Функциональная безопасность электронных систем для автомобильного и промышленного рынка.
Стандарты IEC 61508 и ISO 26262 и программа SafeAssure компании Freescale

№ 8’2015
PDF версия
Компания Freescale Semiconductor является признанным лидером на рынке компонентов для автомобильной электроники. За последнее время автомобильная промышленность стала основным и самым крупным потребителем электроники, в том числе и микроконтроллеров. Значительная часть суммы, потраченной на новый автомобиль, расходуется на повышение безопасности и надежности всех его узлов.

Стандарт ISO 26262, посвященный автомобильной функциональной безопасности, требует от автопроизводителей высокого уровня надежности электрических и электронных систем, в реальном времени проведения анализа сбойных режимов как для отдельных компонентов, так и для функциональных модулей и систем, выполнения измерений с гарантией функциональной безопасности в случае предсказуемого отказа. В статье содержится информация о том, каким образом обеспечивать функциональную безопасность, удовлетворяющую регламентам данного стандарта, на примерах и задачах программы Freescale SafeAssure, а также представлены варианты новых схемотехнических решений для повышения безопасности приложений.

Проблема обеспечения безопасности промышленного оборудования, транспортных средств, медицинского оборудования является одной из самых важных в жизнедеятельности человека. История знает немало случаев, когда функциональные неисправности различного оборудования приводили к увечьям и даже к многочисленным жертвам. Контроль за безопасностью используемого оборудования, в частности транспорта, осуществляется как на государственном, так и на международном уровне. Особенно это касается надежности электрических и электронных систем, широко используемых в различных отраслях деятельности. Производители промышленного оборудования и транспортных средств непрерывно совершенствуют параметры своей продукции, чтобы уменьшить или исключить риск при случайных отказах в процессе эксплуатации. Со стороны контролирующих организаций ведется непрерывная работа с целью формирования оптимальных критериев и мер безопасности, стандартных для производителей всех стран. Для этого созданы многочисленные международные стандарты, в которых регламентируются различные аспекты безопасности и приведены оценки потенциальной опасности того или иного оборудования или транспорта, а также обозначены конкретные требования и методики сертификации на безопасность. Начиная с 1980 года компетентными организациями разработаны десятки международных стандартов, которые помогли производителям значительно повысить уровень безопасности своей продукции, способствовали уменьшению риска и помогли спасти многие человеческие жизни.

На рис. 1 приведена ретроспектива разработки стандартов безопасности для различных секторов промышленных продуктов, потенциально опасных для жизни человека.

Тенденции разработки международных стандартов, регламентирующих безопасность в различных секторах транспортных средств, промавтоматики и медицинских приборов

Рис. 1. Тенденции разработки международных стандартов, регламентирующих безопасность в различных секторах транспортных средств, промавтоматики и медицинских приборов

Первые стандарты DO 178 и DO 178A были внедрены в сектор аэронавтики, продукция которого имеет самый высокий риск опасности при отказах и высокий уровень ущерба. В дальнейшем аналогичные стандарты были разработаны и утверждены многими производителями железнодорожного транспорта, промышленной автоматики, автомобильного транспорта и медицинского оборудования. Созданы отдельные стандарты и для безопасности оборудования атомных станций.

Случаи промышленных аварий и катастроф, произошедших за последнее время, еще раз подтверждают необходимость увеличения надежности функциональной безопасности промышленных объектов посредством соответствующей сертификации промышленных систем управления согласно требованиям стандарта IEC 61508 (российский аналог — ГОСТ Р МЭК 61508-1-2007 «Функциональная безопасность систем электрических»). Подобно IEC 61508, стандарт ISO 26262 основан на оценке и анализе рисков, при которых определяются возможная опасность и меры безопасности, позволяющие избегать или контролировать систематические сбои и обнаруживать или контролировать случайные сбои, а также смягчать их последствия. Функциональная безопасность становится все более распространенной и строгой на таких рынках, как преобразователи солнечной энергии, авиационная промышленность и медицинская электроника (FDA Class III). Электроника для промышленных приложений обычно должна функционировать еще и в суровых условиях с высокой степенью надежности и при минимальных отказах.

 

Назначение и функции ISO 26262

ISO 26262 (www.iso.org/iso/catalogue_detail?csnumber=43464) — изданный в 2011 году стандарт глобального масштаба, адресованный растущим потребностям автомобильной промышленности в сфере функциональной безопасности электрических и/или электронных (Electrical/Electronic, E/E) систем дорожных ТС (транспортных средств) разрешенной максимальной массой до 3,5 т.

Безопасность — один из ключевых вопросов автомобильного инжиниринга, актуализировавшийся в связи с развертыванием интеграции систем помощи водителям, контроля автомобильной динамики, других передовых активных и пассивных систем безопасности. В связи с тенденцией повышения сложности аппаратных средств, программного обеспечения E/E‑систем, включая их взаимовлияние, внедрения мехатроники увеличились риски систематических и случайных аппаратно-программных системных сбоев, последствия которых могут быть фатальными.

