消除ISO 26262功能安全認證過程中的各種障礙
2022-06-14
作者:Microchip Technology Inc. 功能安全技術(shù)工程師 Jacob Lunn Lassen
來源:Microchip
現(xiàn)今,,汽車的各種應用中無不使用數(shù)百到數(shù)千種半導體和其他組件,例如觸摸界面,、車載充電器,、電池管理系統(tǒng)等等,。嚴格的國際標準化組織(ISO)26262功能安全規(guī)范可確保這些日益復雜和精密的應用安全運行。然而,,開發(fā)合規(guī)設(shè)計及獲得認證的過程十分耗時且成本高昂,。隨著半導體行業(yè)為汽車原始設(shè)備制造商(OEM)和供應商提供完整的功能安全生態(tài)系統(tǒng),這最大限度降低了完成這類認證過程的成本,,同時降低了風險并縮短了開發(fā)時間,,進而使這些挑戰(zhàn)得到緩解。
了解ISO 26262
ISO 26262標準包含安裝在批量生產(chǎn)的道路車輛(輕便摩托車除外)中的電氣和/或電子系統(tǒng)的功能安全規(guī)范,。該ISO標準于2011年發(fā)布,,并于2018年修訂以包含關(guān)于半導體的部分,其中規(guī)定了從規(guī)范到生產(chǎn)發(fā)布的開發(fā)過程,。汽車OEM和供應商在對道路車輛內(nèi)部需要功能安全的運行器件進行認證時,,必須遵循并記錄此過程。
系統(tǒng)認證需由獨立評估員確認其符合ISO 26262標準的要求來完成,。汽車內(nèi)應用根據(jù)其安全關(guān)鍵性級別“歸類”為不同的汽車安全完整性等級(ASIL),。如果電氣或電子系統(tǒng)發(fā)生故障,則某些應用具有更高的固有安全風險,。根據(jù)潛在傷害的嚴重程度和發(fā)生概率以及可控程度,,分為A到D四個級別,每個級別都對底層組件有相關(guān)的安全要求,。ASIL D表示汽車中安全氣囊,、防抱死制動系統(tǒng)和動力轉(zhuǎn)向等危險程度最高的應用。尾燈等組件歸類為ASIL-A,。頭燈和剎車燈通常歸類為ASIL-B,。巡航控制等系統(tǒng)歸類為ASIL-C。通常,,ASIL級別越高,,對硬件冗余的要求就越多。
組件供應商可通過多種方式幫助加速安全應用的設(shè)計及其ISO 26262認證過程,。這些功能安全資源如圖1所示,。首先,必須仔細選擇器件以包含必要的功能安全資源,。這些資源包括故障模式影響和診斷分析(FMEDA)報告及安全手冊,。此外,器件還必須得到有資格創(chuàng)建安全關(guān)鍵型應用的開發(fā)生態(tài)系統(tǒng)的支持,。
圖1:經(jīng)過認證的功能安全資源和開發(fā)生態(tài)系統(tǒng)
功能安全就緒
現(xiàn)今的汽車中使用了各種IC,。尤其是單片機(MCU),它以各種形式普遍存在,。所有電子控制單元(ECU)都需要用到單片機,,并且全車使用單片機來提供便利功能(例如自動駕駛)和各種其他復雜功能,。單片機范圍廣泛,涵蓋針對性能,、電源效率和實時控制進行優(yōu)化并添加基于硬件的觸摸界面的8位MCU,,到可以運行多線程應用并支持圖形、連接和安全功能的32位MCU,。此外,,還有將MCU與DSP引擎相結(jié)合的數(shù)字信號控制器(DSC),可為傳感器,、電機或電源轉(zhuǎn)換提供可靠且快速的確定性性能,。
其中每一個IC都必須首先滿足汽車電子委員會(AEC)制定的汽車級制造和性能認證標準。AEC-Q100標準定義了跨溫度等級的基于失效機制的壓力測試認證過程,。根據(jù)具體應用,,MCU需要通過AEC Q100 2級、1級或0級認證,。0級 = 150℃,,1級 = 125℃,2級 = 105℃,。
