ISO26262標(biāo)準(zhǔn)對(duì)車(chē)載電子設(shè)備在整個(gè)生命周期的功能安全要求做出規(guī)定。它為汽車(chē)系統(tǒng)/組件提供從A級(jí)到D級(jí)的汽車(chē)安全完整性等級(jí)（ASIL）風(fēng)險(xiǎn)評(píng)估，D級(jí)為最高。ASIL的具體要求隨應(yīng)用不同而改變。汽車(chē)儀表板必須顯示來(lái)自車(chē)內(nèi)各傳感器和致動(dòng)器（actuator）的關(guān)鍵信息，同時(shí)必須符合ASIL B級(jí)標(biāo)準(zhǔn)。還有一些儀表板顯示信息，如制動(dòng)、指示器和變速箱速檔選擇器（PRNDL）信息，也必須符合ISO 26262功能安全標(biāo)準(zhǔn)。

 

先進(jìn)的汽車(chē)儀表板技術(shù)

 

為了簡(jiǎn)化和加速開(kāi)發(fā)，新一代儀表板技術(shù)采用功能安全關(guān)鍵技術(shù)，為汽車(chē)應(yīng)用提供符合ISO 26262標(biāo)準(zhǔn)的完整開(kāi)發(fā)平臺(tái)。例如，圖1所示的可重配置數(shù)字儀表板，配備了汽車(chē)MCU支持的1280x480分辨率顯示器。此外，該儀表板還采用故障安全NOR閃存存儲(chǔ)器，以及符合所有功能安全要求的圖形化人機(jī)界面（HMI）。

 

圖1：符合ISO 26262標(biāo)準(zhǔn)的汽車(chē)儀表板解決方案

 

主要系統(tǒng)特性

 

新一代汽車(chē)儀表板既要高性能，更要確保安全和容錯(cuò)運(yùn)行。它們需要對(duì)所有安全關(guān)鍵型圖形進(jìn)行檢測(cè)并予以糾正，然后再將這些圖形顯示在屏幕上。這些系統(tǒng)內(nèi)的圖形存儲(chǔ)在支持關(guān)鍵要求方面起著重要作用，包括支持安全快速的啟動(dòng)過(guò)程。

 

01  安全啟動(dòng)  

 

第一項(xiàng)要求是安全啟動(dòng)。在眾多現(xiàn)代儀表板中，汽車(chē)MCU與NOR閃存器件搭配，共同用于存儲(chǔ)啟動(dòng)代碼和圖形內(nèi)容。如果在初始化或配置過(guò)程中發(fā)生斷電，某些情況下NOR閃存器件可能會(huì)受損或不能做出響應(yīng)。采用故障安全NOR閃存可以防止運(yùn)行故障。它可以報(bào)告器件初始化故障及配置失敗，并提供從故障中恢復(fù)的方法。

 

02  即時(shí)啟動(dòng)  

 

第二項(xiàng)必需的儀表板功能是“即時(shí)啟動(dòng)”。儀表板顯示器應(yīng)能在上電或重置后立即顯示準(zhǔn)確數(shù)據(jù)，不應(yīng)存在延遲。通過(guò)將汽車(chē)MCU與高速NOR閃存存儲(chǔ)器控制器相結(jié)合，并設(shè)計(jì)高效率圖形顯示方案，可以做到即時(shí)啟動(dòng)。

 

03  安全圖形監(jiān)測(cè)控器 

 

正如本文之前討論過(guò)的，所有符合ISO 26262 ASIL B級(jí)功能安全要求的顯示器，都需要對(duì)虛擬儀表板上的告警燈、信號(hào)和變速檔位指示采取防錯(cuò)機(jī)制。駕駛員必須隨時(shí)掌握儀表板是否正常工作。例如，儀表板必須能監(jiān)控和檢測(cè)安全關(guān)鍵型圖像/符號(hào)（參見(jiàn)圖2a）。

 

符合安全要求的圖形監(jiān)控器應(yīng)能針對(duì)每一幀顯示輸出，對(duì)其中的安全關(guān)鍵型內(nèi)容特征進(jìn)行檢查。如果安全關(guān)鍵型內(nèi)容發(fā)生損壞，那么系統(tǒng)應(yīng)為該損壞內(nèi)容生成不同的特征指示燈，并使用告警消息提示駕駛員（參見(jiàn)圖2b）。

 

圖2a：正確的制動(dòng)指示燈

 

圖2b：發(fā)生故障的制動(dòng)指示燈與安全監(jiān)控告警

 

04  圖像糾正  

 

