现在,轿车职业革新迅猛,轿车的规划、运用和出售形式都在快速演化。驾驭员安全技能、交通拥堵、环境问题及轿车作为代步东西的基本前提都影响着新一代轿车的研制。为处理这些难题,许多轿车厂商都企图强化核算才干以优化车辆操控。欧盟新车安全评鉴协会(EuroNCAP)公布的新规范规则,车道改换支撑等安全辅佐功用是取得五星安全评级的必要条件。车载处理器的数量在一切细分商场都稳步上升,现在平均为40-50个,而一些高端车型则现已搭载近120个处理器。据SemicastResearch猜测,到2022年,仅发动机引擎罩下的电子操控单元(ECU)组件就将到达近860亿美元的商场规模,相较2015年的530亿年复合增长率到达7%。半导体厂商将有机会在轿车电子范畴发掘一大桶金。
高科技芯片能够改进动力体系排放、增强安全功用、并运用蜂窝网络完成车辆间及路途根底设施之间的互联。可是,跟着体系的杂乱化,保证驾驭员安全就变得更为要害,有必要打造愈加自动化,体系化,且能患于未然的处理方案——即咱们一般所称的“功用安全”。
什么是功用安全?
简而言之,功用安全的终究意图是保证产品安全运转,即使呈现问题也能够继续保驾护航。根据这一理念,ARM将保证安全视为头等大事,而非单纯按照商场导向趁波逐浪,不断加强研制,推出更多功用安全相关产品。各行各业都会拟定规范,辅导未来开展并限制最低准入门槛。在轿车电子职业,这一规范便是ISO 26262,它将功用安全界说为:
“防止因电气/电子体系毛病而导致的不合理风险”。
不同范畴的规范并不完全一致,例如针对电气和电子体系的IEC 61508以及飞行器电子硬件的DO-254都有各自的界说办法。更需值得注意的是,它们都具有专用术语,并供给了包含方针参数在内的工程研制辅导。因而,开端产品研制前确认方针商场并拟定适宜的流程至关重要,由于半途批改研制流程必然会导致功率低下。图1展现了硅片IP的不同运用规范。实践操作中,假如需求满意多套规范,则能够求同存异,先列出专属需求,再履行质量办理等通用原则;最一开端就要做到安全榜首。
实践操作中,功用安全体系有必要由独立评价员认证,契合一切安全规范。完成功用安全需求具有猜测才干的毛病形式,实时判别体系情况是功用完好,部分功用损坏,仍是体系有必要封闭进行重启或重置。
并不是一切毛病都会立刻引发严峻事端。比方,轿车动力转向体系毛病或许会导致突发性的过错转向,可是由于电气和机械规划天然的时刻推迟,毛病并不会立刻产生成果,这一推迟一般是几毫秒以上,ISO 26262将之界说为容错时刻距离,距离长短取决于潜在的事端类型和体系规划。所以,不难了解,对体系安全要求越高,产生不安全事情的毛病就越应该防止。
抱负情况下,功用安全不会影响体系功用;但现实生活中,现行的许多安全办法都会严峻影响体系功用、功率和面积(PPA)。如安在保证功用安全的前提下减轻对体系功用的晦气影响以及规划制作本钱的上升,是规划师们面对的一大难题。
为什么需求功用安全?
芯片IP的功用安全曾是十分小众的范畴,只要少数轿车、工业、航空航天和其他类似商场的芯片与体系开发商感兴趣。但是,跟着曩昔几年各类轿车运用的鼓起,情况现已产生巨大变化。除了轿车外,还有许多其他职业也能从电子器件的添加获益,当然保证功用安满是大前提。医疗电子和航空便是两个典型比方。
自动驾驭曩昔几年招引了不少人的眼球,但一直是水中望月;现在,跟着高档驾驭辅佐体系(ADAS)及富媒体车载信息文娱体系(IVI)的遍及,虽然高度自动化驾驭的年代仍然悠远,但自动驾驭轿车的远景已变得益发明晰。尺度形状各异的无人机和日益遍及的物联网也是亟需功用安全的范畴,ARM的技能将成为一大助力。
ARM功用安全技能
与其他技能商场相同,新式的功用安全运用也需求半导体的驱动;这并不是坐而论道,一日千里的产品立异现已引起了ARM合作伙伴的浓厚兴趣。大都功用安全嵌入式体系都需求具有安全防护及实时处理两大中心要素,ARM Cortex-R系列处理器为此需求量身定制,为嵌入式体系供给高功用运算处理方案,保证产品的高牢靠性、高可用性、容错、以及/或强壮实时自主判别才干。这些特性为完成ADAS和IVI体系的高安全完好性打下根底,不只能够履行要害行为处理,应对安全相关的中止事情,与其他体系通讯,还能够对集成度较低的杂乱功用进行监管。
什么是毛病?
