ISO26262標準對車載電子設備在整個生命周期的功能安全要求做出規定。它為汽車係統/組件提供從A級到D級的汽車安全完整性等級（ASIL）風險評估，D級為最高。ASIL的具體要求隨應用不同而改變。汽車儀表板必須顯示來自車內各傳感器和致動器（actuator）的關鍵信息，同時必須符合ASIL B級標準。還有一些儀表板顯示信息
，如製動
、指示器和變速箱速檔選擇器（PRNDL）信息，也必須符合ISO 26262功能安全標準。

 

先進的汽車儀表板技術

 

為了簡化和加速開發

，新一代儀表板技術采用功能安全關鍵技術，為汽車應用提供符合ISO 26262標準的完整開發平台。例如，圖1所示的可重配置數字儀表板
，配備了汽車MCU支持的1280x480分辨率顯示器。此外
，該儀表板還采用故障安全NOR閃存存儲器
，以及符合所有功能安全要求的圖形化人機界麵（HMI）。

 

圖1：符合ISO 26262標準的汽車儀表板解決方案

 

主要係統特性

 

新xin一yi代dai汽qi車che儀yi表biao板ban既ji要yao高gao性xing能neng，更geng要yao確que保bao安an全quan和he容rong錯cuo運yun行xing。它ta們men需xu要yao對dui所suo有you安an全quan關guan鍵jian型xing圖tu形xing進jin行xing檢jian測ce並bing予yu以yi糾jiu正zheng，然ran後hou再zai將jiang這zhe些xie圖tu形xing顯xian示shi在zai屏ping幕mu上shang。這zhe些xie係xi統tong內nei的de圖tu形xing存cun儲chu在zai支zhi持chi關guan鍵jian要yao求qiu方fang麵mian起qi著zhe重zhong要yao作zuo用yong，包bao括kuo支zhi持chi安an全quan快kuai速su的de啟qi動dong過guo程cheng。

 

01  安全啟動  

 

第一項要求是安全啟動。在眾多現代儀表板中
，汽車MCU與NOR閃存器件搭配，共同用於存儲啟動代碼和圖形內容。如果在初始化或配置過程中發生斷電，某些情況下NOR閃存器件可能會受損或不能做出響應。采用故障安全NOR閃存可以防止運行故障。它可以報告器件初始化故障及配置失敗，並提供從故障中恢複的方法。

 

02  即時啟動  

 

第二項必需的儀表板功能是“即時啟動”。儀表板顯示器應能在上電或重置後立即顯示準確數據，不應存在延遲。通過將汽車MCU與高速NOR閃存存儲器控製器相結合，並設計高效率圖形顯示方案，可以做到即時啟動。

 

03  安全圖形監測控器 

 

正如本文之前討論過的，所有符合ISO 26262 ASIL B級功能安全要求的顯示器，都需要對虛擬儀表板上的告警燈、信號和變速檔位指示采取防錯機製。駕駛員必須隨時掌握儀表板是否正常工作。例如，儀表板必須能監控和檢測安全關鍵型圖像/符號（參見圖2a）。

 

符合安全要求的圖形監控器應ying能neng針zhen對dui每mei一yi幀zhen顯xian示shi輸shu出chu，對dui其qi中zhong的de安an全quan關guan鍵jian型xing內nei容rong特te征zheng進jin行xing檢jian查zha。如ru果guo安an全quan關guan鍵jian型xing內nei容rong發fa生sheng損sun壞huai
，那na麼me係xi統tong應ying為wei該gai損sun壞huai內nei容rong生sheng成cheng不bu同tong的de特te征zheng指zhi示shi燈deng，並bing使shi用yong告gao警jing消xiao息xi提ti示shi駕jia駛shi員yuan（參見圖2b）。

 

圖2a：正確的製動指示燈

 

圖2b：發生故障的製動指示燈與安全監控告警

 

04  圖像糾正  

 

對儀表板提出的另一項關鍵要求是要具備圖像糾正功能。任何切實可用的儀表板應采用NOR閃存器件來存儲顯示圖像，並提供錯誤檢測與糾正功能。圖3a和圖3b就體現了這種理念。在本例中，我們故意將受損的近光燈指示燈圖像與正確圖像的ECC症狀碼結合，並存儲在NOR閃存器件中。如果我們禁用NOR閃存器件中的糾錯功能，就會顯示模糊受損的近光燈指示燈圖像（參見圖3a）。如果我們啟用閃存器件中的糾錯功能，就會顯示糾正後的圖標（參見圖3b）。

 

如圖所示，通過監控並糾正安全關鍵型顯示信息來確保準確性，NOR閃存技術將進一步提高安全性水平。

 

圖3a：禁用NOR閃存ECC後的指示燈圖像顯示

 

圖3b：啟用NOR閃存ECC後的指示燈圖像顯示

 

圖4所示的是儀表板原理圖，該儀表板以符合安全要求的方式使用NOR閃存訪問圖像數據。

 

圖4：儀表板係統解決方案

 

儀表板MCU內的功能安全

 

功能安全儀表板MCU，如Cypress Traveo II，是符合安全要求的儀表板係統的重要組成部分。它們在單個組件中將傳統的MCU功能與圖形功能相結合。該MCU在功能安全方麵符合ISO 26262標準，並為看門狗
、時鍾管理器、低電壓檢測、CRC引擎
、時序保護單元和外設保護單元等安全相關IP提供支持。

 

此外
，軟件在功能安全中也起著重要作用。Altia ISO 26262和麵向汽車嵌入式圖像的Altia安全監控器（ASM）等儀表板平台，使用儀表板MCU圖形子係統內的特征單元來檢查安全關鍵型內容特征。表1所示的是儀表板MCU的部分功能安全性功能。

 

表1：儀表板Traveo II MCU內的功能安全

 

NOR閃存內的功能安全

 

NOR閃存是最可靠的非易失性存儲器。在道路上行駛的數百萬輛汽車已對此作出證實。盡管如此，ISO 26262標準仍然要求汽車製造商對任何可能發生的故障進行檢測
，以確保功能安全。專為功能安全設計的NOR閃存
，例如賽普拉斯提供的Semper NOR閃存，集成了汽車係統的關鍵安全特性。以Semper為例
，它是一種達到ASIL B級水平
，即將滿足ASIL D級要求的器件。它具有良好的耐久度
，編程/擦除周期高達100萬次以上，數據保持能力長達25年，即使在極端溫度條件下也是如此。NOR閃存密度高達4Gb，支持兼容QSPI和JEDEC xSPI標準Octal和HyperBus接口。這兩種接口可提供高達400MB/s的吞吐量。表2所示的是功能安全性NOR閃存支持的所有安全機製與診斷功能。

 

表2：功能安全性Semper NOR閃存的功能安全詳解

 

軟件部分的功能安全

 

像Altia這樣的HMI軟件可以根據需要確認功能安全內容的正確顯示。它的通用嵌入式軟件應用達到ASIL B級水平，為HMI內的安全關鍵型對象提供監控功能。它依據ISO 26262標準和ASIL B級標準開發
，通過檢查每一幀顯示輸出中的安全關鍵型內容特征來確保其滿足ISO 26262標準的要求。

 

通過將功能安全融入到儀表板MCU
、非易失性存儲器和嵌入式軟件中
，開發人員能夠快速設計出符合安全要求的複雜汽車應用。

 

 

推薦閱讀：