支持ASIL D 应用的安全集成硬件解决方案

发布者:advancement3最新更新时间:2014-11-04 来源: eefocus关键字:MCU  ASIL  ASIL-D  飞思卡尔  SafeAssure  ESP 手机看文章 扫描二维码
随时随地手机看文章

在汽车应用中,人体与电气/电子系统之间的交互显著增加,具体而言是指在管理对安全至关重要的决策时的交互,这些决策会对驾驶员的健康产生严重影响。随着这些先进的安全系统从被动安全不断演进到更主动的安全系统,包括预测安全系统,甚至自主车概念等,汽车行业已经并将继续出台严格的要求。

管理这些对安全至关重要的决策会增加安全系统的复杂性和额外的软件内容。复杂性增加会不断增加系统和/或随机硬件故障的风险。为了帮助确保最高的安全标准并影响安全汽车系统的开发,汽车行业已经发布了最新的汽车安全标准 ISO 26262。

本文讨了对各种安全架构的实施,并介绍了一个创新的集成安全解决方案,以简化系统级功能安全设计,包括遵从 ISO 26262 标准。

什么是功能安全?

根据定义,“功能安全”表示不存在由于系统故障造成的危害所引起的不合理的风险。为了显著减少发生故障的风险,了解和评估可能发生的故障的类型至关重要。这些故障可分为两大类。

系统故障是由某种原因造成的,只能通过改变制造工艺设计、运行程序、文档或其他相关因素消除。通过强大的开发流程可降低发生系统故障的概率。

随机故障是指硬件元件使用周期中发生的不可预知的故障,符合概率分布。这些故障可能由于永久或瞬间发生的扰动环境或整个系统生命周期中固有技术的性能造成。专用架构和IC策略涵盖降低与随机故障相关的风险。

汽车行业于 2011 年 11 月 15 日发布了 ISO 26262:2011(E) 标准。该标准是专为“道路车辆 – 功能安全”进行修订的,也是对汽车电气/电子(E/E)系统功能安全标准 IEC 61508 的改编。

要让人们在道路上更安全,这些应用必须保持正常运行并且非常可靠。为了保持可靠性,E/E 系统设计必须实现安全性和可用性之间的最佳平衡。

可用性是可维护性和可靠性的一个很好的平衡,而安全性主要取决于系统可靠性。这种交互如下图所示。

图1: 功能安全的可靠性权衡关系

图字:

Dependability:可靠性 Availability:可用性 Safety:安全性

Maintainability:可维护性 Reliability:可靠性

飞思卡尔的 SafeAssure(功能安全保障)产品有效地结合了可用性、安全性和可靠性,因此非常可靠。

管理安全开发 SafeAssure 过程

评估系统的安全功能需要高水平的参与和验证。简化这一评估是 2011 年 9 月制定并推出的飞思卡尔 SafeAssure 计划的一个主要目标。该计划适用于汽车和工业应用。

SafeAssure 产品旨在降低功能安全系统的复杂性,这也是这些系统制造商的一个主要目标。该计划的制定着重强调了失效模式与效应分析(FMEA)、持续过程改进(CPI)和零缺陷。对新产品开发(NPD)流程、工具和指标也进行了修改,以融合并管理功能安全要求。具体来说,产品定义阶段现在包括系统级假设,作为描述系统级背景的一部分。对于半导体器件,这些假设都视为SeooC(Safety Element out of Context,独立安全单元)。由于 MCU 和模拟配套芯片作为标准的解决方案,以满足多个行业中的多种应用,因此 SEooC 是一个安全相关的元件,而不是为特定系统或特定车辆平台而制定的。

量化剩余风险 架构指标

就安全相关的故障而言,架构指标用于评估 IC 性能。它们用于促进架构选择(包括检测和保护),并允许用户选择自我检测机制。

基于原始设备制造商 (OEM) 的汽车安全完整性等级(ASIL),ISO 26262:2011(E) 定义了要实现的安全目标。该标准还指导评估由此产生的指标。

其中一个评估方法就是逐个检查剩余的各个单点故障和导致违反特定安全要求的各个双点故障。

在 IC 设计过程中必须迭代应用这个评估。可应用具有不同集成度的多个架构,以满足目标系统要求水平。

ASIL-D 解决方案和安全架构的影响

电动助力转向系统(EPS)是许多汽车应用之一,这些应用要求高水平的安全,可确保车辆转向系统是可预测的和确定的。

根据特定应用为满足 ASIL D 要求而采用的各种软硬件交互组合,有多种方法或系统架构可以采用。[page]

第一种方法使用两个MCU进行安全输出的外部比较。

 

