使用微控制器设计安全关键型应用的最佳实践

作者: Jacob Lunn Lassen 2022-08-17
标签
工程
嵌入式处理
安全
安防
半导体与开发工具

简介

虽然我们都在意周围的电子控制系统的安全,但大多数人并未意识到开发安全关键型产品需要付出多大的努力。任何可能对人、环境或财产造成潜在伤害的电子控制产品,都可能有一套旨在保护你我的安全功能。大多数人没有意识到的是,安全关键型系统已超越此目标:如 IEC 61508 标准等国际安全标规定,这些系统会验证安全功能是否按照预期发挥作用,并且即使安全功能发生故障,系统本身也是安全的。事实上故障不可能 100% 避免的,所以安全工程师和安全经理实际上所做的是将这类系统的危险故障风险降低到可接受的水平。这是通过遵循严格的、符合安全要求的规范以及设计和验证过程来实现的。在这个过程中,系统的所有可能和不可能的故障都得到了评估和缓解。

专业的安全工程师或安全经理了解他们所设计的系统的顶层安全要求,他们是业内无可争议的专家。然而,当把安全要求细分至元器件层面时,他们的专业知识可能会有所欠缺;如何通过可能是最安全的方式使用具体的电子元器件(如微控制器)时,就可能不那么明显了。这种情况下,为确保系统尽可能实现安全并将产品控制在预算范围内以保持竞争力,来自元器件供应商的支持就显得至关重要。

超越数据手册的最佳实践

让我们继续以微控制器为例,因为微控制器是使用较多的安全关键型系统。当评估 IC 的安全使用情况时,你就不能再仅仅使用微控制器的数据手册了。你还需要关于微控制器在硬件层面如何发生故障的说明文档,例如,所发生的的故障是由电磁干扰引起的临时故障,还是由背景辐射导致的永久性硬件故障。你需要的是设备故障模式、影响和诊断分析报告 (FMEDA) 和安全手册!Microchip 在安全包中提供此类说明文档。

FMEDA 是描述文件,具体描述微控制器中所有已确定的每个功能的故障模式以及每个故障造成的影响(症状)。该文件有助于诊断(检测)相应的故障。这里必须理解的是,诊断出故障后通常被认为是安全的,因为系统在检测到故障时能够采取适当的措施。FMEDA 甚至提供了基于公认的统计模型的故障统计概率,这样就有可能在考虑应用的诊断措施的情况下确定产品的故障率。这是评估安全关键型系统是否安全,即风险得到了充分缓解的必要信息。

开发安全的嵌入式系统所需的另一种关键文件是安全手册。安全手册描述了如何从实施角度检测 FMEDA 中描述的故障。安全手册还全面描述了使用微控制器时“该做什么和不该做什么”,其中最严格的是使用假设 (AoU),你必须遵循这些假设才能达到说明文档中描述的安全水平。

FMEDA 和安全手册中都包含了除微控制器供应商之外,几乎是不可能向任何人提供的信息。安全关键型系统的审核员了解这一点并称赞使用这种说明文档,因为它有助于确保文件内容能涵盖微控制器安全使用的所有方面。

优于标准开发工具的最佳实践

虽然 FMEDA 和安全手册有助于减轻嵌入式系统微控制器的硬件故障风险,还必须考虑软件方面的故障。这种故障归为系统性故障,这是因为软件不会像硬件那样出现随机故障。很明显,如果硬件出现故障,软件也可能出现故障,但这被归类为硬件故障。系统性故障可以通过严格和彻底的流程、规范和验证得到控制。许多行业使用成熟的软件流程来减少软件故障,但在安全关键型系统中,还有另外一个方面:需要评估开发工具是否会在最终产品中造成错误,如果会,可能会对安全产生什么影响以及是否能检测到这些错误。

工具分类分析将揭示某种工具是否会导致错误,如果会,就需要在开发安全关键型系统时对该工具进行鉴定。我们都知道,编译器这种工具可能导致在嵌入式系统微控制器上运行的软件出现错误,除非测试覆盖率极高,否则这种错误甚至难以检测到。所以,这就是对供应商驱动型工具进行鉴定的好处:Microchip 拥有 PIC 和 AVR 微控制器开发工具,这些工具经过鉴定,可用于安全关键型系统。这是一个正式过程,通过独立的第三方评估产品的设计、验证及文件是否足够好,从而使其能够用于安全关键型系统。至于微控制器,这意味着这类开发工具还附带其他说明文档:如安全手册。

MPLAB 开发工具既支持诸如静态代码分析、代码覆盖率报告等常见最佳实践,也支持更专业的安全要求。

进一步了解

网络研讨会“使用微控制器设计安全关键型应用时的最佳实践”简要介绍了功能性安全和根据 IEC 61508 安全标准开发产品时的流程。该研讨会还提供关于你可以获得的 Microchip PIC 和 AVR 微控制器的安全担保和开发工具信息。

在此报名参加网络研讨会:https://event.on24.com/wcc/r/3846286/B1FA21901DA6E9FA3A288BD9AF167C21?partnerref=blog

您还可以从 Microchip 大学的点播课程“功能安全简介”中详细了解功能安全方面信息,或者在 DigiKeyMicrochip 的专用功能安全网页上找到有关推荐用于安全关键型设计的产品信息。

关于此作者

Image of Jacob Lunn Lassen

Jacob Lunn Lassen is Functional Safety Manager on Functional Safety in Microchip Technology Inc. and has more than 20 years of experience in the semiconductor industry. He has a wide experience working with safety-critical applications ranging from white goods to automotive applications.

More posts by Jacob Lunn Lassen
 TechForum

Have questions or comments? Continue the conversation on TechForum, Digi-Key's online community and technical resource.

Visit TechForum