支持ASIL D 應(yīng)用的安全集成硬件解決方案

在汽車(chē)應(yīng)用中，人體與電氣/電子系統(tǒng)之間的交互顯著增加，具體而言是指在管理對(duì)安全至關(guān)重要的決策時(shí)的交互，這些決策會(huì)對(duì)駕駛員的健康產(chǎn)生嚴(yán)重影響。隨著這些先進(jìn)的安全系統(tǒng)從被動(dòng)安全不斷演進(jìn)到更主動(dòng)的安全系統(tǒng)，包括預(yù)測(cè)安全系統(tǒng)，甚至自主車(chē)概念等，汽車(chē)行業(yè)已經(jīng)并將繼續(xù)出臺(tái)嚴(yán)格的要求。

管理這些對(duì)安全至關(guān)重要的決策會(huì)增加安全系統(tǒng)的復(fù)雜性和額外的軟件內(nèi)容。復(fù)雜性增加會(huì)不斷增加系統(tǒng)和/或隨機(jī)硬件故障的風(fēng)險(xiǎn)。為了幫助確保最高的安全標(biāo)準(zhǔn)并影響安全汽車(chē)系統(tǒng)的開(kāi)發(fā)，汽車(chē)行業(yè)已經(jīng)發(fā)布了最新的汽車(chē)安全標(biāo)準(zhǔn) ISO 26262。

本文討了對(duì)各種安全架構(gòu)的實(shí)施，并介紹了一個(gè)創(chuàng)新的集成安全解決方案，以簡(jiǎn)化系統(tǒng)級(jí)功能安全設(shè)計(jì)，包括遵從 ISO 26262 標(biāo)準(zhǔn)。

什么是功能安全？

根據(jù)定義，“功能安全”表示不存在由于系統(tǒng)故障造成的危害所引起的不合理的風(fēng)險(xiǎn)。為了顯著減少發(fā)生故障的風(fēng)險(xiǎn)，了解和評(píng)估可能發(fā)生的故障的類(lèi)型至關(guān)重要。這些故障可分為兩大類(lèi)。

系統(tǒng)故障是由某種原因造成的，只能通過(guò)改變制造工藝設(shè)計(jì)、運(yùn)行程序、文檔或其他相關(guān)因素消除。通過(guò)強(qiáng)大的開(kāi)發(fā)流程可降低發(fā)生系統(tǒng)故障的概率。

隨機(jī)故障是指硬件元件使用周期中發(fā)生的不可預(yù)知的故障，符合概率分布。這些故障可能由于永久或瞬間發(fā)生的擾動(dòng)環(huán)境或整個(gè)系統(tǒng)生命周期中固有技術(shù)的性能造成。專(zhuān)用架構(gòu)和IC策略涵蓋降低與隨機(jī)故障相關(guān)的風(fēng)險(xiǎn)。

汽車(chē)行業(yè)于 2011 年 11 月 15 日發(fā)布了 ISO 26262:2011(E) 標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)是專(zhuān)為“道路車(chē)輛 – 功能安全”進(jìn)行修訂的，也是對(duì)汽車(chē)電氣/電子（E/E）系統(tǒng)功能安全標(biāo)準(zhǔn) IEC 61508 的改編。

要讓人們?cè)诘缆飞细踩@些應(yīng)用必須保持正常運(yùn)行并且非?？煽?。為了保持可靠性，E/E 系統(tǒng)設(shè)計(jì)必須實(shí)現(xiàn)安全性和可用性之間的最佳平衡。

可用性是可維護(hù)性和可靠性的一個(gè)很好的平衡，而安全性主要取決于系統(tǒng)可靠性。這種交互如下圖所示。

圖1： 功能安全的可靠性權(quán)衡關(guān)系

圖字：

Dependability：可靠性 Availability：可用性 Safety：安全性

Maintainability：可維護(hù)性 Reliability：可靠性

飛思卡爾的 SafeAssure（功能安全保障）產(chǎn)品有效地結(jié)合了可用性、安全性和可靠性，因此非常可靠。

管理安全開(kāi)發(fā)： SafeAssure 過(guò)程

評(píng)估系統(tǒng)的安全功能需要高水平的參與和驗(yàn)證。簡(jiǎn)化這一評(píng)估是 2011 年 9 月制定并推出的飛思卡爾 SafeAssure 計(jì)劃的一個(gè)主要目標(biāo)。該計(jì)劃適用于汽車(chē)和工業(yè)應(yīng)用。

SafeAssure 產(chǎn)品旨在降低功能安全系統(tǒng)的復(fù)雜性，這也是這些系統(tǒng)制造商的一個(gè)主要目標(biāo)。該計(jì)劃的制定著重強(qiáng)調(diào)了失效模式與效應(yīng)分析（FMEA）、持續(xù)過(guò)程改進(jìn)（CPI）和零缺陷。對(duì)新產(chǎn)品開(kāi)發(fā)（NPD）流程、工具和指標(biāo)也進(jìn)行了修改，以融合并管理功能安全要求。具體來(lái)說(shuō)，產(chǎn)品定義階段現(xiàn)在包括系統(tǒng)級(jí)假設(shè)，作為描述系統(tǒng)級(jí)背景的一部分。對(duì)于半導(dǎo)體器件，這些假設(shè)都視為SeooC（Safety Element out of Context，獨(dú)立安全單元）。由于 MCU 和模擬配套芯片作為標(biāo)準(zhǔn)的解決方案，以滿(mǎn)足多個(gè)行業(yè)中的多種應(yīng)用，因此 SEooC 是一個(gè)安全相關(guān)的元件，而不是為特定系統(tǒng)或特定車(chē)輛平臺(tái)而制定的。

量化剩余風(fēng)險(xiǎn) – 架構(gòu)指標(biāo)

就安全相關(guān)的故障而言，架構(gòu)指標(biāo)用于評(píng)估 IC 性能。它們用于促進(jìn)架構(gòu)選擇（包括檢測(cè)和保護(hù)），并允許用戶(hù)選擇自我檢測(cè)機(jī)制。

基于原始設(shè)備制造商 (OEM) 的汽車(chē)安全完整性等級(jí)(ASIL)，ISO 26262:2011(E) 定義了要實(shí)現(xiàn)的安全目標(biāo)。該標(biāo)準(zhǔn)還指導(dǎo)評(píng)估由此產(chǎn)生的指標(biāo)。

其中一個(gè)評(píng)估方法就是逐個(gè)檢查剩余的各個(gè)單點(diǎn)故障和導(dǎo)致違反特定安全要求的各個(gè)雙點(diǎn)故障。

在 IC 設(shè)計(jì)過(guò)程中必須迭代應(yīng)用這個(gè)評(píng)估。可應(yīng)用具有不同集成度的多個(gè)架構(gòu)，以滿(mǎn)足目標(biāo)系統(tǒng)要求水平。

ASIL-D 解決方案和安全架構(gòu)的影響

電動(dòng)助力轉(zhuǎn)向系統(tǒng)（EPS）是許多汽車(chē)應(yīng)用之一，這些應(yīng)用要求高水平的安全，可確保車(chē)輛轉(zhuǎn)向系統(tǒng)是可預(yù)測(cè)的和確定的。

根據(jù)特定應(yīng)用為滿(mǎn)足 ASIL D 要求而采用的各種軟硬件交互組合，有多種方法或系統(tǒng)架構(gòu)可以采用。