【導讀】現今，汽車(chē)的各種應用中無(wú)不使用數百到數千種半導體和其他組件，例如觸摸界面、車(chē)載充電器、電池管理系統等等。嚴格的國際標準化組織（ISO）26262功能安全規范可確保這些日益復雜和精密的應用安全運行。然而，開(kāi)發(fā)合規設計及獲得認證的過(guò)程十分耗時(shí)且成本高昂。隨著(zhù)半導體行業(yè)為汽車(chē)原始設備制造商（OEM）和供應商提供完整的功能安全生態(tài)系統，這最大限度降低了完成這類(lèi)認證過(guò)程的成本，同時(shí)降低了風(fēng)險并縮短了開(kāi)發(fā)時(shí)間，進(jìn)而使這些挑戰得到緩解。

了解ISO 26262

ISO 26262標準包含安裝在批量生產(chǎn)的道路車(chē)輛（輕便摩托車(chē)除外）中的電氣和/或電子系統的功能安全規范。該ISO標準于2011年發(fā)布，并于2018年修訂以包含關(guān)于半導體的部分，其中規定了從規范到生產(chǎn)發(fā)布的開(kāi)發(fā)過(guò)程。汽車(chē)OEM和供應商在對道路車(chē)輛內部需要功能安全的運行器件進(jìn)行認證時(shí)，必須遵循并記錄此過(guò)程。

系統認證需由獨立評估員確認其符合ISO 26262標準的要求來(lái)完成。汽車(chē)內應用根據其安全關(guān)鍵性級別“歸類(lèi)”為不同的汽車(chē)安全完整性等級（ASIL）。如果電氣或電子系統發(fā)生故障，則某些應用具有更高的固有安全風(fēng)險。根據潛在傷害的嚴重程度和發(fā)生概率以及可控程度，分為A到D四個(gè)級別，每個(gè)級別都對底層組件有相關(guān)的安全要求。ASIL D表示汽車(chē)中安全氣囊、防抱死制動(dòng)系統和動(dòng)力轉向等危險程度最高的應用。尾燈等組件歸類(lèi)為ASIL-A。頭燈和剎車(chē)燈通常歸類(lèi)為ASIL-B。巡航控制等系統歸類(lèi)為ASIL-C。通常，ASIL級別越高，對硬件冗余的要求就越多。

組件供應商可通過(guò)多種方式幫助加速安全應用的設計及其ISO 26262認證過(guò)程。這些功能安全資源如圖1所示。首先，必須仔細選擇器件以包含必要的功能安全資源。這些資源包括故障模式影響和診斷分析（FMEDA）報告及安全手冊。此外，器件還必須得到有資格創(chuàng )建安全關(guān)鍵型應用的開(kāi)發(fā)生態(tài)系統的支持。

圖1：經(jīng)過(guò)認證的功能安全資源和開(kāi)發(fā)生態(tài)系統

功能安全就緒

現今的汽車(chē)中使用了各種IC。尤其是單片機（MCU），它以各種形式普遍存在。所有電子控制單元（ECU）都需要用到單片機，并且全車(chē)使用單片機來(lái)提供便利功能（例如自動(dòng)駕駛）和各種其他復雜功能。單片機范圍廣泛，涵蓋針對性能、電源效率和實(shí)時(shí)控制進(jìn)行優(yōu)化并添加基于硬件的觸摸界面的8位MCU，到可以運行多線(xiàn)程應用并支持圖形、連接和安全功能的32位MCU。此外，還有將MCU與DSP引擎相結合的數字信號控制器（DSC），可為傳感器、電機或電源轉換提供可靠且快速的確定性性能。

其中每一個(gè)IC都必須首先滿(mǎn)足汽車(chē)電子委員會(huì )（AEC）制定的汽車(chē)級制造和性能認證標準。AEC-Q100標準定義了跨溫度等級的基于失效機制的壓力測試認證過(guò)程。根據具體應用，MCU需要通過(guò)AEC Q100 2級、1級或0級認證。0級 = 150℃，1級 = 125℃，2級 = 105℃。

