2020年01月07日 | 图文详解汽车仪表板背后的车规级安全设计要求

车辆中的电子组件数量不断增长，不仅增加故障率，也给驾驶员和乘客带来更大风险。这种风险的增大迫使汽车行业将功能安全标准融入到汽车设计中。

ISO 26262标准对车载电子设备在整个生命周期的功能安全要求做出规定。它为汽车系统/组件提供从A级到D级的汽车安全完整性等级（ASIL）风险评估， D级为最高。ASIL的具体要求随应用不同而改变。汽车仪表板必须显示来自车内各传感器和致动器(actuator)的关键信息，同时必须符合ASIL B级标准。还有一些仪表板显示信息，如制动、指示器和变速箱速档选择器（PRNDL）信息，也必须符合ISO 26262功能安全标准。

先进的汽车仪表板技术

为了简化和加速开发，新一代仪表板技术采用功能安全关键技术，为汽车应用提供符合ISO 26262标准的完整开发平台。例如，图1所示的可重配置数字仪表板，配备了汽车MCU支持的1280x480分辨率显示器。此外，该仪表板还采用故障安全NOR闪存存储器，以及符合所有功能安全要求的图形化人机界面（HMI）。

图1：符合ISO 26262标准的汽车仪表板解决方案

主要系统特性

新一代汽车仪表板既要高性能，更要确保安全和容错运行。它们需要对所有安全关键型图形进行检测并予以纠正，然后再将这些图形显示在屏幕上。这些系统内的图形存储在支持关键要求方面起着重要作用，包括支持安全快速的启动过程。

1.安全启动

第一项要求是安全启动。在众多现代仪表板中，汽车MCU与NOR闪存器件搭配，共同用于存储启动代码和图形内容。如果在初始化或配置过程中发生断电，某些情况下NOR闪存器件可能会受损或不能做出响应。采用故障安全NOR闪存可以防止运行故障。它可以报告器件初始化故障及配置失败，并提供从故障中恢复的方法。

2.即时启动

第二项必需的仪表板功能是“即时启动”。仪表板显示器应能在上电或重置后立即显示准确数据，不应存在延迟。通过将汽车MCU与高速NOR闪存存储器控制器相结合，并设计高效率图形显示方案，可以做到即时启动。

3.安全图形监控器

正如本文之前讨论过的，所有符合ISO 26262 ASIL B级功能安全要求的显示器，都需要对虚拟仪表板上的告警灯、信号和变速档位指示采取防错机制。驾驶员必须随时掌握仪表板是否正常工作。例如，仪表板必须能监控和检测安全关键型图像/符号（参见图2a）。

符合安全要求的图形监控器应能针对每一帧显示输出，对其中的安全关键型内容特征进行检查。如果安全关键型内容发生损坏，那么系统应为该损坏内容生成不同的特征指示灯，并使用告警消息提示驾驶员（参见图2b）。

 图2a：正确的制动指示灯

图2b：发生故障的制动指示灯与安全监控告警

4.图像纠正

对仪表板提出的另一项关键要求是要具备图像纠正功能。任何切实可用的仪表板应采用NOR闪存器件来存储显示图像，并提供错误检测与纠正功能。图3a和图3b就体现了这种理念。在本例中，我们故意将受损的近光灯指示灯图像与正确图像的ECC症状码结合，并存储在NOR闪存器件中。如果我们禁用NOR闪存器件中的纠错功能，就会显示模糊受损的近光灯指示灯图像（参见图3a）。如果我们启用闪存器件中的纠错功能，就会显示纠正后的图标（参见图3b）。

如图所示，通过监控并纠正安全关键型显示信息来确保准确性，NOR闪存技术将进一步提高安全性水平。

图3a：禁用NOR闪存ECC后的指示灯图像显示

图3b：启用NOR闪存ECC后的指示灯图像显示

图4所示的是仪表板原理图，该仪表板以符合安全要求的方式使用NOR闪存访问图像数据。

图4：仪表板系统解决方案

仪表板MCU内的功能安全

功能安全仪表板MCU，如赛普拉斯Traveo II，是符合安全要求的仪表板系统的重要组成部分。它们在单个组件中将传统的MCU功能与图形功能相结合。该MCU在功能安全方面符合ISO 26262标准，并为看门狗、时钟管理器、低电压检测、CRC引擎、时序保护单元和外设保护单元等安全相关IP提供支持。

此外，软件在功能安全中也起着重要作用。Altia ISO 26262和面向汽车嵌入式图像的Altia安全监控器（ASM）等仪表板平台，使用仪表板MCU图形子系统内的特征单元来检查安全关键型内容特征。表1所示的是仪表板MCU的部分功能安全性功能。

表1：仪表板Traveo II MCU内的功能安全

NOR闪存内的功能安全

NOR闪存是最可靠的非易失性存储器。在道路上行驶的数百万辆汽车已对此作出证实。尽管如此，ISO 26262标准仍然要求汽车制造商对任何可能发生的故障进行检测，以确保功能安全。专为功能安全设计的NOR闪存，例如赛普拉斯提供的Semper NOR闪存，集成了汽车系统的关键安全特性。以Semper为例，它是一种达到ASIL B级水平、即将满足ASIL D级要求的器件。它具有良好的耐久度，编程/擦除周期高达100万次以上，数据保持能力长达25年，即使在极端温度条件下也是如此。NOR闪存密度高达4Gb，支持兼容QSPI和JEDEC xSPI标准的Octal和HyperBus接口。这两种接口可提供高达400MB/s的吞吐量。表2所示的是功能安全性NOR闪存支持的所有安全机制与诊断功能。

表2：功能安全性Semper NOR闪存的功能安全详解

软件部分的功能安全

像Altia这样的HMI软件可以根据需要确认功能安全内容的正确显示。它的通用嵌入式软件应用达到ASIL B级水平，为HMI内的安全关键型对象提供监控功能。它依据ISO 26262标准和ASIL B级标准开发，通过检查每一帧显示输出中的安全关键型内容特征来确保其满足ISO 26262标准的要求。

通过将功能安全融入到仪表板MCU、非易失性存储器和嵌入式软件中，开发人员能够快速设计出符合安全要求的复杂汽车应用。