功能安全

功能安全性,ISO 26262和MIPS

MIPS通过使其许可技术准备好用于符合关键功能安全标准,从而能够创建辅助人类甚或完全自治的系统。

我们生活在一个从制造业到机器人技术再到汽车行业,自动化在各行各业都变得司空见惯的世界中。 尤其是后者正在迅速发展,不久之后无人驾驶车辆便成为我们道路上的常景。 甚至在此之前,我们还将通过安全间距和自动中断等功能为驾驶员提供高水平的协助。

科技朝向自动驾驶汽车发展将不可避免地成为社会的颠覆性力量,并将对无数行业产生影响,包括出租车,运输,保险甚至汽车所有权本身。 自动驾驶将挽救生命,并且随着向电动推进的过渡,也将有益于环境。

func-safety-intersection

由于安全法规的改进以及安全带和安全气囊等车载技术的使用,过去十年来,车内人员的死亡人数已大大减少。 然而,主要由于道路上车辆数量的急剧增加,全球范围内,事故造成的道路死亡人数继续增加。 从统计上讲,这些事故大多数是由于驾驶员的失误造成的,通过将人类排除在外,可以挽救生命。

汽车也变得越来越复杂。 在过去十年中,汽车中平均使用的电子控制单元(ECU)的数量已大大增加。 根据Strategy Analytics的数据,2007年的豪华车可能拥有40多个ECU,但到2018年,这一数字可能会超过50,而某些高端汽车的各种公交车上可能会多达150。 处理器也变得越来越复杂,许多功能从8/16位变为32位,并且在某些情况下将多种功能组合到更复杂的SoC中。 为了满足未来自动驾驶汽车的高级汽车驾驶员辅助系统(ADAS)的需求,这种复杂性只会增加。

2000年,引入了IEC 61508标准,以满足所有与电气,电子和可编程安全相关的系统对功能安全的需求。 但是,随着电子技术在车辆运行中变得越来越基础和不可或缺,有必要引入汽车专用分支。 该标准于2011年推出,称为ISO 26262,它规定汽车中的所有组件均应符合功能安全标准,该标准定义为“由于电气/电子系统故障引起的危害,不存在不合理的风险”。

什么是功能安全?

一个可靠的系统可以分为三个部分,其中功能安全是其中之一。 它包括三个类别。 首先,可靠性是因为系统应该按照设计来响应命令而工作,而不是失败。 其次,它在需要时应该可用,因此可以在需要时做出响应。 第三,它应该是安全的,以使系统以不会造成任何伤害的方式响应故障。 虽然不可能保证绝对的安全,但它旨在最大程度地降低风险。

功能安全一直是许多行业的重要组成部分。 它可以确保在火车上应该开的门关闭,确保航空系统安全,并且在医疗界中,设备可以正常运行。
用汽车术语来说,常见的例子是确保安全气囊在应有的时候展开,ABS制动器在需要时启动,并且电动车窗不会在孩子的手指上关闭。

为什么要使用ISO 26262?

ISO 26262在IEC1508的基础上进行了扩展,定义了四个汽车安全完整性等级(ASIL),范围从A到D,其中最严格。 ASIL质量管理(QM)是指仅需要标准质量管理流程的组件。 从下图可以看出,车辆内的不同组件需要不同的级别,具体取决于应用程序。

func-safety-asil

该标准与IEC1508的不同之处还在于,它了解到并非所有的错误都会导致事故,但是必须有一种方法来识别故障并转为“故障安全”操作。 例如,如果在自动驾驶汽车的自动制动器等功能中检测到故障,则功能安全的系统将使用内置冗余来确保系统按预期工作; 然后,车辆可以从道路使用中移除,直到功能已修复。

ISO 26262特别考虑了开发必须在汽车任何特定方面的生命周期中分布在不同的组织中。 它还明确要求组织内具有完整的安全文化。
准备第11部分

ISO 26262的原始草案由十部分组成,但修订版(当前在草案中)增加了第11部分。这是指将ISO 26262应用于半导体IP供应商。 以前,该标准仅涉及SoC制造商遵守该标准的要求,但是随着功能安全对汽车的重要性日益提高,它已向下延伸至IP提供商。

对于I6500-F CPU,MIPS遵循了功能安全性要求,尤其是ISO26262。下面的V-图显示MIPS考虑了SoC供应商的安全要求以及安全生命周期所产生的工作产品 在发布最终的安全工作包之前,我们将经过严格的独立确认措施。 然后,SoC供应商可以放心地将我们的IP集成到他们的设计中,这将满足他们的目标ASIL要求。

func-safety-iso26262

完整包装

我们的MIPS I6500-F被认为已实现“从D分解的ASIL B”,因此可以成为ASIL D等级SoC的一部分。除了IP本身之外,我们还提供安全工作包以及 ResilTech (国际安全标准的独立第三方评估机构)提供的FMEDA安全分析报告。

随着 MIPS I6500-F CPU的开发,MIPS依靠其在满足功能安全要求方面的专业知识不断发展,使我们的SoC客户能够达到ISO-26262等标准的符合性。I6500-F已依据安全元件建构于内文外(SEooC)的设计精神,使其能够在多种设计中实现。 I6500-F已通过ResilTech的独立验证,符合ISO 26262的要求,因此新兴的智能和自治系统的设计人员可以使用CPU内核以及随附的安全软件包,以确保其系统的这一部分满足最高的安全要求。

I6500-F已被领先的SoC公司Mobileye选择为其即将面世的EyeQ®5汽车视觉平台提供动力,并已准备好为将塑造自主未来的汽车,工业物联网和机器人系统提供动力。

转到此处了解有关我们的MIPS I6500-F的更多信息。