本文章参考一个成熟的电子系统功能安全方案,以此给FPGA系统RTL层和功能层的功能安全需求,提供一定参考。
安全生命周期
概述
a)SSS已通过运行符合ISO 9001:2015与IATF 16949:2016质量标准的质量控制系统,建立了产品开发流程。除此之外,本传感器的开发流程还遵循ISO 26262:2018标准进行设计。
b)安全生命周期包含概念阶段、产品开发阶段、产品发布后阶段(生产、运营、服务与处置) 各阶段的功能安全管理,以及整体功能安全管理。在此管理框架下:
1)SSS已依据自愿性设计需求规范,将本传感器开发为SeooC(上下文无关的安全相关项) 产品;
2)SSS已制定商业化项目计划,用于启动传感器开发的安全生命周期;
3)概念阶段采用裁剪后的流程;
4)安全生命周期中各阶段的安全活动,均按照安全计划进行规划、协调与文档记录。
c)
1)左侧是商业化流程(ISO 9001/IATF 16949):按可行性研究(FS)→产品规划→设计开发→量产准备推进,以设计评审(DR0-DR3)为节点,把控商业化各阶段的设计、验证、量产准备工作。
2)右侧是安全生命周期(ISO 26262):分概念阶段→产品开发阶段→发布后阶段,对应ISO 26262的不同部分。其中概念阶段定义安全目标,确定功能安全概念;产品开发阶段拆分系统、硬件、软件层级开发;发布后阶段管理生产、运营等环节的安全。
3)左侧的商业化流程的设计评审DR节点,会同步触发右侧安全生命周期的确认评审/功能安全审计,确保商业化推进的同时,安全要求被同步验证落地。
功能安全流程
a)为符合ISO 26262:2018标准,SSS已建立了自身的功能安全流程。
b)文档体系
1)功能安全手册:概述符合ISO 26262:2018的内部标准功能安全流程的文档;
2)操作标准:基于功能安全手册文档,规定了功能安全管理活动所需的基本规则(标准与执行流程);
3)指南:指南与实用示例集,二者均为确保工作交付物顺利准备的必要内容,在操作标准中明确规定;
4)模板:工作交付物的模板,是顺利准备操作标准中规定的工作交付物的必要内容;
5)记录(工作交付物):工作交付物,其名称在配置管理标准中定义;包含质量管理QM交付物,用于补充其他交付物以证明产品符合ISO 26262。
c)
1)整体功能安全:功能安全生命周期内的质量管理体系,与ISO 9001:2015和IATF 16949:2016的质量管理体系集成运行。功能安全文档系统构成了分层结构,SSS所有功能安全流程的交付物,均使用符合流程指南的模板编制,以此确保交付物满足功能安全标准。
2)概念阶段:基于SSS环境分析形成的产品战略,制定产品系列规划;再基于该规划编制商业化项目计划,安全生命周期随之启动。
3)产品开发阶段:SSS的产品开发遵循内部功能安全设计规则;功能安全设计阶段的验证评审,其时间安排与操作流程也符合内部安全评审规定。
4)产品发布后阶段:功能安全设计完成后,SSS会编制生产发布报告,汇总生产环节需落实的安全措施;生产站点将依据这些措施,在生产过程中维护、管理功能安全。
产品发布后的安全管理
a)SSS生产站点的安全活动:功能安全推进人员会规划并执行安全活动,保障产品在发布后阶段的功能安全。现场监控收集的数据将作为持续改进的输入信息,SSS站点会在产品整个安全生命周期内持续开展相关工作。
b)功能安全异常的升级上报:缺陷涵盖全市场、SSS客户的生产线及SSS自身的生产线,这些缺陷会上报至SSS的质量问题信息管理系统。安全相关事件的信息会向客户通报。
c)功能安全异常的解决流程:针对市场、客户生产线及SSS自身生产线中的缺陷,各SSS生产站点的质量保证部门牵头开展分析、评估、制定措施并落实解决方案。若需要反馈,质量保证部门会联系设计部门;若需调整管理,责任设计部门会依据SSS质量管理体系的规则采取适当措施。
安全架构
本章描述SSS为确保整个系统安全所做的设计,核心围绕传感器的各目标功能与安全机制之间的交互。为保障该传感器的安全使用,需针对系统性故障与随机硬件故障采取相应措施。当传感器检测到自身存在的系统性故障或随机硬件故障时,会将这些故障通知给主机,由主机进行妥善处理。
