現(xiàn)今,，汽車的各種應(yīng)用中無不使用數(shù)百到數(shù)千種半導(dǎo)體和其他組件,，例如觸摸界面,、車載充電器、電池管理系統(tǒng)等等,。嚴(yán)格的國際標(biāo)準(zhǔn)化組織（ISO）26262功能安全規(guī)范可確保這些日益復(fù)雜和精密的應(yīng)用安全運行,。然而，開發(fā)合規(guī)設(shè)計及獲得認(rèn)證的過程十分耗時且成本高昂,。隨著半導(dǎo)體行業(yè)為汽車原始設(shè)備制造商（OEM）和供應(yīng)商提供完整的功能安全生態(tài)系統(tǒng),，這最大限度降低了完成這類認(rèn)證過程的成本，同時降低了風(fēng)險并縮短了開發(fā)時間,，進(jìn)而使這些挑戰(zhàn)得到緩解,。

　　了解ISO 26262

　　ISO 26262標(biāo)準(zhǔn)包含安裝在批量生產(chǎn)的道路車輛（輕便摩托車除外）中的電氣和/或電子系統(tǒng)的功能安全規(guī)范,。該ISO標(biāo)準(zhǔn)于2011年發(fā)布，并于2018年修訂以包含關(guān)于半導(dǎo)體的部分,，其中規(guī)定了從規(guī)范到生產(chǎn)發(fā)布的開發(fā)過程,。汽車OEM和供應(yīng)商在對道路車輛內(nèi)部需要功能安全的運行器件進(jìn)行認(rèn)證時,，必須遵循并記錄此過程,。

　　系統(tǒng)認(rèn)證需由獨立評估員確認(rèn)其符合ISO 26262標(biāo)準(zhǔn)的要求來完成。汽車內(nèi)應(yīng)用根據(jù)其安全關(guān)鍵性級別“歸類”為不同的汽車安全完整性等級（ASIL）,。如果電氣或電子系統(tǒng)發(fā)生故障,，則某些應(yīng)用具有更高的固有安全風(fēng)險。根據(jù)潛在傷害的嚴(yán)重程度和發(fā)生概率以及可控程度,，分為A到D四個級別,，每個級別都對底層組件有相關(guān)的安全要求。ASIL D表示汽車中安全氣囊,、防抱死制動系統(tǒng)和動力轉(zhuǎn)向等危險程度最高的應(yīng)用,。尾燈等組件歸類為ASIL-A。頭燈和剎車燈通常歸類為ASIL-B,。巡航控制等系統(tǒng)歸類為ASIL-C,。通常，ASIL級別越高,，對硬件冗余的要求就越多,。

　　組件供應(yīng)商可通過多種方式幫助加速安全應(yīng)用的設(shè)計及其ISO 26262認(rèn)證過程。這些功能安全資源如圖1所示,。首先,，必須仔細(xì)選擇器件以包含必要的功能安全資源。這些資源包括故障模式影響和診斷分析（FMEDA）報告及安全手冊,。此外,，器件還必須得到有資格創(chuàng)建安全關(guān)鍵型應(yīng)用的開發(fā)生態(tài)系統(tǒng)的支持。

　　圖1：經(jīng)過認(rèn)證的功能安全資源和開發(fā)生態(tài)系統(tǒng)

　　功能安全就緒

　　現(xiàn)今的汽車中使用了各種IC,。尤其是單片機(jī)（MCU）,，它以各種形式普遍存在。所有電子控制單元（ECU）都需要用到單片機(jī),，并且全車使用單片機(jī)來提供便利功能（例如自動駕駛）和各種其他復(fù)雜功能,。單片機(jī)范圍廣泛，涵蓋針對性能,、電源效率和實時控制進(jìn)行優(yōu)化并添加基于硬件的觸摸界面的8位MCU,，到可以運行多線程應(yīng)用并支持圖形、連接和安全功能的32位MCU,。此外,，還有將MCU與DSP引擎相結(jié)合的數(shù)字信號控制器（DSC）,，可為傳感器、電機(jī)或電源轉(zhuǎn)換提供可靠且快速的確定性性能,。

　　其中每一個IC都必須首先滿足汽車電子委員會（AEC）制定的汽車級制造和性能認(rèn)證標(biāo)準(zhǔn),。AEC-Q100標(biāo)準(zhǔn)定義了跨溫度等級的基于失效機(jī)制的壓力測試認(rèn)證過程。根據(jù)具體應(yīng)用,，MCU需要通過AEC Q100 2級,、1級或0級認(rèn)證。0級 = 150℃,，1級 = 125℃,，2級 = 105℃。

