Témakör:
Távolítsuk el a sebességcsökkentőket!
Megjelent: 2023. június 14.
Az ISO26262 Funkcionális Biztonsági tanúsítási folyamat akadálymentesítése
A járműipar manapság egyre több részfeladatot bíz az elektronika eszközeire a szórakoztató funkcióktól a hajtásvezérlésen át a létfontosságú közlekedésbiztonsági alkalmazásokig. A biztonsági szabványok – jelesül az ISO 26262 – szigorú feltételrendszere nemcsak a végtermékre fogalmaz meg követelményeket, hanem az egész tervezési és tanúsítási eljárást is részletesen szabályozza. Ezek követése költség- és időigényes, de a félvezetőgyártó támogatása jelentősen csökkentheti az erőforrásigényt.
A jelenkor autóiban több száz vagy több ezer különféle forrásból származó félvezető és más elektronikus alkatrész működik az alkalmazások egyre növekvő változatosságában, mint például az érintésvezérelt interfészekben, beépített töltőberendezésekben, akkumulátorfelügyeleti egységekben és még számtalan más alrendszerben. Az ISO (International Organization of Standardization – Nemzetközi Szabványügyi Szervezet) 26262 számú, a funkcionális biztonság fogalmait és követelményeit meghatározó szigorú szabványa biztosítja ezeknek az egyre összetettebb és bonyolultabb alkalmazásoknak a biztonságos működését. Azonban a szabványnak megfelelő tervezés és a tanúsítvány megszerzése időrabló és költséges eljárás lehet. Ezek a kihívások enyhülnek, amint a félvezetőipar az autóipari eredeti berendezések gyártói (OEM-ek) és beszállítói számára komplett funkcionális biztonsági ökoszisztémákat kínál, amelyek minimalizálják a költségeket, a kockázatokat és a fejlesztési időt a tanúsítási folyamat végrehajtásához.
Értsük meg az ISO 26262-t
Az ISO 26262 szabvány tartalmazza mindazon elektromos és/vagy elektronikus rendszerek funkcionális biztonsági specifikációit, amelyek sorozatgyártású közúti járművekbe vannak beépítve (a mopedek kivételével). Ezt az ISO-szabványt 2011-ben tették közzé, 2018-ban vizsgálták felül és egészítették ki egy félvezetőkre vonatkozó fejezettel, amely kötelező érvényű a teljes fejlesztési folyamatra a specifikáció megfogalmazásától a termék gyártásán át annak kibocsátásáig. Az autóipari OEM-eknek és beszállítóiknak ezt a folyamatot kell követniük és dokumentálniuk, amikor a funkcionális biztonságot igénylő közúti járműveken belüli alkalmazáshoz minősítik az eszközöket.
A rendszerek tanúsítási folyamata során független értékelő hitelesíti, hogy az megfelel az ISO 26262 szabvány követelményeinek. Az autókon belüli alkalmazások biztonsági igényszintjüktől függően különböző autóbiztonsági integritási szintek szerint (Automotive Safety Integrity Level – ASIL) vannak besorolva. Egyes alkalmazásokban magasabb biztonsági kockázatot jelent, ha egy elektromos vagy elektronikus rendszer meghibásodik. Az A-tól D-ig terjedő szintek a potenciális sérülések súlyosságán és valószínűségén, valamint azok kontrollálhatóságán alapulnak, és léteznek az érintett alkatrészekre vonatkozó biztonsági követelmények is. Az ASIL-D jelenti a legmagasabb fokú kockázatot, amely olyan autóipari alkalmazásokra vonatkozik például, mint a légzsákok, a blokkolásgátló fékek (ABS) és a szervokormány. ASIL-A besorolásúak például az olyan részegységek, mint a hátsó helyzetjelző lámpák. Az első fények és a féklámpák általában ASIL-B besorolásúak. Az olyan rendszerek, mint például a sebességtartó (tempomat), ASIL-C besorolásúak. Általában minél magasabb az ASIL-szint, annál több követelmény vonatkozik a hardveres redundanciára.
