广告

消除ISO 26262功能安全认证过程中的各种障碍

时间:2022-06-21 15:14:42 作者:Microchip 功能安全技术工程师Jacob Lunn Lassen 阅读:
现今的汽车中使用了各种IC。其中每一个IC都必须首先满足汽车电子委员会(AEC)制定的汽车级制造和性能认证标准。除了AEC认证之外,还有额外的专用功能安全就绪特性要求,具体取决于器件和应用......
广告

现今,汽车的各种应用中无不使用数百到数千种半导体和其他组件,例如触摸界面、车载充电器、电池管理系统等等。严格的国际标准化组织(ISO)26262功能安全规范可确保这些日益复杂和精密的应用安全运行。然而,开发合规设计及获得认证的过程十分耗时且成本高昂。随着半导体行业为汽车原始设备制造商(OEM)和供应商提供完整的功能安全生态系统,这最大限度降低了完成这类认证过程的成本,同时降低了风险并缩短了开发时间,进而使这些挑战得到缓解。

了解ISO 26262

ISO 26262标准包含安装在批量生产的道路车辆(轻便摩托车除外)中的电气和/或电子系统的功能安全规范。该ISO标准于2011年发布,并于2018年修订以包含关于半导体的部分,其中规定了从规范到生产发布的开发过程。汽车OEM和供应商在对道路车辆内部需要功能安全的运行器件进行认证时,必须遵循并记录此过程。

系统认证需由独立评估员确认其符合ISO 26262标准的要求来完成。汽车内应用根据其安全关键性级别“归类”为不同的汽车安全完整性等级(ASIL)。如果电气或电子系统发生故障,则某些应用具有更高的固有安全风险。根据潜在伤害的严重程度和发生概率以及可控程度,分为A到D四个级别,每个级别都对底层组件有相关的安全要求。ASIL D表示汽车中安全气囊、防抱死制动系统和动力转向等危险程度最高的应用。尾灯等组件归类为ASIL-A。头灯和刹车灯通常归类为ASIL-B。巡航控制等系统归类为ASIL-C。通常,ASIL级别越高,对硬件冗余的要求就越多。

组件供应商可通过多种方式帮助加速安全应用的设计及其ISO 26262认证过程。这些功能安全资源如图1所示。首先,必须仔细选择器件以包含必要的功能安全资源。这些资源包括故障模式影响和诊断分析(FMEDA)报告及安全手册。此外,器件还必须得到有资格创建安全关键型应用的开发生态系统的支持。 

图1:经过认证的功能安全资源和开发生态系统

功能安全就绪

现今的汽车中使用了各种IC。尤其是单片机(MCU),它以各种形式普遍存在。所有电子控制单元(ECU)都需要用到单片机,并且全车使用单片机来提供便利功能(例如自动驾驶)和各种其他复杂功能。单片机范围广泛,涵盖针对性能、电源效率和实时控制进行优化并添加基于硬件的触摸界面的8位MCU,到可以运行多线程应用并支持图形、连接和安全功能的32位MCU。此外,还有将MCU与DSP引擎相结合的数字信号控制器(DSC),可为传感器、电机或电源转换提供可靠且快速的确定性性能。

其中每一个IC都必须首先满足汽车电子委员会(AEC)制定的汽车级制造和性能认证标准。AEC-Q100标准定义了跨温度等级的基于失效机制的压力测试认证过程。根据具体应用,MCU需要通过AEC Q100 2级、1级或0级认证。0级 = 150℃,1级 = 125℃,2级 = 105℃。

除了AEC认证之外,还有额外的专用功能安全就绪特性要求,具体取决于器件和应用。例如,8位MCU通常包括用于汽车接口和智能传感器网络的CAN FD,并且通常用作驾驶室、方向盘、中控台内机械和电容式按钮的用户界面(UI)控制器,或用作无钥匙进入系统的一部分。8位MCU所需的集成硬件安全功能通常适用于存储器、系统复位、安全代码执行、安全通信和通用输入/输出(GPIO)保护。这些功能是通过集成专用的独立于内核的外设(CIP)和其他功能添加的,包括上电复位(POR)、欠压复位(BOR)、窗口看门狗定时器(WWDT)和循环冗余校验(CRC),用于提高操作安全性和可靠性(见图2)。

