支持ASIL D 應(yīng)用的安全集成硬件解決方案分析

在汽車應(yīng)用中，人體與電氣/電子系統(tǒng)之間的交互顯著增加，具體而言是指在管理對安全至關(guān)重要的決策時的交互，這些決策會對駕駛員的健康產(chǎn)生嚴重影響。隨著這些先進的安全系統(tǒng)從被動安全不斷演進到更主動的安全系統(tǒng)，包括預(yù)測安全系統(tǒng)，甚至自主車概念等，汽車行業(yè)已經(jīng)并將繼續(xù)出臺嚴格的要求。
　　管理這些對安全至關(guān)重要的決策會增加安全系統(tǒng)的復(fù)雜性和額外的軟件內(nèi)容。復(fù)雜性增加會不斷增加系統(tǒng)和/或隨機硬件故障的風險。為了幫助確保最高的安全標準并影響安全汽車系統(tǒng)的開發(fā)，汽車行業(yè)已經(jīng)發(fā)布了最新的汽車安全標準 ISO 26262。
　　本文討論了對各種安全架構(gòu)的實施，并介紹了一個創(chuàng)新的集成安全解決方案，以簡化系統(tǒng)級功能安全設(shè)計，包括遵從 ISO 26262 標準。
　　什么是功能安全？
　　根據(jù)定義，“功能安全”表示不存在由于系統(tǒng)故障造成的危害所引起的不合理的風險。為了顯著減少發(fā)生故障的風險，了解和評估可能發(fā)生的故障的類型至關(guān)重要。這些故障可分為兩大類。
　　系統(tǒng)故障是由某種原因造成的，只能通過改變制造工藝設(shè)計、運行程序、文檔或其他相關(guān)因素消除。通過強大的開發(fā)流程可降低發(fā)生系統(tǒng)故障的概率。
　　隨機故障是指硬件元件使用周期中發(fā)生的不可預(yù)知的故障，符合概率分布。這些故障可能由于永久或瞬間發(fā)生的擾動環(huán)境或整個系統(tǒng)生命周期中固有技術(shù)的性能造成。專用架構(gòu)和IC策略涵蓋降低與隨機故障相關(guān)的風險。
　　汽車行業(yè)于 2011 年 11 月 15 日發(fā)布了 ISO 26262:2011（E） 標準。該標準是專為“道路車輛 – 功能安全”進行修訂的，也是對汽車電氣/電子（E/E）系統(tǒng)功能安全標準 IEC 61508 的改編。
　　要讓人們在道路上更安全，這些應(yīng)用必須保持正常運行并且非?？煽?。為了保持可靠性，E/E 系統(tǒng)設(shè)計必須實現(xiàn)安全性和可用性之間的最佳平衡。
　　可用性是可維護性和可靠性的一個很好的平衡，而安全性主要取決于系統(tǒng)可靠性。這種交互如下圖所示。
　　
　　圖1： 功能安全的可靠性權(quán)衡關(guān)系
　　圖字：
　　Dependability：可靠性 Availability：可用性 Safety：安全性
　　Maintainability：可維護性 Reliability：可靠性
　　飛思卡爾的 SafeAssure（功能安全保障）產(chǎn)品有效地結(jié)合了可用性、安全性和可靠性，因此非?？煽俊?br /> 　　管理安全開發(fā)： SafeAssure 過程
　　評估系統(tǒng)的安全功能需要高水平的參與和驗證。簡化這一評估是 2011 年 9 月制定并推出的飛思卡爾 SafeAssure 計劃的一個主要目標。該計劃適用于汽車和工業(yè)應(yīng)用。
　　SafeAssure 產(chǎn)品旨在降低功能安全系統(tǒng)的復(fù)雜性，這也是這些系統(tǒng)制造商的一個主要目標。該計劃的制定著重強調(diào)了失效模式與效應(yīng)分析（FMEA）、持續(xù)過程改進（CPI）和零缺陷。對新產(chǎn)品開發(fā)（NPD）流程、工具和指標也進行了修改，以融合并管理功能安全要求。具體來說，產(chǎn)品定義階段現(xiàn)在包括系統(tǒng)級假設(shè)，作為描述系統(tǒng)級背景的一部分。對于半導(dǎo)體器件，這些假設(shè)都視為SeooC（Safety Element out of Context，獨立安全單元）。由于 MCU 和模擬配套芯片作為標準的解決方案，以滿足多個行業(yè)中的多種應(yīng)用，因此 SEooC 是一個安全相關(guān)的元件，而不是為特定系統(tǒng)或特定車輛平臺而制定的。