车辆中的电子组件数量不断增长,不仅增加故障率,也给驾驶员和乘客带来更大风险。这种风险的增大迫使汽车行业将功能安全标准融入到汽车设计中。
ISO26262标准对车载电子设备在整个生命周期的功能安全要求做出规定。它为汽车系统/组件提供从A级到D级的汽车安全完整性等级(ASIL)风险评估,D级为最高。ASIL的具体要求随应用不同而改变。汽车仪表板必须显示来自车内各传感器和致动器(actuator)的关键信息,同时必须符合ASIL B级标准。还有一些仪表板显示信息,如制动、指示器和变速箱速档选择器(PRNDL)信息,也必须符合ISO 26262功能安全标准。
第一项要求是安全启动。在众多现代仪表板中,汽车MCU与NOR闪存器件搭配,共同用于存储启动代码和图形内容。如果在初始化或配置过程中发生断电,某些情况下NOR闪存器件可能会受损或不能做出响应。采用故障安全NOR闪存可以防止运行故障。它可以报告器件初始化故障及配置失败,并提供从故障中恢复的方法。
第二项必需的仪表板功能是“即时启动”。仪表板显示器应能在上电或重置后立即显示准确数据,不应存在延迟。通过将汽车MCU与高速NOR闪存存储器控制器相结合,并设计高效率图形显示方案,可以做到即时启动。
正如本文之前讨论过的,所有符合ISO 26262 ASIL B级功能安全要求的显示器,都需要对虚拟仪表板上的告警灯、信号和变速档位指示采取防错机制。驾驶员必须随时掌握仪表板是否正常工作。例如,仪表板必须能监控和检测安全关键型图像/符号(参见图2a)。
对仪表板提出的另一项关键要求是要具备图像纠正功能。任何切实可用的仪表板应采用NOR闪存器件来存储显示图像,并提供错误检测与纠正功能。图3a和图3b就体现了这种理念。在本例中,我们故意将受损的近光灯指示灯图像与正确图像的ECC症状码结合,并存储在NOR闪存器件中。如果我们禁用NOR闪存器件中的纠错功能,就会显示模糊受损的近光灯指示灯图像(参见图3a)。如果我们启用闪存器件中的纠错功能,就会显示纠正后的图标(参见图3b)。
