В современных автомобилях используются сотни полупроводниковых узлов и других электронных компонентов, в которых реализованы системы сенсорного интерфейса, зарядка аккумулятора и контроль питания, а также поддержка и управление двигателем. Требования спецификации ISO 26262, подготовленной Международной организацией по стандартизации в отношении функциональной безопасности, обеспечивают безопасную работу этих сложных и взаимосвязанных устройств.

Разработка конструкций, соответствующих стандартам, и получение сертификата могут быть трудоемким и дорогостоящим процессом. Но проблемы относительно легко решить, поскольку полупроводниковая промышленность предоставляет OEM-производителям и их поставщикам полные среды функциональной безопасности минимизирующие затраты, риски и время проектирования, необходимые для прохождения сертификации.

Что такое стандарт ISO 26262

Стандарт ISO 26262 определяет характеристики функциональной безопасности электрических и электронных систем, устанавливаемых на серийные автомобили (за исключением мопедов). Этот регламент был опубликован в 2011 году и обновлен в 2018 (в него был добавлен раздел определяющий требования к полупроводникам). ISO 26262 описывает процесс разработки продукта от спецификации до серийного производства. OEM-производители и поставщики автомобилей должны следовать ему и документировать свои действия при квалификации оборудования для использования в дорожных транспортных средствах, требующих функциональной безопасности.

Сертификацию проводит независимый оценщик, подтверждающий их соответствие требованиям ISO 26262. При этом устройства в автомобиле классифицируются по разным уровням полноты безопасности (ASIL или по русски УПБА) в зависимости от уровня их критичности для работы, поскольку работа некоторых устройств связана с повышенным риском безопасности в случае их сбоя. Используемые уровни от A до D отражают тяжесть последствий такого отказа и вероятность возникновения потенциальных травм для людей, а также степень, в которой можно контролировать работу этого оборудования.

Существуют также уровни требований безопасности для компонентов из которых строятся эти блоки.

1. ASIL-D представляет высшую степень опасности и распространяется на такие устройства как подушки безопасности, ABS и гидроусилитель руля.
2. Круиз-контроль это ASIL-C. То есть чем выше уровень ASIL, тем больше требований к резервированию оборудования.
3. Ближний свет и стоп-сигналы обычно классифицируются как ASIL-B.
4. Задние фонари классифицируются как ASIL-A — самая низкая степень риска.

Существует множество способов с помощью которых поставщики компонентов могут ускорить и упростить разработку и сертификацию своих приложений безопасности по ISO 26262. Ресурсы, доступные для этой цели, показаны на рисунке. Во-первых, необходимо тщательно выбирать компоненты, чтобы их спецификации включали необходимую информацию и функциональную безопасность. К ним относятся отчеты о последствиях режима отказа и диагностическом анализе (FMEDA) и инструкции по технике безопасности. Компоненты также должны поддерживаться средой разработки пригодной для критически важных устройств.

Обеспечение функциональной безопасности

В современных автомобилях используется множество различных интегральных микросхем. Конечно микроконтроллеры (MCU) имеют первостепенное значение, поскольку они работают во всех электронных блоках управления (ECU) и используются в системах комфорта. К ним относятся 8-битные блоки, оптимизированные для производительности, энергоэффективности и работы в реальном времени. Они также реализуют аппаратные сенсорные интерфейсы.

С другой стороны, существуют 32-разрядные чипы, которые могут поддерживать многопоточные приложения, графические пользовательские интерфейсы, средства связи и функции безопасности. Также необходимо заменить контроллеры DSC (Digital Signal Controllers), которые соединяют ядро MCU с процессором DSP.

Каждая из используемых микросхем должна соответствовать квалификационным стандартам автомобильного производства и производительности, установленным Советом по автомобильной электронике (AEC). Стандарты AEC-Q100 определяют процесс квалификации компонентов на основе анализа отказов и испытаний на усталость, а также определяют различные температурные классы. В зависимости от целевого применения микроконтроллер соответствует стандартам AEC Q100 Grade 2, Grade 1 или Grade 0.

• Класс 0 соответствует температуре 150°C, класс 1 — 125°C, класс 2 — 105°C.

В дополнение к квалификации AEC дополнительные требования, предъявляемые к устройствам, касаются функций, обеспечивающих функциональную безопасность. Например, 8-битные микроконтроллеры часто включают интерфейс CAN FD для связи с автомобильными системами и интеллектуальными датчиками. Такие микроконтроллеры обычно используются в качестве контроллеров пользовательского интерфейса (UI), поддерживают механические кнопки и емкостное касание в кабине, рулевом колесе, центральной консоли или работают как часть бесключевой системы доступа.

Встроенные аппаратные функции безопасности в этих устройствах обычно связаны с работой памяти и сбросом, безопасным выполнением кода, защищенной связью и защитой линии GPIO от перенапряжения. Они интегрированы с использованием специализированной периферии CIP (работающей независимо от ядра) и многими другими функциями.

