内容提要：本文将介绍SBC的功能安全应用，从开发阶段到系统设计角度来说明其与可靠性的联系，以及如何启用安全就绪的硬件。

汽车正朝着智能化，电动化和网联化的方向变革，从而降低排放、优化交通拥堵并减少其他危害。能够代替人类驾驶员做出决策和行动的电子系统发挥着重要作用。这些系统不能因错误操作造成人员伤害，因为它决定并执行着安全相关的应用，比如转向、制动或变速等。

这些系统的开发遵循最高的 ISO 26262 汽车安全完整性等级-ASIL D，以确保系统在可接受的概率下违反安全目标并能够进入安全状态。

所有安全电子系统都需要一个安全的MCU和一个可靠、安全的电源：这就是系统基础芯片（SBC）。安全微控制器和安全SBC是嵌入式系统架构(包含独立硬件监控)的支柱。

本文将介绍SBC的功能安全应用，从开发阶段到系统设计角度来说明其与可靠性的联系，以及如何启用安全就绪的硬件。

一、关于 ISO 26262 功能安全标准

功能安全是指不存在因系统失效引起的危害而导致的不合理风险。为了显著降低失效风险，了解和评估可能发生的失效类型至关重要。这些失效可分为两类：

1.系统性失效：只有通过改变制造工艺、操作流程、文件或其他相关因素的设计，才能消除的失效。系统失效风险通过开发流程和质量管理来降低。

2.随机性失效：在硬件元件的生命周期内不可预测地发生的随机性失效。这些失效可能是由于受干扰环境的永久或者瞬态失效，也可能是系统内在技术在生命周期内的性能降低造成的。专门的系统架构设计或 IC检测策略可降低随机失效风险。这也是 SBC 的作用之一。

2011 年 11 月 15 日汽车行业安全标准 ISO 26262:2011(E)正式发布。该标准专门针对“道路车辆 - 功能安全”进行了修改，是基于IEC 61508对用于汽车电气/电子（E/E）系统的功能安全标准的改编。

汽车应用必须保持功能性和可恃性。为了可恃，E/E系统的设计必须在安全性和可用性之间取得平衡。

可用性是可维护性和可靠性的良好平衡，而安全性主要取决于系统可靠性。下图说明了这种关系。

图 1：功能安全的可恃性平衡

二、从系统需求到 IC 架构定义

ISO 26262定义了一个系统安全完整性等级，该级别取决于严重性、发生率和可控性。下表总结了与系统相关的各种汽车系统完整性等级（ASIL）。

表 1：汽车系统安全完整性等级

要将这一要求转化为 IC 级别，需要定义失效概率；这是通过FIT值计算的。

三、定量分析—从可靠性到功能安全

根据 IEC 62380，功能安全指标是根据FIT计算的，1 FIT 表示109小时或 114 年内发生一次故障。该指标量化了应用在生命周期内的失效风险。该 FIT 值取决于技术、封装和应用条件（任务背景）。根据硬件劣化，FIT 值计算有助于确定 ISO 26262 指标。

半导体设备的 FIT 率根据其占的裸片尺寸分配给功能，并且对于每个功能，它的所有可能的失效模式是平均分配的。如果安全相关功能的某个失效模式违反了应用的安全目标，则需要一种安全机制来检测它。

图 2 - 根据 IEC TR 62380 标准计算的 FIT 率

根据ISO 26262要求，通过FMEDA 计算SPF，LF和PMHF三个指标来匹配ASIL 等级要求，具体计算方法可以参考牛喀网之前发布的文章《功能安全硬件度量指标计算(上)，功能安全硬件度量指标计算(下)》。

表 2–SPFM、LFM 和 PMHF 与 ASIL 目标

四、为什么要结合电源管理和功能安全硬件监控？

微控制器需要外部安全监控措施来监控时序（看门狗）、电压水平（过压/欠压）和计算（FCCU 监控）。这些关键系统功能已标准化并集成在电源管理电路中，安全 SBC 是电源管理通信和系统的集成。其主要目的是为嵌入式系统供电和监控。

嵌入式系统的安全需要MCU和SBC 的结合，这就是为什么还需要对失效安全进行定性分析的原因，例如组件在故障诊断后，要让IC的安全状态与系统安全目标保持一致。通常MCU为内核、存储器、开关、通信模块和外围设备提供内置自检 (BIST) 机制。SBC保护系统的电源并监控 MCU。在一个系统中使用这两种设备可以减少实现 ASIL D 系统级解决方案所需的工作量。

图 3 –系统示例 – BMS ASIL D 安全架构的

电源管理和安全硬件监控集成有助于简化系统架构，标准化嵌入式系统的安全平台，并通过充分的定量分析达到ASIL要求。然而，定量分析不足以满足系统可靠性故障检测后设备的行为是需要考虑和补充的关键。