图2:具有功能安全硬件特性的8位MCU

图3:功能安全就绪16位DSC示例

对于功能安全就绪16位DSC,所需的硬件安全功能通常包括支持错误检测和纠正的存储器、存储器内置自检(MBIST)、时钟监控和冗余振荡器等,这些功能用于故障检测、自诊断和系统诊断以及故障修复。这些功能安全就绪器件支持设计安全关键型高性能嵌入式应用、传感器接口应用、数字电源和电机控制应用。典型应用包括直流/直流系统、车载充电器(OBC)、执行器和传感器(位置和压力)、触摸单元和其他符合ASIL B或ASIL C标准的控制单元。图3显示了功能安全就绪DSC的功能示例。

图4:功能安全就绪32位MCU示例

与所有功能安全就绪MCU一样,32位MCU所需的硬件功能包括支持纠错码(ECC)和错误注入的存储器、存储器内置自检(MBIST)、时钟系统(包含备用振荡器和时钟故障检测)以及具有静电放电(ESD)保护的GPIO(见图4)。同样重要的是系统监视器,其中包括POR、BOR、WDT和硬件CRC功能以及存储器保护单元。32位MCU的适用范围涵盖从驾驶室内部系统到高级驾驶辅助系统(ADAS)等一系列应用,可用于实现功能安全。

通过将主MCU/DSC与辅助MCU/DSC或安全协处理器相结合,甚至可以使用标准MCU和DSC达到ASIL C/D安全级别。这是通过使用ASIL分解原理来实现的:两个符合ASIL B标准的子系统组合可用于达到更高的ASIL,例如ASIL C/D:

ASIL C = ASIL B (C) + ASIL A (C)

ASIL D = ASIL B (D) + ASIL B (D) = ASIL C (D) + ASIL A (D)

分解是通过划分安全要求与实际器件实现的。

开发工具和认证支持

作为完整开发生态系统的一部分,经过功能安全认证的设计工具包可以更轻松地满足ISO 26262标准中规定的验证和确认要求。这一点尤其适用于基于MCU和DSC的设计。工具供应商与第三方独立评估和认证机构合作,对功能安全编译器进行认证。这通常附带额外的文档,例如编译器、集成开发环境(IDE)以及调试器和编程器的证书、功能安全手册、安全计划及工具分类和资格认证报告。该功能安全文档包简化了工具的资格认证和最终应用认证。 

理想情况下,还应该在设计过程中使用代码覆盖率工具来衡量代码的测试效果,并确定软件的哪些部分已经执行或尚未执行。  代码覆盖率工具也应包含在分类和资格认证报告中。寻找一种可以单次运行测试的工具,此工具无需将代码分解为各个模块,也无需对硬件进行大量修改或使用昂贵的软件,同时还能避免在大型数据文件中搜索相关信息的大量工作。应用认证需要代码测试数据,因此单次运行代码覆盖率工具在简化流程和缩短上市时间方面发挥着重要作用。 

要开发符合ISO 26262标准的汽车应用,除了器件数据手册之外,工程师还需要从半导体供应商处获得一些额外资源。可用的功能安全包为汽车OEM和供应商提供了他们在评估和设计周期的各个阶段所需的内容。这些功能安全包应提供经过认证的安全手册、FMEDA报告,在某些情况下,还应提供诊断软件,例如经过相关ASIL认证的自检库。 

FMEDA报告量化了器件的故障模式、其故障率(FIT)分布及相应的检测方法,可帮助制定覆盖率计划。另一个重要资源是安全手册(SM)。它详细介绍了FMEDA报告中指定的故障检测方法,并就如何使用器件实现最安全的操作提供了建议。安全手册中包含相关故障以及用于检测系统故障的硬件功能说明,可使用该说明开发诊断库。功能安全诊断库可帮助评估系统在故障条件下的运行状态,检测随机系统故障以及实现功能安全目标。选择提供第三方认证的FMEDA报告和安全手册以及诊断库的器件可以简化安全关键型应用的认证工作。 

安全关键型应用开发的第一步是定义要实现的安全目标和要达到的目标安全级别。功能安全基础包提供FMEDA、安全手册和认证等基本资源,帮助用户开始评估目标功能安全级别和设计安全关键型汽车应用。 

理想情况下,基于MCU的设计的功能安全入门包应包括经过ASIL B就绪认证的FMEDA、安全手册和符合ASIL B/C标准的诊断库,以及帮助设计人员了解如何使用这些资源按照ISO 26262流程开发安全关键型应用的参考应用。入门包有助于缩短设计周期,并根据ASIL B或C合规性开发应用。 

功能安全完整包可以进行扩展以包含经过认证的诊断库,其中提供用于实现最高ASIL B/C级别的设计所需的源代码和相关安全分析报告。鉴于许多最终客户要求对安全关键型应用进行认证,完整包还有助于加快认证过程。

