Arm的汽車功能安全課件

Arm的汽車功能安全ArmTechSymposia2018-概要市場與應(yīng)用標(biāo)準(zhǔn)Arm的功能安全“頭條“安全就緒Cortex-A76AE軟件測試庫認(rèn)證總結(jié)市場與應(yīng)用功能安全市場的日益復(fù)雜化汽車

自動駕駛工業(yè)控制工廠自動化醫(yī)療

手術(shù)機(jī)器人交通

火車控制系統(tǒng)航電

飛行系統(tǒng)消費(fèi)電子

家用機(jī)器人標(biāo)準(zhǔn)各行業(yè)的相關(guān)功能安全標(biāo)準(zhǔn)

標(biāo)準(zhǔn)一般意味著大家對某個(gè)行業(yè)的共識標(biāo)準(zhǔn)的制定一般需要5~10年時(shí)間通常也會落后于當(dāng)前的最新技術(shù)基于目標(biāo)的或者以目標(biāo)及方法論為導(dǎo)向的安全完整性等級低ASILANominalNominalNominalASILB90%60%<10-7/hASILD99%90%<10-8/hASILC97%80%<10-7/hSPFMLFMFITSIL1SIL2SIL3IEC61508ISO26262高安全應(yīng)用病人的給藥系統(tǒng)功能安全控制風(fēng)險(xiǎn)安全應(yīng)用防護(hù)剎車系統(tǒng)系統(tǒng)失效設(shè)計(jì)失誤軟件故障開發(fā)流程隨機(jī)失效運(yùn)行故障產(chǎn)品的安全特性失效類型硬故障軟故障永久失效瞬態(tài)失效潛在失效通過加入故障檢測與控制的特性來管理硬件錯(cuò)誤軟件錯(cuò)誤不合理的產(chǎn)品規(guī)范不完整的需求不滿足條件的假設(shè)通過設(shè)計(jì)流程，驗(yàn)證和評測來管理隨機(jī)失效系統(tǒng)失效2020年之前座艙的設(shè)計(jì)應(yīng)用案例QM/ASILAASILBASILC/DECUECU平視系統(tǒng)激光雷達(dá)雷達(dá)Ethernet,CANFDECUs座艙控制器V2X/LTE攝像頭環(huán)視信息顯示ADASECUIVI主控單元儀表2020年之后座艙的設(shè)計(jì)應(yīng)用案例QM/ASILAASILBASILC/DECUECU平視系統(tǒng)激光雷達(dá)雷達(dá)ECUs座艙ECUV2X/5G攝像頭SurroundInformationDisplayADASECUIVI主控單元儀表環(huán)視信息顯示復(fù)雜設(shè)計(jì)–座艙控制器ECUECU硬件平臺Hypervisor(ASILB認(rèn)證)儀表(IC)車載信息系統(tǒng)(IVI)數(shù)字側(cè)視鏡V2X及網(wǎng)關(guān)ClassicASIL-BASIL-QMASIL-QMASIL-B安全認(rèn)證過的RTOS用單一處理器管理軟件單一處理器可以迅速在不同虛擬機(jī)間切換虛擬機(jī)帶有兩級內(nèi)存保護(hù)隔離并有對應(yīng)的虛擬機(jī)ID虛擬化的操作系統(tǒng)及其任務(wù)可以實(shí)現(xiàn)軟件整合中斷可以由Hypervisor分配，也可以直接送至虛擬機(jī)Hypervisor（管理程序）可以處理安全與防護(hù)的各種活動

