基于ISO26262的以太網(wǎng)網(wǎng)關(guān)硬件開發(fā)研究

曾湘文

基于ISO26262的以太網(wǎng)網(wǎng)關(guān)硬件開發(fā)研究

曾湘文

（廣州汽車集團(tuán)股份有限公司汽車工程研究院，廣東 廣州 510640）

文章結(jié)合以太網(wǎng)網(wǎng)關(guān)的硬件設(shè)計(jì)，闡述在得到相應(yīng)安全目標(biāo)后，如何基于ISO26262進(jìn)行安全等級(jí)的分解、器件的選型、硬件的設(shè)計(jì)及硬件功能安全相關(guān)參數(shù)的計(jì)算。通過文章所提出的硬件設(shè)計(jì)注意事項(xiàng)，設(shè)計(jì)了一款滿足功能安全要求的以太網(wǎng)網(wǎng)關(guān)。

功能安全；以太網(wǎng)網(wǎng)關(guān)；硬件設(shè)計(jì)

1 引言

隨著汽車電子的信息化、智能化及娛樂化程度越來越高，原有的CAN、LIN總線帶寬已經(jīng)無法滿足后續(xù)的信息傳輸要求。目前車載以太網(wǎng)技術(shù)已經(jīng)成為汽車行業(yè)的研究熱點(diǎn)，車載百兆物理層協(xié)議100 BASE T1的技術(shù)已經(jīng)趨于成熟，NXP、Broadcom及Marvell等廠家已有成熟的量產(chǎn)芯片可供支持，后續(xù)支持1000 BASE T1芯片也開始逐漸增多，未來車載以太網(wǎng)在OTA、360環(huán)視及ADAS等功能上有廣闊的運(yùn)用前景[1]。

正是由于汽車電子的信息化、智能化及娛樂化程度越來越高，電子產(chǎn)品的安全性問題也越來越嚴(yán)峻。為保證功能的安全性，國際標(biāo)準(zhǔn)化組織( ISO) 已于2011年11月發(fā)布了汽車電子電氣系統(tǒng)的功能安全國際標(biāo)準(zhǔn)ISO26262，為整個(gè)生命周期中與功能安全相關(guān)的工作流程、管理流程及產(chǎn)品設(shè)計(jì)提供了指導(dǎo)。

本文以某以太網(wǎng)網(wǎng)關(guān)的設(shè)計(jì)為例子介紹其主要功能，結(jié)合ISO26262標(biāo)準(zhǔn)流程，闡述從元器件選型到設(shè)計(jì)驗(yàn)證的過程，最后總結(jié)了一些應(yīng)用經(jīng)驗(yàn)和建議。

2 以太網(wǎng)網(wǎng)關(guān)的主要功能

以太網(wǎng)網(wǎng)關(guān)的系統(tǒng)框圖如圖1所示，物理接口有n路CAN接口、k路汽車以太網(wǎng)接口，j路LIN接口以及1路OBD口；內(nèi)部含有大容量外部存儲(chǔ)器。CAN、LIN和汽車以太網(wǎng)接口的數(shù)量由具體的需求決定，目前主流汽車以太網(wǎng)協(xié)議以100BASE T1為主，OBD口一般采用100BASE Tx的協(xié)議，一般來說工業(yè)以太網(wǎng)接口只有1路。以太網(wǎng)網(wǎng)關(guān)的主要功能有：網(wǎng)絡(luò)路由、DoIP、網(wǎng)絡(luò)管理及FOTA等功能。

網(wǎng)絡(luò)路由的功能是指為CAN和CAN、CAN和ETH、CAN和LIN、LIN和ETH、ETH和ETH，各個(gè)域之間報(bào)文的相互轉(zhuǎn)發(fā)。

DoIP診斷是指通過TCP/IP和以太網(wǎng)使用經(jīng)由UDS引入的診斷服務(wù)，由于以太網(wǎng)相對(duì)與CAN總線來說有更快的數(shù)據(jù)率，所以能在復(fù)雜的診斷任務(wù)和刷新應(yīng)用的情況下節(jié)約時(shí)間和成本。DoIP需要使用的硬件接口為OBD口。

網(wǎng)絡(luò)管理功能主要包括管理整車休眠喚醒、診斷及監(jiān)聽等功能。網(wǎng)絡(luò)管理需要使用的硬件接口為汽車以太網(wǎng)接口、CAN和LIN接口。

FOTA（Firmware Over-The-Air）指的是通過空中下載進(jìn)行軟件升級(jí)，網(wǎng)關(guān)可完成程序包臨時(shí)存儲(chǔ)、版本管理及斷點(diǎn)續(xù)傳等功能，網(wǎng)絡(luò)數(shù)據(jù)的云端下載通過TBOX完成，下載的數(shù)據(jù)通過以太網(wǎng)傳輸給以太網(wǎng)網(wǎng)關(guān)，再由網(wǎng)關(guān)分發(fā)給各ECU。

3 安全等級(jí)和目標(biāo)的確定

3.1 安全等級(jí)和目標(biāo)

