首页»汽车»汽车设计中的功能安全探讨

汽车设计中的功能安全探讨

文章作者:Abhinav Jain和Atulesh Kansal, NXP

学习基本的功能安全，常见的错误状态及其检测，以及在汽车系统中实现功能安全的相关单片机设计策略。

在基本的外行人术语中，汽车安全的目的是使整个汽车电子系统在部件故障的情况下继续运行。汽车安全的目标是防止可能导致灾难性后果的完整系统故障，包括生命和财产损失。然而，在过去的十年里，汽车零部件的数量大幅增加，主要是由于舒适水平的提高和提供驾驶辅助。此外，随着无人驾驶汽车和高级驾驶辅助系统(ADAS)的概念在现实中逐渐成形，电子产品的份额继续增加。因此，保证整个汽车系统的万无一失成为一项基本要求，以确保乘客的安全。

不幸的是，错误的系统状态无法避免。系统状态可能会由于组件老化、环境、噪音或制造过程缺陷等自然因素而失效。对于汽车而言，设计目标必须关注功能安全性。在全球公认的汽车标准ISO 26262[1]中，“电气/电子系统故障行为引起的危险造成的不合理风险”的正式定义对功能安全进行了分类。

这种失败的风险是整个价值链的责任:从微控制器(MCU)供应商到原始设备制造商(oem)，再到汽车装配商，他们都必须提供一个高度可靠的系统。反过来，一个高度可靠的系统需要对安全关键要素进行持续监控，包括供应链中的每一个实体对任何不当行为的报告，以及通过软件或硬件启动恢复机制，以返回正确的路径[2]。从机械系统到电子控制系统的范式转变导致了电子控制单元(即现代汽车中的MCU)的指数级增长。电子产品份额的增加将安全标准推回到半导体设计流程中，允许mcu的设计使其能够报告和从任何不希望的状态中恢复，潜在地防止致命的后果[1]。

功能安全的重要性涉及到许多系统。驾驶员辅助系统、雷达和视觉系统使现代汽车能够持续处理来自多个传感器的数据。任何一个传感器的故障都可能误导数据处理系统，如果不立即处理，就会导致严重的危及生命的事故。因此，传感器和数据流变得至关重要。虽然不是那么简单，但即使是电动车窗也需要安全性。以一个导致汽车起火的车祸为例。如果电动车窗失灵，车内的人无法迅速逃离。这个人既不能打开门也不能摇下车窗玻璃来救自己。另一个明显的安全候选是制动应用，因为制动领域的任何故障都会导致立即和众所周知的后果。

图1功能安全流动。上图解释了汽车系统运行中功能安全的报告和反应生命周期。

因此，功能安全在现代汽车领域发挥着重要作用。很多失败是无法避免的，但其后果是可以控制或避免的。在本文中，我们确定了一组可能影响安全性的问题，提出了可能的解决方案，有或没有报告机制，并提供了实现功能安全性的系统设计方法。

影响安全性的系统状态和解决它们的设计策略

有许多典型的系统问题可能导致影响汽车功能安全的故障。对于每个人来说，我们提供问题陈述，然后通过设计过程实现的解决方案

困在重置- 卡住重置（SIR）是MCU不会超出重置以启动其预期功能的条件。MCU SIR也可能盖住连接组件的功能，从而导致系统故障。几种可能性可能导致先生的状态，源于硬件和软件源。一些示例（来自硬件透视图）包括时钟故障，时钟故障和环境噪声。在软件前面，软件可能无法处理像核心锁定等某些状态。核心锁定在核心卡在嵌套异常内时发生，无法执行功能代码。这种类型的事件可以将系统带入先生。

看门狗定时器提供了一种建议的解决方案，通常是撤销SiR状态的最佳方法。看门狗定时器在后台运行，由单片机上运行的软件定期重置。在SiR事件中，看门狗定时器计数将不会重置，因此将超时。适当的设计可以利用这个超时事件来触发单片机，从而使其脱离SiR状态，帮助系统恢复。软件看门狗定时器就像一个看门狗，在后台不断地监控着单片机的活动。

内存中的位翻转- 记忆，尤其是静态RAM，是数字系统的一个组成部分，并且具有突出的份额区域在大多数单片机。在对内存进行读写操作时发生通常，它可能是一个数字一个(1)翻转到数字零(0)，反之亦然。导致比特反转的因素可能是元件老化、外部攻击、宇宙射线等。

发生在安全关键数据路径上的位反转可能非常危险。因此，安全关键内存应该支持错误纠正代码(ECCs)。这些错误可以是可纠正的或不可纠正的，这取决于发生的位翻转的数量和使用的ECC算法。一个流行的错误纠正代码是汉明代码，它可以检测最多两个错误，只能纠正单比特错误，并且非常容易实现。根据问题的应用和关键性质，可以使用更增强的ECC算法，能够同时校正多个比特。

时钟的变化- - - - - -一个连续的、干净的系统时钟是系统正常工作的基本要求。时钟关闭或“故障”时钟可能导致系统故障，从而影响系统安全。对时钟的连续监控提供了一个可行的解决方案。