毛病或许是体系性的(如规范拟定和规划进程中的人为因素);也有或许与运用的东西有关。削减毛病的一种办法是履行苛刻的质量管控流程,有必要包含具体的规划、查看和量化评价。合理的规划运用东西认证十分重要,办理与追寻需求改变的才干也相同要害。ARM的Compiler 5编译器现现已过南德集团(TÜV SÜD)认证,助力安全研制,客户无需对编译器进行额定认证。
还有一种毛病类型被称为随机硬件毛病。它们或许是图2显现的永久性毛病,比方短路;也有或许是由于天然辐射而形成的软性毛病。这类毛病能够运用集成在软硬件的方案进行处理,因而体系级的技能也相同重要。举例来说,逻辑内建自测验(BIST)能够运用于体系启动和封闭,区别软性和永久性毛病。
应对办法
毛病检测和操控办法的挑选和规划是流程规划师最喜欢的环节,由于他们能够一起用体系级和微架构级的技能大展四肢。树立毛病形式概念和作用剖析(FMEA)是个不错的开端,列举出一切或许呈现的毛病形式及其成果的严峻程度。有了这些信息,加上规划师对杂乱体系的深化了解,即可鉴别出最严峻的毛病形式,并规划出应对办法。
应对潜在毛病的办法较多,下面列出了一些最常用的技能:
多样化查看器:运用另一条电路查看主电路是否产生毛病。举个比方,查看器能够为中止操控器计数,继续记载人为及体系引起的中止总数。
完好锁步仿制:该技能首要用于Cortex-R5处理器,对一个IP元件(如一个处理器)进行屡次实例化,运用循环产生操作推迟,生成时刻和空间冗余。大容量存储一般由多个实例同享,以下降所需面积。虽然这一技能十分牢靠,但也极为贵重。
挑选性硬件冗余:这个方案里,只要硬件的要害部分能够仿制,如裁定器。
软件冗余:硬件冗余一般十分杂乱,并且会产生间接本钱,是对资源的不合理运用。硬件运算的代替办法便是,在多个处理器内核上运转同一次核算,查看成果是否匹配。
过错检测和校对码是另一种为人熟知的技能,一般被用于维护存储器和总线。代码类型多种多样,但方针只要一个,既通过少数附加位取得更高冗余,无需仿制一切底层数据。轿车体系中,这一尖端技能能够运用足够多的冗余检测出一个存储字的2位过错;并支撑过错批改。
毛病日志
检测出毛病后就有必要进行记载,以协助监管软件判别体系的健康和安全情况。安全毛病(如存储器批改)和风险毛病(如不能拯救的硬件毛病)有必要别离记载。
毛病记载一般从毛病计数开端,能够由体系级架构记载有信号事情(类似于中止)的数量;或许由IP计数器记载。为了解这些事情产生的原因,最好还能将曩昔的事情作为参阅,判别当时时刻的产生原因。为支撑这一需求并进行调试纠错,能够答应一些IP捕捉额定信息,如被侦办的存储地址。由于该地址一般会由软复位保存,所以能够在体系启动和体系自检进程中被读取。
有一点需求紧记,毛病也或许产生在安全架构自身。与硬件毛病不同的当地是,后者一般能够在运用进程中被很快发现,但安全查看器中的毛病或许是埋伏的,它现已无法侦测风险毛病,但毛病却现已悄悄地延伸开了。这样的毛病被称为埋伏毛病,定时测验查看器是个不错的办法。
安全完好性等级
不同的规范体系反响安全等级的办法也各不相同,但其首要意图是直观的反映功用的要害性。比方说,操控挡风玻璃雨刮、安全气囊或制动器的ECU,完好性有必要高于操控车速表或泊车传感器的ECU,由于前方视界至关重要,忽然刹车或气囊充气或许形成丧命成果,驾驭员也会凶多吉少;而车速表或泊车传感器对安全泊车的重要性就低得多了。
换句话说,安全完好性等级是与人防止风险情况的必要性和才干相关的;而各项规范的作用便是辅导人们怎么界说安全完好性等级,并供给相关参数,协助其对体系完好性进行量化。