使用假设
a)
b)
1)这张图是ASIL-B级激光雷达系统的核心组件连接与信号交互架构图,核心是明确各部件的分工与接口逻辑:
①组件包括电源IC、时钟IC、LD、sensor、host,整个系统均满足ASIL-B功能安全等级。
②
电源IC:向传感器提供各类供电电压,主机可通过Power IC control模块控制电源;
时钟IC:输出主时钟INCK给传感器,是传感器的时钟源;
传感器与LD:传感器输出发射触发信号TRG_O系列控制LD发射,同时接收LD的激光驱动器反馈/错误通知信号;
传感器与主机:通过同步信号、发射触发输入、MIPI数据(传测距结果)、I2C/SPI通信(读写寄存器)、状态信号(READY/COMREADY)、错误通知XERROR等多类接口,实现控制 - 数据 - 状态 - 故障的全链路交互;
主机模块:对应设置了电源控制、时序控制、MIPI 接收、通信、状态监控、LD 状态监控等功能模块,实现对整个系统的管控。
c)SSS基于FMEDA(故障模式影响与诊断分析)计算以下数值并提供给客户(FMEDA的前提是本文描述的所有安全机制在激光雷达系统中有效运行):
1)SPFM:安全机制对单点故障及剩余故障的有效性指标;
2)LFM:安全机制对潜在故障的有效性指标;
3)PMHF:随机硬件故障的概率度量指标。
FDTI
a)FDTI定义:从传感器内部故障发生,到主机开始执行安全状态切换的最长时间间隔。
1)传感器在激活状态下,当F_SYNC从高电平切换为低电平时,会执行5项名为运行时BIST的安全机制。使用该传感器的主机需调整 F_SYNC从高到低的时间间隔,确保传感器通过运行时BIST发出的错误通知符合FDTI(故障检测时间间隔)要求。当F_SYNC从低电平切换为高电平时,传感器启动距离测量,因此FDTI的起点是F_SYNC低转高的时刻;FDTI的终点是传感器检测到故障后XERROR状态变化的时刻。若运行时BIST检测到故障,传感器在BIST执行前输出的距离测量数据可能异常(甚至违反安全目标),错误检测后的输出数据也可能异常。主机需通过检查XERROR引脚,判断传感器在FDTI内是否故障;若要确认故障类型,需读取错误状态寄存器。通过EBD的故障通知会在下一次距离测量时完成。
FDTI与MPFDI的目标值
a)FDTI≤50ms,MPFDI≤1个电源循环。
功能安全要求(functional safety requirements)
a)功能安全要求(FSR)源自激光雷达系统的安全目标,并分配给激光雷达系统的各子系统。
1)系统应检测距离测量数据的错误:传感器应检测距离测量数据的错误、卡死问题、方位角错误、仰角错误;
2)系统应检测传感器控制的故障:传感器应检测与外部的连接及通信故障、传感器应检测内部控制数据的故障、传感器应检测安全机制的故障;
b)技术安全要求(TSR)源自传感器的功能安全要求(FSR),并分配给传感器与主机。
1)传感器应收集各安全机制的故障信息,并在FDTI内通过XERROR引脚向主机通知故障;
2)传感器应通过EBD向主机通知故障信息;
3)传感器检测到故障后,应将故障信息存储在错误状态寄存器中;
4)传感器应通过施加多种控制信号模式,在FDTI内检测像素前端电路的故障;
5)传感器应通过使用多种控制信号模式,在FDTI内检测控制信号生成电路、像素前端电路与数据路径模块之间的控制信号故障;
6)传感器应通过在数据路径上使用测试模式,在FDTI内检测数据路径的故障;
7)传感器应通过对比激活的SPAD像素位置信息与主机指定的位置,在FDTI内检测激活SPAD像素位置的故障;
8)传感器应在FDTI内,通过ECC检测SRAM/ROM/OTP数据读取错误,并纠正1bit数据错误;
9)当内部时钟频率超出指定范围时,传感器应在FDTI内检测其故障;
10)传感器应通过对比内部同步信号与冗余同步信号发生器生成的信号,在FDTI内检测内部同步信号的故障;
11)当软件未按顺序处理时,传感器应在FDTI内检测故障;
