支持ASIL D 應(yīng)用的安全集成硬件解決方案

支持ASILD應(yīng)用的安全集成硬件解決方案應(yīng)用的安全集成硬件解決方案xx-02-2009:05:14來源：飛思卡爾半導(dǎo)體DavidLopez,Valerie在汽車應(yīng)用中，人體與電氣/電子系統(tǒng)之間的交互顯著增加，具體而言是指在管理對安全至關(guān)重要的決策時的交互，這些決策會對駕駛員的健康產(chǎn)生嚴(yán)重影響。隨著這些先進(jìn)的安全系統(tǒng)從被動安全不斷演進(jìn)到更主動的安全系統(tǒng)，包括預(yù)測安全系統(tǒng)，甚至自主車概念等，汽車行業(yè)已經(jīng)并將繼續(xù)出臺嚴(yán)格的要求。管理這些對安全至關(guān)重要的決策會增加安全系統(tǒng)的復(fù)雜性和額外的軟件內(nèi)容。復(fù)雜性增加會不斷增加系統(tǒng)和/或隨機(jī)硬件故障的風(fēng)險。為了幫助確保最高的安全標(biāo)準(zhǔn)并影響安全汽車系統(tǒng)的開發(fā)，汽車行業(yè)已經(jīng)發(fā)布了最新的汽車安全標(biāo)準(zhǔn)ISO26262。本文討論了對各種安全架構(gòu)的實(shí)施，并介紹了一個創(chuàng)新的集成安全解決方案，以簡化系統(tǒng)級功能安全設(shè)計，包括遵從ISO26262標(biāo)準(zhǔn)。什么是功能安全？根據(jù)定義，“功能安全''表示不存在由于系統(tǒng)故障造成的危害所引起的不合理的風(fēng)險。為了顯著減少發(fā)生故障的風(fēng)險，了解和評估可能發(fā)生的故障的類型至關(guān)重要。這些故障可分為兩大類。系統(tǒng)故障是由某種原因造成的，只能通過改變制造工藝設(shè)計、運(yùn)行程序、文檔或其他相關(guān)因素消除。通過強(qiáng)大的開發(fā)流程可降低發(fā)生系統(tǒng)故障的概率。隨機(jī)故障是指硬件元件使用周期中發(fā)生的不可預(yù)知的故障，符合概率分布。這些故障可能由于永久或瞬間發(fā)生的擾動環(huán)境或整個系統(tǒng)生命周期中固有技術(shù)的性能造成。專用架構(gòu)和IC策略涵蓋降低與隨機(jī)故障相關(guān)的風(fēng)險。汽車行業(yè)于xx年11月15日發(fā)布了ISO26262:xx（E）標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)是專為“道路車輛-功能安全''進(jìn)行修訂的，也是對汽車電氣/電子（E/E）系統(tǒng)功能安全標(biāo)準(zhǔn)IEC61508的改編。要讓人們在道路上更安全，這些應(yīng)用必須保持正常運(yùn)行并且非?？煽?。為了保持可靠性，E/E系統(tǒng)設(shè)計必須實(shí)現(xiàn)安全性和可用性之間的最佳平衡?？捎眯允强删S護(hù)性和可靠性的一個很好的平衡，而安全性主要取決于系統(tǒng)可靠性。這種交互如下圖所示。圖1：功能安全的可靠性權(quán)衡關(guān)系圖字：Dependability：可靠性Availability：可用性Safety:安全性Maintainability:可維護(hù)性Reliability：可靠性飛思卡爾的SafeAssure（功能安全保障）產(chǎn)品有效地結(jié)合了可用性、安全性和可靠性，因此非常可靠。