IEC 61508将安全完好性等级(SIL)分红4级,第4级为最高完好性。与之类似,ISO 26262提出了轿车安全完好性等级(ASIL),最低为ASIL A,最高为ASIL D。此外,就表二所示,针对ASIL B到ASIL D,ISO 26262别离就单点毛病、埋伏毛病和硬件毛病概率方针(PMHF,业界也称及时毛病)提出了主张参数。可检测毛病的份额被称为确诊覆盖率。
虽然这些方针一般被视为规范要求,但在实践运用中,它们一般只被视为主张,供货商能够自行拟定方针参数。最重要的方针是打造安全的产品,而不是在产品参数表上多加几个数字。让咱们再次借用前面提到过的比方——挡风玻璃雨刮、制动器和安全气囊,这些元件的安全等级或许到达ASIL D,而车速表和泊车传感器或许是ASIL B或更低,具体等级取决于全体体系安全规划。
不管确诊覆盖率多高,打造功用安全运用的时分都有必要遵从适宜的流程——这也是规范体系最大的优点。此外,不管选用何种功用安全办法,严厉的质量流程都能够提高任何运用的全体质量。
功用安全IP的规划流程
开发功用安全运用IP时,“安分守己”十分重要。这个进程有必要从一开端就将安全归入考虑,并且还有必要营建支撑安全的文明。
完好的开发流程有必要包含以下几个重要方面:
安全办理:包含团队安排架构,具体内容如:清晰不同职位的界说和责任、打造安全文明、界说安全生命周期,界说功用安全支撑等级。安全生命周期的设定包含拟定一份成功方案,挑选适宜的开发东西,保证团队承受充沛的训练。
需求办理和毛病检测及操控办法(应对办法)的可追溯性。为准确完成需求追溯,需求自身界说有必要要清晰,精准,且具有唯一性。追溯等级取决于完好性的要求,文件能够高等级;产品则需求从毛病检测到验证等各个环节八面玲珑——方案进程不得空穴来风,有必要通过具体验证。
? 质量办理是需求追溯的拓宽和延伸。勘误表有必要得到妥善办理和运用。ARM在这一范畴具有丰厚的经历。此外,流程的记载和传达也相同重要。
安全文件包
IP开发是ARM支撑合作伙伴的一种途径,咱们的合作关系并不会止于客户收到IP的那一刻。就功用安全相关的IP开发,ARM界说了2个安全文件包等级:
最高至ASIL B的规范支撑
最高至ASIL D的延伸支撑
每个安全文件包都包含一份安全手册,具体阐明遵从的流程、毛病检测及操控功用、适用场景和其他信息。咱们一起供给“毛病形式及作用剖析陈述”,并供给事例剖析,论述怎么用IP完成更高的确诊覆盖率;咱们也为客户的独立剖析供给芯片级的更多支撑。此外,文件包也就ARM和被授权方的开发接口做出了清晰界说。
独立安全单元
安全情况陈述的树立和运用需求步步递进。该陈述由芯片开发商供给信息,一切厂商的信息都有必要归纳考虑,最终交给客户运用,层层递进。获答应最多的芯片IP被称为“独立安全单元”(SEooC),其规划师们无需了解该芯片后续的运用办法。因而,安全手册有必要阐明 IP开发商对芯片运用主张和阐明,防止误用。相同,OEM的1级操控器供货商也能够运用SEooC模型开发安全功用。因而,IP级的安全文件包可用于整个价值链,是 IP开发的重要部分。
功用安全将逐步成为硬性要求
从轿车到医疗再到工业设备,依靠电子器件的运用越来越多,功用安全正变得愈加重要,并将成为惯例要求。功用安满是IP厂商有必要达到的要求,也是让根据该IP制作的模型顺畅运转的必要条件,因而IP厂商有必要将每项研究成果颁发尽或许多的芯片合作伙伴,反之亦然。有了坚实的质量和牢靠性,功用安全才干带来更广泛的优点,从而推进全职业的质量和牢靠性提高。包含驾驭员安全、燃油经济性、舒适度和车载信息文娱体系等,功用安满是芯片规划师处理更高档别轿车难题的根底。
