支持ASIL D 应用的安全集成硬件解决方案

在汽车应用中，人体与电气/电子系统之间的交互显著增加，具体而言是指在管理对安全至关重要的决策时的交互，这些决策会对驾驶员的健康产生严重影响。随着这些先进的安全系统从被动安全不断演进到更主动的安全系统，包括预测安全系统，甚至自主车概念等，汽车行业已经并将继续出台严格的要求。

管理这些对安全至关重要的决策会增加安全系统的复杂性和额外的软件内容。复杂性增加会不断增加系统和/或随机硬件故障的风险。为了帮助确保最高的安全标准并影响安全汽车系统的开发，汽车行业已经发布了最新的汽车安全标准 ISO 26262。

本文讨了对各种安全架构的实施，并介绍了一个创新的集成安全解决方案，以简化系统级功能安全设计，包括遵从 ISO 26262 标准。

什么是功能安全？

根据定义，“功能安全”表示不存在由于系统故障造成的危害所引起的不合理的风险。为了显著减少发生故障的风险，了解和评估可能发生的故障的类型至关重要。这些故障可分为两大类。

系统故障是由某种原因造成的，只能通过改变制造工艺设计、运行程序、文档或其他相关因素消除。通过强大的开发流程可降低发生系统故障的概率。

随机故障是指硬件元件使用周期中发生的不可预知的故障，符合概率分布。这些故障可能由于永久或瞬间发生的扰动环境或整个系统生命周期中固有技术的性能造成。专用架构和IC策略涵盖降低与随机故障相关的风险。

汽车行业于 2011 年 11 月 15 日发布了 ISO 26262:2011(E) 标准。该标准是专为“道路车辆 – 功能安全”进行修订的，也是对汽车电气/电子（E/E）系统功能安全标准 IEC 61508 的改编。

要让人们在道路上更安全，这些应用必须保持正常运行并且非常可靠。为了保持可靠性，E/E 系统设计必须实现安全性和可用性之间的最佳平衡。

可用性是可维护性和可靠性的一个很好的平衡，而安全性主要取决于系统可靠性。这种交互如下图所示。

图1： 功能安全的可靠性权衡关系

图字：

Dependability：可靠性 Availability：可用性 Safety：安全性

Maintainability：可维护性 Reliability：可靠性

飞思卡尔的 SafeAssure（功能安全保障）产品有效地结合了可用性、安全性和可靠性，因此非常可靠。

管理安全开发： SafeAssure 过程

评估系统的安全功能需要高水平的参与和验证。简化这一评估是 2011 年 9 月制定并推出的飞思卡尔 SafeAssure 计划的一个主要目标。该计划适用于汽车和工业应用。

SafeAssure 产品旨在降低功能安全系统的复杂性，这也是这些系统制造商的一个主要目标。该计划的制定着重强调了失效模式与效应分析（FMEA）、持续过程改进（CPI）和零缺陷。对新产品开发（NPD）流程、工具和指标也进行了修改，以融合并管理功能安全要求。具体来说，产品定义阶段现在包括系统级假设，作为描述系统级背景的一部分。对于半导体器件，这些假设都视为SeooC（Safety Element out of Context，独立安全单元）。由于 MCU 和模拟配套芯片作为标准的解决方案，以满足多个行业中的多种应用，因此 SEooC 是一个安全相关的元件，而不是为特定系统或特定车辆平台而制定的。

量化剩余风险 – 架构指标

就安全相关的故障而言，架构指标用于评估 IC 性能。它们用于促进架构选择（包括检测和保护），并允许用户选择自我检测机制。

基于原始设备制造商 (OEM) 的汽车安全完整性等级(ASIL)，ISO 26262:2011(E) 定义了要实现的安全目标。该标准还指导评估由此产生的指标。

其中一个评估方法就是逐个检查剩余的各个单点故障和导致违反特定安全要求的各个双点故障。

在 IC 设计过程中必须迭代应用这个评估。可应用具有不同集成度的多个架构，以满足目标系统要求水平。

ASIL-D 解决方案和安全架构的影响

电动助力转向系统（EPS）是许多汽车应用之一，这些应用要求高水平的安全，可确保车辆转向系统是可预测的和确定的。

根据特定应用为满足 ASIL D 要求而采用的各种软硬件交互组合，有多种方法或系统架构可以采用。[page]

