車輛中的電子組件數(shù)量不斷增長,,不僅增加故障率,也給駕駛員和乘客帶來更大風(fēng)險。這種風(fēng)險的增大迫使汽車行業(yè)將功能安全標(biāo)準(zhǔn)融入到汽車設(shè)計(jì)中,。
ISO 26262標(biāo)準(zhǔn)對車載電子設(shè)備在整個生命周期的功能安全要求做出規(guī)定,。它為汽車系統(tǒng)/組件提供從A級到D級的汽車安全完整性等級(ASIL)風(fēng)險評估,, D級為最高,。ASIL的具體要求隨應(yīng)用不同而改變。汽車儀表板必須顯示來自車內(nèi)各傳感器和致動器(actuator)的關(guān)鍵信息,同時必須符合ASIL B級標(biāo)準(zhǔn),。還有一些儀表板顯示信息,,如制動、指示器和變速箱速檔選擇器(PRNDL)信息,,也必須符合ISO 26262功能安全標(biāo)準(zhǔn),。
先進(jìn)的汽車儀表板技術(shù)
為了簡化和加速開發(fā),新一代儀表板技術(shù)采用功能安全關(guān)鍵技術(shù),,為汽車應(yīng)用提供符合ISO 26262標(biāo)準(zhǔn)的完整開發(fā)平臺,。例如,圖1所示的可重配置數(shù)字儀表板,,配備了汽車MCU支持的1280x480分辨率顯示器,。此外,該儀表板還采用故障安全NOR閃存存儲器,,以及符合所有功能安全要求的圖形化人機(jī)界面(HMI),。
圖1:符合ISO 26262標(biāo)準(zhǔn)的汽車儀表板解決方案
主要系統(tǒng)特性
新一代汽車儀表板既要高性能,更要確保安全和容錯運(yùn)行,。它們需要對所有安全關(guān)鍵型圖形進(jìn)行檢測并予以糾正,,然后再將這些圖形顯示在屏幕上。這些系統(tǒng)內(nèi)的圖形存儲在支持關(guān)鍵要求方面起著重要作用,,包括支持安全快速的啟動過程,。
1.安全啟動
第一項(xiàng)要求是安全啟動。在眾多現(xiàn)代儀表板中,,汽車MCU與NOR閃存器件搭配,,共同用于存儲啟動代碼和圖形內(nèi)容。如果在初始化或配置過程中發(fā)生斷電,,某些情況下NOR閃存器件可能會受損或不能做出響應(yīng)。采用故障安全NOR閃存可以防止運(yùn)行故障,。它可以報(bào)告器件初始化故障及配置失敗,,并提供從故障中恢復(fù)的方法。
2.即時啟動
第二項(xiàng)必需的儀表板功能是“即時啟動”,。儀表板顯示器應(yīng)能在上電或重置后立即顯示準(zhǔn)確數(shù)據(jù),,不應(yīng)存在延遲。通過將汽車MCU與高速NOR閃存存儲器控制器相結(jié)合,,并設(shè)計(jì)高效率圖形顯示方案,,可以做到即時啟動。
3.安全圖形監(jiān)控器
正如本文之前討論過的,,所有符合ISO 26262 ASIL B級功能安全要求的顯示器,,都需要對虛擬儀表板上的告警燈、信號和變速檔位指示采取防錯機(jī)制。駕駛員必須隨時掌握儀表板是否正常工作,。例如,,儀表板必須能監(jiān)控和檢測安全關(guān)鍵型圖像/符號(參見圖2a)。
符合安全要求的圖形監(jiān)控器應(yīng)能針對每一幀顯示輸出,,對其中的安全關(guān)鍵型內(nèi)容特征進(jìn)行檢查,。如果安全關(guān)鍵型內(nèi)容發(fā)生損壞,那么系統(tǒng)應(yīng)為該損壞內(nèi)容生成不同的特征指示燈,,并使用告警消息提示駕駛員(參見圖2b),。
圖2a:正確的制動指示燈
圖2b:發(fā)生故障的制動指示燈與安全監(jiān)控告警
4.圖像糾正
