【導讀】車輛中的電子組件數(shù)量不斷增長,不僅增加故障率,也給駕駛員和乘客帶來更大風險。這種風險的增大迫使汽車行業(yè)將功能安全標準融入到汽車設計中。
ISO26262標準對車載電子設備在整個生命周期的功能安全要求做出規(guī)定。它為汽車系統(tǒng)/組件提供從A級到D級的汽車安全完整性等級(ASIL)風險評估,D級為最高。ASIL的具體要求隨應用不同而改變。汽車儀表板必須顯示來自車內各傳感器和致動器(actuator)的關鍵信息,同時必須符合ASIL B級標準。還有一些儀表板顯示信息,如制動、指示器和變速箱速檔選擇器(PRNDL)信息,也必須符合ISO 26262功能安全標準。
先進的汽車儀表板技術
為了簡化和加速開發(fā),新一代儀表板技術采用功能安全關鍵技術,為汽車應用提供符合ISO 26262標準的完整開發(fā)平臺。例如,圖1所示的可重配置數(shù)字儀表板,配備了汽車MCU支持的1280x480分辨率顯示器。此外,該儀表板還采用故障安全NOR閃存存儲器,以及符合所有功能安全要求的圖形化人機界面(HMI)。
圖1:符合ISO 26262標準的汽車儀表板解決方案
主要系統(tǒng)特性
新一代汽車儀表板既要高性能,更要確保安全和容錯運行。它們需要對所有安全關鍵型圖形進行檢測并予以糾正,然后再將這些圖形顯示在屏幕上。這些系統(tǒng)內的圖形存儲在支持關鍵要求方面起著重要作用,包括支持安全快速的啟動過程。
01 安全啟動
第一項要求是安全啟動。在眾多現(xiàn)代儀表板中,汽車MCU與NOR閃存器件搭配,共同用于存儲啟動代碼和圖形內容。如果在初始化或配置過程中發(fā)生斷電,某些情況下NOR閃存器件可能會受損或不能做出響應。采用故障安全NOR閃存可以防止運行故障。它可以報告器件初始化故障及配置失敗,并提供從故障中恢復的方法。
02 即時啟動
第二項必需的儀表板功能是“即時啟動”。儀表板顯示器應能在上電或重置后立即顯示準確數(shù)據(jù),不應存在延遲。通過將汽車MCU與高速NOR閃存存儲器控制器相結合,并設計高效率圖形顯示方案,可以做到即時啟動。
03 安全圖形監(jiān)測控器
正如本文之前討論過的,所有符合ISO 26262 ASIL B級功能安全要求的顯示器,都需要對虛擬儀表板上的告警燈、信號和變速檔位指示采取防錯機制。駕駛員必須隨時掌握儀表板是否正常工作。例如,儀表板必須能監(jiān)控和檢測安全關鍵型圖像/符號(參見圖2a)。
符合安全要求的圖形監(jiān)控器應能針對每一幀顯示輸出,對其中的安全關鍵型內容特征進行檢查。如果安全關鍵型內容發(fā)生損壞,那么系統(tǒng)應為該損壞內容生成不同的特征指示燈,并使用告警消息提示駕駛員(參見圖2b)。
圖2a:正確的制動指示燈
圖2b:發(fā)生故障的制動指示燈與安全監(jiān)控告警
04 圖像糾正
對儀表板提出的另一項關鍵要求是要具備圖像糾正功能。任何切實可用的儀表板應采用NOR閃存器件來存儲顯示圖像,并提供錯誤檢測與糾正功能。圖3a和圖3b就體現(xiàn)了這種理念。在本例中,我們故意將受損的近光燈指示燈圖像與正確圖像的ECC癥狀碼結合,并存儲在NOR閃存器件中。如果我們禁用NOR閃存器件中的糾錯功能,就會顯示模糊受損的近光燈指示燈圖像(參見圖3a)。如果我們啟用閃存器件中的糾錯功能,就會顯示糾正后的圖標(參見圖3b)。
如圖所示,通過監(jiān)控并糾正安全關鍵型顯示信息來確保準確性,NOR閃存技術將進一步提高安全性水平。
圖3a:禁用NOR閃存ECC后的指示燈圖像顯示
圖3b:啟用NOR閃存ECC后的指示燈圖像顯示
圖4所示的是儀表板原理圖,該儀表板以符合安全要求的方式使用NOR閃存訪問圖像數(shù)據(jù)。
圖4:儀表板系統(tǒng)解決方案
儀表板MCU內的功能安全
功能安全儀表板MCU,如Cypress Traveo II,是符合安全要求的儀表板系統(tǒng)的重要組成部分。它們在單個組件中將傳統(tǒng)的MCU功能與圖形功能相結合。該MCU在功能安全方面符合ISO 26262標準,并為看門狗、時鐘管理器、低電壓檢測、CRC引擎、時序保護單元和外設保護單元等安全相關IP提供支持。
此外,軟件在功能安全中也起著重要作用。Altia ISO 26262和面向汽車嵌入式圖像的Altia安全監(jiān)控器(ASM)等儀表板平臺,使用儀表板MCU圖形子系統(tǒng)內的特征單元來檢查安全關鍵型內容特征。表1所示的是儀表板MCU的部分功能安全性功能。
表1:儀表板Traveo II MCU內的功能安全
NOR閃存內的功能安全
NOR閃存是最可靠的非易失性存儲器。在道路上行駛的數(shù)百萬輛汽車已對此作出證實。盡管如此,ISO 26262標準仍然要求汽車制造商對任何可能發(fā)生的故障進行檢測,以確保功能安全。專為功能安全設計的NOR閃存,例如賽普拉斯提供的Semper NOR閃存,集成了汽車系統(tǒng)的關鍵安全特性。以Semper為例,它是一種達到ASIL B級水平,即將滿足ASIL D級要求的器件。它具有良好的耐久度,編程/擦除周期高達100萬次以上,數(shù)據(jù)保持能力長達25年,即使在極端溫度條件下也是如此。NOR閃存密度高達4Gb,支持兼容QSPI和JEDEC xSPI標準Octal和HyperBus接口。這兩種接口可提供高達400MB/s的吞吐量。表2所示的是功能安全性NOR閃存支持的所有安全機制與診斷功能。
表2:功能安全性Semper NOR閃存的功能安全詳解
軟件部分的功能安全
像Altia這樣的HMI軟件可以根據(jù)需要確認功能安全內容的正確顯示。它的通用嵌入式軟件應用達到ASIL B級水平,為HMI內的安全關鍵型對象提供監(jiān)控功能。它依據(jù)ISO 26262標準和ASIL B級標準開發(fā),通過檢查每一幀顯示輸出中的安全關鍵型內容特征來確保其滿足ISO 26262標準的要求。
通過將功能安全融入到儀表板MCU、非易失性存儲器和嵌入式軟件中,開發(fā)人員能夠快速設計出符合安全要求的復雜汽車應用。
推薦閱讀: