支持ASIL D 应用的安全集成硬件解决方案分析

在汽车应用中，人体与电气/电子系统之间的交互显著增加，具体而言是指在管理对安全至关重要的决策时的交互，这些决策会对驾驶员的健康产生严重影响。随着这些先进的安全系统从被动安全不断演进到更主动的安全系统，包括预测安全系统，甚至自主车概念等，汽车行业已经并将继续出台严格的要求。
　　管理这些对安全至关重要的决策会增加安全系统的复杂性和额外的软件内容。复杂性增加会不断增加系统和/或随机硬件故障的风险。为了帮助确保最高的安全标准并影响安全汽车系统的开发，汽车行业已经发布了最新的汽车安全标准 ISO 26262。
　　本文讨论了对各种安全架构的实施，并介绍了一个创新的集成安全解决方案，以简化系统级功能安全设计，包括遵从 ISO 26262 标准。
　　什么是功能安全？
　　根据定义，“功能安全”表示不存在由于系统故障造成的危害所引起的不合理的风险。为了显著减少发生故障的风险，了解和评估可能发生的故障的类型至关重要。这些故障可分为两大类。
　　系统故障是由某种原因造成的，只能通过改变制造工艺设计、运行程序、文档或其他相关因素消除。通过强大的开发流程可降低发生系统故障的概率。
　　随机故障是指硬件元件使用周期中发生的不可预知的故障，符合概率分布。这些故障可能由于永久或瞬间发生的扰动环境或整个系统生命周期中固有技术的性能造成。专用架构和IC策略涵盖降低与随机故障相关的风险。
　　汽车行业于 2011 年 11 月 15 日发布了 ISO 26262:2011（E） 标准。该标准是专为“道路车辆 – 功能安全”进行修订的，也是对汽车电气/电子（E/E）系统功能安全标准 IEC 61508 的改编。
　　要让人们在道路上更安全，这些应用必须保持正常运行并且非常可靠。为了保持可靠性，E/E 系统设计必须实现安全性和可用性之间的最佳平衡。
　　可用性是可维护性和可靠性的一个很好的平衡，而安全性主要取决于系统可靠性。这种交互如下图所示。
　　
　　图1： 功能安全的可靠性权衡关系
　　图字：
　　Dependability：可靠性 Availability：可用性 Safety：安全性
　　Maintainability：可维护性 Reliability：可靠性
　　飞思卡尔的 SafeAssure（功能安全保障）产品有效地结合了可用性、安全性和可靠性，因此非常可靠。
　　管理安全开发： SafeAssure 过程
　　评估系统的安全功能需要高水平的参与和验证。简化这一评估是 2011 年 9 月制定并推出的飞思卡尔 SafeAssure 计划的一个主要目标。该计划适用于汽车和工业应用。
　　SafeAssure 产品旨在降低功能安全系统的复杂性，这也是这些系统制造商的一个主要目标。该计划的制定着重强调了失效模式与效应分析（FMEA）、持续过程改进（CPI）和零缺陷。对新产品开发（NPD）流程、工具和指标也进行了修改，以融合并管理功能安全要求。具体来说，产品定义阶段现在包括系统级假设，作为描述系统级背景的一部分。对于半导体器件，这些假设都视为SeooC（Safety Element out of Context，独立安全单元）。由于 MCU 和模拟配套芯片作为标准的解决方案，以满足多个行业中的多种应用，因此 SEooC 是一个安全相关的元件，而不是为特定系统或特定车辆平台而制定的。