除了AEC認證之外，還有額外的專(zhuān)用功能安全就緒特性要求，具體取決于器件和應用。例如，8位MCU通常包括用于汽車(chē)接口和智能傳感器網(wǎng)絡(luò )的CAN FD，并且通常用作駕駛室、方向盤(pán)、中控臺內機械和電容式按鈕的用戶(hù)界面（UI）控制器，或用作無(wú)鑰匙進(jìn)入系統的一部分。8位MCU所需的集成硬件安全功能通常適用于存儲器、系統復位、安全代碼執行、安全通信和通用輸入/輸出（GPIO）保護。這些功能是通過(guò)集成專(zhuān)用的獨立于內核的外設（CIP）和其他功能添加的，包括上電復位（POR）、欠壓復位（BOR）、窗口看門(mén)狗定時(shí)器（WWDT）和循環(huán)冗余校驗（CRC），用于提高操作安全性和可靠性（見(jiàn)圖2）。

圖2：具有功能安全硬件特性的8位MCU

對于功能安全就緒16位DSC，所需的硬件安全功能通常包括支持錯誤檢測和糾正的存儲器、存儲器內置自檢（MBIST）、時(shí)鐘監控和冗余振蕩器等，這些功能用于故障檢測、自診斷和系統診斷以及故障修復。這些功能安全就緒器件支持設計安全關(guān)鍵型高性能嵌入式應用、傳感器接口應用、數字電源和電機控制應用。典型應用包括直流/直流系統、車(chē)載充電器（OBC）、執行器和傳感器（位置和壓力）、觸摸單元和其他符合ASIL B或ASIL C標準的控制單元。圖3顯示了功能安全就緒DSC的功能示例。

圖3：功能安全就緒16位DSC示例

與所有功能安全就緒MCU一樣，32位MCU所需的硬件功能包括支持糾錯碼（ECC）和錯誤注入的存儲器、存儲器內置自檢（MBIST）、時(shí)鐘系統（包含備用振蕩器和時(shí)鐘故障檢測）以及具有靜電放電（ESD）保護的GPIO（見(jiàn)圖4）。同樣重要的是系統監視器，其中包括POR、BOR、WDT和硬件CRC功能以及存儲器保護單元。32位MCU的適用范圍涵蓋從駕駛室內部系統到高級駕駛輔助系統（ADAS）等一系列應用，可用于實(shí)現功能安全。

圖4：功能安全就緒32位MCU示例

通過(guò)將主MCU/DSC與輔助MCU/DSC或安全協(xié)處理器相結合，甚至可以使用標準MCU和DSC達到ASIL C/D安全級別。這是通過(guò)使用ASIL分解原理來(lái)實(shí)現的：兩個(gè)符合ASIL B標準的子系統組合可用于達到更高的ASIL，例如ASIL C/D：

ASIL C = ASIL B (C) + ASIL A (C)

ASIL D = ASIL B (D) + ASIL B (D) = ASIL C (D) + ASIL A (D)

分解是通過(guò)劃分安全要求與實(shí)際器件實(shí)現的。

開(kāi)發(fā)工具和認證支持

作為完整開(kāi)發(fā)生態(tài)系統的一部分，經(jīng)過(guò)功能安全認證的設計工具包可以更輕松地滿(mǎn)足ISO 26262標準中規定的驗證和確認要求。這一點(diǎn)尤其適用于基于MCU和DSC的設計。工具供應商與第三方獨立評估和認證機構合作，對功能安全編譯器進(jìn)行認證。這通常附帶額外的文檔，例如編譯器、集成開(kāi)發(fā)環(huán)境（IDE）以及調試器和編程器的證書(shū)、功能安全手冊、安全計劃及工具分類(lèi)和資格認證報告。該功能安全文檔包簡(jiǎn)化了工具的資格認證和最終應用認證。

理想情況下，還應該在設計過(guò)程中使用代碼覆蓋率工具來(lái)衡量代碼的測試效果，并確定軟件的哪些部分已經(jīng)執行或尚未執行。  代碼覆蓋率工具也應包含在分類(lèi)和資格認證報告中。尋找一種可以單次運行測試的工具，此工具無(wú)需將代碼分解為各個(gè)模塊，也無(wú)需對硬件進(jìn)行大量修改或使用昂貴的軟件，同時(shí)還能避免在大型數據文件中搜索相關(guān)信息的大量工作。應用認證需要代碼測試數據，因此單次運行代碼覆蓋率工具在簡(jiǎn)化流程和縮短上市時(shí)間方面發(fā)揮著(zhù)重要作用。

