美光 SAFER 内存:F = 故障覆盖率
美光 LPDDR5 是业界首款通过 ISO 26262 ASIL-D 认证的内存。美光内存产品组合符合 JEDEC 标准并通过了汽车级认证,可满足汽车行业对 LPDRAM 的要求,支持功能安全需求。
LPDRAM 支持的功能安全不仅适用于高级驾驶辅助系统 (ADAS) 应用,还能扩展到车载信息娱乐 (IVI) 系统和驾驶员信息系统。这些应用正在不断融合并影响着汽车的功能安全。
如果您读过此前发布的 SAFER 系列博客,可能已经了解功能安全的定义,即“避免电气/电子 (E/E) 系统在运行过程中因故障而引发不合理风险”。功能安全旨在通过各种方式来提高安全性、检测并控制故障——比如尽可能减少不确定性。
接下来我们将深入介绍两种故障覆盖类型和硬件要素分类。
系统故障覆盖
系统故障覆盖采用 ISO-26262 标准明确规定的流程和方法,尽可能降低产品出现系统故障的风险以达到目标 ASIL 级别的要求。系统故障可发生在定义规格、设计、制造、测试和其他任何步骤中,可能会造成非常严重的后果。不同于随机硬件故障,系统故障可能会影响整个批次中的全部车辆。
随机故障覆盖
随机故障是指设备生命周期内随机出现的故障,它可进一步分为瞬态故障(单事件干扰或软错误)和永久故障(硬错误,如逻辑电平卡死)。解决此类故障一般可引入安全机制来识别故障,帮助系统采取适当的措施(如纠正故障),或帮助系统在故障期间保持安全状态。
由于在流程中采用严格的预防方法以及实施故障检测安全机制可能会增加间接成本,ISO 26262 标准定义了 4 个汽车安全完整性等级 (ASIL)。这些等级反映了违反安全目标所造成的不同程度的影响。因此,该标准为每个 ASIL 等级(ASIL-D 要求最严苛)定义了一个递增的强制行为列表以消除系统故障,以及一组严格的随机故障检测能力衡量目标。这种方式能支持系统分级,并在器件成本和故障影响间实现平衡。下图简单展示了 ASIL 级别的等级划分。
汽车安全完整性等级 (ASIL) 介绍
针对随机故障检测指标,ISO 26262 标准定义 ASIL-D 系统在系统层面的故障率须低于 10 FIT,而 ASIL-B 系统在系统层面的故障率须低于 100 FIT。“1 FIT”即在 10 亿小时内发生一次故障。
符合 ISO 26262 功能安全标准的内存需求与案例
第二版 ISO 26262 标准(2018 年发布;初版 ISO 26262 标准于 2011 年引入)对第 8 章第 13 条进行了修订,增加了与特定硬件系统底层复杂度相关的分类,以及能在系统层面实现特定 ASIL 等级的方法。
系统集成商往往将 DRAM 归类为 II 类硬件要素,即只需对少量的操作模式和状态进行安全分析,且无内部安全机制。这种分类无法匹配当前 DRAM 的底层复杂度——它们的复杂度与一些先进的 SoC 和 GPU 相差无几。
业界前沿的安全咨询公司 exida 认为,用于安全应用的 DRAM 应归类为 III 类硬件要素,以符合 ISO 26262-8 第 13.4.1.1 条制定的标准。同时,在设计时使用了 III 类硬件要素的安全应用,也必须使用符合 ISO 26262 标准的设备(如果此类设备可用)。
LPDDR DRAM 应归类为 III 类硬件要素
根据 ISO 26262-8 标准第 13.4.1.1 条的硬件要素分类。
汽车安全领域的知名咨询公司 exida 的硬件要素分类标准1.
根据 ISO 规范,“III 类硬件要素应按照 ISO 26262 标准进行开发”;硬件评估仅作为过渡时期的特殊情况:“……‘评估 III 类硬件要素’不是首选方法,因此需要遵循 ISO 26262 标准开发新版本的硬件要素。”
1. exida 是一家专门从事自动化系统安全和其他安全专业领域的产品认证和信息咨询公司。
总结
如需进一步了解业界首款符合 JEDEC 标准并通过 ISO 26262 ASIL-D 认证的内存,请阅读白皮书《汽车安全关键型系统中的 DRAM》。该白皮书详尽地讨论了与功能安全相关的更多重要议题。
本系列博客针对创新的车用内存解决方案输出洞察并提供指导。美光 SAFER 内存涵盖五个关键概念:(Safest) 指当前业界前沿的安全解决方案;(Automotive mindset) 指汽车思维;(Fault coverage) 指故障覆盖率;(Engineering leadership) 指先进工程;(Risk management) 指风险管理。我们针对这五大概念分别发布了相应的博客,详细介绍每个概念。
如需阅读其他博客,请访问美光的功能安全页面:汽车功能安全