對儀表板提出的另一項(xiàng)關(guān)鍵要求是要具備圖像糾正功能。任何切實(shí)可用的儀表板應(yīng)采用NOR閃存器件來存儲顯示圖像,,并提供錯誤檢測與糾正功能,。圖3a和圖3b就體現(xiàn)了這種理念。在本例中,,我們故意將受損的近光燈指示燈圖像與正確圖像的ECC癥狀碼結(jié)合,,并存儲在NOR閃存器件中。如果我們禁用NOR閃存器件中的糾錯功能,,就會顯示模糊受損的近光燈指示燈圖像(參見圖3a),。如果我們啟用閃存器件中的糾錯功能,就會顯示糾正后的圖標(biāo)(參見圖3b),。
如圖所示,,通過監(jiān)控并糾正安全關(guān)鍵型顯示信息來確保準(zhǔn)確性,NOR閃存技術(shù)將進(jìn)一步提高安全性水平,。
圖3a:禁用NOR閃存ECC后的指示燈圖像顯示
圖3b:啟用NOR閃存ECC后的指示燈圖像顯示
圖4所示的是儀表板原理圖,,該儀表板以符合安全要求的方式使用NOR閃存訪問圖像數(shù)據(jù)。
圖4:儀表板系統(tǒng)解決方案
儀表板MCU內(nèi)的功能安全
功能安全儀表板MCU,,如賽普拉斯Traveo II,,是符合安全要求的儀表板系統(tǒng)的重要組成部分。它們在單個組件中將傳統(tǒng)的MCU功能與圖形功能相結(jié)合,。該MCU在功能安全方面符合ISO 26262標(biāo)準(zhǔn),,并為看門狗、時鐘管理器,、低電壓檢測,、CRC引擎、時序保護(hù)單元和外設(shè)保護(hù)單元等安全相關(guān)IP提供支持,。
此外,,軟件在功能安全中也起著重要作用。Altia ISO 26262和面向汽車嵌入式圖像的Altia安全監(jiān)控器(ASM)等儀表板平臺,,使用儀表板MCU圖形子系統(tǒng)內(nèi)的特征單元來檢查安全關(guān)鍵型內(nèi)容特征,。表1所示的是儀表板MCU的部分功能安全性功能,。
表1:儀表板Traveo II MCU內(nèi)的功能安全
NOR閃存內(nèi)的功能安全
NOR閃存是最可靠的非易失性存儲器。在道路上行駛的數(shù)百萬輛汽車已對此作出證實(shí),。盡管如此,,ISO 26262標(biāo)準(zhǔn)仍然要求汽車制造商對任何可能發(fā)生的故障進(jìn)行檢測,以確保功能安全,。專為功能安全設(shè)計(jì)的NOR閃存,,例如賽普拉斯提供的Semper NOR閃存,集成了汽車系統(tǒng)的關(guān)鍵安全特性,。以Semper為例,,它是一種達(dá)到ASIL B級水平、即將滿足ASIL D級要求的器件,。它具有良好的耐久度,,編程/擦除周期高達(dá)100萬次以上,數(shù)據(jù)保持能力長達(dá)25年,,即使在極端溫度條件下也是如此,。NOR閃存密度高達(dá)4Gb,支持兼容QSPI和JEDEC xSPI標(biāo)準(zhǔn)的Octal和HyperBus接口,。這兩種接口可提供高達(dá)400MB/s的吞吐量,。表2所示的是功能安全性NOR閃存支持的所有安全機(jī)制與診斷功能。
表2:功能安全性Semper NOR閃存的功能安全詳解
軟件部分的功能安全
像Altia這樣的HMI軟件可以根據(jù)需要確認(rèn)功能安全內(nèi)容的正確顯示,。它的通用嵌入式軟件應(yīng)用達(dá)到ASIL B級水平,,為HMI內(nèi)的安全關(guān)鍵型對象提供監(jiān)控功能。它依據(jù)ISO 26262標(biāo)準(zhǔn)和ASIL B級標(biāo)準(zhǔn)開發(fā),,通過檢查每一幀顯示輸出中的安全關(guān)鍵型內(nèi)容特征來確保其滿足ISO 26262標(biāo)準(zhǔn)的要求,。
通過將功能安全融入到儀表板MCU、非易失性存儲器和嵌入式軟件中,,開發(fā)人員能夠快速設(shè)計(jì)出符合安全要求的復(fù)雜汽車應(yīng)用,。