【導讀】現今，汽車的各種應用中無不使用數百到數千種半導體和其他組件
，例如觸摸界麵、車載充電器

、電池管理係統等等。嚴格的國際標準化組織（ISO）26262功gong能neng安an全quan規gui範fan可ke確que保bao這zhe些xie日ri益yi複fu雜za和he精jing密mi的de應ying用yong安an全quan運yun行xing。然ran而er，開kai發fa合he規gui設she計ji及ji獲huo得de認ren證zheng的de過guo程cheng十shi分fen耗hao時shi且qie成cheng本ben高gao昂ang。隨sui著zhe半ban導dao體ti行xing業ye為wei汽qi車che原yuan始shi設she備bei製zhi造zao商shang（OEM）和(he)供(gong)應(ying)商(shang)提(ti)供(gong)完(wan)整(zheng)的(de)功(gong)能(neng)安(an)全(quan)生(sheng)態(tai)係(xi)統(tong)，這(zhe)最(zui)大(da)限(xian)度(du)降(jiang)低(di)了(le)完(wan)成(cheng)這(zhe)類(lei)認(ren)證(zheng)過(guo)程(cheng)的(de)成(cheng)本(ben)，同(tong)時(shi)降(jiang)低(di)了(le)風(feng)險(xian)並(bing)縮(suo)短(duan)了(le)開(kai)發(fa)時(shi)間(jian)，進(jin)而(er)使(shi)這(zhe)些(xie)挑(tiao)戰(zhan)得(de)到(dao)緩(huan)解(jie)。

了解ISO 26262

ISO 26262標準包含安裝在批量生產的道路車輛（輕便摩托車除外）中的電氣和/或電子係統的功能安全規範。該ISO標準於2011年發布，並於2018年修訂以包含關於半導體的部分
，其中規定了從規範到生產發布的開發過程。汽車OEM和供應商在對道路車輛內部需要功能安全的運行器件進行認證時，必須遵循並記錄此過程。

係統認證需由獨立評估員確認其符合ISO 26262標準的要求來完成。汽車內應用根據其安全關鍵性級別“歸類”為不同的汽車安全完整性等級（ASIL）。如果電氣或電子係統發生故障，則某些應用具有更高的固有安全風險。根據潛在傷害的嚴重程度和發生概率以及可控程度，分為A到D四個級別，每個級別都對底層組件有相關的安全要求。ASIL D表示汽車中安全氣囊、防抱死製動係統和動力轉向等危險程度最高的應用。尾燈等組件歸類為ASIL-A。頭燈和刹車燈通常歸類為ASIL-B。巡航控製等係統歸類為ASIL-C。通常
，ASIL級別越高
，對硬件冗餘的要求就越多。

組件供應商可通過多種方式幫助加速安全應用的設計及其ISO 26262認證過程。這些功能安全資源如圖1所示。首先，必須仔細選擇器件以包含必要的功能安全資源。這些資源包括故障模式影響和診斷分析（FMEDA）報告及安全手冊。此外，器件還必須得到有資格創建安全關鍵型應用的開發生態係統的支持。

圖1：經過認證的功能安全資源和開發生態係統

功能安全就緒

現今的汽車中使用了各種IC。尤其是單片機（MCU），它以各種形式普遍存在。所有電子控製單元（ECU）都需要用到單片機
，並且全車使用單片機來提供便利功能（例如自動駕駛）和各種其他複雜功能。單片機範圍廣泛，涵蓋針對性能、電源效率和實時控製進行優化並添加基於硬件的觸摸界麵的8位MCU

，到可以運行多線程應用並支持圖形、連接和安全功能的32位MCU。此外，還有將MCU與DSP引擎相結合的數字信號控製器（DSC）
，可為傳感器
、電機或電源轉換提供可靠且快速的確定性性能。

其中每一個IC都必須首先滿足汽車電子委員會（AEC）製定的汽車級製造和性能認證標準。AEC-Q100標準定義了跨溫度等級的基於失效機製的壓力測試認證過程。根據具體應用
，MCU需要通過AEC Q100 2級、1級或0級認證。0級 = 150℃，1級 = 125℃
，2級 = 105℃。

