基于车规MCU功能安全开发的思考.docVIP

基于车规MCU功能安全开发的思考

一、前言???

汽车行业正经历着“新四化”从概念向实际转化的过程（新四化即电动化、智能化、网络化、共享化），各大车企也将调整发展布局，混合动力及电动汽车成为主要关注点。汽车行业近年来出现了一些趋势：

首先，随着政府推动更安全、更清洁的交通，进一步地综合降低排放被提上汽车制造商的议事日程，这导致汽车加速电气化。

其次，自动驾驶汽车成为许多传统汽车制造商和市场新参与者的新追求。随着人工智能和机器学习的快速迭代和发展，以及软件定义汽车等新兴概念，需要先进制程支持的超高算力SoC作为硬件支持。而作为执行端的边沿节点需要完成局部的安全管控，并未降低安全要求。

另外，作为“物联网”的重要组成部分，汽车将与外界连接，实现信息娱乐和高级驾驶辅助系统（ADAS）。新的网络架构及部署，需要SoC或MCU从硬件上支持巨大的数据吞吐率，包括数据交换及处理能力。比如，以千兆甚至更高速率以太网作为on-board通讯骨干网络，芯片间高速通讯如HSSL、PCIe等PHY接口。这些说明数据信息也更重要，应得到有效的保护。

在这些大趋势的推动下，最近汽车中的大多数创新功能都在电子和软件中实现，导致车辆中电子和软件组件的复杂性急剧增加。现代汽车可以包含200多个电子控制单元(ECU)、多个车载通信网络和数百MB的软件。复杂性增加的一个明显后果是电子和软件中的缺陷和故障增加，这可能导致道路事故。因此，车辆中的电气和电子(电子电器)系统的功能安全已成为重中之重。

作为整体车辆安全的一部分，功能安全要求电子和软件的故障免于对道路车辆和行人造成伤害。通常来说，要求确保所设计的系统通过检测出功能故障，并及时采取适当的反应和处理，将故障行为可能带来的危害能够减轻或者免除，例如，通过系统的紧急反应或通知到驾驶员采取行动，并最终通过系统进入安全状态。如何检测和减轻危害在很大程度上取决于发生故障的特定功能，并综合考虑整个车辆上下文及功能运行的环境条件。

二、功能安全关注点??

自汽车诞生以来，道路车辆的安全性一直是汽车行业最关心的问题。从当前车辆的发展来看，一辆安全的车辆包括四个要素：

道路车辆功能安全关注减少人为失误造成的事故。

截至今天，94%的道路事故是由人为错误造成的。ADAS技术的开发旨在减少人为错误造成的事故，许多汽车制造商正在积极致力于自动驾驶，最终将人为因素排除在外。

产品可靠性及产品的零缺陷(ZeroDefect)目标。目标是要求提高制造质量和设计鲁棒性，以满足功能安全对于汽车产品可靠性的基本要求。

功能安全关注汽车系统故障不会造成任何事故(zeroaccidentscausedbyE/Esystem)

车辆参与“万物互联”，数据信息安全应被确保

当我们将功能安全定义为整体车辆安全的支柱之一时，我们回顾了功能安全与其他车辆安全支柱的区别。希望我们可以通过详细说明功能安全不是什么来阐明什么是功能安全。

2.1功能安全与可靠性

FunctionalSafetyisbasedonReliability,butnotReliability

可靠性是指元件、产品、系统在一定时间内、在一定条件下无故障地执行指定功能的能力或可能性。假定一个产品运行足够长的时间，一定会发生故障造成功能失效。通常可通过可靠度、失效率、平均无故障间隔等来评价产品的可靠性。车规级，工业级，军工级芯片对可靠性提出了更严苛要求，下表给出的影响可靠性的因素和不同应用对于芯片产品可靠性的要求。

可靠性工程关注组件的失效机制以及如何提高制造质量和设计鲁棒性以降低组件的失效率。失效率可以定义为组件工作到时间t之后发生失效的概率，以每单位时间的故障数表示（半导体通常以小时为单位）。功能安全关注的是由于组件故障导致的系统级故障，以及如何控制和减轻组件的故障影响以防止系统故障造成伤害。换句话说，虽然没有办法保证任何组件可以做到完全可靠，功能安全旨在解决某个组件发生故障时，仍能保证进一步的系统故障带来危害。

虽然可靠性并不等同于功能安全去理解，但它确实会影响功能安全，因为失效率数据可能会影响用于控制和减轻组件故障的安全措施。例如，随着半导体新工艺的应用及芯片电路规模的扩展，可能会造成芯片上的TransientFault和SoftError进一步增加，但这也将会推动功能安全从架构上采取针对此类故障的更有效的安全机制。

2.2功能安全与Semiconductor

芯片上系统所构成的电路，可按照功能划分为一些能够处理的模块，定义模块之间的关系；设计时通过电学特性规范，给出时序信息作为设计的约束。在芯片架构设计、详细设计，在以下层级展开设计实现和验证：

系统级：行为和性能的描述，初步确定应用对芯片功能和性能指标的要求，以及哪些功能可以集成