Az alkatrész-beszállítók többféleképpen segíthetik a biztonsági alkalmazások tervezésének és az ISO 26262 tanúsítvány megszerzésének felgyorsítását. Ezeket a funkcionális biztonsági erőforrásokat az 1. ábra mutatja. Először is olyan eszközöket kell gondosan kiválasztani, amelyek önmagukban tartalmazzák a szükséges funkcionális biztonsági erőforrásokat. Ezek a források magukban foglalják a hibaüzemmód hatás- és diagnosztikai elemzéséről (Failure Mode Effect and Diagnostics Analysis – FMEDA) szóló jegyzőkönyveket és a biztonsági kézikönyveket is. Az eszközöket a biztonság szempontjából kritikus alkalmazások létrehozására alkalmas fejlesztési ökoszisztémának is támogatnia kell.
1. ábra A tanúsított funkcionális biztonsági erőforrások és a fejlesztési ökoszisztéma rendszere
Képesség a funkcionális biztonságra
A jelenkori autókban az integrált áramkörök számos fajtáját alkalmazzák. A mikrovezérlőkre (MCU-kra) különösen jellemző a változatosság. Mikrovezérlőkre van szükség mindenfajta elektronikus vezérlőegységben (Electronic Control Unit – ECU), és mindenütt előfordulnak az autók szerkezetében, ahol olyan kényelmi szolgáltatásokra van szükség, mint az önvezető képesség és a kifinomult szolgáltatások számos más válfaja. A képességtartomány a nyolcbites teljesítményre, energiafogyasztásra és valós idejű feldolgozási képességekre optimalizált, hardveresen támogatott érintésérzékelős kezelési interfésszel kibővített MCU-któl a 32 bitesekig terjed, amelyek többszálas programfuttatásra is alkalmasak, továbbá grafikai, kommunikációs és biztonsági funkcionalitásokkal is rendelkeznek. Ezenkívül léteznek még digitális jelfeldolgozásra képes vezérlők (Digital Signal Controller – DSC), amelyek egy MCU képességeit egyesítik egy digitális jelfeldolgozó (DSP) egységgel, amelyek ezáltal a szenzorok, motorok vagy energiaátalakító egységek robusztus és gyors, determinisztikus vezérlését teszik lehetővé.
Minden ilyen integrált áramkörnek legelőször is meg kell felelnie azoknak az automotív szabványoknak – mind a gyártás, mind pedig a teljesítőképesség szempontjai szerint –, amelyeket az Automotív Elektronikai Tanács (Automotive Electronics Council – AEC) ír elő. Az AEC Q100 szabványa egy, a tipikus meghibásodási mechanizmusokon alapuló terhelési teszttel történő minősítési eljárást követel meg a teljes üzemi hőmérséklet-tartományra vonatkoztatva. Az alkalmazástól függően egy mikrovezérlőnek az AEC Q100 2., 1. vagy 0. szintbesorolását kell teljesítenie: a 0. szintnek (Grade 0) 150 °C, a Grade 1-nek 125 °C, a Grade 2 fokozatnak pedig 105 °C maximális üzemi hőmérsékleten kell működőképesnek maradnia.
Az AEC-minősítéseken túl további követelmények vonatkoznak a funkcionális biztonságnak az eszköztől és az alkalmazási céltól függő készségeire nézve. Ennek egy példája a nyolcbites MCU, amely gyakran tartalmaz CAN FD funkcionalitást az automotív interfészekkel és okosszenzor-hálózatokkal való kommunikációra, és tipikusan használják a felhasználói interfész (User Interface – UI) vezérlőjeként a mechanikus és kapacitív nyomógombok érzékelésére az utastérben, a kormánykeréken vagy az autó központi konzolján, illetve a billentyűzet nélküli beviteli rendszerekben.