管理安全開發(fā)：SafeAssure過程評估系統(tǒng)的安全功能需要高水平的參與和驗(yàn)證。簡化這一評估是xx年9月制定并推出的飛思卡爾SafeAssure計劃的一個主要目標(biāo)。該計劃適用于汽車和工業(yè)應(yīng)用。SafeAssure產(chǎn)品旨在降低功能安全系統(tǒng)的復(fù)雜性，這也是這些系統(tǒng)制造商的一個主要目標(biāo)。該計劃的制定著重強(qiáng)調(diào)了失效模式與效應(yīng)分析（FMEA）、持續(xù)過程改進(jìn)（CPI）和零缺陷。對新產(chǎn)品開發(fā)（NPD）流程、工具和指標(biāo)也進(jìn)行了修改，以融合并管理功能安全要求。具體來說，產(chǎn)品定義階段現(xiàn)在包括系統(tǒng)級假設(shè)，作為描述系統(tǒng)級背景的一部分。對于半導(dǎo)體器件，這些假設(shè)都視為SeooC（SafetyElementoutofContext，獨(dú)立安全單元）。由于MCU和模擬配套芯片作為標(biāo)準(zhǔn)的解決方案，以滿足多個行業(yè)中的多種應(yīng)用，因此SEooC是一個安全相關(guān)的元件，而不是為特定系統(tǒng)或特定車輛平臺而制定的。量化剩余風(fēng)險-架構(gòu)指標(biāo)就安全相關(guān)的故障而言，架構(gòu)指標(biāo)用于評估IC性能。它們用于促進(jìn)架構(gòu)選擇（包括檢測和保護(hù)），并允許用戶選擇自我檢測機(jī)制。基于原始設(shè)備制造商（OEM）的汽車安全完整性等級（ASIL），ISO26262：xx（E）定義了要實(shí)現(xiàn)的安全目標(biāo)。該標(biāo)準(zhǔn)還指導(dǎo)評估由此產(chǎn)生的指標(biāo)。其中一個評估方法就是逐個檢查剩余的各個單點(diǎn)故障和導(dǎo)致違反特定安全要求的各個雙點(diǎn)故障。在IC設(shè)計過程中必須迭代應(yīng)用這個評估?？蓱?yīng)用具有不同集成度的多個架構(gòu)，以滿足目標(biāo)系統(tǒng)要求水平。ASIL-D解決方案和安全架構(gòu)的影響電動助力轉(zhuǎn)向系統(tǒng)（EPS）是許多汽車應(yīng)用之一，這些應(yīng)用要求高水平的安全，可確保車輛轉(zhuǎn)向系統(tǒng)是可預(yù)測的和確定的。根據(jù)特定應(yīng)用為滿足ASILD要求而采用的各種軟硬件交互組合，有多種方法或系統(tǒng)架構(gòu)可以采用。第一種方法使用兩個MCU進(jìn)行安全輸出的外部比較。圖2：基于單核和安全MCU的EPS這種架構(gòu)的優(yōu)勢是物理復(fù)制安全和非安全相關(guān)功能和特性。然而，這種配置復(fù)雜性較高，再加上軟件同步和PCB空間增加，使這種方法存在重大問題和障礙。由于器件數(shù)量不斷增加，因此降低了系統(tǒng)功能的可靠性和可用性。這種配置可能會帶來一個瞬態(tài)故障，即單粒子翻轉(zhuǎn)，因此不利于這方面有良好耐受性。飛思卡爾開發(fā)的另一種方法是使用在鎖步模式中運(yùn)行的最新一代多核MCU。該設(shè)計包括與先進(jìn)的模擬電源管理解決方案相結(jié)合的內(nèi)部自檢功能，監(jiān)控MCU并控制故障安全系統(tǒng)狀態(tài)。第二種方法增強(qiáng)了集成度，減少了板卡尺寸，降低了系統(tǒng)復(fù)雜性。使用鎖步模式并將監(jiān)控集成到電源裝置提高了可用性并提高了安全性水平。