ISO опубликовала данный стандарт функциональной безопасности электрического и электронного оборудования в дорожно-транспортных средствах именно в связи с тем, что современные электронно-управляемые ТС, включающие большое число новых функций, электронные ассистенты водителя, электронные интерфейсы и инструменты, все больше нуждаются в выявлении потенциальных рисков сбоев на аппаратном или программном уровне. С целью предотвращения и минимизации опасностей подобных сбоев ISO представила стандарт ISO 26262 «Транспорт дорожный. Функциональная безопасность», являющийся адаптированной редакцией разработанного ранее IEC 61508 «Функциональная безопасность систем обеспечения электрической/электронной/программной безопасности» для конкретных требований пассажирских автомобилей и легковых машин общего назначения. ISO 26262 — это стандарт, чья главная задача состоит в обеспечении функциональной безопасности автомобилей. Отдельные части стандарта описывают меры, которые поставщики и производители автомобилей должны предпринимать для минимизации риска того, что используемые компоненты или программные инструменты внесут ошибки в конечный продукт или не распознают эти ошибки.

 

Функциональная безопасность для автомобильных и промышленных приложений

Основные критичные к безопасности приложения сосредоточены в постоянно растущих секторах автомобилестроения и промышленности. Обеспечение безопасности использования разработанных продуктов многие годы остается одной из главных проблем инженеров.

В автомобильном секторе постоянно создаются и совершенствуются системы безопасности автотранспорта. К ним относятся системы подушек безопасности, сложные системы, обеспечивающие помощь водителю в процессе движения автомобиля, системы предотвращения столкновений автомобиля с препятствием, а также различные системы предупреждения об опасностях во время движения. Внедрение новых функций безопасности привело к резкому увеличению количества электронных систем на борту автомобиля. Введение стандарта ISO 26262 как раз и ориентировано на то, чтобы обеспечить проектирование электронных систем, в которых были бы предусмотрены новые функции, повышающие надежность и способные контролировать и предотвращать опасные для жизни человека отказы в таких системах.

 

Основные концепции функциональной безопасности

Всем системам присуща количественная оценка надежности, выражаемая частотой отказов. Невозможно разработать систему с нулевой частотой отказов. Для каждого приложения существует приемлемый уровень отказов, который не приведет к недопустимому риску. Такой уровень отказов зависит как от самого приложения, так и прямо или косвенно от потенциальных увечий в случае неправильного функционирования системы. Функциональная безопасность — это исключение необоснованного риска при возникновении неисправности автомобиля. Для того чтобы существенно снизить степень вероятной опасности, нужно произвести оценку возможных причин неисправностей и оценить риск потенциального ущерба для автомобиля и водителя.

Отказы можно разделить на две категории:

  1. Систематические отказы в основном по вине завода-изготовителя, не обеспечивающего должный уровень надежности и безопасности (ненадежные компоненты, неудачный дизайн, технологический брак вследствие слабости техпроцесса, например сборки).
  2. Случайные отказы, непредсказуемые и происходящие при эксплуатации автомобиля.

Очевидно, что ресурсы повышения безопасности имеются у каждого производителя. Но это связано напрямую с затратами для обеспечения должного уровня надежности. Применение более качественных, но дорогих компонентов увеличивает стоимость автомобиля. И в конце концов его стоимость явно превышает порог цены для авто такой категории. Нужно соблюдать баланс между разумной и достаточной безопасностью. Здесь пока речь идет об электрических и электронных системах. Надежность механических узлов, двигателя, тормозов и подвески, амортизаторов, кузова не рассматривается.

 

Увеличение сложности приложений, требующих высокого уровня безопасности

Системы электронной безопасности, испытывающие постоянное ужесточение требований, напрямую связаны с благополучием общества. Безопасность систем должна соответствовать уровню развития требований функциональной безопасности и может оказаться трудной задачей особенно для системных разработчиков, поскольку они одновременно занимаются и совершенствованием приложений в соответствии с требованиями сбыта, и обеспечением скорости выхода на рынок новой продукции. Проблема системных инженеров заключается в создании такой архитектуры систем и методов, которые могли бы предотвратить опасные катастрофические отказы или по крайней мере осуществлять эффективный контроль при их возникновении. Опасные отказы могут происходить по следующим причинам:

  • случайные аппаратные неисправности;
  • систематические аппаратные неисправности;
  • систематические сбои программного обеспечения.

Стандарт функциональной безопасности IEC 61508 и его адаптированный под автомобильный сектор вариант ISO 26262 определяет, каким образом электронные системы, применяемые в промышленности или в автомобильном транспорте, должны обеспечивать приемлемый уровень безопасности.

Стандарт IEC 61508 определяет четыре базовых уровня безопасности Safety Integrity Levels (SILs) — например, уровень SIL 4 обозначает наиболее жесткий уровень. В стандарте ISO аналогичным образом заданы четыре уровня безопасности для электронных систем автомобильного транспорта (Automotive Safety Integrity Levels — ASIL A, B, C, D, где ASIL D определяет наиболее жесткие требования к безопасности. Каждый уровень описывает конкретный диапазон вероятностей отказов функции безопасности).