Ezeknek az MCU-knak a hardverbe integrált biztonsági képességei tipikusan a memóriával, a rendszer alaphelyzetbe állításával, a biztonsági kóddal történő jogosultságellenőrzéssel, a biztonságos kommunikációval és az általános célú ki/bemenetek (General Purpose Input Output – GPIO) védelmével kapcsolatos feladatok megoldására terjednek ki. Ezeket a képességeket gyakran célorientált magfüggetlen perifériákkal (Core Independent Peripheral – CIP) és olyan más funkciókkal (lásd a 2. ábrát) támogatják a működés biztonságának és megbízhatóságának fokozása érdekében, mint a bekapcsolási alaphelyzetbe állítás (Power On Reset – POR), az alacsony tápfeszültség helyreállása utáni újraindítás (Brown-Out Reset – BOR), az ablakolt programfutás-ellenőrző időzítő (Windowed Watchdog Timer – WWDT) és a ciklikus redundancián alapuló kódvédelem (Cyclic Redundancy Check – CRC).
2. ábra Egy nyolcbites, funkcionális biztonságot szolgáló hardverelemekkel ellátott MCU tömbvázlata
Haladjunk tovább felfelé a funkcionális biztonsági készségek fokozatain, a 16 bites DSC-knél követelmény a hibajelző és -javító rendszerrel (ECC) kiegészített, öntesztelési képességgel (Memory Built In Self Test – MBIST) ellátott memória, az órajelfigyelés és redundáns órajelgenerátor és további, ön- és rendszerdiagnosztikai képességek, valamint a hibaállapot következményeit csökkentő, „kárenyhítő” funkciók.
Ezek a funkcionális biztonsági képességekkel ellátott eszközök biztonságkritikus, nagy teljesítőképességű, beágyazott, szenzorillesztő, digitális teljesítménykapcsoló és motorvezérlő alkalmazások megvalósítását teszik lehetővé. A tipikus alkalmazások közé tartoznak a DC/DC energiaátalakító rendszerek, beépített töltésvezérlők (On-Board Chargers – OBCs), beavatkozók és érzékelők (pl. pozíció- és nyomásszenzorok), érintésérzékelők és más vezérlők az ASIL-B és ASIL-C megfelelőségi kategóriában. A 3. ábrán egy funkcionális biztonságra előkészített DSC tömbvázlata látható.
3. ábra Egy funkcionális biztonsági elemekkel ellátott 16 bites DSC tömbvázlata
Mint az összes funkcionális biztonsági előkészítéssel ellátott MCU-k, úgy a 32 bitesek is tartalmaznak olyan hardverképességeket, mint az ECC, a Fault Injection (a váratlan hibaállapotok előfordulásának következményeit műhibák „beszúrásával” tesztelő eljárás – A ford. megj.), az MBIST, a tartalékkal felszerelt órajelellátó és órajelhibákat detektáló rendszer, valamint az elektromágneses kisülések ellen védett GPIO (lásd a 4. ábrát). Ugyancsak fontosak az olyan rendszerfelügyeleti funkcionalitások, mint a POR, BOR, a WDT és a hardverrel támogatott CRC, valamint a memóriavédelmi egység. A 32 bites MCU-k az utastéri alrendszerektől a korszerű vezetéstámogató rendszerekig (Advanced Driver Assistance System – ADAS) terjedő széles alkalmazástartományokban jutnak funkcionális biztonságot igénylő szerephez.
4. ábra Egy funkcionális biztonsági alkalmazásra előkészített 32 bites MCU tömbvázlata
Lehetséges azonban az ASIL C/D biztonsági szintet teljesíteni alacsonyabb ASIL-szintű MCU-k és DSC-k használatával, ha az elsődleges MCU-t vagy DSC-t egy másodlagos mikrovezérlővel vagy biztonsági koprocesszorral kombinálják. Ez az ASIL dekompozíciós elvének alkalmazásával valósítható meg: két ASIL-B megfelelőségű alrendszerrel egy magasabb ASIL-szint, például ASIL C/D is elérhető.
