适用于高级驾驶辅助系统的雷达和功能安全技术
图6:双核锁步MCU结构图
双核锁步MCU方法提供了一个潜在的可用性优势。 在现代MCU中,内核面积越来越小,远低于整个MCU的5%,而MCU作为一个整体,通常分配到随机硬件故障的概率指标(PMHF)约为1%。因此,内核占比起初约为该区域的0.05%。但是,必须要确保内核的正确运行,才能在软件中实施前向恢复技术,才能解决影响PMHF的其余99.95%的因素,保证系统的可用性。此外,双核锁步MCU提供适当的基础设施来实施多个充分独立的通道。
功能安全配套器件
为了支持面向功能安全应用的完整系统解决方案,飞思卡尔开发了一类配套的电源系统基础芯片(SBC),它结合了面向MCU的安全监控作用和电源生成两种功能。
这些SBC器件为MCU和其他系统负载提供电源,并通过低功耗省电模式优化能耗。 此外,它们通常还集成物理层接口和串行外围接口,采用MCU进行控制和诊断。 MCU和模拟系统基础芯片组合在一起可视为一个SEooC(独立安全单元),有利于评估系统安全性。 这种架构能够减少系统级组件的数量,满足功能安全需求,并增强可靠性。
采取四种安全措施,确保MCU和SBC之间的交互:
- 不间断电源
- 故障安全输入监控关键信号
- 故障安全输出驱动故障安全状态
- 面向先进的时钟监控的看门狗
图7:SBC故障安全机
当与MCU相结合时,每个安全措施可以进行优化,以实现最高的安全性能水平。在系统级,MCU提出的安全检查机制可由SBC器件通过故障采集控制单元(FCCU)的双稳协议来监控。这种 IC 交叉检验,如对监控定时的查询等,可对系统进行外部检测,作为额外的措施,进一步确保故障检测。为了符合系统基础芯片系列的安全架构,可以通过一个专用的故障安全输出为安全状态激活提供冗余路径。当发生故障情况时,这些输出将应用设置为确定性状态,以弥补MCU 故障安全输出。
这些硬件实施方案帮助软件工程师简化了软件架构,且实施的软件开发策略侧重于使用单一的MCU方法来确保安全性。
系统与芯片组的合规性
功能安全合规性可在系统级实现,它是系统设计人员的职责。MCU和SBC芯片组是独立于泊车系统、高级驾驶员辅助系统或移动吊车等最终应用之外单独设计的。 因而,该芯片组可以视为一个SEooC来进行开发。SEooC是一个安全相关的元件,而不是在特性车辆功能或最终应用背景下而开发的。我们按照定制指南开发符合ISO26262标准的SEooC组件。
图8:芯片组IEC适用范围
飞思卡尔已经汇总了其措施,以支持SafeAssure品牌市场的功能安全需求。它涵盖了安全支持、安全硬件、安全软件和安全流程等四个方面,确保在各种产品的开发阶段充分覆盖这些方面。典型的交付成果将包括:
- 安全架构分析:FMEDA、CCA或FTA
- 用户指南:安全手册、安全应用说明
- 开发过程证据:PPAP、安全计划和证书
其目的是减少开发符合ISO 26262和IEC 61508标准的安全系统的时间和降低其所需的复杂性,并简化系统合规性过程,这些解决方案可满足具体汽车和工业功能安全标准的要求。
图9:飞思卡尔安全保障计
评论