　　除了AEC認(rèn)證之外,，還有額外的專用功能安全就緒特性要求,，具體取決于器件和應(yīng)用。例如,，8位MCU通常包括用于汽車接口和智能傳感器網(wǎng)絡(luò)的CAN FD,，并且通常用作駕駛室、方向盤,、中控臺內(nèi)機(jī)械和電容式按鈕的用戶界面（UI）控制器,，或用作無鑰匙進(jìn)入系統(tǒng)的一部分。8位MCU所需的集成硬件安全功能通常適用于存儲器,、系統(tǒng)復(fù)位,、安全代碼執(zhí)行、安全通信和通用輸入/輸出（GPIO）保護(hù),。這些功能是通過集成專用的獨立于內(nèi)核的外設(shè)（CIP）和其他功能添加的,，包括上電復(fù)位（POR）、欠壓復(fù)位（BOR）,、窗口看門狗定時器（WWDT）和循環(huán)冗余校驗（CRC）,，用于提高操作安全性和可靠性（見圖2）。

　　圖2：具有功能安全硬件特性的8位MCU

　　對于功能安全就緒16位DSC,，所需的硬件安全功能通常包括支持錯誤檢測和糾正的存儲器,、存儲器內(nèi)置自檢（MBIST）、時鐘監(jiān)控和冗余振蕩器等,，這些功能用于故障檢測,、自診斷和系統(tǒng)診斷以及故障修復(fù)。這些功能安全就緒器件支持設(shè)計安全關(guān)鍵型高性能嵌入式應(yīng)用,、傳感器接口應(yīng)用,、數(shù)字電源和電機(jī)控制應(yīng)用。典型應(yīng)用包括直流/直流系統(tǒng)、車載充電器（OBC）,、執(zhí)行器和傳感器（位置和壓力）,、觸摸單元和其他符合ASIL B或ASIL C標(biāo)準(zhǔn)的控制單元。圖3顯示了功能安全就緒DSC的功能示例,。

　　圖3：功能安全就緒16位DSC示例

　　與所有功能安全就緒MCU一樣,，32位MCU所需的硬件功能包括支持糾錯碼（ECC）和錯誤注入的存儲器、存儲器內(nèi)置自檢（MBIST）,、時鐘系統(tǒng)（包含備用振蕩器和時鐘故障檢測）以及具有靜電放電（ESD）保護(hù)的GPIO（見圖4）,。同樣重要的是系統(tǒng)監(jiān)視器，其中包括POR,、BOR,、WDT和硬件CRC功能以及存儲器保護(hù)單元,。32位MCU的適用范圍涵蓋從駕駛室內(nèi)部系統(tǒng)到高級駕駛輔助系統(tǒng)（ADAS）等一系列應(yīng)用,，可用于實現(xiàn)功能安全。

　　圖4：功能安全就緒32位MCU示例

　　通過將主MCU/DSC與輔助MCU/DSC或安全協(xié)處理器相結(jié)合,，甚至可以使用標(biāo)準(zhǔn)MCU和DSC達(dá)到ASIL C/D安全級別,。這是通過使用ASIL分解原理來實現(xiàn)的：兩個符合ASIL B標(biāo)準(zhǔn)的子系統(tǒng)組合可用于達(dá)到更高的ASIL，例如ASIL C/D：

　　ASIL C = ASIL B （C） + ASIL A （C）

　　ASIL D = ASIL B （D） + ASIL B （D） = ASIL C （D） + ASIL A （D）

　　分解是通過劃分安全要求與實際器件實現(xiàn)的,。

　　開發(fā)工具和認(rèn)證支持

　　作為完整開發(fā)生態(tài)系統(tǒng)的一部分,，經(jīng)過功能安全認(rèn)證的設(shè)計工具包可以更輕松地滿足ISO 26262標(biāo)準(zhǔn)中規(guī)定的驗證和確認(rèn)要求。這一點尤其適用于基于MCU和DSC的設(shè)計,。工具供應(yīng)商與第三方獨立評估和認(rèn)證機(jī)構(gòu)合作,，對功能安全編譯器進(jìn)行認(rèn)證。這通常附帶額外的文檔,，例如編譯器,、集成開發(fā)環(huán)境（IDE）以及調(diào)試器和編程器的證書、功能安全手冊,、安全計劃及工具分類和資格認(rèn)證報告,。該功能安全文檔包簡化了工具的資格認(rèn)證和最終應(yīng)用認(rèn)證。