 

Уровни ASIL

Уровни ASIL выражают критичность автомобильной системы и представляют собой функцию экспонирования (подверженности), контролируемости и строгости любой критической опасности. ASIL-рейтинг — это категории, в которых риск безопасности может быть учтен для расстановки приоритетов действий для смягчения его последствий. Самые высокие риски требуют наиболее детального смягчения или декомпозиции. Планы смягчения разрабатываются на основе ASIL в клиентской организации.

Уровни ASIL в порядке от самого строгого до минимального ранжированы следующим образом:

  • ASIL D;
  • ASIL C;
  • ASIL B;
  • ASIL A;
  • QM (Quality Managed).

QM важен для выполнения функций ASIL, но не является аспектом безопасности. Другие ASIL специфицируют необходимые требования безопасности для достижения приемлемого остаточного риска.

Эти уровни ASIL означают следующее:

  • В зависимости от уровня ASIL, ISO 26262 определяет требования безопасности, которые должны быть осуществлены разработчиком и системотехником, чтобы даже в случае сбоя система могла обеспечивать достаточный запас безопасности для водителя, пассажиров и других участников дорожного движения.
  • Уровень ASIL относится не к конкретному модулю, а к конкретной функции.
  • Уровень ASIL может быть понижен при декомпозиции в два независимых элемента, выполняющих функции, которые повышают вероятность детектирования и способствуют принятию мер противодействия опасности.
  • Надлежащее свидетельство для демонстрации прослеживания осуществления признаков, критичных для безопасности, должно обеспечиваться на каждой стадии цикла разработки.

Можно достичь уровня статуса безопасности ASIL-D, используя различные типы архитектур, но в настоящее время правильной стратегией для повышения уровня безопасности MCU (Microcontroller unit — микроконтроллер) и SBC (System Basis Chip — системообразующюя микросхема) является повышение надежности, увеличение производительности и приемлемая цена.

 

Анализ безопасности систем

После этапа разработки концепции, в рамках которого определяются значения ASIL (Automotive Safety Integrity Level — уровень эксплуатационной пригодности и безопасности для автомобильной промышленности), формируются соответствующие требования к безопасности систем и подсистем. Затем производится процесс анализа безопасности систем, который осуществляется на протяжении всех этапов конструирования и разработки изделий. Этот процесс позволяет проверить, действительно ли система — в процессе конструирования, разработки, производства и обслуживания — соответствует уровням ASIL, определенным при выполнении предыдущих этапов. В рамках данного процесса обычно используется ряд методик расчета надежности. Прогнозирование надежности — это методика расчета вероятности отказа системы или подсистемы на основе вероятности отказа ее деталей и узлов. Данная методика применяется для информирования об изменении конструкции деталей и систем на ранних этапах проектирования изделий — до разработки физических прототипов — с целью повышения надежности системы за счет снижения показателей отказа деталей, подсистем и систем. Это в свою очередь приводит к повышению безопасности изделия, снижая риски, связанные с отказом комплектующих, подсистем и систем.

Цель анализа безопасности — определить последовательности сбоев с учетом функций, режимов, конструкции. Анализ безопасности также предоставляет информацию об условиях и причинах, вносящих нарушения в цели или требования безопасности, и может индуцировать новые опасности и риски, не обнаруженные при анализе опасностей и оценке рисков.

Известны количественные методы оценки безопасности:

  • FMEA (Failure Mode and Effects Analysis) — анализ сбойных режимов и эффектов;
  • FTA (Fault Tree Analysis) — анализ дерева сбоев;
  • ETA (Event tree analysis) — анализ дерева событий;
  • модели Маркова;
  • блок-схемы надежности, позволяющие предсказывать частоту сбоев.

Методы качественного анализа FMEA, FTA, ETA также позволяют идентифицировать сбои, основываясь на знаниях типов сбоев и сбойных режимов.

Системный уровень FMEA (Failure Mode and Effects Analysis) — это аналитическая методология для гарантии того, что потенциальные проблемы будут учтены в течение цикла разработки продукта и процесса.

Методы также классифицируются по способу проведения:

  • индуктивные методы — от известных причин сбоев к неизвестным;
  • дедуктивные методы — от известных причин к прогнозируемым неизвестным.

Если по результатам анализа требования безопасности не удовлетворены, результаты используются для принятия мер по предотвращению или смягчению причин сбоев.

 

Автомобильные компоненты и электронные системы, выпускаемые компанией Freescale

Все компоненты для автомобильной электроники, выпускаемые компанией Freescale Semiconductor, в обязательном порядке проходят испытания по методике АЕС. Тем самым заказчику предоставляется дополнительная гарантия качества. Портфель компонентов для автомобильной электроники Freescale Semiconductor состоит из широкого спектра продуктов: от простых полупроводниковых датчиков до гибридных интегральных схем, интеллектуальных силовых ключей и высокопроизводительных МК для применения во всех системах современного автомобиля (табл. 1).