此外，軟件開發(fā)的復(fù)雜性比第一種方法有所降低。圖3：飛思卡爾針對基于QorrivaMPC5643L雙核MCU和MC33907系統(tǒng)基礎(chǔ)芯片的ASIL-DEPS系統(tǒng)的集成安全架構(gòu)飛思卡爾針對下一代功能安全的硬件系統(tǒng)概念包括MPC5643L和MC33907,它們是最新一代的系統(tǒng)基礎(chǔ)芯片（SBC），旨在滿足ISO26262標(biāo)準(zhǔn)安全要求。MC33907根據(jù)高效的DC/D電源，組合了一個能源管理單元（EMU），這個電源可切換到低功耗模式°MC33907的主要功能是為MPC5643LMCU供電并對其進(jìn)行監(jiān)控。它的電源管理與各種安全機(jī)制進(jìn)行了關(guān)聯(lián)，是與MC5643L相結(jié)合而開發(fā)的，可避免因應(yīng)用故障而導(dǎo)致發(fā)生可怕事件。在一個系統(tǒng)中使用兩種器件可以減少實(shí)現(xiàn)ASILD系統(tǒng)級解決方案所需的工作°MPC5643L是一個采用集成安全架構(gòu)的雙核鎖步MCU。為內(nèi)核、存儲器、交叉開關(guān)、通信模塊和外設(shè)提供內(nèi)置自測（BIST）機(jī)制。此外，該器件進(jìn)行了優(yōu)化，可防止時鐘或電壓電源問題誘發(fā)的共因失效。MPC564xL系列提供時鐘偏差檢測的硬件模塊以及主電壓的硬件監(jiān)控，如內(nèi)部核心、電壓和閃存電源電壓。雙核MPC564xL除了內(nèi)核外還復(fù)制其他關(guān)鍵硬件模塊。這包括交叉開關(guān)、存儲器保護(hù)單元、中斷控制器、DAM和軟件看門狗定時器。復(fù)制領(lǐng)域的主要優(yōu)勢是MCU的功能，可檢測較頻繁發(fā)生的軟錯誤等單點(diǎn)故障，不僅檢測內(nèi)核中的，也檢測關(guān)鍵的子模塊中的錯誤。下圖顯示了MPC5643L和MC33907，它們具有交叉校驗(yàn)機(jī)制，有助于確保系統(tǒng)級安全。圖4：飛思卡爾功能安全系統(tǒng)解決方案飛思卡爾致力于為客戶提供硬件解決方案，滿足或超出ISO26262-5:xx（E）附錄D所描述的要求。飛思卡爾功能安全方法適用于ISO26262-5:xx（E）附錄D中規(guī)定的嵌入式系統(tǒng)的通用硬件，其中每個組件（MCU和模擬）都作為支持系統(tǒng)環(huán)境的安全元件。該解決方案包括D、2bE/E系統(tǒng)IC（MPC5643LMCU）以及D、2aE/E系統(tǒng)IC（MC33907SBC模擬解決方案）。參見圖D、2。這兩個系統(tǒng)IC中所用的專用半導(dǎo)體元件請參考ISO26262-5:xx（E）附錄D中D、1至D、10（見圖5）。這有利于分解元件并指示診斷覆蓋范圍。圖5：飛思卡爾功能安全系統(tǒng)解決方案（包括ISO26262附錄D方法）下表匯總的內(nèi)容如下：飛思卡爾安全系統(tǒng)中的硬件元件列表為各個元件實(shí)施的安全機(jī)制/措施各個安全機(jī)制/措施可實(shí)現(xiàn)的典型診斷覆蓋范圍，請參見ISO26262-5:xx（E）附錄D資料來源：參考ISO26262-5:xx（E）附錄D與飛思卡爾硬件解決方案（MPC5643L與MC33907）。表1MC33907和MPC5643L的組合值滿足ASILD要求SafeAssureMCU和模擬系統(tǒng)基礎(chǔ)芯片組合在一起可視為一個SEooC，有利于評估系統(tǒng)安全性。