可靠性设计-汽车电子的软件设计规范(2)

当年整理设计规范之时，我只是一个在电子行业刚入行的小白。

参考的资料是MISRA C以及各大车厂的设计规范，全部都是英文文档，晦涩难懂。

为了深入准确地理解规范的要求，我花了大量时间检索相关资料，学习相关知识，逐条按照阿英文语法字斟句酌，不断推敲。

现在分享的是2010年整理的第一版完整版本，现在看来，专业术语比较准确，内容也基本上没有错误的地方。

21.控制流程

CASE 表达式必须有一个指定的DEFAULT条件语句。

22.外部电源

只有当外部电源稳定时，才能访问外部设备。

23.电源电压的A/D采样-滤波器匹配

被测的电源电压的输入滤波器和采样输入通道之间必须进行匹配。使得电源电压最大压摆率所引起的最大误差不超过0.5%。

24.诊断代码—IGN开关位置改变&CPU复位

所有发生在5秒之内的IGN开关位置变化不能报告／储存，除非该情况持续超过5秒。

在MCU复位之后所有发生在5秒以内的DTC都不能报告／储存，除非该情况持续超过5秒。

基于RF的系统不需要满足上述要求。

25.去抖—最大采样周期

采样周期不能超过11毫秒。该要求适用于以下输入：单数字输入，多数字输入，连续模拟，离散模拟。

上述要求不适用于脉冲群，Bus/协议输入，或其它任何时间常数超过100毫秒的输入。

在睡眠模式下不适用。

机械开关的关键寿命测试，最差条件下的稳定时间为15毫秒（新开发的开关的设计已经做到小于等于2毫秒的去抖）。一个3倍的余量导致一个45毫秒的去抖。45毫秒除以4个采样周期得到每个采样周期为11.25毫秒。

26.去抖—单数字输入

在去抖时间必须为34-56毫秒，且最少5个连续的采样。所有的采样数据必须相同，这样才能确定一个去抖值。

一些输入（非强制性）要求有更长的去抖时间（电平设置开关——例如点火开关，前雨刷开关）同时考虑到人的感知原因，要求输入不能超过120毫秒。备注：锁存在软件中的输入（例子：加热汽车后灯，One Touch Down 电路）不属于特例范围。

27.去抖—多数字输入—电平设置开关

多数字输入是一系列的单电平数字输入的组合，使单电平设置开关有两个或多个状态（例如.点火开关，雨刷开关）。

应使用两个阶段的滤波器对这些输入去抖。第一阶段将分别去抖单个数字输入。第一阶段去抖时间应为22-44毫秒，最少４次采样。将各去抖数值组合成总的去抖值。在第二阶段去抖总的数值，采样数目最少应为３倍第一次采样数目，同时保持采样频率不变。

例如，一个8毫秒的采样时间，第一个阶段要求有4个采样，第二个阶段要求有12个采样。总的去抖时间就是(4 + 12 –1) * 8 = 120。

28.去抖—离散模拟输入—数值的最大量

离散的模拟输入是指量化为有限个数的预期数值的一个信号。

如果从输入设备到离散状态的映射精度是一个关键的数值（模拟雨刷开关，4x4开关，），数值的最多个数包括短路电路，开路，和死区必须限制在6个以下，同时不能重叠。

如果映射精度不是一个关键的数值(面板微调开关)，那么设计中必须解释由A/D通道，电源电压变化，滤波时间常数而产生的抖动，不改变离散状态（最小两个A/D值）。

当映射精度是一个关键值时，同时使用了6个离散数值，供应商必须使用Monte Carlo（蒙特卡洛）模拟来证明重叠区域每百万个不会造成超过3个的子系统。一个子系统包括主机，线束，开关，连接器等等。结果必须在设计评审时提出并通过审批。

目前电子的精确度来看，更多个数的数值，在进行错误分析时会导致重叠区域。一个8-bit的A/D这时不是一个限制因素。这个限制是一个1999模拟前雨刷开关运动，15+主机，电路，和去抖动算法得出结果的地方。

29.去抖—离散模拟输入—分区

当映射精度是一个关键值，那么每个离散数必须最少占整个A/D范围的16%，且不允许有重叠。

错误数值或死区可以少于16%的要求。

30.去抖—模拟输入—稳定性

如果一个信号在至少70毫秒时间内（最少8个样品）变化少于5%的总A/D范围，那么这就是一个稳定的信号。在一个新的去抖数值确定前这个信号必须是稳定的。

对于离散模拟输入，应确定不同的区域，当所有的采样（最少8个）映射到同一个区域的时间不少于70毫秒时间，该输入可以被认为是稳定的。

当从一个模拟通道上读取一个标准的数值信号，去抖时间可减少为34-56毫秒，最少5次采样。基本上，这是上述要求已经更短的去抖时间。

31.去抖—脉冲输入—过采样

只有当发射脉冲期间能够进行5次采样，才能使用这种过采样方式来检测一个脉冲。只有当脉冲期间产生最短的差别时能够进行5次过采样，这种超量采样才能用于检测两个脉冲之间的不同。

根据以往经验，用于检测是否存在一个脉冲奈奎斯特采样周期是1/2个脉冲宽度。这种采样频率易受干扰，因此，使用规定5次采样来避免这种干扰。

32.静态分析

源代码必须采用静态分析工具进行分析，代码需要满足MISRA要求，同时收集数据。

静态分析能够确定潜在的可靠性和性能问题。

33.睡眠/唤醒-唤醒过程和反应时间

在检测唤醒输入期间，主机应临时唤醒并且去抖该输入。如果最新去抖数值与进入睡眠模式之前的去抖数值相同，那么主机应在2分钟之内进入睡眠模式。否则主机必须在唤醒输入确定开始200毫秒之内作出相应的输出。

对于轮询输入，CPU必须在50毫秒之内被唤醒，同时在22-33毫秒时间内用最少3个采样进行输入的去抖（得到总的唤醒时间为72-83毫秒）

对于中断输入（边沿触发）， CPU必须被唤醒，同时在22-33毫秒时间内最少用3个采样进行输入的去抖。

特例：

脉冲唤醒输入不需要进行去抖，但是总的反应时间仍然需要200毫秒。

一些输入可能需要比22-33毫秒更长的时间进行去抖动作（例如点火开关）同时总的反应时间可能会从200毫秒提高到300毫秒。

按照数据输入设备类型和存储单元或子系统反应时间要求，使用更短的持续时间和／或更少的采样。

34. 睡眠/唤醒状态——唤醒输入扫描

睡眠状态时，主机将在一个不超过50毫秒的采样周期内，对所有轮询唤醒输入进行扫描。

车门未关严，上翻车门未关严，发动机罩，行李箱未关严(指示灯)开关可以允许不超过100毫秒的采样周期。