Таблица 1. Применение электронных компонентов и функциональных электронных систем, выпускаемых компанией Freescale для автомобильного сектора

Системы автомобиля

Составляющие автомобильных систем

Системы мультимедиа/развлечения

Автомобильные музыкальные проигрыватели, цифровое радиовещание, CD-чейнджеры, эквалайзеры, усилители мощности

Салонное оборудование

Мультиплексные сетевые решения (LIN/CAN/ISO-9141/J-1850), дверные консоли водителя/пассажира (зеркала, окна, центральный замок, подсветка салона и т. д.), системы дистанционного доступа, управление приводом сиденья/руля, управление светотехникой

Информационные системы

Навигация/GPS, приборная панель, электронный термометр, информационные консоли/экраны, сотовая связь/hands-free, контроль давления в шинах

Трансмиссия/двигатель/подвеска

Генераторы, блоки управления двигателем/впрыском топлива, адаптивный круиз-контроль, управление зажиганием, датчики двигателя, управление автоматической трансмиссией, системы предупреждения столкновения, системы управления полным/передним/задним приводом, системы управления гибридными/электрическими силовыми установками, системы электронного привода клапанов, электроусилитель руля

Системы безопасности/комфорта

Блок управления подушками безопасности, датчики ускорения, системы климат-контроля/отопления/вентиляции/кондиционирования, ABS, ESP, электромеханические/электрогидравлические тормоза

Компания Freescale Semiconductor выпускает полупроводниковые компоненты уже более 60 лет и по праву занимает лидирующие позиции в сфере производителей электронных компонентов для автомобильной индустрии.

Их надежность и высокое качество подтверждается такими крупными автопроизводителями — потребителями продукции компании, как BMW, DaimlerChrysler, Ford, General Motors, Honda, Toyota, Volkswagen Group, АвтоВаз и рядом других.

Общеизвестны общие принципы построения отказоустойчивых систем независимо от уровня их исполнения (макро-, микро-, система в корпусе или на кристалле).

Введены диагностические IP-функции, включая:

  • непрерывную проверку целостности кристальной памяти;
  • самотестирование блоков обработки сигнала;
  • считывание статуса драйверов и выходов устройств;
  • защиту памяти для CPU и мастеров управления шиной;
  • код с коррекцией ошибок (ECC) для Flash и RAM с исправлением ошибки в одном бите и обнаружением ошибок двух битов (SECDED);
  • встроенное самотестирование (BIST) CPU и RAM для выявления потенциальных скрытых отказов;
  • интеллектуальный модуль извещения о действии, связанном с ошибкой средств обеспечения защиты;
  • контроль четности на периферийных RAM;
  • избыточные аналого-цифровые преобразователи (ADC) и таймеры;
  • непрерывный мониторинг напряжения и сигнала тактирования.

С принятием стандарта ISO для полупроводниковой промышленности стали актуальны проблемы сохранения цены и размера кристалла, а также стоимости разработки.

 

Программа SafeAssure (гарантия безопасности) компании Freescale

Управление в реальном времени критичных к безопасности приложений долгое время было трудной инженерной проблемой. Функциональность приложений становится все более сложной. Промышленные стандарты требуют введения более интеллектуальных концепций функциональной безопасности как для автомобильного, так и для промышленного секторов рынка, поскольку продукция этих секторов в наибольшей степени имеет высокий потенциал рисков последствий при катастрофических функциональных отказах. Компания Freescale разработала свою программу SafeAssure для того, чтобы помочь производителям систем легче достичь соблюдения требований стандартов функциональной безопасности, в частности регламентов стандарта 26262, разработанного ISO (International Standards Organization), и стандарта IEC 61508, созданного IEC (International Electrotechnical Commission).

Программа компании Freescale, предусматривающая обеспечение функциональной безопасности, включает четырех ключевых сектора: Safety Process (безопасный процесс), Safety Hardware (безопасная аппаратная часть), Safety Software (безопасное ПО) и Safety Support (система поддержки безопасности).

Четыре ключевые части программы компании Freescale Safe Assure, предназначенной для обеспечения функциональной безопасности и удовлетворения требованиям стандартов ISO 26262 и IEC 61508

Рис. 2. Четыре ключевые части программы компании Freescale Safe Assure, предназначенной для обеспечения функциональной безопасности и удовлетворения требованиям стандартов ISO 26262 и IEC 61508

Требования функциональной безопасности начинаются с разработки компанией процесса реализаций решений — процесса безопасности. Компания сделала функциональную безопасность интегральной частью процесса разработки продукции в соответствии с жесткими требованиями стандартов IEC 61508 и ISO 26262. Выбор продуктов Freescale определяется и разрабатывается в соответствии со стандартами, с проведением анализа безопасности на каждом шаге разработки с обязательным выполнением измерений на соответствие, позволяющих быть уверенными в том, что эти требования будут точно соблюдены.

Концепция Freescale, подразумевающая безопасность аппаратной части, фокусируется на определении и смягчении последствий случайных аппаратных отказов. Это достигается посредством встраивания функций безопасности, включая самотестирование модулей и функций, мониторинг и введение избыточности в архитектуру микроконтроллеров Freescale, мониторинг аналоговых компонентов, схем управления питанием и датчиков. Аналоговые автомобильные решения Freescale обеспечивают дополнительную функциональность (например, проверка временных диаграмм микроконтроллеров, мониторинг напряжения и регистрация ошибок). Эти мероприятия помогают улучшить надежность и устойчивость систем, а также упростить контроль разрабатываемых модулей. Семейство микроконтроллерных модулей Qorivva 56xx и 57xx automotive, а также семейство PXS индустриальных микроконтроллеров основаны на архитектуре и технологии, которая была специально разработана под требования стандартов IEC 61508 ISO 26262. Ряд продуктов в этих семействах уже серийно выпускается или доступен в образцах.