12)当CPU挂起时,传感器应在FDTI内检测故障;
13)传感器应对主机发送的SPI/I2C通信数据执行自诊断,在FDTI内检测通信错误;
14)传感器应发送主机可检测SPI/I2C通信错误的信息;
15)传感器应在FDTI内检测SPI/I2C通信格式的错误;
16)当寄存器值与预期值不符时,传感器应在FDTI内检测寄存器错误;
17)传感器应通过两个温度传感器检测温度相关故障;
18)当任意温度传感器输出超出指定范围时,传感器应在FDTI内检测故障;
19)当两个温度传感器的数值差超过阈值时,传感器应在FDTI内检测故障;
20)传感器应监测自身两个位置的偏置电压与电流;
21)当偏置电压或电流超出指定范围时,传感器应在FDTI内检测故障;
22)当外部输入电源电压超出范围时,传感器应在FDTI内检测故障;
23)若检测到外部输入电源电压故障,传感器应执行复位操作
24)传感器复位时,应将XERROR引脚设为低电平(0);
25)传感器应监测自身两个点位的输入电源电压值;
26)当任意电源电压值超出指定范围时,传感器应在FDTI内检测故障
27)当F_SYNC为低电平时,传感器应执行活跃SPAD像素区域检查、SPAD检查、SPAD访问检查、数据路径检查、寄存器检查;
28)当F_SYNC/S_SYNC/TRG_I在非预期时序输入时,传感器应在FDTI内检测故障;
29)传感器应通过对比输出信号与冗余发生器的信号,在FDTI内检测故障;
30)当软件栈指针超出栈区域时,传感器应在FDTI内检测故障;
31)传感器应计算每行数据的校验和,并将包含该校验和的MIPI数据包发送给主机;
32)传感器应计算EBD的校验和,并将包含该校验和的MIPI数据包发送给主机;
33)使用OTP数据前,传感器应通过CRC校验在FDTI内检测其错误;
34)传感器应在MPFDI内检测安全机制电路的故障;
35)传感器应在MPFDI内通过诊断检测SRAM的故障;
36)传感器应在MPFDI内执行SRAM的读写检查(用于软件使用并验证一致性);
37)传感器应具备检查XERROR引脚是否卡死的功能。
c)主机的TSR源自功能安全要求(FSR):
1)当传感器通知故障时,主机应将激光雷达系统切换至安全状态;此后需维持该安全状态;
2)传感器启动时,主机应将其设为ANA-TEST状态,以检测像素前端电路的故障;
3)主机应在FDTI内检测INCK或DMCK的频率故障;
4)主机应利用从传感器接收的I2C/SPI信息,在FDTI内检测I2C/SPI通信错误;
5)主机应发送传感器可用于检测自身I2C/SPI通信错误的信息;
6)主机应通过MIPI数据附带的校验和,在FDTI内检测距离测量数据的错误;
7)主机应通过MIPI数据附带的校验和,在FDTI内检测EBD的错误;
8)当MIPI数据中的槽位号未更新时,主机应在FDTI内检测故障;
9)当MIPI数据中的宏像素号无序时,主机应在FDTI内检测故障;
10)当F_SYNC切为低电平后COMREADY仍保持高电平时,主机应在FDTI内检测故障;
11)当传感器电源VDDLSC电压超范围时,主机应在FDTI内检测故障;
12)当激光未按正确时序闪烁时,主机应在FDTI检测故障;
13)传感器启动后,主机应将其设为DIG-TEST状态,以便传感器检测安全机制电路故障;
14)传感器启动后,主机应将其设为DIG-TEST状态,以便传感器检测SRAM故障;
15)主机应在MPFDI内检查XERROR引脚是否卡死(验证其状态是否随主机设置变化)。
安全机制
a)
1)SPAD 阵列→SPAD 检查;数字信号处理→SPAD 访问检查、数据路径检查;信号生成→内部同步检查;状态控制→通信 CRC 检查、协议检查;温度传感器→温度计检查;电源→供电检查、参考电压检查。
2)针对传感器通用资源(非单一功能)的潜在故障检测,是全局兜底的安全措施,比如:存储类:SRAM/ROM/OTP检查、存储BIST;系统类:看门狗定时器、寄存器检查、控制流监控、软件栈检查;硬件类:逻辑BIST、ECM、XERROR引脚检查。