ASILB安全要求Tier-1軟件OEM軟件Hypervisor（管理程序）信息安全ASILD安全要求Arm的功能安全“頭條”需求:從IP到系統(tǒng)IP集成商

e.g.MCU設(shè)計(jì)者Tier1汽車OEMIP供應(yīng)商ISO26262-1-2-3-4-5-6-7-8-9適用的要求不適用的要求要求,前提條件支持文檔（“安全”的證據(jù)）ISO26262-1-2-3-4-5-6-7-8-9ISO26262-1-2-3-4-5-6-7-8-9ISO26262-1-2-3-4-5-6-7-8-9在安全方面占得先機(jī)軟件工具針對ISO26262的系統(tǒng)認(rèn)證認(rèn)證過的軟件組件最多樣的功能安全I(xiàn)P全面的安全文檔用于汽車的創(chuàng)新安全特性領(lǐng)先的安全特性和技術(shù)軟件組件和工具魯棒的方法論和認(rèn)證安全就緒計(jì)劃“SafetyReady”:更安全的解決方案，更快進(jìn)入市場減少設(shè)計(jì)工作加速汽車應(yīng)用部署便于ISO26262的認(rèn)證幫助汽車供應(yīng)鏈，加速進(jìn)入市場時(shí)間Cortex-A76AE:世界上首個(gè)集成功能安全的自動駕駛級處理器變革性的安全創(chuàng)新，針對7nm制程優(yōu)化*16個(gè)Cortex-A76AE搭配CMN-600互聯(lián)總線，7nm制程自動駕駛級算力性能>250KDMIPS

<30WSoC<15W復(fù)合計(jì)算*第一個(gè)帶分核鎖步功能的應(yīng)用處理器專為汽車應(yīng)用開發(fā)支持ISO26262ASILD要求一流的效能功耗自動駕駛級復(fù)合計(jì)算平臺汽車增強(qiáng)型系統(tǒng)IP使能針對ASILD的應(yīng)用設(shè)計(jì)自動駕駛復(fù)合計(jì)算平臺CoreLinkCMN-600AECoreLinkGIC-600AEDynamIQSharedUnitCortex-A76AEELA-600ArmMLProcessorDynamIQSharedUnitCortex-A76AEELA-600汽車增強(qiáng)型CoreLinkMMU-600AECoreSightSoC-600Debug&TraceMali-G76最多支持64個(gè)鎖步核的復(fù)合計(jì)算可升級多核系統(tǒng)的網(wǎng)格網(wǎng)絡(luò)ArmV8.2RAS特性用于ML/NN加速器的內(nèi)存虛擬化及保護(hù)用于汽車的機(jī)器學(xué)習(xí)支持多個(gè)客戶操作系統(tǒng)汽車的信息安全技術(shù)軟件測試庫針對Arm核優(yōu)化過的STL具有最佳的診斷覆蓋率使能共同的API框架降低針對安全的硬件緩解的需求為產(chǎn)品級軟件集成準(zhǔn)備好預(yù)認(rèn)證特性以90%的診斷覆蓋率為目標(biāo)最小化的系統(tǒng)影響（比如：內(nèi)存和WCET）在多個(gè)故障容忍時(shí)間間隔（FTTI）里進(jìn)行模組化測試測試用例可以貫穿多個(gè)應(yīng)用CPUSTLCortex-R52Cortex-M0+Cortex-M3Cortex-M4Cortex-M33Cortex-M23Cortex-A53STL交付物STL的安全包跟現(xiàn)有的硬件安全包類似：軟件測試庫STL安全手冊STL開發(fā)接口報(bào)告STLFMEDA報(bào)告與DFA報(bào)告STL文檔(集成手冊，用戶手冊，配置說明等)發(fā)布說明認(rèn)證認(rèn)證策略與流程認(rèn)證與評估是功能安全的核心部分Arm的策略是獨(dú)立評估越來越多的功能安全產(chǎn)品在我們自己的流程中提供置信度減少認(rèn)證時(shí)間和下游客戶的工作投入考慮成本并在生態(tài)系統(tǒng)中分享項(xiàng)目經(jīng)驗(yàn)與多個(gè)獨(dú)立的評估組織保持協(xié)作正在影響行業(yè)標(biāo)準(zhǔn)