Для того чтобы обеспечить системный уровень функциональной безопасности, аппаратура и ПО должны быть согласованы и полностью интегрированы для обеспечения требований функциональной безопасности. Третья ключевая составляющая программы функциональной безопасности — безопасное ПО. Для этого Freescale разработала ряд комплексных решений автомобильной функциональной безопасности программных компонентов, включая абстрактный уровень микроконтроллерных драйверов AUTOSAR (MCAL), a также процедуры самотестирования ядра. Для того чтобы расширить портфолио программной безопасности для секторов автомобильного и промышленных рынков, партнеры Freescale создали дополнительные компоненты ПО для программной безопасности.

Четвертая составляющая программы функциональной безопасности — интеллектуальная поддержка безопасности, целью которой является облегчение реализации интеграции решений на системном уровне функциональной безопасности потребителями продукции, чтобы в полной мере использовать разработанный потенциал решений в соответствии со стандартами. Для этого компания предлагает разработчикам автомобильных систем обучающие семинары и тренинги по системному проектированию архитектур функциональной безопасности и предоставляет расширенный пакет документации и руководств, а также техническую поддержку на всех стадиях разработки и внедрения функциональных безопасных систем. Системные разработчики могут использовать решения, включенные в программу Freescale SafeAssure, чтобы обеспечить требуемый уровень безопасности в неблагоприятных условиях и получить необходимую документацию, а при необходимости и экспертизу безопасности разработанных систем. Это позволит специалистам сократить время для создания безопасных систем.

 

Базовые решения функциональной безопасности Freescale

Freescale является одним из лидеров среди поставщиков безопасных решений и разработчиков технологии двухъядерных контроллеров для критичных по безопасности приложений. У Freescale есть богатый опыт создания заказных микроконтроллеров и аналоговых микросхем для систем автомобильной безопасности. За последнее время реализовано 60 млн микроконтроллерных модулей и 30 млн сопутствующих модулей для электронных систем управления курсовой устойчивости автомобилей и систем АБС.

В 2008 году компания занялась созданием нового, 32‑разрядного семейства Qorivva 56xx автомобильных микроконтроллеров, базирующихся на технологии Power Architecture и спроектированных с учетом требований стандарта ISO 26262 по функциональной безопасности автомобильных электронных систем. Семейство предназначено для применения в новых электронных автомобильных системах, критичных по нормам безопасности.

Портфолио Freescale в секторе функциональной безопасности также включает востребованные на рынке системы датчиков, используемых в приложениях, ответственных за безопасность. Первый инерционный MEMS-датчик для автомобильных подушек безопасности выполнен Freescale в 1996 году.

Сердцем решений Freescale для безопасных решений является в первую очередь высокое качество. От начала разработки и до конца технологического процесса Freescale работает, соблюдая требования ISO TS 16949 Certified Quality Management System, и в соответствии со своей методологией гарантирует отсутствие дефектов в продуктах. Компания непрерывно совершенствует контроль качества, анализируя и оптимизируя параметры изделий под стандарты функциональной безопасности (табл. 2).

Таблица 2. Ключевые аппаратные элементы безопасности продукции Freescale

Микроконтроллеры

Аналоговые схемы и управление питанием

Датчики

Дублирование ядер, обеспечивающее толерантность к ошибкам и исправление ошибок

Мониторинг напряжения

Контроль времени событий

Применение кодов коррекции ошибок в памяти

Внешний монитор событий

Цифровое сканирование сигнальных цепей

Дублирование функций

Сторожевой таймер с расширенными функциями

DSI3 и PSI5 шина Safety data link

Мониторы

Встроенное самотестирование

Применение кодов коррекции ошибок в памяти

Встроенное самотестирование

 

Использование режима «защелкивание»
при самотестировании для блокировки отказа и диагностики

Сбор данных отказов и управление (принятие решения)

 

 

 

Микроконтроллеры серии Qorivva для управления силовыми агрегатами и трансмиссией автомобилей

Новый высокопроизводительный микроконтроллер позволит продукции соответствовать самым строгим стандартам безопасности автомобильной промышленности, а также добавит функции, улучшающие характеристики автомобиля и снижающие расход топлива. Компания Freescale Semiconductor объявила о выпуске образцов многоядерного микроконтроллера Qorivva MPC5746M, предназначенного для удовлетворения растущего спроса на качественные системы управления двигателем и трансмиссией автомобиля при соответствии последним требованиям стандартов безопасности и надежности.

MPC5746M — это первый высокопроизводительный 32‑разрядный микроконтроллер, созданный на базе 200‑МГц четырехъядерной платформы Power Architecture. Новая разработка позволяет оптимизировать программное обеспечение на многоядерной платформе со встроенными средствами проверки безопасности и процессором параллельного ввода/вывода. Помимо оптимизации режимов работы двигателей внутреннего сгорания, гибридных систем и систем управления трансмиссией, микроконтроллер MPC5746M позволяет определять и предотвращать возникновение неисправностей бортовой электроники, обеспечивая при этом защиту от возможного взлома программного обеспечения.