　　理想情況下,，還應(yīng)該在設(shè)計過程中使用代碼覆蓋率工具來衡量代碼的測試效果,，并確定軟件的哪些部分已經(jīng)執(zhí)行或尚未執(zhí)行。  代碼覆蓋率工具也應(yīng)包含在分類和資格認(rèn)證報告中,。尋找一種可以單次運行測試的工具,，此工具無需將代碼分解為各個模塊，也無需對硬件進(jìn)行大量修改或使用昂貴的軟件,，同時還能避免在大型數(shù)據(jù)文件中搜索相關(guān)信息的大量工作,。應(yīng)用認(rèn)證需要代碼測試數(shù)據(jù)，因此單次運行代碼覆蓋率工具在簡化流程和縮短上市時間方面發(fā)揮著重要作用。

　　要開發(fā)符合ISO 26262標(biāo)準(zhǔn)的汽車應(yīng)用,，除了器件數(shù)據(jù)手冊之外,，工程師還需要從半導(dǎo)體供應(yīng)商處獲得一些額外資源?？捎玫墓δ馨踩鼮槠嘜EM和供應(yīng)商提供了他們在評估和設(shè)計周期的各個階段所需的內(nèi)容,。這些功能安全包應(yīng)提供經(jīng)過認(rèn)證的安全手冊、FMEDA報告,，在某些情況下,，還應(yīng)提供診斷軟件，例如經(jīng)過相關(guān)ASIL認(rèn)證的自檢庫,。

　　FMEDA報告量化了器件的故障模式,、其故障率（FIT）分布及相應(yīng)的檢測方法，可幫助制定覆蓋率計劃,。另一個重要資源是安全手冊（SM）,。它詳細(xì)介紹了FMEDA報告中指定的故障檢測方法，并就如何使用器件實現(xiàn)最安全的操作提供了建議,。安全手冊中包含相關(guān)故障以及用于檢測系統(tǒng)故障的硬件功能說明,，可使用該說明開發(fā)診斷庫。功能安全診斷庫可幫助評估系統(tǒng)在故障條件下的運行狀態(tài),，檢測隨機(jī)系統(tǒng)故障以及實現(xiàn)功能安全目標(biāo),。選擇提供第三方認(rèn)證的FMEDA報告和安全手冊以及診斷庫的器件可以簡化安全關(guān)鍵型應(yīng)用的認(rèn)證工作。

　　安全關(guān)鍵型應(yīng)用開發(fā)的第一步是定義要實現(xiàn)的安全目標(biāo)和要達(dá)到的目標(biāo)安全級別,。功能安全基礎(chǔ)包提供FMEDA,、安全手冊和認(rèn)證等基本資源，幫助用戶開始評估目標(biāo)功能安全級別和設(shè)計安全關(guān)鍵型汽車應(yīng)用,。

　　理想情況下,，基于MCU的設(shè)計的功能安全入門包應(yīng)包括經(jīng)過ASIL B就緒認(rèn)證的FMEDA、安全手冊和符合ASIL B/C標(biāo)準(zhǔn)的診斷庫,，以及幫助設(shè)計人員了解如何使用這些資源按照ISO 26262流程開發(fā)安全關(guān)鍵型應(yīng)用的參考應(yīng)用,。入門包有助于縮短設(shè)計周期，并根據(jù)ASIL B或C合規(guī)性開發(fā)應(yīng)用,。

　　功能安全完整包可以進(jìn)行擴(kuò)展以包含經(jīng)過認(rèn)證的診斷庫,，其中提供用于實現(xiàn)最高ASIL B/C級別的設(shè)計所需的源代碼和相關(guān)安全分析報告。鑒于許多最終客戶要求對安全關(guān)鍵型應(yīng)用進(jìn)行認(rèn)證,，完整包還有助于加快認(rèn)證過程,。

　　隨著汽車的復(fù)雜度越來越高，其中的電子元件水平也在不斷提高,。越來越重要的是,，現(xiàn)今，面向汽車應(yīng)用、以功能安全為重點的產(chǎn)品支持開發(fā)生態(tài)系統(tǒng),，可提供經(jīng)過認(rèn)證的功能安全資源來滿足ISO 26262要求,。IC供應(yīng)商還可以幫助汽車客戶保護(hù)其在這種嚴(yán)密開發(fā)和認(rèn)證過程中的長期投資。他們能夠確保只要客戶愿意訂購,，就會持續(xù)供應(yīng)認(rèn)證系統(tǒng)內(nèi)使用的器件,，從而消除了由于器件意外進(jìn)入停產(chǎn)（EOL）階段而導(dǎo)致被迫重新設(shè)計的風(fēng)險。這意味著認(rèn)證不僅可以快速輕松地完成,，而且只需完成一次,，因此更加值得客戶信賴。