五、定性分析—从失效安全到失效静默

不同的应用具有不同的安全状态，在某些情况下，系统架构师喜欢硬关断，如复位、失效安全引脚激活。在其他情况下，可能首选软关断或降级模式，这能让应用继续工作。BMS是第二种情况的一个完美案例，是采用失效静默架构的主要驱动因素。

失效静默模式是在硬件级别提供的一种可配置性软件，具备灵活的安全行为，适用于应用的多个安全目标。重启和失效安全激活都是可配置和安全的，这意味着系统级的可靠性级别可选。

在上面的BMS示例中，该解决方案使系统能够在降级模式下工作，即使发生故障后，也具有适当的可用性，用来继续管理车辆电源。

六、安全延迟—故障后系统时序管理

在安全状态下，电机控制应用需要在检测到故障后顺序断开电源。这种情况需要对故障检测和安全状态激活之间的时序进行特定处理。由于电机是感性负载，这个时间有助于避免因消磁而导致的系统失效。

为了支持功能安全，可以定义、实施可配置的安全延迟，实现安全的能量消磁。通过具有数字和模拟冗余的时序管理生成一个可配置的延迟信号FS1，和帮助系统简化和确保电机进入失效安全状态的FS0。

图 4 – 电机控制器架构的系统安全延迟管理

此示例表明，硬件功能安全是达到 ASIL 级别的定量分析和支持各种SEooC安全目标的定性分析的组合。

七、验证：系统解决方案的证明

7.1 硬件集成测试

对安全SBC的安全架构验证主要在硬件集成测试阶段，特别是在故障注入测试阶段进行，验证FMEDA中违反安全目标的失效模式下的安全状态可以激活。当FMEDA分析完成且芯片可用时，则要验证安全概念是否按照定义和实施工作。为此，故障通过物理注入到设备中，以验证相关的安全机制是否在FTTI内激活安全状态来做出反应。

例如，验证 SBC 监控的 MCU 故障收集控制单元 (FCCU) 引脚。在正常情况下，MCU 向 SBC 安全输入引脚 IO_2 和 IO_3 提供两个差分电压的 FCCU 信号。在故障情况下，MCU 会更改其 FCCU 信号之一，将相同的电压发送到 SBC。SBC 检测 IO_2/3 与预期差分电压的差异，就在配置的延迟后通过激活其安全输出 FS0 和 FS1 做出反应。此外，SBC 通过激活 SPI 寄存器中的一个标志来提供诊断，MCU 可以检查该标志，以便在 MCU 复位后了解安全状态激活的原因（图 5）。

图 5 – 通过 FCCU 检测和相关 SPI 诊断激活安全状态

FMEDA 中列出的所有违反安全概念中定义的安全目标的故障模式都将被注入到设备中，并验证相关的安全机制。

7.2 扩展验证

为了评估该技术的局限性，并评估安全SBC中实施的安全架构的稳健性，还可以进行一些扩展测试。这些试验可以一直进行到设备完全损坏。超出数据表中指定的最大额定值，其唯一目标是验证即使设备损坏，安全状态仍保持激活状态。即使在这种极端情况下，也能达到安全目标。

这意味着人类汽车驾驶员不会因安全关键 ECU 的不受控制行为而受到伤害。图 6 表明，在将供电电压 (18 V) 施加到最大额定值8V的预调节器 (Vpre) 后，器件损坏时，安全状态仍处于激活状态（FS0 激活低电平）。

图 6 –设备损坏后的安全状态激活（Vpre>最大额定值）

八、结论—可靠性、稳健性和安全性是简化嵌入式解决方案的关键

本文重点介绍了外部硬件监控设备（如SBCs）的定量和定性安全分析方法，质量管理和零缺陷方法是功能安全分析的基础。它提供 FIT 值计算以支持功能安全量化指标分析，并与失效安全硬件监控架构结合，有助于达到定量目标，达到正确的 ASIL 等级要求。特别说明了质量与功能安全之间的联系，特别是FIT值与任务背景之间的关系，系统在失效后的行为也是IC分析和安全行为的一个重点。安全状态的可配置性演变，使应用能够在E/E系统的安全性和可用性之间做出正确的权衡，从而确定其可恃性。汽车半导体的验证也在发生变化，需要更多的系统测试来确保部件在恶劣和噪声环境中以及故障后的性能。

图 7 实现汽车电气化和自动驾驶的关键技术

总而言之，这种先进的安全架构简化了 ECU 设计，有助于评估风险，提高系统稳健性，并通过可配置的失效安全或失效静默行为帮助设计人员预测失效后的系统行为。

这种风险分析与功能强大的设计、灵活的失效安全系统架构和先进的网络安全架构相结合，提升了故障容错和网络安全防护能力，为自动驾驶开辟了前景。

作者：SCCM特邀专家
牛喀网文章，未经授权不得转载！