對(duì)儀表板提出的另一項(xiàng)關(guān)鍵要求是要具備圖像糾正功能。任何切實(shí)可用的儀表板應(yīng)采用NOR閃存器件來(lái)存儲(chǔ)顯示圖像，并提供錯(cuò)誤檢測(cè)與糾正功能。圖3a和圖3b就體現(xiàn)了這種理念。在本例中，我們故意將受損的近光燈指示燈圖像與正確圖像的ECC癥狀碼結(jié)合，并存儲(chǔ)在NOR閃存器件中。如果我們禁用NOR閃存器件中的糾錯(cuò)功能，就會(huì)顯示模糊受損的近光燈指示燈圖像（參見(jiàn)圖3a）。如果我們啟用閃存器件中的糾錯(cuò)功能，就會(huì)顯示糾正后的圖標(biāo)（參見(jiàn)圖3b）。

 

如圖所示，通過(guò)監(jiān)控并糾正安全關(guān)鍵型顯示信息來(lái)確保準(zhǔn)確性，NOR閃存技術(shù)將進(jìn)一步提高安全性水平。

 

圖3a：禁用NOR閃存ECC后的指示燈圖像顯示

 

圖3b：?jiǎn)⒂肗OR閃存ECC后的指示燈圖像顯示

 

圖4所示的是儀表板原理圖，該儀表板以符合安全要求的方式使用NOR閃存訪問(wèn)圖像數(shù)據(jù)。

 

圖4：儀表板系統(tǒng)解決方案

 

儀表板MCU內(nèi)的功能安全

 

功能安全儀表板MCU，如Cypress Traveo II，是符合安全要求的儀表板系統(tǒng)的重要組成部分。它們?cè)趩蝹€(gè)組件中將傳統(tǒng)的MCU功能與圖形功能相結(jié)合。該MCU在功能安全方面符合ISO 26262標(biāo)準(zhǔn)，并為看門(mén)狗、時(shí)鐘管理器、低電壓檢測(cè)、CRC引擎、時(shí)序保護(hù)單元和外設(shè)保護(hù)單元等安全相關(guān)IP提供支持。

 

此外，軟件在功能安全中也起著重要作用。Altia ISO 26262和面向汽車(chē)嵌入式圖像的Altia安全監(jiān)控器（ASM）等儀表板平臺(tái)，使用儀表板MCU圖形子系統(tǒng)內(nèi)的特征單元來(lái)檢查安全關(guān)鍵型內(nèi)容特征。表1所示的是儀表板MCU的部分功能安全性功能。

 

表1：儀表板Traveo II MCU內(nèi)的功能安全

 

NOR閃存內(nèi)的功能安全

 

NOR閃存是最可靠的非易失性存儲(chǔ)器。在道路上行駛的數(shù)百萬(wàn)輛汽車(chē)已對(duì)此作出證實(shí)。盡管如此，ISO 26262標(biāo)準(zhǔn)仍然要求汽車(chē)制造商對(duì)任何可能發(fā)生的故障進(jìn)行檢測(cè)，以確保功能安全。專(zhuān)為功能安全設(shè)計(jì)的NOR閃存，例如賽普拉斯提供的Semper NOR閃存，集成了汽車(chē)系統(tǒng)的關(guān)鍵安全特性。以Semper為例，它是一種達(dá)到ASIL B級(jí)水平，即將滿足ASIL D級(jí)要求的器件。它具有良好的耐久度，編程/擦除周期高達(dá)100萬(wàn)次以上，數(shù)據(jù)保持能力長(zhǎng)達(dá)25年，即使在極端溫度條件下也是如此。NOR閃存密度高達(dá)4Gb，支持兼容QSPI和JEDEC xSPI標(biāo)準(zhǔn)Octal和HyperBus接口。這兩種接口可提供高達(dá)400MB/s的吞吐量。表2所示的是功能安全性NOR閃存支持的所有安全機(jī)制與診斷功能。

 

表2：功能安全性Semper NOR閃存的功能安全詳解

 

軟件部分的功能安全

 

像Altia這樣的HMI軟件可以根據(jù)需要確認(rèn)功能安全內(nèi)容的正確顯示。它的通用嵌入式軟件應(yīng)用達(dá)到ASIL B級(jí)水平，為HMI內(nèi)的安全關(guān)鍵型對(duì)象提供監(jiān)控功能。它依據(jù)ISO 26262標(biāo)準(zhǔn)和ASIL B級(jí)標(biāo)準(zhǔn)開(kāi)發(fā)，通過(guò)檢查每一幀顯示輸出中的安全關(guān)鍵型內(nèi)容特征來(lái)確保其滿足ISO 26262標(biāo)準(zhǔn)的要求。

 

通過(guò)將功能安全融入到儀表板MCU、非易失性存儲(chǔ)器和嵌入式軟件中，開(kāi)發(fā)人員能夠快速設(shè)計(jì)出符合安全要求的復(fù)雜汽車(chē)應(yīng)用。

 

 

推薦閱讀：