概述
ARM 最近針對ARM Cortex-R5 處理器發佈了全新安全文件集,主要針對汽車、醫療和工業應用等相關對安全極為要求的產業所設計。隨著嵌入式系統中安全功能變得越來越重要,尤其是在動力系統、底盤和 ADAS(先進駕駛輔助系統)等汽車電子控制應用,ARM推出「安全套件」,主要是為了採用 Cortex-R5 處理器的客戶能減少功能性安全認證流程負擔,如此可提高 ARM 產品的競爭優勢。
ARM 最近針對ARM Cortex-R5 處理器發佈了全新安全文件集,主要針對汽車、醫療和工業應用等相關對安全極為要求的產業所設計。隨著嵌入式系統中安全功能變得越來越重要,尤其是在動力系統、底盤和 ADAS(先進駕駛輔助系統)等汽車電子控制應用,ARM推出「安全套件」,主要是為了採用 Cortex-R5 處理器的客戶能減少功能性安全認證流程負擔,如此可提高 ARM 產品的競爭優勢。
分析
ISO 26262 汽車功能安全標準
自 2000 年起,ARM率先為晶片合作夥伴供貨生產 ABS(防鎖死煞車系統),ARM一直努力在處理器設計中研發故障檢測和控制方面的功能安全要求。但是,隨著汽車產業推出了 ISO 26262 標準,該標準的採行為 IC和控制系統業者帶來了全新挑戰。自 2011 年 11 月首次官方發佈以來,該標準愈趨成熟,人們對於進軍 ADAS 應用市場領域愈感興趣,這讓 ARM 意識到必須針對 Cortex-R5 處理器開發全新的「安全套件」,以幫助其晶片合作夥伴及客戶滿足 ISO 26262 標準的要求。
• 儘管 ISO 26262 提供了有關如何在系統、硬體和軟體層面、針對功能安全管理和規範產品開發的指南,但是它並未闡述設計中所需要的控制和檢測功能。
• 該如何建構此功能安全呢?既有的晶片合作夥伴已經提出了相關的需求,晶片合作夥伴在「安全套件」早期的開發過程中扮演了重要角色。ARM 具備大量用於開發「安全套件」的設計庫和除錯功能。
• 對於剛剛進入不斷成長的ADAS 領域、但卻缺乏在裝置中部署功能安全經驗的晶片合作夥伴,透明化的智慧矽智財 (IP) 是相當必要的元件。包括最近從富士通半導體公司收購了汽車微控制器 (MCU) 業務的Spansion也已經從ARM的「安全套件組」獲益。
• 此外,儘管之前的 Cortex-R4 具備一些故障保護和控制功能,但要開發出 Cortex-R5「安全套件」,仍需要其他的安全相關功能,比如保持最終系統的資料完整性。
「安全套件」中所強化的 Cortex-R5 功能安全認證的新功能包括:
• 文件集—針對安全管理、必備要件管理、勘誤管理和教育訓練。如果晶片合作夥伴沒有符合「安全套件」的處理稽核流程,即便完成裝置開發,也幾乎無法達到 ISO 26262 標準。
• 故障偵錯和校正—例如,錯誤校正、記憶體校正、雙核鎖步、中止模式和系統錯誤含錯偵測機制。
• 安全手冊—失效模式與效應分析中包含了處理器邏輯中失效模式的定性分析、對處理器行為的失效效應以及定量硬體指標的範例;晶片合作夥伴的工程師能從「開發介面報告」清楚的瞭解該如何管理 ARM 處理器所展現的效能以及預測從ARM處理器中可獲得那些效能上的進展。
• 晶片合作夥伴能透過「安全套件」將此整合資訊用於支援設計概念和決策,並支援裝置的功能安全評估 - 請參閱圖示 1。
• 同時,在未來 ARM 處理器產品中,預計將開發出更多全新的功能安全特性。
彈性策略有助於擴大部署範圍
除了符合汽車標準的要求,「安全套件」的另一個目的是實現汽車系統開發的靈活性和模組化。ARM 功能安全方法的基本核心開發希望可應用於所有產業,並不僅限汽車領域。