ASIL-C = ASIL-B (C) + ASIL-A (C)
ASIL-D = ASIL-B (D) + ASIL-B (D) =
ASIL-C (D) + ASIL-A (D)
A dekompozíció azáltal valósul meg, ha a biztonsági funkcionalitásokat szétosztjuk a rendelkezésre álló eszközök között.
Fejlesztőeszközök és tanúsítási támogatás
Azok a fejlesztőeszköz-csomagok, amelyek a teljes fejlesztési ökoszisztéma részeként maguk is rendelkeznek funkcionális biztonsági tanúsítvánnyal, megkönnyíthetik a megfelelőségi ellenőrzés követelményeinek az ISO 26262 szabvány szerinti teljesítését. Ez különösen igaz az MCU- és DSC-alapú termékek esetében. A fejlesztőeszközök gyártói független, külső vizsgáló és tanúsító szervezetekkel működnek együtt a funkcionális biztonsági követelményeket kielégítő fordítóprogramok megfelelőségének tanúsítása érdekében. Ezek a szoftvereszközök tipikusan egy bővített dokumentációval együtt érkeznek, amelynek része a tanúsítvány, a funkcionális biztonsági követelményeket részletező kézikönyv, egy biztonsági tervvázlat, valamint a szoftvereszközök biztonsági besorolását tanúsító okirat és a biztonsági minősítési folyamat jegyzőkönyve, amely a fordítóprogramokra, az integrált fejlesztőkörnyezetekre (Integrated Development Environment – IDE), a hibakereső és programbeíró hardverekre is kiterjed. Ez a funkcionális biztonsági dokumentáció egyszerűsíti a fejlesztőeszközök tanúsítási eljárását és a végtermék biztonsági tanúsítványának megszerzését.
Ideális esetben a tervezési folyamatban egy kódlefedettségi eszközt is használni kell annak mérésére, hogy a kód mennyire lett tesztelve, ami meghatározza, hogy a szoftver mely részei hajtódtak végre és melyek nem. A használt kódlefedettségi eszközt az osztályozási és minősítési jegyzőkönyvekben is fel kell tüntetni. Érdemes olyan szoftvereszközt keresni, amely egyetlen lépésben képes tesztelni anélkül, hogy a kódot blokkokra bontaná, és nem igényel nagy mennyiségű hardvermódosítást, drága szoftvert és jelentős erőfeszítést az érdemi információk megkeresésére nagy adatfájlokban. Az alkalmazások tanúsításához kódtesztelési adatokra van szükség, így az egymenetes kódlefedettség-vizsgáló eszközök jelentős szerepet játszanak a folyamat egyszerűsítésében és a piacképes termék előállításának felgyorsításában.
Annak érekében, hogy egy fejlesztő olyan automotív alkalmazást dolgozhasson ki, amely megfelel az ISO 26262 szabványnak, a fejlesztőnek az eszköz adatlapján kívül további erőforrásokra van szüksége a félvezető gyártójától. A funkcionális biztonsági csomag elérhetősége az, amire az automotív OEM-eknek és beszállítóiknak szüksége van az eszközök értékelésének és betervezésének különféle fázisaiban. Ezeknek a csomagoknak tartalmazniuk kell a tanúsított biztonsági kézikönyvet, az FMEDA-jegyzőkönyveket, és bizonyos esetekben a diagnosztikai szoftvert is, mint például a tanúsított öntesztelési szoftverkönyvtárnak az aktuálisan elvárt ASIL-szintet kielégítő változatát.