按照ISO26262流程基于系統(tǒng)功能定義進(jìn)行HARA分析得出表1所示的安全目標(biāo)，并進(jìn)一步得出FSR、TSR及軟硬接口文檔等文檔，從而指導(dǎo)軟硬件設(shè)計(jì)。

表1 以太網(wǎng)網(wǎng)關(guān)安全目標(biāo)

得到安全目標(biāo)的流程可參照ISO2622的標(biāo)準(zhǔn)流程，本文就網(wǎng)關(guān)的安全目標(biāo)中安全等級(jí)降級(jí)和安全狀態(tài)的確立這兩個(gè)問題進(jìn)行進(jìn)一步的闡述。

3.2 安全等級(jí)降級(jí)辦法

有些情況下，涉及整車安全的報(bào)文有可能等級(jí)達(dá)到B以上，比如用于某些ECU需要車速信號(hào)符合ASIL D，而目前市場上的主流車速傳感器以等級(jí)B為主，要滿足該需求，可按照ISO26262 part9 5.4.9部分內(nèi)容分解為兩個(gè)獨(dú)立的車速傳感器，該兩路車速信號(hào)達(dá)到ASIL B即可滿足需求[2]。

其他具有等級(jí)D要求的信號(hào)，可以按照類似的方式進(jìn)行分解以降低安全等級(jí)，以此來降低開發(fā)難度。

3.3 安全狀態(tài)的確立

網(wǎng)關(guān)不發(fā)報(bào)文為安全狀態(tài)，需要滿足以下條件：

（1）網(wǎng)關(guān)以外的ECU能夠檢測到網(wǎng)關(guān)不發(fā)報(bào)文的狀態(tài)。具體的操作如：網(wǎng)關(guān)定時(shí)發(fā)送心跳信號(hào)，其余ECU檢測即可滿足此條件。

（2）網(wǎng)關(guān)以外的ECU在檢測到網(wǎng)關(guān)不發(fā)報(bào)文時(shí)，如果整車此時(shí)尚未啟動(dòng)，此時(shí)將不允許整車啟動(dòng)，并報(bào)故障指示；如果整車此時(shí)已經(jīng)啟動(dòng)，此時(shí)故障燈亮起，但不能影響整車正常行駛。

滿足以上條件情況下，網(wǎng)關(guān)不發(fā)報(bào)文對(duì)于整車來說是安全的。

4 符合功能安全要求的硬件開發(fā)

4.1 器件選型

功能安全相關(guān)的器件需要滿足ISO26262-8第13章的內(nèi)容，推薦按照表2進(jìn)行器件選型才能夠符合安全相關(guān)器件選型的基本要求。

表2 器件選型基本要求

表2中的要求為安全相關(guān)器件的基本要求，對(duì)于MCU等復(fù)雜器件其本身就自成系統(tǒng)，也有相應(yīng)的功能安全等級(jí)，在設(shè)計(jì)時(shí)需要綜合現(xiàn)有主流MCU的能力及整體成本選擇合適的MCU及硬件架構(gòu)以達(dá)到安全目標(biāo)，如果主流MCU的安全等級(jí)達(dá)不到安全目標(biāo)的要求，可根據(jù)ISO26262-9中 5.4.9中的內(nèi)容進(jìn)行分解采用雙MCU的設(shè)計(jì)。

在選定MCU后，需要仔細(xì)研究其安全相關(guān)手冊(cè)，如Safety Manual等。比如在此項(xiàng)目中選用的MCU廠家聲稱其安全等級(jí)達(dá)到B，其Safety Manual中明確提出硬件設(shè)計(jì)需要滿足以下條件：

（1）具有外部看門狗；

（2）電源電路具有高低壓自檢測功能，當(dāng)檢測到電壓不在有效范圍內(nèi)時(shí)需要對(duì)MCU進(jìn)行下電及復(fù)位等操作；

（3）如果輸出接口是高阻態(tài)，并且是不安全的，那么對(duì)應(yīng)的管腳需要進(jìn)行上下拉的設(shè)置；

（4）MCU內(nèi)部邏輯出錯(cuò)后，通過內(nèi)部錯(cuò)誤檢測功能提示外部監(jiān)控芯片，外部監(jiān)控芯片能夠復(fù)位MCU。

ECU的硬件設(shè)計(jì)會(huì)受到上述條件的影響，如果不能全部滿足以上條件，那需要重新配置MCU供應(yīng)商的動(dòng)態(tài)FMEDA表，得出相應(yīng)的失效率再進(jìn)行計(jì)算。

一般在選定MCU和電源芯片后，其余的芯片均在中等復(fù)雜度以下，按照表格2選擇即可。

4.2 硬件設(shè)計(jì)

在完成主要芯片的選型后進(jìn)行硬件設(shè)計(jì)，滿足功能的情況下，診斷的設(shè)計(jì)按照表3的推薦進(jìn)行設(shè)計(jì)。

表3 硬件診斷覆蓋率推薦要求

表3是經(jīng)驗(yàn)的總結(jié)，并非強(qiáng)制要求，如果功能安全的硬件指標(biāo)的計(jì)算并不滿足，則需要針對(duì)薄弱點(diǎn)進(jìn)行更高診斷覆蓋率的電路及軟件設(shè)計(jì)，或者選擇更高等級(jí)的器件。低中高覆蓋率的定義可以參考ISO 26262-5 附錄D的內(nèi)容。