要開(kāi)發(fā)符合ISO 26262標準的汽車(chē)應用，除了器件數據手冊之外，工程師還需要從半導體供應商處獲得一些額外資源?？捎玫墓δ馨踩鼮槠?chē)OEM和供應商提供了他們在評估和設計周期的各個(gè)階段所需的內容。這些功能安全包應提供經(jīng)過(guò)認證的安全手冊、FMEDA報告，在某些情況下，還應提供診斷軟件，例如經(jīng)過(guò)相關(guān)ASIL認證的自檢庫。

FMEDA報告量化了器件的故障模式、其故障率（FIT）分布及相應的檢測方法，可幫助制定覆蓋率計劃。另一個(gè)重要資源是安全手冊（SM）。它詳細介紹了FMEDA報告中指定的故障檢測方法，并就如何使用器件實(shí)現最安全的操作提供了建議。安全手冊中包含相關(guān)故障以及用于檢測系統故障的硬件功能說(shuō)明，可使用該說(shuō)明開(kāi)發(fā)診斷庫。功能安全診斷庫可幫助評估系統在故障條件下的運行狀態(tài)，檢測隨機系統故障以及實(shí)現功能安全目標。選擇提供第三方認證的FMEDA報告和安全手冊以及診斷庫的器件可以簡(jiǎn)化安全關(guān)鍵型應用的認證工作。

安全關(guān)鍵型應用開(kāi)發(fā)的第一步是定義要實(shí)現的安全目標和要達到的目標安全級別。功能安全基礎包提供FMEDA、安全手冊和認證等基本資源，幫助用戶(hù)開(kāi)始評估目標功能安全級別和設計安全關(guān)鍵型汽車(chē)應用。

理想情況下，基于MCU的設計的功能安全入門(mén)包應包括經(jīng)過(guò)ASIL B就緒認證的FMEDA、安全手冊和符合ASIL B/C標準的診斷庫，以及幫助設計人員了解如何使用這些資源按照ISO 26262流程開(kāi)發(fā)安全關(guān)鍵型應用的參考應用。入門(mén)包有助于縮短設計周期，并根據ASIL B或C合規性開(kāi)發(fā)應用。

功能安全完整包可以進(jìn)行擴展以包含經(jīng)過(guò)認證的診斷庫，其中提供用于實(shí)現最高ASIL B/C級別的設計所需的源代碼和相關(guān)安全分析報告。鑒于許多最終客戶(hù)要求對安全關(guān)鍵型應用進(jìn)行認證，完整包還有助于加快認證過(guò)程。

隨著(zhù)汽車(chē)的復雜度越來(lái)越高，其中的電子元件水平也在不斷提高。越來(lái)越重要的是，現今，面向汽車(chē)應用、以功能安全為重點(diǎn)的產(chǎn)品支持開(kāi)發(fā)生態(tài)系統，可提供經(jīng)過(guò)認證的功能安全資源來(lái)滿(mǎn)足ISO 26262要求。IC供應商還可以幫助汽車(chē)客戶(hù)保護其在這種嚴密開(kāi)發(fā)和認證過(guò)程中的長(cháng)期投資。他們能夠確保只要客戶(hù)愿意訂購，就會(huì )持續供應認證系統內使用的器件，從而消除了由于器件意外進(jìn)入停產(chǎn)（EOL）階段而導致被迫重新設計的風(fēng)險。這意味著(zhù)認證不僅可以快速輕松地完成，而且只需完成一次，因此更加值得客戶(hù)信賴(lài)。

免責聲明：本文為轉載文章，轉載此文目的在于傳遞更多信息，版權歸原作者所有。本文所用視頻、圖片、文字如涉及作品版權問(wèn)題，請聯(lián)系小編進(jìn)行處理。

推薦閱讀：

基于功率電感飽和特性要求的電感設計與選型優(yōu)化

小型化趨勢下，東芝單芯片方案實(shí)現高性?xún)r(jià)比電機驅動(dòng)

你還在用光標測量I2C通信時(shí)序嗎？

TP8312滿(mǎn)足0.9V低電壓工作的一節兩節干電池升壓IC解決方案

IPOSIM的今昔——從器件級的計算到基于系統的仿真