適用于高級駕駛輔助系統(tǒng)的雷達和功能安全技術(shù)
圖6:雙核鎖步MCU結(jié)構(gòu)圖
雙核鎖步MCU方法提供了一個潛在的可用性優(yōu)勢。 在現(xiàn)代MCU中,內(nèi)核面積越來越小,遠低于整個MCU的5%,而MCU作為一個整體,通常分配到隨機硬件故障的概率指標(PMHF)約為1%。因此,內(nèi)核占比起初約為該區(qū)域的0.05%。但是,必須要確保內(nèi)核的正確運行,才能在軟件中實施前向恢復技術(shù),才能解決影響PMHF的其余99.95%的因素,保證系統(tǒng)的可用性。此外,雙核鎖步MCU提供適當?shù)幕A(chǔ)設(shè)施來實施多個充分獨立的通道。
功能安全配套器件
為了支持面向功能安全應(yīng)用的完整系統(tǒng)解決方案,飛思卡爾開發(fā)了一類配套的電源系統(tǒng)基礎(chǔ)芯片(SBC),它結(jié)合了面向MCU的安全監(jiān)控作用和電源生成兩種功能。
這些SBC器件為MCU和其他系統(tǒng)負載提供電源,并通過低功耗省電模式優(yōu)化能耗。 此外,它們通常還集成物理層接口和串行外圍接口,采用MCU進行控制和診斷。 MCU和模擬系統(tǒng)基礎(chǔ)芯片組合在一起可視為一個SEooC(獨立安全單元),有利于評估系統(tǒng)安全性。 這種架構(gòu)能夠減少系統(tǒng)級組件的數(shù)量,滿足功能安全需求,并增強可靠性。
采取四種安全措施,確保MCU和SBC之間的交互:
- 不間斷電源
- 故障安全輸入監(jiān)控關(guān)鍵信號
- 故障安全輸出驅(qū)動故障安全狀態(tài)
- 面向先進的時鐘監(jiān)控的看門狗
圖7:SBC故障安全機
當與MCU相結(jié)合時,每個安全措施可以進行優(yōu)化,以實現(xiàn)最高的安全性能水平。在系統(tǒng)級,MCU提出的安全檢查機制可由SBC器件通過故障采集控制單元(FCCU)的雙穩(wěn)協(xié)議來監(jiān)控。這種 IC 交叉檢驗,如對監(jiān)控定時的查詢等,可對系統(tǒng)進行外部檢測,作為額外的措施,進一步確保故障檢測。為了符合系統(tǒng)基礎(chǔ)芯片系列的安全架構(gòu),可以通過一個專用的故障安全輸出為安全狀態(tài)激活提供冗余路徑。當發(fā)生故障情況時,這些輸出將應(yīng)用設(shè)置為確定性狀態(tài),以彌補MCU 故障安全輸出。
這些硬件實施方案幫助軟件工程師簡化了軟件架構(gòu),且實施的軟件開發(fā)策略側(cè)重于使用單一的MCU方法來確保安全性。
系統(tǒng)與芯片組的合規(guī)性
功能安全合規(guī)性可在系統(tǒng)級實現(xiàn),它是系統(tǒng)設(shè)計人員的職責。MCU和SBC芯片組是獨立于泊車系統(tǒng)、高級駕駛員輔助系統(tǒng)或移動吊車等最終應(yīng)用之外單獨設(shè)計的。 因而,該芯片組可以視為一個SEooC來進行開發(fā)。SEooC是一個安全相關(guān)的元件,而不是在特性車輛功能或最終應(yīng)用背景下而開發(fā)的。我們按照定制指南開發(fā)符合ISO26262標準的SEooC組件。
圖8:芯片組IEC適用范圍
飛思卡爾已經(jīng)匯總了其措施,以支持SafeAssure品牌市場的功能安全需求。它涵蓋了安全支持、安全硬件、安全軟件和安全流程等四個方面,確保在各種產(chǎn)品的開發(fā)階段充分覆蓋這些方面。典型的交付成果將包括:
- 安全架構(gòu)分析:FMEDA、CCA或FTA
- 用戶指南:安全手冊、安全應(yīng)用說明
- 開發(fā)過程證據(jù):PPAP、安全計劃和證書
其目的是減少開發(fā)符合ISO 26262和IEC 61508標準的安全系統(tǒng)的時間和降低其所需的復雜性,并簡化系統(tǒng)合規(guī)性過程,這些解決方案可滿足具體汽車和工業(yè)功能安全標準的要求。
圖9:飛思卡爾安全保障計
評論