除了AEC認證之外,,還有額外的專用功能安全就緒特性要求,具體取決于器件和應用,。例如,,8位MCU通常包括用于汽車接口和智能傳感器網(wǎng)絡的CAN FD,并且通常用作駕駛室,、方向盤,、中控臺內(nèi)機械和電容式按鈕的用戶界面(UI)控制器,或用作無鑰匙進入系統(tǒng)的一部分,。8位MCU所需的集成硬件安全功能通常適用于存儲器,、系統(tǒng)復位、安全代碼執(zhí)行,、安全通信和通用輸入/輸出(GPIO)保護,。這些功能是通過集成專用的獨立于內(nèi)核的外設(shè)(CIP)和其他功能添加的,,包括上電復位(POR),、欠壓復位(BOR)、窗口看門狗定時器(WWDT)和循環(huán)冗余校驗(CRC),,用于提高操作安全性和可靠性(見圖2),。
圖2:具有功能安全硬件特性的8位MCU
對于功能安全就緒16位DSC,所需的硬件安全功能通常包括支持錯誤檢測和糾正的存儲器,、存儲器內(nèi)置自檢(MBIST),、時鐘監(jiān)控和冗余振蕩器等,,這些功能用于故障檢測、自診斷和系統(tǒng)診斷以及故障修復,。這些功能安全就緒器件支持設(shè)計安全關(guān)鍵型高性能嵌入式應用,、傳感器接口應用、數(shù)字電源和電機控制應用,。典型應用包括直流/直流系統(tǒng),、車載充電器(OBC)、執(zhí)行器和傳感器(位置和壓力),、觸摸單元和其他符合ASIL B或ASIL C標準的控制單元,。圖3顯示了功能安全就緒DSC的功能示例。
圖3:功能安全就緒16位DSC示例
與所有功能安全就緒MCU一樣,,32位MCU所需的硬件功能包括支持糾錯碼(ECC)和錯誤注入的存儲器,、存儲器內(nèi)置自檢(MBIST)、時鐘系統(tǒng)(包含備用振蕩器和時鐘故障檢測)以及具有靜電放電(ESD)保護的GPIO(見圖4),。同樣重要的是系統(tǒng)監(jiān)視器,,其中包括POR、BOR,、WDT和硬件CRC功能以及存儲器保護單元,。32位MCU的適用范圍涵蓋從駕駛室內(nèi)部系統(tǒng)到高級駕駛輔助系統(tǒng)(ADAS)等一系列應用,可用于實現(xiàn)功能安全,。
圖4:功能安全就緒32位MCU示例
通過將主MCU/DSC與輔助MCU/DSC或安全協(xié)處理器相結(jié)合,,甚至可以使用標準MCU和DSC達到ASIL C/D安全級別。這是通過使用ASIL分解原理來實現(xiàn)的:兩個符合ASIL B標準的子系統(tǒng)組合可用于達到更高的ASIL,,例如ASIL C/D:
ASIL C = ASIL B (C) + ASIL A (C)
ASIL D = ASIL B (D) + ASIL B (D) = ASIL C (D) + ASIL A (D)
分解是通過劃分安全要求與實際器件實現(xiàn)的,。
開發(fā)工具和認證支持
作為完整開發(fā)生態(tài)系統(tǒng)的一部分,經(jīng)過功能安全認證的設(shè)計工具包可以更輕松地滿足ISO 26262標準中規(guī)定的驗證和確認要求,。這一點尤其適用于基于MCU和DSC的設(shè)計,。工具供應商與第三方獨立評估和認證機構(gòu)合作,對功能安全編譯器進行認證,。這通常附帶額外的文檔,,例如編譯器、集成開發(fā)環(huán)境(IDE)以及調(diào)試器和編程器的證書,、功能安全手冊,、安全計劃及工具分類和資格認證報告。該功能安全文檔包簡化了工具的資格認證和最終應用認證,。