除了AEC認證之外
，還有額外的專用功能安全就緒特性要求，具體取決於器件和應用。例如，8位MCU通常包括用於汽車接口和智能傳感器網絡的CAN FD，並且通常用作駕駛室
、方向盤、中控台內機械和電容式按鈕的用戶界麵（UI）控製器，或用作無鑰匙進入係統的一部分。8位MCU所需的集成硬件安全功能通常適用於存儲器
、係統複位、安全代碼執行、安全通信和通用輸入/輸出（GPIO）保護。這些功能是通過集成專用的獨立於內核的外設（CIP）和其他功能添加的

，包括上電複位（POR）、欠壓複位（BOR）、窗口看門狗定時器（WWDT）和循環冗餘校驗（CRC）
，用於提高操作安全性和可靠性（見圖2）。

圖2：具有功能安全硬件特性的8位MCU

對於功能安全就緒16位DSC
，所需的硬件安全功能通常包括支持錯誤檢測和糾正的存儲器
、存儲器內置自檢（MBIST）、時鍾監控和冗餘振蕩器等


，這些功能用於故障檢測、自診斷和係統診斷以及故障修複。這些功能安全就緒器件支持設計安全關鍵型高性能嵌入式應用
、傳感器接口應用
、數字電源和電機控製應用。典型應用包括直流/直流係統
、車載充電器（OBC）
、執行器和傳感器（位置和壓力）、觸摸單元和其他符合ASIL B或ASIL C標準的控製單元。圖3顯示了功能安全就緒DSC的功能示例。

圖3：功能安全就緒16位DSC示例

與所有功能安全就緒MCU一樣，32位MCU所需的硬件功能包括支持糾錯碼（ECC）和錯誤注入的存儲器、存儲器內置自檢（MBIST）、時鍾係統（包含備用振蕩器和時鍾故障檢測）以及具有靜電放電（ESD）保護的GPIO（見圖4）。同樣重要的是係統監視器，其中包括POR
、BOR、WDT和硬件CRC功能以及存儲器保護單元。32位MCU的適用範圍涵蓋從駕駛室內部係統到高級駕駛輔助係統（ADAS）等一係列應用，可用於實現功能安全。

圖4：功能安全就緒32位MCU示例

通過將主MCU/DSC與輔助MCU/DSC或安全協處理器相結合，甚至可以使用標準MCU和DSC達到ASIL C/D安全級別。這是通過使用ASIL分解原理來實現的：兩個符合ASIL B標準的子係統組合可用於達到更高的ASIL，例如ASIL C/D：

ASIL C = ASIL B (C) + ASIL A (C)

ASIL D = ASIL B (D) + ASIL B (D) = ASIL C (D) + ASIL A (D)

分解是通過劃分安全要求與實際器件實現的。

開發工具和認證支持

作為完整開發生態係統的一部分，經過功能安全認證的設計工具包可以更輕鬆地滿足ISO 26262標準中規定的驗證和確認要求。這一點尤其適用於基於MCU和DSC的設計。工具供應商與第三方獨立評估和認證機構合作
，對功能安全編譯器進行認證。這通常附帶額外的文檔，例如編譯器、集成開發環境（IDE）以及調試器和編程器的證書、功能安全手冊
、安全計劃及工具分類和資格認證報告。該功能安全文檔包簡化了工具的資格認證和最終應用認證。

理想情況下，還應該在設計過程中使用代碼覆蓋率工具來衡量代碼的測試效果，並確定軟件的哪些部分已經執行或尚未執行。  daimafugailvgongjuyeyingbaohanzaifenleihezigerenzhengbaogaozhong。xunzhaoyizhongkeyidanciyunxingceshidegongju，cigongjuwuxujiangdaimafenjieweigegemokuai，yewuxuduiyingjianjinxingdaliangxiugaihuoshiyongangguideruanjian，tongshihainengbimianzaidaxingshujuwenjianzhongsousuoxiangguanxinxidedalianggongzuo。yingyongrenzhengxuyaodaimaceshishuju，yincidanciyunxingdaimafugailvgongjuzaijianhualiuchenghesuoduanshangshishijianfangmianfahuizhezhongyaozuoyong。

