支持ASIL D 應用的安全集成硬件解決方案

這兩個系統 IC 中所用的專用半導體元件請參考 ISO 26262-5:2011(E) 附錄 D 中 D.1 至 D.10（見圖 5）。 這有利于分解元件并指示診斷覆蓋范圍。

圖5：飛思卡爾功能安全系統解決方案(包括 ISO26262 附錄 D 方法)

下表匯總的內容如下：

• 飛思卡爾安全系統中的硬件元件列表
• 為各個元件實施的安全機制/措施
• 各個安全機制/措施可實現的典型診斷覆蓋范圍，請參見 ISO 26262-5:2011 (E) 附錄 D

資料來源： 參考 ISO 26262-5:2011 (E) 附錄 D 與飛思卡爾硬件解決方案（MPC5643L 與 MC33907）。

表1 MC33907 和 MPC5643L 的組合值滿足 ASILD 要求

SafeAssure MCU和模擬系統基礎芯片組合在一起可視為一個 SEooC，有利于評估系統安全性。這些器件的開發是為了支持 ISO 26262 標準要求，并提供了一種可擴展的方法，以簡便地開發需要遵從功能安全標準的系統。各個元件之間的最佳交互使系統更簡單、更強大。此外，這種架構能夠減少系統級組件的數量，滿足功能安全需求，并增強可靠性。

在 MC33907 內部，電源管理單元和自動防故障裝置相結合，與 MCU 進行交互。采取 4 個安全措施，確保 MCU 和 SBC 無中斷電源之間的交互，故障安全輸入監控關鍵信號，故障安全輸出驅動故障安全狀態，而看門狗用于先進的時鐘監控。當與 MPC5643L MCU 相結合時，每個安全措施可以進行優化，以實現最高的安全性能水平。

在組件開發過程中，開發一個完整的失效模式、效應和診斷分析（FMEDA），根據單點故障、潛在故障和共因失效(CCF)測量安全性能。此類安全分析是 SafeAssure產品的支持交付項的一部分，也是混合設備失效模式分析的結果，可確定系統是否安全。設備架構已經實施，具體目標是降低 FMEDA 風險。

例如，分離主要功能（供電和通信）和自動防故障機（一組獨立的安全功能，如監控、檢測和安全狀態控制）可降低 CCF。已經采取了這一具體措施來降低 CCF，并結合了模擬和數字內置自測（BIST）功能，這有助于減少潛在故障。

在系統級，MPC5643L 提出的安全檢查機制可由 MC33907 通過故障采集控制單元 (FCCU) 的雙穩協議來監控。這種 IC 交叉檢驗，如對監控定時的查詢等，可對系統進行外部檢測，作為額外的措施，進一步確保故障檢測。

為了符合系統基礎芯片系列的安全架構，可以通過一個專用的故障安全輸出為安全狀態激活提供冗余路徑。當發生故障情況時，這些輸出將應用設置為確定性狀態，以彌補 MCU 故障安全輸出。

這些硬件實施方案幫助軟件工程師簡化了軟件架構，且實施的軟件開發策略側重于使用單一的 MCU 方法來確保安全性。

最后，提供了詳細的文檔，該文檔描述了功能安全、安全目標和各個組件的安全實施方案，因此可使用標準的半導體設備管理各種安全應用。

結論

從措施和架構角度來看，在芯片級實施與安全相關的功能所用的新的 ISO 26262 標準尚處于初級階段。 在冗余和簡易性之間取得恰當的平衡是開發經濟高效而安全的解決方案的關鍵。

使用各種類型的架構都有可能達到 ASIL-D 級要求，但是，正確實施 MCU 和 SBC 可讓系統更簡單、速度更快、更可靠和更具成本效益。MC33907 SBC 和 MPC5643L MCU 相結合，可使設計人員將飛思卡爾的SafeAssure流程融合到硬件、軟件和支持中，從而更輕松地將功能安全添加到關鍵系統中。這些器件的結合以及全面的文檔（如 FMEDA 和“安全手冊”）旨在簡化硬件架構，并加快任何 ISO 26262 應用的面市速度。

飛思卡爾的獨特方法旨在簡化功能安全，降低風險并降低開發過程的成本。在生產之前的開發流程的早期預測風險并降低潛在故障的影響，有助于提高駕駛員和乘客的安全，還能夠降低制造商的質量成本。