2基于单核和安全 MCU EPS

这种架构的优势是物理复制安全和非安全相关功能和特性。

然而,这种配置复杂性较高,再加上软件同步和 PCB 空间增加,使这种方法存在重大问题和障碍。由于器件数量不断增加,因此降低了系统功能的可靠性和可用性。

这种配置可能会带来一个瞬态故障,即单粒子翻转,因此不利于这方面有良好耐受性。

飞思卡尔开发的另一种方法是使用在锁步模式中运行的最新一代多核 MCU。该设计包括与先进的模拟电源管理解决方案相结合的内部自检功能,监控 MCU 并控制故障安全系统状态。

第二种方法增强了集成度,减少了板卡尺寸,降低了系统复杂性。使用锁步模式并将监控集成到电源装置提高了可用性并提高了安全性水平。此外,软件开发的复杂性比第一种方法有所降低。

3飞思卡尔针对基于 Qorriva MPC5643L 双核 MCU MC33907 系统基础芯片的 ASIL-D EPS 系统的集成安全架构

飞思卡尔针对下一代功能安全的硬件系统概念包括 MPC5643L 和 MC33907,它们是最新一代的系统基础芯片(SBC),旨在满足 ISO 26262 标准安全要求。

MC33907  根据高效的 DC/DC电源,组合了一个能源管理单元(EMU),这个电源可切换到低功耗模式。MC33907 的主要功能是为 MPC5643L MCU 供电并对其进行监控。它的电源管理与各种安全机制进行了关联,是与 MC5643L 相结合而开发的,可避免因应用故障而导致发生可怕事件。在一个系统中使用两种器件可以减少实现 ASIL D 系统级解决方案所需的工作。

MPC5643L 是一个采用集成安全架构的双核锁步 MCU。为内核、存储器、交叉开关、通信模块和外设提供内置自测 (BIST) 机制。此外,该器件进行了优化,可防止时钟或电压电源问题诱发的共因失效。MPC564xL 系列提供时钟偏差检测的硬件模块以及主电压的硬件监控,如内部核心电压和闪存电源电压。双核 MPC564xL 除了内核外还复制其他关键硬件模块。这包括交叉开关、存储器保护单元、中断控制器、DAM 和软件看门狗定时器。复制领域的主要优势是 MCU 的功能,可检测较频繁发生的软错误等单点故障,不仅检测内核中的,也检测关键的子模块中的错误。

下图显示了 MPC5643L 和 MC33907,它们具有交叉校验机制,有助于确保系统级安全。

图4:飞思卡尔功能安全系统解决方案

飞思卡尔致力于为客户提供硬件解决方案,满足或超出 ISO 26262-5:2011(E) 附录 D 所描述的要求。

飞思卡尔功能安全方法适用于 ISO 26262-5:2011(E) 附录 D 中规定的嵌入式系统的通用硬件,其中每个组件(MCU 和模拟)都作为支持系统环境的安全元件。该解决方案包括 D.2b E/E  系统 IC (MPC5643L MCU)以及 D.2a E/E 系统 IC (MC33907 SBC 模拟解决方案)。 参见图 D.2。[page]

这两个系统 IC 中所用的专用半导体元件请参考 ISO 26262-5:2011(E) 附录 D 中 D.1 至 D.10(见图 5)。 这有利于分解元件并指示诊断覆盖范围。

图5:飞思卡尔功能安全系统解决方案(包括 ISO26262 附录 D 方法)

下表汇总的内容如下:

  • 飞思卡尔安全系统中的硬件元件列表
  • 为各个元件实施的安全机制/措施
  • 各个安全机制/措施可实现的典型诊断覆盖范围,请参见 ISO 26262-5:2011 (E) 附录 D

资料来源: 参考 ISO 26262-5:2011 (E) 附录 D 与飞思卡尔硬件解决方案(MPC5643L 与 MC33907)。

1  MC33907 MPC5643L 的组合值满足 ASILD 要求

SafeAssure MCU和模拟系统基础芯片组合在一起可视为一个 SEooC,有利于评估系统安全性。这些器件的开发是为了支持 ISO 26262 标准要求,并提供了一种可扩展的方法,以简便地开发需要遵从功能安全标准的系统。各个元件之间的最佳交互使系统更简单、更强大。此外,这种架构能够减少系统级组件的数量,满足功能安全需求,并增强可靠性。

在 MC33907 内部,电源管理单元和自动防故障装置相结合,与 MCU 进行交互。采取 4 个安全措施,确保 MCU 和 SBC 无中断电源之间的交互,故障安全输入监控关键信号,故障安全输出驱动故障安全状态,而看门狗用于先进的时钟监控。当与 MPC5643L MCU 相结合时,每个安全措施可以进行优化,以实现最高的安全性能水平。