4.3 功能安全硬件指標(biāo)計(jì)算及整改

硬件是否滿足功能安全的要求，除了需要按照ISO26262的流程進(jìn)行開發(fā)生成相應(yīng)的文檔外，以下表4中的硬件指標(biāo)是必須要滿足的[3]。

表4 硬件設(shè)計(jì)失效率指標(biāo)要求

其中SPFM和LFM的計(jì)算參照ISO 26262-5附錄C中的內(nèi)容。

根據(jù)ISO26262-10的內(nèi)容PMHF有以下公式[4]：

M為硬件隨機(jī)失效度量；

λ為該器件的殘余失效率；

λ為與該器件組成的雙點(diǎn)失效的器件失效率；

T為汽車生命周期，一般按照10年估計(jì)。

等級(jí)B的計(jì)算，PMHF要求是小于100FIT，可以按照以下公式簡化：

λ待評(píng)估器件外安全相關(guān)器件的失效率總和。

通過公式（2）進(jìn)行近似可以不需要明確哪些器件與該器件組成雙點(diǎn)失效，公式（2）得到的PMHF大于公式（1）得到的數(shù)據(jù)，如果通過公式（2）得到PMHF能夠達(dá)到要求，那么該ECU肯定能達(dá)到功能安全的要求。如果是等級(jí)C以上推薦進(jìn)行FTA分析，得到器件的相關(guān)項(xiàng)，進(jìn)行精確計(jì)算。

對(duì)于低復(fù)雜度器件，失效率數(shù)據(jù)直接采用SN29500或IEC62380，中等復(fù)雜度以上器件則需要相應(yīng)供應(yīng)商提供數(shù)據(jù)。

低復(fù)雜度器件采用的失效率數(shù)據(jù)是SN29500，失效模式是IEC62380，分析得到數(shù)據(jù)如表5所示。

表5 初次功能安全硬件參數(shù)評(píng)估

PMHF超過100FIT，不滿足要求。

分析對(duì)應(yīng)的數(shù)據(jù)，從圖2得知MCU和電源這兩部分的電路所占比重最大，應(yīng)著重對(duì)這兩部分的電路及軟件進(jìn)行優(yōu)化，在對(duì)該部分的電路增加診斷后，通過表6數(shù)據(jù)得知，可以滿足功能安全的硬件參數(shù)要求。

表6 優(yōu)化后功能安全硬件參數(shù)評(píng)估

5 結(jié)論

本文簡述了以太網(wǎng)網(wǎng)關(guān)的主要功能，闡述了符合功能安全要求的硬件設(shè)計(jì)需要的前提條件，以及在得到硬件輸入情況下如何進(jìn)行器件選型、硬件的設(shè)計(jì)、硬件參數(shù)的計(jì)算及整改方法。總結(jié)功能安全的硬件設(shè)計(jì)需要注意以下幾點(diǎn)：（1）采用按照ISO26262 part9 5.4.9部分內(nèi)容進(jìn)行ASIL降級(jí)設(shè)計(jì)來減小開發(fā)難度；（2）ECU的硬件設(shè)計(jì)需要滿足MCU廠家所規(guī)定的功能安全硬件設(shè)計(jì)前提條件，如果其中的某些條件不能滿足，那么需要重置MCU的FMEDA表。（3）提高診斷覆蓋率能有助于系統(tǒng)硬件參數(shù)的達(dá)標(biāo)。本文中的以太網(wǎng)網(wǎng)關(guān)正是基于這些注意事項(xiàng)，使得其硬件設(shè)計(jì)滿足功能安全的硬件參數(shù)要求。

[1] 焦育成,王碩.車載以太網(wǎng)網(wǎng)關(guān)原型淺析[C].2016中國汽車工程學(xué) 會(huì)年會(huì)論文集,2016:1995-1997.

[2] International Organization for Standardization. ISO26262-9,2011:4-9.

[3] International Organization for Standardization. ISO26262-5,2011: 16-21.

[4] International Organization for Standardization. ISO26262-10,2011: 35-36.

Design of Hardware Development of Ethernet Gateway Based on ISO26262

Zeng Xiangwen

（Guangzhou Automobile Group Co. Ltd, Automotive Engineering Research Institute, Guangdong Guangzhou 510640 )

Combined with the hardware design of Ethernet gateway, this paper expounds how to decompose the security grade, select the components, design the hardware and calculate the safety parameters of the hardware design based on ISO26262 after getting the corresponding security goal. Through the hardware design considerations presented in this paper, an Ethernet gateway is designed to meet the functional security requirements.

Function Safety; Ethernet Gateway; Hardware Design

10.16638/j.cnki.1671-7988.2021.03.008

U463.6

A

1671-7988(2021)03-27-04

U463.6

A

1671-7988(2021)03-27-04

曾湘文，就職于廣州汽車集團(tuán)股份有限公司汽車工程研究院。