Что касается более эффективных блоков, то в предложение включены 16-битные контроллеры DSC с блоками функциональной безопасности. Они реализованы аппаратно и обычно включают в себя память со встроенным обнаружением и исправлением ошибок, встроенную самопроверку памяти (MBIST), мониторинг тактового сигнала, дополнительный (резервный) генератор и аналогичные блоки для обнаружения неисправностей, самодиагностики и тестирование схемы и реакция на ошибку. Эти функции позволяют разрабатывать критически важные для безопасности встраиваемые устройства, подключать датчики, создавать цифровые схемы питания и приложения для управления двигателями. Типичные области применения включают преобразователи постоянного тока в постоянный, зарядные устройства OBC, приводы и датчики, сенсорные детекторы и контроллеры, ориентированные на соответствие ASIL-B или ASIL-C.

Как и все другие микроконтроллеры с функциями функциональной безопасности, 32-битные блоки выполняют такие функции на аппаратном уровне, включая память с исправлением ошибок (ECC) и внедрением ошибок (Fault Injection), встроенное самотестирование памяти. С этой точки зрения также важны схемы контроля питания, такие как POR, BOR, сторожевой таймер WDT, аппаратный генератор CRC и блок защиты памяти. 32-разрядные микроконтроллеры используются во многих устройствах, от находящихся в кабине – до усовершенствованных систем помощи водителю (ADAS) с целью обеспечения функциональной безопасности.

Также возможно достижение уровней безопасности ASIL C/D со стандартными микроконтроллерами и DSC. Это делается путем соединения MCU или DSC со вторым блоком или с так называемым сопроцессором безопасности. Принцип декомпозиции УПБА позволяет это: комбинация двух подсистем, совместимых с ASIL-B, может использоваться для достижения более высокого, такого как ASIL C/D: ASIL-C = ASIL B (C) + ASIL A (C) ASIL-D = ASIL B (D) + ASIL B (D) = ASIL-C (D) + ASIL A (D).

Декомпозиция достигается разделением требований безопасности на отдельные блоки системы.

Средства разработки и сертификации

Наборы средств разработки, сертифицированные по функциональной безопасности и являющиеся частью полной среды разработки, могут помочь выполнить требования проверки кода ISO 26262. Это относится, в частности, к проектам, использующим микроконтроллеры и системы DSC. Производители такого программного обеспечения сотрудничают с независимыми оценочными агентствами (так называемыми третьими сторонами) для сертификации компиляторов на предмет их функциональной безопасности. Обычно также включается дополнительная документация, такая ??как сертификат, руководство по функциональной безопасности, план безопасности и классификация инструментов и отчеты о квалификации компилятора, интегрированную среду разработки (IDE), отладчики памяти.

В идеале инструмент покрытия кода также используется в процессе проектирования, чтобы оценить насколько хорошо было протестировано программное обеспечение, и указать, какие фрагменты кода были созданы, а какие нет. Этот инструмент также должен быть включен в отчеты о классификации и квалификации. Следовательно стоит выбирать продукты, которые могут тестироваться за один проход без разбивки кода на блоки и использования обширных аппаратных модификаций, избегая дорогостоящего программного обеспечения и требующего значительных усилий для поиска в больших файлах данных необходимой информации.

Чтобы разработать автоустройство совместимое со стандартом ISO 26262, инженеру потребуется дополнительная информация, помимо технических характеристик, от производителя полупроводников. Обычно они доступны в виде «пакетов функциональной безопасности» и предоставляют OEM-производителям и поставщикам автомобилей то, что им нужно на разных этапах оценки устройства и цикла проектирования. Эти пакеты должны содержать сертифицированные руководства, отчеты FMEDA и, в некоторых случаях, диагностическое программное обеспечение, такое как сертифицированные библиотеки самотестирования для соответствующих уровней ASIL. Количественная оценка отказов оборудования, распределение частоты отказов во времени (FIT) и соответствующие методы обнаружения уточняются в отчете FMEDA, помогая создать план покрытия.

Еще одним важным источником информации является Руководство по безопасности (SM). В нем содержится информация о методах поиска неисправностей, перечисленных в отчете FMEDA, и предлагаются способы использования устройства для обеспечения максимально безопасной работы.

Создание критически важного для безопасности устройства начинается с определения целевого уровня, которого необходимо достичь. Базовый пакет содержит такие ресурсы как FMEDA, руководство по технике безопасности и сертификаты, которые помогут приступить к оценке целей функциональной безопасности и разработке критически важных автомобильных систем.

Стартовый комплект функциональной безопасности для проекта на основе микроконтроллера в идеале должен включать сертифицированный отчет FMEDA ASIL B Ready, руководство по безопасности и диагностические библиотеки совместимые с ASIL B/C, в сочетании с эталонным проектом, чтобы помочь разработчикам понять как эти ресурсы можно использовать для разработка критически важных с точки зрения безопасности устройств с соблюдением стандарта ISO 26262. Это помогает ускорить цикл проектирования и разработать устройство в соответствии с УПБА.

Полный пакет функциональной безопасности может расширить предложение сертифицированными диагностическими библиотеками, содержащими исходный код и соответствующие отчеты по анализу безопасности для проектов до ASIL B/C. Учитывая что многие клиенты запрашивают сертификацию своих критически важных с точки зрения безопасности устройств, полный пакет ускоряет процесс сертификации.

Итого, автомобили становятся все более сложными и степень их электронизации постоянно увеличивается и все более важным становится обеспечение их функциональной безопасности в соответствии с требованиями ISO 26262.