在组件开发过程中,开发一个完整的失效模式、效应和诊断分析(FMEDA),根据单点故障、潜在故障和共因失效(CCF)测量安全性能。此类安全分析是 SafeAssure产品的支持交付项的一部分,也是混合设备失效模式分析的结果,可确定系统是否安全。设备架构已经实施,具体目标是降低 FMEDA 风险。

例如,分离主要功能(供电和通信)和自动防故障机(一组独立的安全功能,如监控、检测和安全状态控制)可降低 CCF。已经采取了这一具体措施来降低 CCF,并结合了模拟和数字内置自测(BIST)功能,这有助于减少潜在故障。

在系统级,MPC5643L 提出的安全检查机制可由 MC33907  通过故障采集控制单元 (FCCU) 的双稳协议来监控。这种 IC 交叉检验,如对监控定时的查询等,可对系统进行外部检测,作为额外的措施,进一步确保故障检测。

为了符合系统基础芯片系列的安全架构,可以通过一个专用的故障安全输出为安全状态激活提供冗余路径。当发生故障情况时,这些输出将应用设置为确定性状态,以弥补 MCU 故障安全输出。

这些硬件实施方案帮助软件工程师简化了软件架构,且实施的软件开发策略侧重于使用单一的 MCU 方法来确保安全性。

最后,提供了详细的文档,该文档描述了功能安全、安全目标和各个组件的安全实施方案,因此可使用标准的半导体设备管理各种安全应用。

结论

从措施和架构角度来看,在芯片级实施与安全相关的功能所用的新的 ISO 26262 标准尚处于初级阶段。 在冗余和简易性之间取得恰当的平衡是开发经济高效而安全的解决方案的关键。

使用各种类型的架构都有可能达到 ASIL-D 级要求,但是,正确实施 MCU 和 SBC 可让系统更简单、速度更快、更可靠和更具成本效益。MC33907 SBC 和 MPC5643L MCU 相结合,可使设计人员将飞思卡尔的SafeAssure流程融合到硬件、软件和支持中,从而更轻松地将功能安全添加到关键系统中。这些器件的结合以及全面的文档(如 FMEDA 和“安全手册”)旨在简化硬件架构,并加快任何 ISO 26262 应用的面市速度。

飞思卡尔的独特方法旨在简化功能安全,降低风险并降低开发过程的成本。在生产之前的开发流程的早期预测风险并降低潜在故障的影响,有助于提高驾驶员和乘客的安全,还能够降低制造商的质量成本。