要開發符合ISO 26262標準的汽車應用，除了器件數據手冊之外
，工程師還需要從半導體供應商處獲得一些額外資源。可用的功能安全包為汽車OEM和供應商提供了他們在評估和設計周期的各個階段所需的內容。這些功能安全包應提供經過認證的安全手冊
、FMEDA報告
，在某些情況下，還應提供診斷軟件，例如經過相關ASIL認證的自檢庫。

FMEDA報告量化了器件的故障模式、其故障率（FIT）分布及相應的檢測方法


，可幫助製定覆蓋率計劃。另一個重要資源是安全手冊（SM）。它詳細介紹了FMEDAbaogaozhongzhidingdeguzhangjiancefangfa，bingjiuruheshiyongqijianshixianzuianquandecaozuotigonglejianyi。anquanshoucezhongbaohanxiangguanguzhangyijiyongyujiancexitongguzhangdeyingjiangongnengshuoming，keshiyonggaishuomingkaifazhenduanku。gongnenganquanzhenduankukebangzhupingguxitongzaiguzhangtiaojianxiadeyunxingzhuangtai
，jiancesuijixitongguzhangyijishixiangongnenganquanmubiao。xuanzetigongdisanfangrenzhengdeFMEDA報告和安全手冊以及診斷庫的器件可以簡化安全關鍵型應用的認證工作。

安全關鍵型應用開發的第一步是定義要實現的安全目標和要達到的目標安全級別。功能安全基礎包提供FMEDA、安全手冊和認證等基本資源，幫助用戶開始評估目標功能安全級別和設計安全關鍵型汽車應用。

理想情況下，基於MCU的設計的功能安全入門包應包括經過ASIL B就緒認證的FMEDA
、安全手冊和符合ASIL B/C標準的診斷庫

，以及幫助設計人員了解如何使用這些資源按照ISO 26262流程開發安全關鍵型應用的參考應用。入門包有助於縮短設計周期，並根據ASIL B或C合規性開發應用。

功能安全完整包可以進行擴展以包含經過認證的診斷庫
，其中提供用於實現最高ASIL B/C級別的設計所需的源代碼和相關安全分析報告。鑒於許多最終客戶要求對安全關鍵型應用進行認證
，完整包還有助於加快認證過程。

隨著汽車的複雜度越來越高，其中的電子元件水平也在不斷提高。越來越重要的是
，現今，麵向汽車應用、以功能安全為重點的產品支持開發生態係統，可提供經過認證的功能安全資源來滿足ISO 26262要求。IC供gong應ying商shang還hai可ke以yi幫bang助zhu汽qi車che客ke戶hu保bao護hu其qi在zai這zhe種zhong嚴yan密mi開kai發fa和he認ren證zheng過guo程cheng中zhong的de長chang期qi投tou資zi。他ta們men能neng夠gou確que保bao隻zhi要yao客ke戶hu願yuan意yi訂ding購gou，就jiu會hui持chi續xu供gong應ying認ren證zheng係xi統tong內nei使shi用yong的de器qi件jian，從cong而er消xiao除chu了le由you於yu器qi件jian意yi外wai進jin入ru停ting產chan（EOL）階段而導致被迫重新設計的風險。這意味著認證不僅可以快速輕鬆地完成，而且隻需完成一次
，因此更加值得客戶信賴。

免責聲明：本文為轉載文章，轉載此文目的在於傳遞更多信息
，版權歸原作者所有。本文所用視頻、圖片、文字如涉及作品版權問題
，請聯係小編進行處理。

推薦閱讀：

基於功率電感飽和特性要求的電感設計與選型優化

小型化趨勢下，東芝單芯片方案實現高性價比電機驅動

你還在用光標測量I2C通信時序嗎
？

TP8312滿足0.9V低電壓工作的一節兩節幹電池升壓IC解決方案

IPOSIM的今昔——從器件級的計算到基於係統的仿真