Qorivva MPC5746M расширяет вычислительные возможности и память (4 Мбайт встроенной флэш-памяти) электронных систем автомобилей. Новое устройство в два раза производительнее предыдущей модели MPC5674F компании Freescale при том же энергопотреблении и возможности функционирования в жестких условиях. Устройство открывает семейство, созданное на основе новой 55‑нм технологии энергонезависимой памяти компании Freescale, и, как ожидается, пополнится находящейся сейчас в разработке моделью на базе 300‑МГц четырехъ-ядерной платформы с 8 Мбайт флэш-памяти для систем управления силовым агрегатом и трансмиссией автомобиля.

Надежность и безопасность

Qorivva MPC5746M представляет собой решение в области функциональной безопасности транспортных средств SafeAssure, спроектированное с нуля для того, чтобы удовлетворять требованиям стандарта ISO 26262. Архитектура MPC5746M поможет сократить время и упростить процесс разработки соответствующих этому стандарту автомобильных приложений. MPC5746M ориентировано на приложения, удовлетворяющие самой строгой группе автомобильных стандартов в области полноты безопасности — ASIL-D. Это обеспечивается такими особенностями, как наличие выделенного ядра с функцией delayed lockstep (параллельное выполнение команд вспомогательным процессором с отставанием на один-два такта) и сквозная коррекция данных и кодов команд, предотвращающих возникновение критических ошибок. Чтобы избежать накопления скрытых неисправностей функциональной логики и механизмов полноты безопасности, в устройстве предусмотрены возможности самодиагностики памяти и логических схем.

Электроника все шире применяется для управления основными функциями автомобильных систем, и цель программы SafeAssure (гарантия безопасности) компании Freescale заключается в том, чтобы дать разработчикам электронных систем такие инструменты, которые позволят предотвращать возникновение опасных неисправностей или хотя бы адекватно предупреждать об их появлении, как предписывается стандартом ISO 26262. Микроконтроллер MPC5746M представляет собой новейшее решение, созданное в рамках этой программы, включающее широкий набор микроконтроллеров, датчиков и аналоговых интегральных схем. Компания также оказывает содействие в разработке приложений функциональной безопасности, выражающееся в обучении, предоставлении соответствующей документации и технической поддержке.

Электронные системы современных транспортных средств пропускают через себя огромные потоки данных. Злонамеренное проникновение в системы управления силовыми агрегатами и трансмиссией автомобиля может привести к непоправимым последствиям, поэтому вопросы безопасности становятся для автопроизводителей особенно актуальными. Qorivva MPC5746M содержит разнообразные встроенные функции обеспечения безопасности, как, например, программируемый пользователем аппаратный модуль защиты с выделенным ядром, выделенная область статической ОЗУ и криптографический модуль, устройство защиты флэш-памяти, улучшенные средства контроля доступа при отладке и режимы безопасной загрузки. Столь высокий уровень интеграции позволит клиентам воспользоваться преимуществами встроенных функций обеспечения безопасности без применения выполняющих те же функции внешних компонентов, что в итоге снизит стоимость системы.

 

Подстраховка работы микроконтроллеров

Freescale разработала множество инновационных методов для своих микроконтроллеров с целью обеспечения функциональной безопасности приложений, что способствует их более широкому распространению на рынке. К таким методам относится управление отказами, введение модуля регистрации отказов, разработка патентованного безопасного механизма работы ядра микроконтроллеров, введение самотестирования АЦП и многое другое.

Устройства Qorivva уже заявлены для специфических применений, начиная от одноядерного семейства MPC560xP, ориентированного на системы подушек безопасности и ультразвуковую систему помощи при парковке автомобиля, и заканчивая мультиядерными высокопроизводительными контроллерами, например для систем помощи водителю (driver assistance systems ADAS) и систем автоматических трансмиссий на базе семейств MPC567xK и MPC574xM соответственно.

Freescale продолжает разрабатывать и вычислительные оболочки с применением дублирования операций на разных ядрах (lockstep), основанных на архитектуре нового поколения продуктов, в которых используются технологические нормы 55 нм и выше и выполняются строгие требования функциональной безопасности.

Всесторонняя поддержка процесса разработки

MPC5746M отличается от конкурентов наличием широкого набора средств разработки. Полный набор гибких в применении программных средств включает лучшие в отрасли отладчики, компиляторы, а также усовершенствованную среду эмуляции и настройки, получившую название eCal, позволяющую использовать одно и то же оборудование как для разработки, так и для настройки. MPC5746M поддерживается операционной системой реального времени AUTOSAR и драйверами AUTOSAR MCAL 4.0. Совместимость такой экосистемы компании Freescale со средствами сторонних фирм поможет упростить процесс создания приложений и сократить время отладки и проверки при макетировании и интеграции программного обеспечения.

