0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

MCU如何实现功能安全

科技讯息 来源:科技讯息 作者:科技讯息 2023-04-06 09:50 次阅读

摘要:安全是未来汽车发展的关键问题之一,随着电子电气架构的安全性要求越来越高,汽车控制器上所使用的安全MCU也需要遵循功能安全标准ISO26262,但仅有MCU的硬件安全设计同样存在风险,使用相应的功能安全软件以确保设备硬件和软件安全运行,或在发生故障时使系统进入安全模式对控制器来说至关重要。本文将以市面上常见的一些车规级MCU芯片为例,帮助读者认识车规MCU如何通过软硬件实现功能安全。

功能安全

为实现功能安全应用,在开发汽车控制器系统时需要考虑全面的功能安全要求,并确保符合ISO26262的相关要求。MCU作为ISO26262标准定义的电气电子(E/E)系统的元件,在设计时除了作为SEooC(上下文无关安全元素)开发产品外,同时需要考虑与硬件环境相关的使用假设,包括假设的外部安全机制以及与软件环境相关的使用假设。

MCU安全架构的描述,安全机制的描述以及安全相关软硬件的说明(用于检测到故障后进行处理),这些内容会由芯片商提供的安全手册中描述。

芯片功能安全机制

下面介绍针对汽车安全应用MCU提出的安全机制。

poYBAGQuJVSAKMBsAAD9CxHu_9Q455.png

例如上图为英飞凌TC3xx系列芯片的Safety Manual中的一条软件安全机制。简单的说,MCU中硬件提供了MONBIST这样一个二级监控器,用于辅助检测BIST自检和故障处理单元的上报功能,以达到更高的潜在故障覆盖率。

pYYBAGQuJVWAPL8LAAC1IHwsIdI111.png

该机制为HW,也就是硬件机制,与之相关的存在两条SW软件安全机制需要实现。如下图所示,其一为需要软件配置MONBIST的参数并开启MONBIST检测,另一条需要软件通过读取一些寄存器来检查MONBIST的检测结果。

pYYBAGQuJVaAez7bAADmStOXRUs405.png

功能安全软件实现

为实现上述安全机制,需要软件去配置并检查MONBIST的检测结果,软件需要修改MONBIST寄存器中的配置寄存器,开启检测,并在执行阶段读取检测结果,将检测结果上报应用层处理。

通过这两项由软件完成的内容,才把MONBIST的安全机制功能使用起来,以满足MCU通过安全分析得出的安全目标。完成如上数十条安全机制的软件实现,以及包括故障处理单元的软件配置及存储,需要交由外部芯片(例如电源芯片)来处理的故障要求等功能,统合以上功能并为应用层及RTE提供接口的软件,通常叫做功能安全软件库。

功能安全软件库

对于当前行业主流的功能安全软件库(也叫SafetyLib)解决方案,少数集成方(即零部件企业或整车厂的产品研发部门)选择由自己的底层软件团队来进行组织开发,如上文介绍,功能安全库软件和MCU硬件特性强相关,需要工程师非常熟悉MCU底层特性,以及拥有丰富的功能安全经验。现在行业现状中底层软件开发人力资源稀少,资深经验的工程师人员成本又非常高,通常对于零部件企业来说,核心是其产品及应用程序,而并非底层通用软件,因而选择第三方成熟功能安全库产品通常才是最好的选择。

相比来讲,第三方软件企业提供的功能安全库产品经过多量产项目考验,成熟稳定,功能全面,后续问题解决可靠,相比自行研发投入人力的成本可能更低。

poYBAGQuJVeAVwJuAAECsViuFp8264.png

知从科技提供的木牛SafetyFrame产品是依据ISO 26262开发的一款功能安全库软件。基于AUTOSAR架构设计,Safety Frame软件组件参照SEooC系统开发,作为独立单元设计,作为一个复杂驱动软件组件开发,对整车环境、系统、系统组合、子系统、硬件组件或零部件无依赖关系。

木牛SafetyFrame软件架构

SAFETY FRAME包括 MCU 内部模块自检测试(SF.MCU)和SBC硬件安全机制的驱动(即SF.SBC),SF.Architecture的核心模块为Test Manager,用于MCU&SBC的Safety Library调度管理,包括Safety Wdgm、Safety SBC/ASIC驱动模块调度、与应用层PFC(Program Flow Check)接口等。

其中SF.MCU中就包含了芯片安全手册中提出的各项安全机制的实现,例如上文提到的MONBIST自检的配置和检测,以及PFlash检测,SRAM检测,时钟检测,中断检测,DMA、GTM、ADC等外设的检测功能,LBIST自检等等,几乎覆盖了芯片安全手册中要求的所有机制。通过不少量产项目的积累,支持的安全机制数只会更多,可以满足同一系列MCU但是各种不同汽车部件控制器的要求。

配置工具

Safety Frame配套了对应的配置工具,用于简易的修改各模块的配置内容,相比手动修改代码,具有无需研究源代码,简单易懂;工具附带校验,准确无误;图形化界面配置,高效便捷等优点。

pYYBAGQuJViAGTkwAADLxyVSgso864.png

木牛SafetyFrame配置工具

特点列表

木牛SafetyFrame产品具有支持芯片种类多,产品流程严谨完善,售后响应服务积极外,也在软件实现的安全机制数量上具有较大优势。如下图所示为以英飞凌Aurix 2G TC3xx系列芯片的安全机制整理的特点列表,其中SafetyFrame产品实现非常多的安全机制,可以完美符合在ADAS控制器,电机控制器,BMS控制器,EPS控制器等几乎全部有功能安全要求的汽车控制器上的安全机制需求。

poYBAGQuJVmABK97AAMmeopsv38936.png

功能安全认证

另外,对于考虑控制器产品做ISO26262功能安全认证的零部件企业来说,首先要通过功能安全库软件来实现功能安全目标,同时功能安全库软件本身也要满足ISO26262中对于软件的安全标准。当前第三方产品中仅有知从木牛SafetyFrame已通过了功能安全ISO26262最高等级ASIL D软件产品认证,对于计划通过控制器产品认证的企业来说,通过展示木牛SafetyFrame提供的认证报告及证书,可以更方便可靠的进行认证。

poYBAGQuJVqAXX88AACHt6GBfzU181.png

木牛SafetyFrame认证证书

已有众多零部件企业通过使用知从木牛SafetyFrame产品实现功能安全认证。一些国内电驱动,电池,ADAS头部企业,已获得SGS、莱茵等权威认证机构的ASIL D级别产品认证证书,同时在长安、长城、现代、塔塔、通用等国内外整车企业量产应用。

pYYBAGQuJVyAWMkbAAQ2Aif-5lY332.png

使用木牛SafetyFrame的电机控制系统ASIL D产品认证证书

总结

在考虑汽车控制器满足功能安全要求时离不开MCU功能安全的实现,除了MCU硬件设计时已考虑的架构设计及安全模块外,必须搭配相应的功能安全软件库才能实现。知从木牛SafetyFrame是为汽车MCU设计的功能安全软件库,根据符合ISO 26262的开发流程进行了严格开发,可以为零部件企业或整车厂产品研发部门提供,更高效、更可靠、低成本的功能安全解决方案。

审核编辑:汤梓红

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • mcu
    mcu
    +关注

    关注

    146

    文章

    16977

    浏览量

    350215
  • 功能安全
    +关注

    关注

    2

    文章

    78

    浏览量

    5632
  • 汽车控制器
    +关注

    关注

    0

    文章

    25

    浏览量

    5572
收藏 人收藏

    评论

    相关推荐

    曦华科技CVM012x系列车载触控MCU荣获ASIL-B功能安全认证

    曦华科技在车载触控MCU领域取得了重大突破,其CVM012x系列产品正式获得国际公认测试、检验和认证机构SGS颁发的功能安全ASIL-B产品认证证书。这一认证标志着曦华科技在车载触控MCU
    的头像 发表于 11-12 16:43 383次阅读

    国民技术N32 MCU通过IEC/EN/UL 60730功能安全认证

    自动电气控制终端安全设计。产品通过该认证,充分表明N32系列MCU产品在功能安全性方面完全满足国际IEC/EN/UL60730标准要求,可协助客户快速
    的头像 发表于 10-25 08:07 382次阅读
    国民技术N32 <b class='flag-5'>MCU</b>通过IEC/EN/UL 60730<b class='flag-5'>功能</b><b class='flag-5'>安全</b>认证

    使用MSPM0实现光伏系统中冗余MCU功能

    电子发烧友网站提供《使用MSPM0实现光伏系统中冗余MCU功能.pdf》资料免费下载
    发表于 09-05 09:52 0次下载
    使用MSPM0<b class='flag-5'>实现</b>光伏系统中冗余<b class='flag-5'>MCU</b>的<b class='flag-5'>功能</b>

    MCU如何实现AI功能

    在讨论如何在微控制器单元(MCU)上实现AI功能时,我们需要认识到MCU通常具有较为有限的计算资源和内存空间,这与专为高性能计算设计的GPU或TPU相比有显著不同。然而,随着技术的进步
    的头像 发表于 07-19 11:51 780次阅读