这种时钟监测单元的设计可能不同:一种设计可能测量时钟频率;另一个可能显示时钟是否在一个范围内。一个非常基本的时钟监视器设计使用一个单独的参考时钟来建立一个用户可配置的时间段，并计算在这个时间段内被监视的时钟的时钟周期。将被监控时钟的最终计数与上限和下限阈值进行比较，以得出时钟是否在安全范围内。

图2基本时钟监控

电源故障-汽车内部环境非常恶劣，可能会造成供电路径被破坏或变弱的情况。电源电压死或差可能是由于引脚或球(例如，球栅阵列包)由于过热而损坏或脱焊，印刷电路板的轨迹或痕迹的物理损坏，或电源本身的功能故障。系统应该能够标记此类实例，以防止进一步的事故。

为了纠正电源故障，每个电源电压的“存在检测器”应该集成在MCU中。这些探测器不需要非常精确，但必须有足够的能力在最坏的供应水平下降时触发。对这样一个事件的反应可能取决于如何关键的供应是系统。例如，如果核心电源受到不利影响，那么建议的反应可能是正电复位的。另一方面，如果该电源为以太网网络供电，那么可能就足够了来标记一个错。临界程度也取决于是否存在辅助机制，该辅助机制将检测供应馈送的模块的错误状态。例如，以太网有CRC检查数据包，超时机制等。设计供应存在探测器可以像电源一样简单地偏置晶体管被监视。

图3电源存在检测器的基本结构。

卡住逻辑和记忆- MCU是半导体;所有逻辑工作都是基于电子的控制运动。由于周围环境中高水平噪声的可能性，人们不能忽略强烈误差的可能性。软误差是由击中半导体的精力充电粒子引起的故障，该粒子可以翻转从0(0)到1(1)，反之亦然，可能导致操作硬件行为失常。

内置自检(BIST)是检测数字逻辑故障[3]的一个可能的候选者。数字的BIST有两种类型:LBIST (Logic BIST)和mist (Memory BIST)。在LBIST[4]中，通过预定义的模式对固定数量的时钟执行逻辑，然后是签名计算并与“黄金签名”所对应的预定义图案和时钟周期数相比较。在mist中，检查模式被写入内存，然后读取回来并与之进行比较写。

BIST电路可以通过使用特殊的触发器称为扫描触发器，以取代实际的触发器在逻辑。扫描触发器可以在BIST模式下选择测试输入，工作方式为一个正常的触发器功能模式。还，这些扫描触发器被连接成一个触发器链，称为扫描链[3]。在单片机的设计中可以包含一个BIST控制器，以增强安全性，通过执行模式和检查结果时，由软件定期触发。

指令读路径中的指令字翻转-另一个可能达到错误状态的来源是当指令字被损坏由于读取路径中的噪声或耦合、电压尖峰或电离辐射，以及其他事件。当核心执行一条损坏的指令时，它可能会给出一个异常，或者执行任何不正确的逻辑。这样的事件在安全关键的MCU中可能是灾难性的。

容忍这样的指令错误，建议在处理过程中重复。在复制中，多个核执行同一条指令和它们的输出是并行比较的。这个概率相同指令故障会发生在所有的核是很小的。因此，这种“同步”的安排是有帮助的容错系统设计，帮助确保单词损坏是可检测的。

一项安排冗余核在固定的时钟周期后执行相同的指令称为延迟因循守旧。延迟同步背后的意识形态是电压尖峰非常短时间内;因此任何指令的损坏都会被及时发现执行在下一个时钟周期中。遵循这一思想，这种同步也可以推广到其他硬件上抓任何随机失败。

恢复策略

单靠对单片机关键部件的连续监控可能不足以实现安全。一个监视器检测到的任何乱序事件需要被报告，但是r报告还应触发适当的纠正行动。一个明显的和非常简单的方法是逻辑上或所有这些信号，并将它们连接到重置单片机。在这种情况下，任何故障的恢复机制都是相同的—复位—这可能过多了。另一种方法可以基于单个信号的检测和触发其恢复机制，而不是基于所有信号的逻辑或。但是，这种方法将为故障发生的每个实例提供单一的恢复路径，这可能不是所有情况都需要的。

因为每个事件在每个情况下可能不需要相同的纠正路径，一些灵活性通常是可取的。为实例,先生条件不需要报告如果单片机处于复位状态，则只有一个较高的重置可以让它脱离复位状态。另一方面，一个不正确执行的指令可以被恢复从没有复位的MCU。要支持不同的恢复路径，取决于如何至关重要的的error-affected路径是不是集中式报告方案的一个额外级别变成了重要的。

这个集中的单元收集所有报告的故障，并生成不同的恢复路径或“反应”，实现根据配置的硬件或软件这是编程。例如，时钟监视器跟踪系统中不同的时钟。对于系统时钟监视器，对监视器报告的故障的反应必须是生成复位到系统,自系统时钟是最至关重要的时钟。以防一个错误是生成的被一个监视器监视着时钟但是，系统可能只需要一个中断触发到指导软件采取的核心适当的纠正措施-如冲洗fifo并启动重传。因此，该集中故障控制单元成为整个MCU中最关键的安全IP，为选择故障所需的反应类型提供了灵活性。