 

Датчики и безопасность

Когда происходит столкновение, автомобиль быстро останавливается, а его структура испытывает значительные механические деформации при ударе. Подушки и ремни безопасности уменьшают шанс удара головой или верхней части тела водителя и пассажиров об элементы салона автомобиля. Подушки также уменьшают риск получения серьезных травм, распределяя действующие на тело усилия. С момента столкновения процесс раскрытия подушек безопасности происходит за 50 мс — быстрее, чем моргнет глаз. Поскольку при столкновении автомобиль обычно имеет большую скорость, MEMS-датчики должны определить наличие факта удара за несколько миллисекунд, затем должен немедленно сработать пиропатрон подушки безопасности. Компания Freescale разработала несколько продуктов серии Xtrinsic с расширенными функциями, направленными на совершенствование и надежность подушек безопасности, включая MEMS-датчики MMA5xxxW MMA17/27xx аварийных акселерометров и MEMS-датчики серии MMA68xxQ — двухосные датчики удара для подушек безопасности ECU.

Датчики серии Xtrinsic MMA5xxxW являются первыми в промышленности PSI5 X‑ или Z‑axis спутниковыми инерциальными датчиками в квадратном плоском безвыводном корпусе (QFN) с малой площадью футпринта. Семейство датчиков MMA5xxxW также использует технологию спутниковой инерционной системы и предназначено для применения во фронтальных и боковых подушках безопасности. К их особенностям следует отнести высокую надежность и устойчивость против паразитной вибрации за счет применения улучшенной системы демпфирования преобразователя. По сравнению со стандартным протоколом PSI5 rev 1.3 эти инерциальные датчики могут быть в качестве элемента просто интегрированы во все подушки безопасности серии PSI5 и включают шинный соединитель, позволяющий легко наращивать цепочную конфигурацию системы безопасности.

Сенсор Xtrinsic MMA17/27xx является первым в промышленности DSI3 X‑ или Z‑axis спутниковым инерциальным датчиком. Аналогично существующим боковым подушкам безопасности, датчики включают демпфированные преобразователи и имеют интеллектуальную защиту от ложного срабатывания (перегрузки и шумов). Протокол DSI3 обеспечивает устойчивую передачу команд по последовательному интерфейсу, используя механизм CRC, проверку целостности кадров информации (rolling frame) и счетчики подсчета ошибок, а также проведение в фоновом режиме диагностических проверок работы узлов системы.

Устройства семейства цифровых инерциальных датчиков Xtrinsic MMA68xxQ разработаны в качестве основных датчиков столкновения или датчиков безопасности для систем подушек безопасности в автомобилях. Передемпфированный преобразователь в совокупности с корпусом, обладающим высокой резонансной частотой, обеспечивает увеличение устойчивости к перегрузкам, вызванным сильной высокочастотной вибрацией корпуса в процессе столкновения автомобиля. Эти свойства обеспечивают надежность и устойчивость работы системы подушек безопасности. Семейство Xtrinsic MMA69xxQ low-g (чувствительных) цифровых инерциальных датчиков предназначено для проверки и тестирования автомобильных гироскопов систем курсовой устойчивости автомобиля, а также обнаружения наклона корпуса автомобиля. Передемпфированный преобразователь обладает очень малым смещением параметров, что предоставляет возможность реализовать и вторичные функции безопасности, такие как обнаружение вторжения посторонних в салон автомобиля, электронный парковочный тормоз и предотвращение отката автомобиля, когда машина трогается с места на подъеме (рис. 3).

Сравнение решения с повышенной функциональной безопасностью Freescale с традиционной схемой управления подушками безопасности

Рис. 3. Сравнение решения с повышенной функциональной безопасностью Freescale с традиционной схемой управления подушками безопасности

По сравнению с традиционной архитектурой управления подушками безопасности в архитектуре Freescale используется более надежный комплексный датчик столкновения на базе чувствительного MEMS-датчика и радара на основе СВЧ-излучателя SiGe. В системе предусмотрен также встроенный микроконтроллер с программой, обеспечивающей высокую надежность управления за счет патентованного алгоритма. В аналоговой части системы Freescale предлагает высоконадежные компоненты, управление питанием и связной интерфейс для контроля. В целом решение от Freescale обеспечивает более высокий уровень функциональной безопасности для системы подушек безопасности (табл. 3).

Таблица 3. Текущие решения Freescale для сектора автомобильной функциональной безопасности

Target Market

Product Type

Product

Target Applications

Safety Support

Automotive

Microcontrollers

MPC567xK

Advanced Driver Assistance Systems (ADAS)

FMEDA Safety Application Note

MPC564xL

Electronic Power Steering

Electronic Stability Control

Advanced Driver Assistance Systems (ADAS)

FMEDA Safety Manual (www.freescale.com)  ISO 26262 compliance evidence (1H 2012)