随着汽车的复杂度越来越高,其中的电子元件水平也在不断提高。越来越重要的是,现今,面向汽车应用、以功能安全为重点的产品支持开发生态系统,可提供经过认证的功能安全资源来满足ISO 26262要求。IC供应商还可以帮助汽车客户保护其在这种严密开发和认证过程中的长期投资。他们能够确保只要客户愿意订购,就会持续供应认证系统内使用的器件,从而消除了由于器件意外进入停产(EOL)阶段而导致被迫重新设计的风险。这意味着认证不仅可以快速轻松地完成,而且只需完成一次,因此更加值得客户信赖。

责编:Amy.wu
  • 数字化如何影响工作流程自动化 数字化是“使用数字技术改变业务模式并提供创造收入和价值的新机会;它是一个向数字业务转变的过程。”相比之下,数字化转型是一个“可以包含从IT现代化改造(例如云计算)到数字优化、再到新数字业务模式创新等一切广义的术语。”
  • M1芯片存在“不可修补”硬件漏洞PACMAN,苹果回应:不足为 研究团队将其攻击方式称之为"PACMAN"(吃豆人),意思是通过"猜测"PAC发挥作用,该代码是一种加密签名,可以确认一个应用程序没有被恶意更改。由于PAC的可能值只有一定数量,研究人员发现有可能将它们全部尝试一遍以找到正确的值,并抑制崩溃,从而启动连锁攻击,最终构建控制流劫持攻击……
  • 2022年软件工程师现状:安全岗薪酬最高,Python最受欢迎 薪酬排名前三的软件工程师分别是:安全工程师、研发工程师、自然语言处理(NLP)。薪酬TOP10软件工程师还包括移动工程师、机器学习工程师、增强现实/虚拟现实工程师、数据库工程师、区块链工程师、数据工程师。
  • 2022苹果WWDC开发者大会:新MacBook Air配M2处理器,iOS 1 6月7日凌晨,苹果在WWDC 2022大会上除了全面升级麾下硬件产品的操作系统外,还发布了全新的M2处理器,并推出了两款基于M2处理器的MacBook笔记本电脑,分别是MacBook Air及13寸MacBook Pro。业内人士认为,由于当前半导体制造工艺水平停滞不前,导致M2的提升并不明显……
  • 合见工软发布多款EDA产品和解决方案 合见工软近日推出多款EDA产品和解决方案,以更好地解决芯片开发中的功能验证、调试和大规模测试管理,以及先进封装系统级设计协同等不同任务的挑战。
  • 博通官宣将以约610亿美元收购云计算公司VMware 半导体巨头博通发布声明称,已经就收购云计算公司VMware Inc.达成了协议。该交易对VMware的估值约为610亿美元,博通还表示会接手VMWare 80亿美元的净债务。这是有史以来规模最大的科技业交易之一,也是今年全球的第二大并购,仅次于今年1月份,微软官宣以687亿美元收购视频游戏开发商动视暴雪(Blizzard)……
  • 新款iPad Pro 2021成最受欢迎的 由于采用性能相对强大的M1处理器和mini-LED屏幕以及更多的创新,新款iPad Pro 2021已经成为消费者心目中最受欢迎。然而,iPad 2却已经在全球范围内被列入“复古和过时”的名单中。
  • 三星折叠屏手机Galaxy Z Fold 3 目前来看,折叠屏新机作为一种新的生产力工具,逐渐成为高端/平板的一种趋势,有报料称三星的Galaxy Z Fold 3发布时间或为7月,并且会引入新手势操控。
  • 全栈,这种MCU玩法太有竞争力 在MCU生态发展大会商,小编听到一个“全栈MCU”概念! 小编印象中,MCU设计分为上游的IP供应商和下游的MCU芯片公司。IP公司专业研究各种技术复杂、较难设计的IP模块,例如处理器IP和PHY等专业模拟接口IP;MCU芯片公司则采购处理器IP并加上其它自研的UART、ADC等常规模块,实现芯片整合,类似于PC机的产业分工。大家熟知的32F103和32F407等高性能MCU多数是购买ARM处理器IP、外置PHY或者购买第三方IP授权。
  • 正能量未来发展战略分享,暨9周年庆 2022年6月18日相聚一起,九年风雨兼程,九年传承跨越。关注您所需,传播正能量,相信客户的力量,相信坚持的力量。【正能量九周年庆典·答谢晚宴】圆满落幕!
广告
热门推荐
广告
广告
广告
EE直播间
在线研讨会
广告
广告
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了