Az FMEDA-jegyzőkönyv számszerű adatokat tartalmaz az eszköz hibaállapotairól, a hibaállapotban töltött idő arányának (Failure In Time – FIT) eloszlását, és az ehhez kapcsolódó érzékelési módszereket annak érdekében, hogy egy helyreállítási tervet lehessen készíteni. Egy másik fontos erőforrás a biztonsági kézikönyv (Safety Manual – SM). Ez részletesen tárgyalja azokat a hibaészlelési módszereket, amelyek az FMEDA-jegyzőkönyvben vannak megnevezve, és javaslatokat tesz arra, hogyan lehet az eszközt a legbiztonságosabb módon használni. Tartalmazza a függő hibák (egy hibajelenség által kiváltott további, következményes hibák – A ford. megj.) leírását és a szisztematikus hibák észlelésére szolgáló hardverfunkciókat, amelyek diagnosztikai könyvtárak fejlesztésére használhatók. A funkcionális biztonsági diagnosztikai könyvtárak segíthetnek értékelni a rendszer üzemállapotát hibaállapotban, észlelni a véletlen rendszerhibákat és elérni a kívánt funkcionális biztonsági célokat. Egy olyan eszköz választása, amelyhez rendelkezésre áll a harmadik fél által hitelesített FMEDA-jegyzőkönyv, valamint a biztonsági kézikönyv és a diagnosztikai könyvtárak, csökkenti a biztonságkritikus alkalmazások tanúsításához szükséges erőfeszítéseket.
A biztonságkritikus alkalmazások fejlesztése a biztonsági célok és az elérni kívánt biztonsági szint meghatározásával kezdődik. Ehhez a funkcionális biztonsági alapcsomag olyan alapvető erőforrásokat biztosít, mint az FMEDA, a biztonsági kézikönyv és tanúsítvány, amellyel el lehet kezdeni a célul kitűzött funkcionális biztonsági szintek értékelését és a biztonságkritikus autóipari alkalmazások tervezését.
Az MCU-alapú tervezés funkcionális biztonsági kezdőcsomagjának ideális esetben ASIL-B-re előkészített tanúsítvánnyal rendelkező FMEDA-t, biztonsági kézikönyvet és ASIL-B/C megfelelőségű diagnosztikai könyvtárakat kell tartalmaznia egy referenciaalkalmazással kombinálva, amely segít a tervezőknek megérteni, hogyan használhatók fel ezek az erőforrások biztonságkritikus alkalmazások fejlesztésre az ISO 26262 szabványos eljárását követve. A kezdőcsomag segít a tervezési ciklus felgyorsításában az ASIL-B vagy -C megfelelőségi szint szerint.
A teljes funkcionális biztonsági csomag olyan hitelesített diagnosztikai könyvtárakra is kiterjesztheti a kínálatot, amelyek forráskódot és biztonsági elemzésekre vonatkozó jelentéseket tartalmaznak akár az ASIL-B/C szintű tervekhez is. Sok végfelhasználó ragaszkodik ahhoz, hogy a biztonságkritikus alkalmazások tanúsítvánnyal rendelkezzenek, és a teljes csomag használata felgyorsítja ezt a tanúsítási folyamatot.
Az autók egyre kifinomultabbak, a bennük alkalmazott elektronika részaránya pedig növekszik. Egyre fontosabb, hogy a jelenkor funkcionális biztonságra összpontosító autóipari termékei tanúsított funkcionális biztonsági erőforrásokat kínáló fejlesztési ökoszisztémákat támogassanak az ISO 26262 követelményeinek teljesítéséhez. Az integrált áramkörök beszállítói abban is segíthetnek az autóipari gyártóknak, hogy megvédjék hosszú távú befektetéseiket ebben a szigorú fejlesztési és tanúsítási folyamatban. Biztosítani tudják, hogy a tanúsított rendszerben használt alkatrészeket mindaddig szállítsák, ameddig az ügyfél megrendelni akarja őket, így megszűnik a kényszerű újratervezés kockázata, ami akkor válik szükségessé, ha egy alkatrész váratlanul az életciklusának végére (End Of Life – EOL) ér. Ez növeli a bizalmat az iránt, hogy a tanúsítás ne csak gyorsan és egyszerűen legyen teljesíthető, hanem elvégezni is csupán egy alkalommal kelljen.
Szerző: Jacob Lunn Lassen – Microchip Technology, Inc., Funkcionális Biztonság részleg
www.microchip.com
#ed2320