第一种方法使用两个MCU进行安全输出的外部比较。

图2：基于单核和安全 MCU 的 EPS

这种架构的优势是物理复制安全和非安全相关功能和特性。

然而，这种配置复杂性较高，再加上软件同步和 PCB 空间增加，使这种方法存在重大问题和障碍。由于器件数量不断增加，因此降低了系统功能的可靠性和可用性。

这种配置可能会带来一个瞬态故障，即单粒子翻转，因此不利于这方面有良好耐受性。

飞思卡尔开发的另一种方法是使用在锁步模式中运行的最新一代多核 MCU。该设计包括与先进的模拟电源管理解决方案相结合的内部自检功能，监控 MCU 并控制故障安全系统状态。

第二种方法增强了集成度，减少了板卡尺寸，降低了系统复杂性。使用锁步模式并将监控集成到电源装置提高了可用性并提高了安全性水平。此外，软件开发的复杂性比第一种方法有所降低。

图3：飞思卡尔针对基于 Qorriva MPC5643L 双核 MCU 和 MC33907 系统基础芯片的 ASIL-D EPS 系统的集成安全架构

飞思卡尔针对下一代功能安全的硬件系统概念包括 MPC5643L 和 MC33907，它们是最新一代的系统基础芯片（SBC），旨在满足 ISO 26262 标准安全要求。

MC33907  根据高效的 DC/DC电源，组合了一个能源管理单元（EMU），这个电源可切换到低功耗模式。MC33907 的主要功能是为 MPC5643L MCU 供电并对其进行监控。它的电源管理与各种安全机制进行了关联，是与 MC5643L 相结合而开发的，可避免因应用故障而导致发生可怕事件。在一个系统中使用两种器件可以减少实现 ASIL D 系统级解决方案所需的工作。

MPC5643L 是一个采用集成安全架构的双核锁步 MCU。为内核、存储器、交叉开关、通信模块和外设提供内置自测 (BIST) 机制。此外，该器件进行了优化，可防止时钟或电压电源问题诱发的共因失效。MPC564xL 系列提供时钟偏差检测的硬件模块以及主电压的硬件监控，如内部核心电压和闪存电源电压。双核 MPC564xL 除了内核外还复制其他关键硬件模块。这包括交叉开关、存储器保护单元、中断控制器、DAM 和软件看门狗定时器。复制领域的主要优势是 MCU 的功能，可检测较频繁发生的软错误等单点故障，不仅检测内核中的，也检测关键的子模块中的错误。

下图显示了 MPC5643L 和 MC33907，它们具有交叉校验机制，有助于确保系统级安全。

图4：飞思卡尔功能安全系统解决方案

飞思卡尔致力于为客户提供硬件解决方案，满足或超出 ISO 26262-5:2011(E) 附录 D 所描述的要求。

飞思卡尔功能安全方法适用于 ISO 26262-5:2011(E) 附录 D 中规定的嵌入式系统的通用硬件，其中每个组件（MCU 和模拟）都作为支持系统环境的安全元件。该解决方案包括 D.2b E/E  系统 IC (MPC5643L MCU)以及 D.2a E/E 系统 IC (MC33907 SBC 模拟解决方案)。 参见图 D.2。[page]

这两个系统 IC 中所用的专用半导体元件请参考 ISO 26262-5:2011(E) 附录 D 中 D.1 至 D.10（见图 5）。 这有利于分解元件并指示诊断覆盖范围。