MPC560xP

Airbags Electronic Power Steering

FMEDA Safety Application Note

Analog and Power Management

MC33907

Safety critical motor control

Vehicle dynamic and chassis control

FMEDA Safety Manual

MC33789

Airbags

Safety FMEDA

Sensors

MMA16/26xx

Airbags

FTA

MMA51/52xx

Airbags

FTA

MMA65/68xx

Airbags

FTA

MMA69xx

Electronic Stability Control

FTA

Industrial

Microcontrollers

PXS30

Safety Shutdown Systems

Solar Inverters, Motor Drives

Factory Automation Aerospace

Robotics

Today, same as Automotive equivalent products

PXS20

С новыми продуктами Safe Assure Solution можно ознакомиться на сайте компании Freescale: www.freescale.com/webapp/sps/site/homepage.jsp?code=SAFETYPRGRM#productTable

 

Меры подтверждения соответствия (конфирмация)

Процедура подтверждения гарантирует правильное выполнение процессов/процедур и обеспечивает оценку мер системной безопасности и рабочих продуктов в целом. Этим она отличается от верификации, которая гарантирует, что деятельность по разработке продукта выполняет технические требования.

Определяются три типа мер конфирмации:

  • Аудит функциональной безопасности.
  • Оценка функциональной безопасности.
  • Подтверждение отзывов.

Преимущества ISO 26262 заключаются в том, что высокий уровень безопасности построен непосредственно на автомобильных компонентах еще на стадии их разработки, что служит прочным фундаментом функциональной безопасности. Ожидается, что автопроизводители будут стремиться к совместимости с ISO 26262 для квалификации E/E‑компонентов и поставщиков.

Поскольку квалификация компонентов и инструментов, используемых в процессе разработки и тестирования, должна осуществляться уже на ранних этапах разработки, ряд ведущих производителей автомобильных датчиков, включая датчики магнитного поля, направили свои усилия на то, чтобы их изделия соответствовали строгим требованиям ISO 26262.

 

Выводы

Автомобильный и промышленный сектора, использующие электрическое и электронное оборудование, требуют повышения функциональный безопасности применяемых систем. Внедрение ISO 26262 означает, что мы можем ожидать существенного повышения безопасности вождения и появления более надежных транспортных средств, зная, что при проектировании разработчики учитывали все аспекты повышения безопасности и надежности для большинства электрических, электронных, а также и программных компонентов в новых моделях автомобилей. Существование повторяемых и надежных процессов, открытых для аудита, и наличие прослеживаемых формальных требований имеют особое значение при разработке программного обеспечения и методов тестирования:

Freescale предлагает экспертные решения для критичных к безопасности приложений.

Freescale осуществляет систематический подход при реализации высоких уровней функциональной безопасности, что позволяет упростить работу производителей систем функциональной безопасности.

Новая программа SafeAssure, разработанная Freescale, базируется на четырех ключевых элементах: безопасный процесс, безопасные аппаратные компоненты, безопасное программное обеспечение и безопасная поддержка.

Программа SafeAssure сфокусирована на поддержке решений, обеспечивающих полную функциональную безопасность и использующих не только программы для встроенных микроконтроллеров. Она включает решения для микроконтроллеров, датчиков, аналоговых устройств и микросхем управления питанием.

Конечной целью программы является упрощение системных решений, согласованных с требованиями стандартов функциональной безопасности, предусматривающих спасение жизни людей.

Спрос на сертификацию ISO 26262 растет по мере того, как все больше автомобилей оснащаются цифровой комбинацией приборов и ADAS-системами, которые обеспечивают предупреждения и адаптивный круиз-контроль, систему обнаружения пешеходов и выполняют другие функции, связанные с безопасностью. Эти требования будут только расти, поскольку такие системы развиваются с внедрением новых технологий. Более того, сегодня границы размываются: информационно-развлекательные системы также начинают интегрировать ADAS-функции и возникает спрос на платформы, которые одновременно могут поддерживать функции, критичные и некритичные для безопасности.

Использование расширенных функций помощи водителю и соответствующих приложений распространяется во всех сегментах транспортных средств и в течение этого десятилетия приведет к началу автономного вождения автомобилей. Основой данной эволюции становятся экономически эффективное программное обеспечение и аппаратные решения, которые могут быть развернуты быстро и надежно.

Литература
  1. Addressing the Challenges of Functional Safety in the Automotive and Industrial Markets.White Paper. Freescale. www.cache.freescale.com/files/microcontrollers/doc/white_paper/FCTNLSFTYWP.pdf /ссылка утрачена/
  2. www.automotive-spin.it/uploads/8/8W_favaro.pdf /ссылка утрачена/
  3. Piovesan A., Favaro J. Experience with ISO 26262 ASIL Decomposition.
  4. Секция Automotive SPIN. Milano. 17 February 2011.
  5. Панфилов Д., Чепурин И., Архипов А., Соко-лов М. Компоненты Freescale Semiconductor для автомобильной электроники // Электронные компоненты. 2008. № 4.
  6. Carlsson D. Development of an ISO 26262 ASIL D compliant verification system
  7. Execcutive Summary Functional Safty in accordance with ISO 26262.
  8. Cotner J. Functional Safty and ISO26262 Com-pliance. APF-AUT-T0503. Freescale, September 2013.
  9. Integrating the MPC5643L and MC33907/08 for Safety Applications.
  10. www.freescale.com/webapp/sps/site/homepage.jsp?code=SAFETYPRGRM#productTable /ссылка утрачена/

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *