(nèi)元件的機(jī)率。它們還可透過使撞擊力更均勻地分佈來(lái)降低人員受傷的風(fēng)險(xiǎn)。

但是現(xiàn)在，許多人已經(jīng)認(rèn)識(shí)到能給人帶來(lái)安全的輔助約束系統(tǒng)也有可能會(huì)危及車內(nèi)人員的生命安全。因此，在開發(fā)安全系統(tǒng)時(shí)，必須全面考慮系統(tǒng)的各種特性，以確保達(dá)到所需的安全水準(zhǔn)。為了解決這方面的問題，英飛凌開發(fā)出了具有豐富特性的氣囊觸發(fā)晶片，可幫助系統(tǒng)實(shí)現(xiàn)自動(dòng)故障防護(hù)功能。

圖1：安全氣囊的ECU簡(jiǎn)圖。

亞洲的汽車安全氣囊系統(tǒng)市場(chǎng)預(yù)計(jì)將繼續(xù)成長(zhǎng)，這主要得益于中國(guó)市場(chǎng)的成長(zhǎng)。未來(lái)五年，該市場(chǎng)的增幅將達(dá)到25%。

此外，韓國(guó)出口歐美的汽車裝備了越來(lái)越多的安全氣囊，這主要是因?yàn)闅W美地區(qū)實(shí)施的新安全法規(guī)。目前，韓國(guó)的乘用車已經(jīng)100%裝配正面安全氣囊，頭部安全氣囊的增幅預(yù)計(jì)到2013年將達(dá)到44%。

中國(guó)市場(chǎng)目前的正面安全氣囊安裝率只有62%，因此我們預(yù)計(jì)該領(lǐng)域?qū)?huì)迎來(lái)迅速成長(zhǎng)。另外，隨著中國(guó)車輛出口的不斷成長(zhǎng)，安全問題也越來(lái)越受到關(guān)注，因此我們預(yù)計(jì)今后四年，側(cè)面和頭部安全氣囊也將不斷成長(zhǎng)。

目前，隨著歐美新法規(guī)的實(shí)施，安全氣囊系統(tǒng)預(yù)計(jì)將變得更加完善。塬始設(shè)備製造商將面臨著價(jià)格壓力，需要應(yīng)對(duì)平衡成本、創(chuàng)新與可靠性的挑戰(zhàn)。

相關(guān)研究顯示，目前平均售價(jià)為105美元的正面安全氣囊預(yù)計(jì)4年之后成本將降低15%。業(yè)界認(rèn)為可靠應(yīng)用是汽車安全氣囊系統(tǒng)最重要的問題，因此，本文將探討在較差的執(zhí)行條件下(例如泄漏和低壓)如何平衡安全要素和系統(tǒng)成本。

近30年來(lái)，歐洲路面的車輛增加了叁倍，但道路卻只增加了二倍。隨著交通量的日益增大，現(xiàn)代汽車呈現(xiàn)出為駕駛員和乘客提供越來(lái)越高的安全性和舒適性的態(tài)勢(shì)。

在提高汽車安全性和舒適性方面，電子技術(shù)與其他化學(xué)技術(shù)和機(jī)械技術(shù)發(fā)揮了重要作用。如今GPS系統(tǒng)、自動(dòng)鏡、自動(dòng)燈、電動(dòng)座椅、電子噴射裝置和其他上百個(gè)功能都成為汽車不可或缺的一部份。但除了舒適性以外，用戶還希望為自己和家人購(gòu)買具備更高安全性的汽車。

因此，安全系統(tǒng)開始發(fā)揮作用。目前，汽車提供諸如ABS、ESC、ASR、安全氣囊、行人保護(hù)等主動(dòng)與被動(dòng)安全系統(tǒng)。今后，由于道路還遠(yuǎn)不能達(dá)到百分之百安全，因此該市場(chǎng)可望持續(xù)成長(zhǎng)。

塬來(lái)的安全系統(tǒng)採(cǎi)用分離式組件提供所需功能，但近些年來(lái)，所有系統(tǒng)都採(cǎi)用了整合方式。目前多數(shù)RCU(安全防護(hù)控制單元)都是由MCU(主控單元)、通訊介面、電源、感測(cè)器介面和燃爆電路構(gòu)成。本文涵蓋RCU的燃爆電路部份。下文將探討安全氣囊系統(tǒng)的安全性和應(yīng)用IC的相關(guān)安全特性。

氣囊安全性

開發(fā)安全系統(tǒng)時(shí)必須全面考慮系統(tǒng)的各種特性，以確保達(dá)到所需的安全水準(zhǔn)。從系統(tǒng)的角度出發(fā)，安全氣囊控制器必須具備兩個(gè)安全特性：1. 在事故條件下的觸發(fā);2. 防止意外觸發(fā)。

上述兩種特性都必須遵照相關(guān)標(biāo)準(zhǔn)(即IEC 61508)的具體要求，確保達(dá)到相應(yīng)的安全水準(zhǔn)。

安全系統(tǒng)的相關(guān)安全標(biāo)準(zhǔn)提出了‘自動(dòng)防故障’理念。當(dāng)安全系統(tǒng)出現(xiàn)故障時(shí)，其設(shè)計(jì)應(yīng)該確保故障不會(huì)損壞相鄰的系統(tǒng)或?qū)θ藛T造成傷害。

乍看之下，有人可能會(huì)覺得第一個(gè)特性比第二個(gè)特性更重要。然而，事實(shí)并非如此。當(dāng)安全系統(tǒng)檢測(cè)到意外事故時(shí)，如果因?yàn)槟撤N故障無(wú)法完成氣囊的觸發(fā)，就會(huì)造成人員傷亡，儘管如此絕大多數(shù)車主仍希望永遠(yuǎn)無(wú)需觸發(fā)安全氣囊。另一方面，在RCU安裝到汽車上之后，從汽車測(cè)試期到使用週期結(jié)束，隨時(shí)都可能產(chǎn)生安全氣囊意外觸發(fā)。如果出現(xiàn)這種情況會(huì)對(duì)相關(guān)人員造成傷害(工廠工人、汽車駕駛員或修車廠技工)。

整體而言，應(yīng)盡可能確保在產(chǎn)生意外事故時(shí)實(shí)現(xiàn)安全氣囊的正確觸發(fā)，同時(shí)也必須努力防止安全氣囊的意外觸發(fā)。

為了使大家能夠更好地瞭解安全氣囊系統(tǒng)以及如何實(shí)現(xiàn)故障防護(hù)功能，有必要介紹一下整個(gè)系統(tǒng)的執(zhí)行塬理。

通常情況下，汽車衛(wèi)星感測(cè)器介面獲取外部感測(cè)器(加速度或壓力感測(cè)器)發(fā)送的數(shù)據(jù)并對(duì)其進(jìn)行分析。這些感測(cè)器依據(jù)功能或所屬類型(前端碰撞加速度感測(cè)器、側(cè)面碰撞壓力感測(cè)器或側(cè)面碰撞加速度感測(cè)器)的不同而分佈于汽車的前端、車門內(nèi)或B柱上。

如果出現(xiàn)碰撞事故，感測(cè)器承受的絕對(duì)加速度或壓力就會(huì)大幅提高，使主微控制器得知產(chǎn)生了碰撞事故。這時(shí)主微控制器必須依據(jù)該感測(cè)器的數(shù)據(jù)、板載感測(cè)器的數(shù)據(jù)、座椅的位置和其他參數(shù)，決定是否觸發(fā)安全氣囊。

如果決定觸發(fā)安全氣囊，主微控制器就會(huì)向燃爆介面發(fā)送指令。與此同時(shí)，備用系統(tǒng)(通常為備用8位元微控制器)也必須依據(jù)更基礎(chǔ)的數(shù)據(jù)(即僅板載感測(cè)器數(shù)據(jù))做出決定，讓指定硬體線路允許燃爆IC觸發(fā)氣囊。

觸發(fā)是使電流流過燃爆管(通常在1.2A至1.75A之間)實(shí)現(xiàn)的。燃爆管在此作為電阻僅為幾歐姆的電阻器，因此要想節(jié)省能量必須控制電流。如果電流流經(jīng)燃爆管達(dá)到一定時(shí)間(通常0.5ms至2ms)，安全氣囊就將完成觸發(fā)。

從產(chǎn)生感測(cè)器資訊、發(fā)送感測(cè)器資訊、分析所有參數(shù)、做出決策、將決策傳輸至觸發(fā)IC到最終確保電流僅在需要時(shí)通過燃爆管，在這整個(gè)流程中必須確保有可靠的自動(dòng)防故障性能。

下文將針對(duì)觸發(fā)氣囊流程的最后兩步展開分析。

觸發(fā)IC的安全特性

英飛凌現(xiàn)有的觸發(fā)IC具備多種可確保自動(dòng)防故障功能的特性。其中包括：

1. CrosSave

2. 泄漏檢測(cè)

3. 啟動(dòng)軟硬體進(jìn)行觸發(fā)

4. 電阻測(cè)量

5. 開關(guān)測(cè)試

6. 高側(cè)供電(HSS)診斷

7. 板載電壓測(cè)量

上述特性中，前叁種專用于防止意外觸發(fā)，剩下的用于確保在需要時(shí)完成觸發(fā)。下文將論述所有這些特性。

CrosSave

為了在可能出現(xiàn)的‘生產(chǎn)故障’(缺陷晶片、ESD損壞等)條件下，實(shí)現(xiàn)自動(dòng)防故障功能，安全氣囊系統(tǒng)需要具備冗余或多樣化特性。每個(gè)燃爆管配備兩個(gè)開關(guān)(參見圖2)。這兩個(gè)開關(guān)確保電流只有在規(guī)定的條件下流入燃爆管。

圖2：氣囊驅(qū)動(dòng)晶片的簡(jiǎn)化結(jié)構(gòu)圖。

這種特性可透過叁種方式實(shí)現(xiàn)：採(cǎi)用單片IC整合高側(cè)(HS)和低側(cè)(LS)開關(guān);採(cǎi)用兩個(gè)相同的IC，但透過PCB設(shè)計(jì)使高側(cè)開關(guān)和低側(cè)開關(guān)分離(交叉耦合);或者採(cǎi)用兩種不同的技術(shù)，將兩個(gè)不同的晶片整合至一個(gè)封裝內(nèi)(CrosSaveTM)。

採(cǎi)用單片IC時(shí)，如果晶片產(chǎn)生故障，就會(huì)帶來(lái)危險(xiǎn)。因?yàn)閮蓚€(gè)開關(guān)都整合在一個(gè)晶片上，因而無(wú)法實(shí)現(xiàn)自動(dòng)防故障功能。

第二和第叁種方式分離了兩個(gè)開關(guān)，一旦出現(xiàn)故障，只是一個(gè)開關(guān)會(huì)受損，仍能實(shí)現(xiàn)自動(dòng)防故障功能。哪種方式更加安全則需要進(jìn)一步探討。

CrosSave(參見圖3)具備單一封裝優(yōu)勢(shì)，與其他解決方案相較，節(jié)省了板卡空間，降低了設(shè)計(jì)難度，同時(shí)始終確保了系統(tǒng)的自動(dòng)防故障功能。

圖3：CrosSave的分離式晶片概念。

一方面，交叉耦合採(cǎi)用冗余性實(shí)現(xiàn)自動(dòng)防故障功能。冗余系統(tǒng)對(duì)于共因故障(CCF)的保護(hù)較差。另一方面，CrosSave採(cǎi)用多樣性策略，對(duì)于CCF保護(hù)較佳，但有較高的耦合係數(shù)。

總之，這兩種解決方案與單片系統(tǒng)相較，能夠提供更加安全的性能。

啟動(dòng)軟硬體進(jìn)行觸發(fā)

防止意外觸發(fā)的特性要求獲得多個(gè)外部軟體指令以及多條硬體線路必須處于預(yù)定義狀態(tài)，方可進(jìn)行觸發(fā)。

MCU必須採(cǎi)用兩個(gè)不同的SPI指令獨(dú)立打開兩個(gè)開關(guān)(高側(cè)開關(guān)和低側(cè)開關(guān))。因此，即使出現(xiàn)通訊故障和SPI指令被錯(cuò)譯為燃爆指令，仍然需要獲得第二個(gè)指令，才能成功燃爆。

對(duì)于英飛凌的TLE77xx燃爆系列IC而言，利用以前的額外指令UNLOCK即可進(jìn)行燃爆。否則，開關(guān)將被打開，電流限值將設(shè)定為約40mA(診斷電流限值)，這不足以點(diǎn)燃燃爆管。

如上文所述，硬體線路也必須達(dá)到預(yù)定義的電壓，才能進(jìn)行燃爆。不同廠商的產(chǎn)品的這種特性有所不同。TLE77xx燃爆IC系列具備四條硬體線路：HSENQ、LSEN、FLENH和FLENL。通常前兩條與MCU連接，另外兩條與備用安全引擎(即8位元微控制器)連接。

HSENQ和LSEN即使在診斷電流限值條件下執(zhí)行，也能打開高側(cè)開關(guān)和低側(cè)開關(guān)。這些線路必須與MCU連接，目的是進(jìn)行下文所述的開關(guān)測(cè)試。

另一方面，F(xiàn)LENH和FLENL也能促使燃爆電流(1.2A.。.1.75A)流經(jīng)高側(cè)開關(guān)和低側(cè)開關(guān)。因此，只有MCU和安全引擎一致認(rèn)為產(chǎn)生碰撞事故時(shí)，才能從儲(chǔ)能器中獲得燃爆電流觸發(fā)安全氣囊。

泄漏檢測(cè)