這些器件的開發(fā)是為了支持ISO26262標(biāo)準(zhǔn)要求，并提供了一種可擴(kuò)展的方法，以簡便地開發(fā)需要遵從功能安全標(biāo)準(zhǔn)的系統(tǒng)。各個元件之間的最佳交互使系統(tǒng)更簡單、更強(qiáng)大。此外，這種架構(gòu)能夠減少系統(tǒng)級組件的數(shù)量，滿足功能安全需求，并增強(qiáng)可靠性。在MC33907內(nèi)部，電源管理單元和自動防故障裝置相結(jié)合，與MCU進(jìn)行交互。采取4個安全措施，確保MCU和SBC無中斷電源之間的交互，故障安全輸入監(jiān)控關(guān)鍵信號，故障安全輸出驅(qū)動故障安全狀態(tài)，而看門狗用于先進(jìn)的時鐘監(jiān)控。當(dāng)與MPC5643LMCU相結(jié)合時，每個安全措施可以進(jìn)行優(yōu)化，以實(shí)現(xiàn)最高的安全性能水平。在組件開發(fā)過程中，開發(fā)一個完整的失效模式、效應(yīng)和診斷分析（FMEDA），根據(jù)單點(diǎn)故障、潛在故障和共因失效（CCF）測量安全性能。此類安全分析是SafeAssure產(chǎn)品的支持交付項(xiàng)的一部分，也是混合設(shè)備失效模式分析的結(jié)果，可確定系統(tǒng)是否安全。設(shè)備架構(gòu)已經(jīng)實(shí)施，具體目標(biāo)是降低FMEDA風(fēng)險。例如，分離主要功能（供電和通信）和自動防故障機(jī)（一組獨(dú)立的安全功能，如監(jiān)控、檢測和安全狀態(tài)控制）可降低CCF。已經(jīng)采取了這一具體措施來降低CCF，并結(jié)合了模擬和數(shù)字內(nèi)置自測（BIST）功能，這有助于減少潛在故障。在系統(tǒng)級，MPC5643L提出的安全檢查機(jī)制可由MC33907通過故障采集控制單元（FCCU）的雙穩(wěn)協(xié)議來監(jiān)控。這種IC交叉檢驗(yàn)，如對監(jiān)控定時的查詢等，可對系統(tǒng)進(jìn)行外部檢測，作為額外的措施，進(jìn)一步確保故障檢測。為了符合系統(tǒng)基礎(chǔ)芯片系列的安全架構(gòu)，可以通過一個專用的故障安全輸出為安全狀態(tài)激活提供冗余路徑。當(dāng)發(fā)生故障情況時，這些輸出將應(yīng)用設(shè)置為確定性狀態(tài)，以彌補(bǔ)MCU故障安全輸出。這些硬件實(shí)施方案幫助軟件工程師簡化了軟件架構(gòu)，且實(shí)施的軟件開發(fā)策略側(cè)重于使用單一的MCU方法來確保安全性。最后，提供了詳細(xì)的文檔，該文檔描述了功能安全、安全目標(biāo)和各個組件的安全實(shí)施方案，因此可使用標(biāo)準(zhǔn)的半導(dǎo)體設(shè)備管理各種安全應(yīng)用。結(jié)論從措施和架構(gòu)角度來看，在芯片級實(shí)施與安全相關(guān)的功能所用的新的ISO26262標(biāo)準(zhǔn)尚處于初級階段。在冗余和簡易性之間取得恰當(dāng)?shù)钠胶馐情_發(fā)經(jīng)濟(jì)高效而安全的解決方案的關(guān)鍵。使用各種類型的架構(gòu)都有可能達(dá)到ASIL-D級要求，但是，正確實(shí)施MCU和SBC可讓系統(tǒng)更簡單、速度更快、更可靠和更具成本效益。MC33907SBC