• 此策略並不針對特定產業標準,因此基本核心功能可以輕鬆用於開發其他的「安全套件」,包括符合醫療業的 IEC 62304 標準、航空業的 DO 178 和 DO 254 標準或者鐵路業的 EN 5012x 標準等等。
• 晶片合作夥伴能夠參與開發和銷售各式產業的 IC 和 SoC(系統單晶片),並不僅限於汽車業。
• 德州儀器的安全微控制器部門總經理 Norbert Asche 指出,「功能安全技術正以日益低階的設計概念來實現應用。ARM 針對 Cortex-R5 核心採用的功能安全設計方法將減少我們的客戶在汽車、健康醫療和工業應用等市場所面臨的安全認證負擔。德州儀器的 Hercules TMS570LC4x 和 RM57x Safety MCU 均採用 ARM Cortex-R5 核心。」
• 隨著 ADAS 的競爭愈趨激烈,新的競爭者進入該領域將開發全新的應用,如車後橫越交通警示系統。在全新 ADAS 功能開發完成後,它們預計能基於「安全套件」核心,符合 ISO 26262 標準要求,無需重複 ARM 已執行的功能安全開發工作。
• 「安全套件」還可以涵蓋所有級別的 ASIL(汽車安全完整性等級),含括要求低階功能安全 ASIL-A 的應用到要求高階功能安全 ASIL-D 的應用。ASIL-D 並不侷限於 ADAS 應用,包括其他安全關鍵性系統,例如 EPS(電動助力轉向系統)均被視為需要 ASIL-D 等級的功能安全。
圖示 1 :ARM 安全套件設計集成
資料來源:ARM
意義
「安全套件」並非 ARM 提供的一次性產品,ARM希望能將安全套件應用在所有處理器中以達成功能安全,並且將進一步融入其業務,持續強化。ARM 的未來計畫是將「安全套件」擴展至其他產品,如 Cortex-A 和 Cortex-M 系列處理器。
• 正如 Strategy Analytics 發佈的報告「無人駕駛車輛:劃時代的革新還是演進式發展的成果?」中所述,Cortex-A 系列因具備高效能而已被用於無人駕駛系統的概念。無人駕駛系統所要求的元件和系統需需具備可靠性和冗餘度,以降低使用者因系統故障以及相關的碰撞風險所帶來的違法疑慮,因此,隨著更多無人駕駛概念的開發,「安全套件」將受到高度關注。Cortex-M 處理器則用於開發更多具經濟效益的 ADAS 應用。
• ARM 同步發佈了關於推出「安全套件」的白皮書和新聞稿。該公司還將舉辦一系列的演講,向業界解釋「安全套件」,並發佈更多白皮書。
• 該公司同時新招募了功能安全經理,負責監管該策略、並對外教育、宣傳功能安全要求。
隨著汽車產業需要不斷整合功能安全設計管理、而對於關鍵成長控制領域認證也持續攀升、競爭日趨激烈以及要求不同汽車應用之間保持設計靈活性,這些因素都將促使ARM的處理器範圍的業務定位逐漸增強。
ARM 在「安全套件」的開發投入展現了該公司對於汽車產業所做的承諾,以及該公司願意與其半導體合作夥伴開展合作、並向他們學習來服務於快速發展的關鍵領域(如 ADAS),以此強化對客戶的支援。由於安全套件也可以應用在其他安全標準的設計,ARM 還將利用其在功能安全方面的經驗,以拓展其他產業部門的業務。
在贏得新設計採用的部分,產品支援生態系統(如安全套件)的重要性並不低於處理器本身。這個模式將使 ARM 贏得更多新業務,例如獲取Spansion的業務,並可以抵禦其他競爭者在汽車業的成長,例如,在向 Mobileye 供貨方面超過了 MIPS,在資訊娛樂系統方面超過了英特爾和高通。
• 如果要持續開發和支援專有處理器核心設計,尤其是從頭支援功能安全標準,則需要大量資源。