关键字:MCU  ASIL  ASIL-D  飞思卡尔  SafeAssure  ESP 引用地址:支持ASIL D 应用的安全集成硬件解决方案

上一篇:电动汽车锂电池管理系统的研究与实现 — 模糊诊断专家系统
下一篇:城市轨道交通的供电制式及馈电方式

推荐阅读最新更新时间:2024-05-02 23:16

STC12C5A60S2串口二通信ESP8266-01S模块控制LED闪烁
物联网,ESP8266-01S,解决了STC12C5A60S2串口二功能通信问题控制LED灯闪烁 /*-------------------------------- * 2020年4月19日 //晶振12M * */ #include STC12C5A60S2.H #include UART2.h sbit LED = P3^6; unsigned char temps ={ AT+CIPMUX=1rn }; unsigned char code displaytable ={ AT+CIPSERVER=1,8080rn }; unsigned char dat =0; void delay(void) { cha
[单片机]
ARM发掘MCU市场 供应商寻求差异化出路
根据笔者的统计资料,包括飞思卡尔,Atmel,TI,ST,富士通,NXP,英飞凌,等MCU大厂不分先后投入到ARM阵营中。同时,由于ARM降低了企业门槛,也给了Holtek,安森美,silicon labs,Energy micro等众多MCU研发实力相对较弱或无法投入大量人力成本研发新内核及构建生态系统的MCU厂商更多的机会。 根据ARM的官方表述:“2000年,开始发掘MCU市场机会;2004年,发布首款Cortex-M产品;2006年,收购领先的工具公司KEIL;2009年,引入软件开发项目;2011年,MCU市场份额从07年的3%涨到15%,出货量达到11亿。” 而广州周立功单片机发展有限公司创始人,有着MCU大师之称
[单片机]
基于MTV412微控制器1对8的ISP系统
引 言 随着微控制器应用领域的不断扩展和深入,越来越多种类的微控制器具有ISP(In System Programming,在系统编程)功能。使用ISP可以使工厂在产品设计、制造过程中不必把微控制器从目标板中拔出,通过I2C实现在线体上程序升级。目前,在国内一线工厂,主设备(上位机)一般都用PC,这样不仅浪费资源,而且灵活性较差;同时由于在线体上只能对单个从设备进行程序更新,严重影响了工厂的生产效率。为此,本文设计了一种基于MTV412微控制器的1对8的ISP系统,主设备采用Myson公司的MTV412,可以同时对8台从设备进行在线程序更新。 目前,51内核的微控制器ISP模式一般分为两大类:一类是使用JTAG协议的ISP模式
[应用]
mega16单片机科学计算器程序源代码
支持最大八位的无符号长整型数值计算 #include《iom16v.h》 #include《macros.h》 //#include《stdio.h》 #define uchar unsigned char #define uint unsigned int #define ulong unsigned long #define EA SREG|=BIT(7) uchar te mp,old,key_turn,flag=0; ulong datA=0,datB=0; const uchar wela[]={0xfe,0xfd,0xfb,0xf7,0xef,0xdf,0xbf,0x7f}; const uchar tab[11
[单片机]
mega16<font color='red'>单片机</font>科学计算器程序源代码
MSP430单片机中断函数的编写方法
以USCI0为例,说明该两种不同方法。 1.switch-case方法 #pragmavector=USCI_A0_VECTOR __interruptvoidUSCI_A0_ISR(void) { switch(__even_in_range(UCA0IV,4)) { case0: break; case2://接收中断 //dosomethinghere break; case4://发送中断 //dosomethinghere break; default: break; } } 2.查询标志为方法 #pragmavector=USCI_A0_VECTOR __interruptvoidUSCI_A0_ISR(vo
[单片机]
MSP430<font color='red'>单片机</font>中断函数的编写方法
单片机的就业方向是什么?搞单片机是青春饭吗?
这段时间,很多刚入门的小伙伴找到我,问的最多的问题应该就是单片机的前景和就业方向了。 还有一个顾虑是搞单片机是青春饭吗?20多岁学晚不晚? 我们首先来回答第一个问题。 一、 单片机的就业方向 人对未知的东西都充满了恐惧,这是人类本能的自我保护,我也一样。 刚开始我是自学的单片机,而且是跨行,对我的挑战不小。 入门以后出去找工作,被10几家公司无情打击,心态崩了。 内心总是有一种不自信的声音嘲笑自己:这辈子,可能都没这个行业的公司要我了。 往往是这种最绝望的时候,你更要坚持,在努力。 就像那句话说的:当你最倒霉的时候,也即将是你转运的时候。 这有点玄学的意思,但是回忆我人生的上半场,基本做成功的事情都经历了这个过程。 Ok,扯
[单片机]
51单片机-温度控制-PID算法-DS18B20-C语言
#include reg51.h #include intrins.h #include math.h #include string.h struct PID { unsigned int SetPoint; // 设定目标 Desired Value unsigned int Proportion; // 比例常数 Proportional Const unsigned int Integral; // 积分常数 Integral Const unsigned int Derivative; // 微分常数 Derivative Const unsigned int LastError; // Error u
[单片机]
瑞萨推出入门级低功耗MCU RA0
在今天的嵌入式世界博览会上,瑞萨电子宣布推出 RA 系列新的入门级 MCU系列。All About Circuits采访了瑞萨电子的 Masashi Ueda 以了解更多信息。 功耗是工程师选择微控制器 (MCU) 的主要因素之一。 在理想情况下,MCU 的性能需要满足监视和控制嵌入式系统,同时又可以最大限度地降低功耗,以延长电池供电系统的使用寿命。 然而,同时实现性能和功效通常是一项矛盾的任务。 今天,瑞萨电子推出了一个新的入门级 MCU 系列,可提供“同类最佳”的功耗数据。 All About Circuits 采访了瑞萨电子 RA0 系列产品营销经理 Masashi Ueda,以了解有关该新系列的第一手资料。 推
[单片机]
瑞萨推出入门级低功耗<font color='red'>MCU</font> RA0
小广播
最新嵌入式文章
何立民专栏 单片机及嵌入式宝典

北京航空航天大学教授,20余年来致力于单片机与嵌入式系统推广工作。

换一换 更多 相关热搜器件
随便看看
电子工程世界版权所有 京B2-20211791 京ICP备10001474号-1 电信业务审批[2006]字第258号函 京公网安备 11010802033920号 Copyright © 2005-2024 EEWORLD.com.cn, Inc. All rights reserved