    芯驰科技MCU芯片功能安全软件库获TÜV莱茵ASIL D功能安全产品认证

    7月5日,德国莱茵TÜV集团(以下简称“TÜV莱茵”)向芯驰科技MCU芯片的功能安全软件库FuSaLib颁发ISO 26262 ASIL D/IEC 61508 SIL 3功能
    的头像 发表于 07-08 14:44 617次阅读

    瑞萨RX MCU功能安全解决方案简介(3)Self-Test自检软件包

    RX系列MCU自检软件包,包括诊断软件、安全手册、用户指南和IEC61508功能安全认证文档。 RX系列MCU诊断软件已通过
    的头像 发表于 07-05 11:30 1602次阅读
    瑞萨RX <b class='flag-5'>MCU</b><b class='flag-5'>功能</b><b class='flag-5'>安全</b>解决方案简介(3)Self-Test自检软件包

    瑞萨RX MCU功能安全解决方案简介 参考文档

    参考文档定义了一个虚拟电机控制系统,并描述了获得该虚拟系统功能安全认证所需的技术信息。例如,如何编写提交给认证机构的文件,如何实现安全MCU
    发表于 07-05 11:01 835次阅读
    瑞萨RX <b class='flag-5'>MCU</b><b class='flag-5'>功能</b><b class='flag-5'>安全</b>解决方案简介 参考文档

    杰发科技AC7801x通过ISO 26262 ASIL B认证实现车规MCU功能安全布局

    近日,四维图新旗下杰发科技与UL美华认证在深圳举办颁证仪式,杰发科技宣布AC7801x系列车规级MCU芯片已成功通过ISO 26262 ASIL B功能安全产品认证。
    的头像 发表于 04-08 18:28 907次阅读
    杰发科技AC7801x通过ISO 26262 ASIL B认证<b class='flag-5'>实现</b>车规<b class='flag-5'>MCU</b><b class='flag-5'>功能</b><b class='flag-5'>安全</b>布局

    紫光同芯新一代车规MCU功能安全最高认证

    近日,紫光同芯在其汽车电子功能安全领域取得了重大突破。该公司宣布,其新一代THA6系列MCU已成功通过国际权威认证机构SGS的严格评估,荣获符合ISO 26262标准的ASIL D等级功能
    的头像 发表于 03-16 14:31 1254次阅读

    紫光新一代车规MCU功能安全最高认证,携手安谋科技深化车芯市场布局

    近日,紫光同芯宣布,其搭载Arm® Cortex®-R52+内核的新一代THA6系列MCU,顺利通过了国际权威认证机构SGS关于功能安全开发流程体系和功能
    发表于 03-07 11:41 429次阅读
    紫光新一代车规<b class='flag-5'>MCU</b>获<b class='flag-5'>功能</b><b class='flag-5'>安全</b>最高认证,携手安谋科技深化车芯市场布局

    在Gtm功能安全中说明软件需要采集Gtm是否被计时,这个功能怎么实现

    在Gtm功能安全中说明软件需要采集Gtm是否被计时。也就是需要使用TIM模块采集Gtm时钟(CLS0_CLK),这个功能怎么实现,因为我发现CLS0_CLK无法被路由到TIM。
    发表于 02-19 06:05

    请问如何通过AURIX辅助其他SOC实现功能安全设计?

    请问如何通过AURIX辅助其他SOC实现功能安全设计?
    发表于 01-24 07:05

    紫光同芯THA6系列MCU功能安全最高认证

    近日,新紫光集团旗下的紫光同芯宣布,其新一代THA6系列MCU已顺利通过国际权威认证机构SGS的评估,获得了符合ISO 26262标准的ASIL D等级功能安全流程体系认证及功能
    的头像 发表于 01-16 16:05 1232次阅读

    紫光同芯基于R52+内核的车规MCU功能安全最高认证

    近日,紫光新一代THA6系列MCU通过国际权威认证机构SGS关于功能安全开发流程体系以及功能安全产品设计的评估,获得符合ISO 26262标
    的头像 发表于 01-15 09:45 768次阅读

    极海APM32F003 MCU通过IEC 60730/60335功能安全认证

    近日,极海APM32F003系列工业级超值型MCU,已顺利通过IEC 60730/60335功能安全认证,并可提供符合CLASS B标准的功能安全
    的头像 发表于 01-08 18:04 860次阅读
    极海APM32F003 <b class='flag-5'>MCU</b>通过IEC 60730/60335<b class='flag-5'>功能</b><b class='flag-5'>安全</b>认证