【导读】方案一使用两个MCU进行安全输出的外部比较,方案二增强了集成度,减少了板卡尺寸,降低了系统复杂性。都可能达到 ASIL-D 级要求,但是正确实施 MCU 和 SBC 可让系统更简单、速度更快、更可靠和更具成本效益…
ASIL-D 解决方案和安全架构的影响
电动助力转向系统(EPS)是许多汽车应用之一,这些应用要求高水平的安全,可确保车辆转向系统是可预测的和确定的。根据特定应用为满足 ASIL D 要求而采用的各种软硬件交互组合,有多种方法或系统架构可以采用。
方案一:使用两个MCU进行安全输出的外部比较。
.jpg)
图1:基于单核和安全 MCU 的 EPS
这种架构的优势是物理复制安全和非安全相关功能和特性。然而,这种配置复杂性较高,再加上软件同步和 PCB 空间增加,使这种方法存在重大问题和障碍。由于器件数量不断增加,因此降低了系统功能的可靠性和可用性。
这种配置可能会带来一个瞬态故障,即单粒子翻转,因此不利于这方面有良好耐受性。
飞思卡尔开发的另一种方法是使用在锁步模式中运行的最新一代多核 MCU。该设计包括与先进的模拟电源管理解决方案相结合的内部自检功能,监控 MCU 并控制故障安全系统状态。
方案二:增强了集成度,减少了板卡尺寸,降低了系统复杂性。
使用锁步模式并将监控集成到电源装置提高了可用性并提高了安全性水平。此外,软件开发的复杂性比第一种方法有所降低。
.jpg)
图2:飞思卡尔针对基于 Qorriva MPC5643L 双核 MCU 和 MC33907 系统基础芯片的 ASIL-D EPS 系统的集成安全架构
飞思卡尔针对下一代功能安全的硬件系统概念包括 MPC5643L 和 MC33907,它们是最新一代的系统基础芯片(SBC),旨在满足 ISO 26262 标准安全要求。
MC33907 根据高效的 DC/DC电源,组合了一个能源管理单元(EMU),这个电源可切换到低功耗模式。MC33907 的主要功能是为 MPC5643L MCU 供电并对其进行监控。它的电源管理与各种安全机制进行了关联,是与 MC5643L 相结合而开发的,可避免因应用故障而导致发生可怕事件。在一个系统中使用两种器件可以减少实现 ASIL D 系统级解决方案所需的工作。
MPC5643L 是一个采用集成安全架构的双核锁步 MCU。为内核、存储器、交叉开关、通信模块和外设提供内置自测 (BIST) 机制。此外,该器件进行了优化,可防止时钟或电压电源问题诱发的共因失效。MPC564xL 系列提供时钟偏差检测的硬件模块以及主电压的硬件监控,如内部核心电压和闪存电源电压。双核 MPC564xL 除了内核外还复制其他关键硬件模块。这包括交叉开关、存储器保护单元、中断控制器、DAM 和软件看门狗定时器。复制领域的主要优势是 MCU 的功能,可检测较频繁发生的软错误等单点故障,不仅检测内核中的,也检测关键的子模块中的错误。
下图显示了 MPC5643L 和 MC33907,它们具有交叉校验机制,有助于确保系统级安全。
.jpg)
图3:飞思卡尔功能安全系统解决方案
飞思卡尔致力于为客户提供硬件解决方案,满足或超出 ISO 26262-5:2011(E) 附录 D 所描述的要求。
飞思卡尔功能安全方法适用于 ISO 26262-5:2011(E) 附录 D 中规定的嵌入式系统的通用硬件,其中每个组件(MCU 和模拟)都作为支持系统环境的安全元件。该解决方案包括 D.2b E/E 系统 IC (MPC5643L MCU)以及 D.2a E/E 系统 IC (MC33907 SBC 模拟解决方案)。 参见图 D.2。
这两个系统 IC 中所用的专用半导体元件请参考 ISO 26262-5:2011(E) 附录 D 中 D.1 至 D.10(见图 4)。 这有利于分解元件并指示诊断覆盖范围。
.jpg)
图4:飞思卡尔功能安全系统解决方案(包括 ISO26262 附录 D 方法)
下表汇总的内容如下:
* 飞思卡尔安全系统中的硬件元件列表
* 为各个元件实施的安全机制/措施
* 各个安全机制/措施可实现的典型诊断覆盖范围,请参见 ISO 26262-5:2011 (E) 附录 D
.jpg)
表1 MC33907 和 MPC5643L 的组合值满足 ASILD 要求
资料来源: 参考 ISO 26262-5:2011 (E) 附录 D 与飞思卡尔硬件解决方案(MPC5643L 与 MC33907)。
SafeAssure MCU和模拟系统基础芯片组合在一起可视为一个 SEooC,有利于评估系统安全性。这些器件的开发是为了支持 ISO 26262 标准要求,并提供了一种可扩展的方法,以简便地开发需要遵从功能安全标准的系统。各个元件之间的最佳交互使系统更简单、更强大。此外,这种架构能够减少系统级组件的数量,满足功能安全需求,并增强可靠性。
在 MC33907 内部,电源管理单元和自动防故障装置相结合,与 MCU 进行交互。采取 4 个安全措施,确保 MCU 和 SBC 无中断电源之间的交互,故障安全输入监控关键信号,故障安全输出驱动故障安全状态,而看门狗用于先进的时钟监控。当与 MPC5643L MCU 相结合时,每个安全措施可以进行优化,以实现最高的安全性能水平。
在组件开发过程中,开发一个完整的失效模式、效应和诊断分析(FMEDA),根据单点故障、潜在故障和共因失效(CCF)测量安全性能。此类安全分析是 SafeAssure产品的支持交付项的一部分,也是混合设备失效模式分析的结果,可确定系统是否安全。设备架构已经实施,具体目标是降低 FMEDA 风险。
例如,分离主要功能(供电和通信)和自动防故障机(一组独立的安全功能,如监控、检测和安全状态控制)可降低 CCF。已经采取了这一具体措施来降低 CCF,并结合了模拟和数字内置自测(BIST)功能,这有助于减少潜在故障。
在系统级,MPC5643L 提出的安全检查机制可由 MC33907 通过故障采集控制单元 (FCCU) 的双稳协议来监控。这种 IC 交叉检验,如对监控定时的查询等,可对系统进行外部检测,作为额外的措施,进一步确保故障检测。
为了符合系统基础芯片系列的安全架构,可以通过一个专用的故障安全输出为安全状态激活提供冗余路径。当发生故障情况时,这些输出将应用设置为确定性状态,以弥补 MCU 故障安全输出。
这些硬件实施方案帮助软件工程师简化了软件架构,且实施的软件开发策略侧重于使用单一的 MCU 方法来确保安全性。
最后,提供了详细的文档,该文档描述了功能安全、安全目标和各个组件的安全实施方案,因此可使用标准的半导体设备管理各种安全应用。
点评
MC33907 SBC 和 MPC5643L MCU 相结合,可使设计人员将飞思卡尔的SafeAssure流程融合到硬件、软件和支持中,从而更轻松地将功能安全添加到关键系统中。这些器件的结合以及全面的文档(如 FMEDA 和“安全手册”)旨在简化硬件架构,并加快任何 ISO 26262 应用的面市速度。
从措施和架构角度来看,在芯片级实施与安全相关的功能所用的新的 ISO 26262 标准尚处于初级阶段。 在冗余和简易性之间取得恰当的平衡是开发经济高效而安全的解决方案的关键。