為了確保只在規(guī)定條件下產(chǎn)生燃爆，必須進(jìn)行泄漏檢查。泄漏測(cè)量可防止打開一個(gè)開關(guān)進(jìn)行測(cè)試時(shí)(參見4.5節(jié))產(chǎn)生燃爆情況。由于燃爆管通常位于汽車的前端或側(cè)部，而RCU位于中控臺(tái)下，因此需要較長(zhǎng)的線束，這很有可能成為泄漏源。

泄漏通常在燃爆管的饋入路徑和返迴路徑進(jìn)行測(cè)試，并在這些位置和接地端及電池端存在泄漏時(shí)實(shí)現(xiàn)檢測(cè)。

電阻測(cè)量

燃爆管在整個(gè)使用週期內(nèi)可能會(huì)產(chǎn)生老化，導(dǎo)致在產(chǎn)生碰撞事故條件下無(wú)法完成觸發(fā)，因此需要定期測(cè)量電阻，確保燃爆管處于正常的工作狀態(tài)。如果電阻值超出安全範(fàn)圍，燃爆管關(guān)閉，警報(bào)燈點(diǎn)亮，向司機(jī)發(fā)出警報(bào)，直至汽車修理完畢。電阻是利用小電流(診斷電流)進(jìn)行測(cè)量的。

通常利用燃爆IC的類比輸出埠獲得電阻值。

高側(cè)供電測(cè)試(HSS)

對(duì)于採(cǎi)用高側(cè)開關(guān)的系統(tǒng)，通常需要產(chǎn)生高壓以驅(qū)動(dòng)MOSFET閘極。TLE77xx燃爆IC系列的高壓由儲(chǔ)能器提供，如果儲(chǔ)能器的電壓過低，高壓就由外部電容(高側(cè)供電電容CHSS)提供。

這些IC能夠監(jiān)控外部電容的狀態(tài)，防止在必要時(shí)因電容故障無(wú)法完成觸發(fā)。

要完成該測(cè)試需要利用TLE77xx燃爆IC系列的電流源從高側(cè)供電電容獲得電流。由于該電流是恆定的，只需在固定的間隔時(shí)間內(nèi)兩次測(cè)量電壓，即可得出電容值。因此當(dāng)電容過度老化時(shí)，需要向駕駛員發(fā)出警報(bào)，提醒更換電容。

開關(guān)測(cè)試

當(dāng)然，為了確保正確完成觸發(fā)，燃爆IC必須對(duì)開關(guān)進(jìn)行自檢。這些開關(guān)能夠防止意外觸發(fā)(可能產(chǎn)生)，但另一方面，當(dāng)產(chǎn)生碰撞事故時(shí)需要同時(shí)啟動(dòng)這兩個(gè)開關(guān)(高側(cè)開關(guān)和低側(cè)開關(guān))才能完成觸發(fā)。如果其中一個(gè)產(chǎn)生故障，RCU就無(wú)法執(zhí)行其中的一種功能。

開關(guān)測(cè)試方法與泄漏測(cè)量類似。由于打開高側(cè)開關(guān)會(huì)出現(xiàn)流向電池的泄漏電流，打開低側(cè)開關(guān)會(huì)出現(xiàn)流向接地線的泄漏電流，因此，應(yīng)先進(jìn)行泄漏測(cè)量，然后再打開其中一個(gè)開關(guān)。

按照4.3節(jié)所述作業(yè)，不僅需要軟體指令，而且需要從MCU側(cè)將硬體輸入線路設(shè)為合適的值。

板載電壓測(cè)量

最后，IC通常還具備測(cè)量電路板上所有電壓的特性。低壓預(yù)示著出現(xiàn)故障(MCU和其他IC無(wú)法正常執(zhí)行，無(wú)法完成觸發(fā)等)。為了避免出現(xiàn)這些故障，RCU採(cǎi)用的多數(shù)觸發(fā)IC都能測(cè)量外部電壓，包括VCC5、VBOOST和VBAT，甚至能夠測(cè)量IC的內(nèi)部電壓，檢測(cè)可能存在的故障。

測(cè)量結(jié)果通常利用IC類比埠和MCU類比數(shù)位轉(zhuǎn)換器進(jìn)行輸出。

本文小結(jié)

本文探討了安全氣囊系統(tǒng)的相關(guān)安全問題。透過介紹安全系統(tǒng)在故障條件下如何避免造成人員傷亡來(lái)說(shuō)明系統(tǒng)的安全特性。所有這些特性都會(huì)使安全氣囊系統(tǒng)變得更加安全，同時(shí)保護(hù)車內(nèi)人員在車禍中免受致命傷害。