图5：飞思卡尔功能安全系统解决方案(包括 ISO26262 附录 D 方法)

下表汇总的内容如下：

• 飞思卡尔安全系统中的硬件元件列表
• 为各个元件实施的安全机制/措施
• 各个安全机制/措施可实现的典型诊断覆盖范围，请参见 ISO 26262-5:2011 (E) 附录 D

资料来源： 参考 ISO 26262-5:2011 (E) 附录 D 与飞思卡尔硬件解决方案（MPC5643L 与 MC33907）。

表1  MC33907 和 MPC5643L 的组合值满足 ASILD 要求

SafeAssure MCU和模拟系统基础芯片组合在一起可视为一个 SEooC，有利于评估系统安全性。这些器件的开发是为了支持 ISO 26262 标准要求，并提供了一种可扩展的方法，以简便地开发需要遵从功能安全标准的系统。各个元件之间的最佳交互使系统更简单、更强大。此外，这种架构能够减少系统级组件的数量，满足功能安全需求，并增强可靠性。

在 MC33907 内部，电源管理单元和自动防故障装置相结合，与 MCU 进行交互。采取 4 个安全措施，确保 MCU 和 SBC 无中断电源之间的交互，故障安全输入监控关键信号，故障安全输出驱动故障安全状态，而看门狗用于先进的时钟监控。当与 MPC5643L MCU 相结合时，每个安全措施可以进行优化，以实现最高的安全性能水平。

在组件开发过程中，开发一个完整的失效模式、效应和诊断分析（FMEDA），根据单点故障、潜在故障和共因失效(CCF)测量安全性能。此类安全分析是 SafeAssure产品的支持交付项的一部分，也是混合设备失效模式分析的结果，可确定系统是否安全。设备架构已经实施，具体目标是降低 FMEDA 风险。

例如，分离主要功能（供电和通信）和自动防故障机（一组独立的安全功能，如监控、检测和安全状态控制）可降低 CCF。已经采取了这一具体措施来降低 CCF，并结合了模拟和数字内置自测（BIST）功能，这有助于减少潜在故障。

在系统级，MPC5643L 提出的安全检查机制可由 MC33907  通过故障采集控制单元 (FCCU) 的双稳协议来监控。这种 IC 交叉检验，如对监控定时的查询等，可对系统进行外部检测，作为额外的措施，进一步确保故障检测。

为了符合系统基础芯片系列的安全架构，可以通过一个专用的故障安全输出为安全状态激活提供冗余路径。当发生故障情况时，这些输出将应用设置为确定性状态，以弥补 MCU 故障安全输出。

这些硬件实施方案帮助软件工程师简化了软件架构，且实施的软件开发策略侧重于使用单一的 MCU 方法来确保安全性。

最后，提供了详细的文档，该文档描述了功能安全、安全目标和各个组件的安全实施方案，因此可使用标准的半导体设备管理各种安全应用。

结论

从措施和架构角度来看，在芯片级实施与安全相关的功能所用的新的 ISO 26262 标准尚处于初级阶段。 在冗余和简易性之间取得恰当的平衡是开发经济高效而安全的解决方案的关键。

使用各种类型的架构都有可能达到 ASIL-D 级要求，但是，正确实施 MCU 和 SBC 可让系统更简单、速度更快、更可靠和更具成本效益。MC33907 SBC 和 MPC5643L MCU 相结合，可使设计人员将飞思卡尔的SafeAssure流程融合到硬件、软件和支持中，从而更轻松地将功能安全添加到关键系统中。这些器件的结合以及全面的文档（如 FMEDA 和“安全手册”）旨在简化硬件架构，并加快任何 ISO 26262 应用的面市速度。

飞思卡尔的独特方法旨在简化功能安全，降低风险并降低开发过程的成本。在生产之前的开发流程的早期预测风险并降低潜在故障的影响，有助于提高驾驶员和乘客的安全，还能够降低制造商的质量成本。