理想情況下,,還應該在設(shè)計過程中使用代碼覆蓋率工具來衡量代碼的測試效果,并確定軟件的哪些部分已經(jīng)執(zhí)行或尚未執(zhí)行,。 代碼覆蓋率工具也應包含在分類和資格認證報告中,。尋找一種可以單次運行測試的工具,,此工具無需將代碼分解為各個模塊,也無需對硬件進行大量修改或使用昂貴的軟件,,同時還能避免在大型數(shù)據(jù)文件中搜索相關(guān)信息的大量工作,。應用認證需要代碼測試數(shù)據(jù),因此單次運行代碼覆蓋率工具在簡化流程和縮短上市時間方面發(fā)揮著重要作用,。
要開發(fā)符合ISO 26262標準的汽車應用,,除了器件數(shù)據(jù)手冊之外,工程師還需要從半導體供應商處獲得一些額外資源,??捎玫墓δ馨踩鼮槠嘜EM和供應商提供了他們在評估和設(shè)計周期的各個階段所需的內(nèi)容。這些功能安全包應提供經(jīng)過認證的安全手冊,、FMEDA報告,,在某些情況下,還應提供診斷軟件,,例如經(jīng)過相關(guān)ASIL認證的自檢庫,。
FMEDA報告量化了器件的故障模式、其故障率(FIT)分布及相應的檢測方法,,可幫助制定覆蓋率計劃,。另一個重要資源是安全手冊(SM)。它詳細介紹了FMEDA報告中指定的故障檢測方法,,并就如何使用器件實現(xiàn)最安全的操作提供了建議,。安全手冊中包含相關(guān)故障以及用于檢測系統(tǒng)故障的硬件功能說明,可使用該說明開發(fā)診斷庫,。功能安全診斷庫可幫助評估系統(tǒng)在故障條件下的運行狀態(tài),,檢測隨機系統(tǒng)故障以及實現(xiàn)功能安全目標。選擇提供第三方認證的FMEDA報告和安全手冊以及診斷庫的器件可以簡化安全關(guān)鍵型應用的認證工作,。
安全關(guān)鍵型應用開發(fā)的第一步是定義要實現(xiàn)的安全目標和要達到的目標安全級別,。功能安全基礎(chǔ)包提供FMEDA、安全手冊和認證等基本資源,,幫助用戶開始評估目標功能安全級別和設(shè)計安全關(guān)鍵型汽車應用,。
理想情況下,基于MCU的設(shè)計的功能安全入門包應包括經(jīng)過ASIL B就緒認證的FMEDA,、安全手冊和符合ASIL B/C標準的診斷庫,,以及幫助設(shè)計人員了解如何使用這些資源按照ISO 26262流程開發(fā)安全關(guān)鍵型應用的參考應用。入門包有助于縮短設(shè)計周期,,并根據(jù)ASIL B或C合規(guī)性開發(fā)應用,。
功能安全完整包可以進行擴展以包含經(jīng)過認證的診斷庫,,其中提供用于實現(xiàn)最高ASIL B/C級別的設(shè)計所需的源代碼和相關(guān)安全分析報告,。鑒于許多最終客戶要求對安全關(guān)鍵型應用進行認證,,完整包還有助于加快認證過程。
隨著汽車的復雜度越來越高,,其中的電子元件水平也在不斷提高,。越來越重要的是,現(xiàn)今,,面向汽車應用,、以功能安全為重點的產(chǎn)品支持開發(fā)生態(tài)系統(tǒng),可提供經(jīng)過認證的功能安全資源來滿足ISO 26262要求,。IC供應商還可以幫助汽車客戶保護其在這種嚴密開發(fā)和認證過程中的長期投資,。他們能夠確保只要客戶愿意訂購,就會持續(xù)供應認證系統(tǒng)內(nèi)使用的器件,,從而消除了由于器件意外進入停產(chǎn)(EOL)階段而導致被迫重新設(shè)計的風險,。這意味著認證不僅可以快速輕松地完成,而且只需完成一次,,因此更加值得客戶信賴,。