ZHCAD15 August 2023 AM62A3 , AM62A3-Q1 , AM62A7 , AM62A7-Q1
8 DMS/OMS 数据流中的功能安全
采用节 4中所述的 DMS/OMS 数据流并对其进行分解,以了解如何利用特定于 IP 的功能安全诊断。请注意,安全机制可以是需要由系统集成商实施的硬件以及软件诊断机制的组合。
图 8-1 具有硬件提供的安全机制的 DMS/OMS 数据流注: 下面的分析假设数据流/应用的每个步骤都具有安全关键性。可能还采用其他概念,这些概念负责主域中的 QM 处理以及 MCU 域中的安全功能(包括安全监控)。
注: 数据流中涉及的关键 IP 已列出。其他一些 IP 执行功能(如 DMA、处理器间通信、启动)尚未列出。此处显示的故障模式和安全机制是一组示例。有关符合所需安全完整性等级的安全机制组合的完整建议,请参阅“AM62Ax 功能安全手册”。
表 8-1 DMS/OMS 数据流中的数据流注意事项
| 数据流中的步骤 | 涉及的 IP 及故障模式 | 安全机制 |
|---|---|---|
| 1.摄像机捕捉 RGB-IR 数据源 | CSI-RX 未传输图像数据或图像损坏 在图像数据传输过程中挂起 |
硬件机制 – MIPI 指定的数据包协议检查、错误中断、RAM 数据的 ECC 保护、看门狗 软件机制 – 通过软件对帧内和帧间的像素进行处理 |
| 2.将摄像机捕捉的数据传输到 DRAM,以便 VPAC 读取和处理以及存储经过处理的图像数据 | DDR 由于 DDR 控制器故障或因 ASIL 功能降低而产生的干扰导致图像数据损坏 |
硬件机制 – DDR 控制器提供的多相 ECC,用于隔离的器件防火墙 软件机制 – 应用于图像数据的信息冗余技术 |
| 3.对 RGB+IR 数据进行图像处理,并将数据分离为 RGB 流和 IR 流以供进一步分析 | VPAC 图像数据损坏 挂起导致程序流不正确 |
硬件机制 – HWA (HTS) 计时器、内部看门狗计时器、VPAC 提供的 PSA 签名计算、关键存储器上的 ECC/奇偶校验 软件机制 – 通过软件对帧内和帧间的像素进行处理,黄金帧测试 |
| 4.用于分析图像数据的基于 CNN 的计算,深度学习加速器 | C7x 和 MMA 图像数据损坏 程序执行错误导致算法做出错误决策 |
硬件机制 – C7x 提供的 MMU、存储器上的 ECC、用于隔离的器件防火墙、专用看门狗 软件机制 – 使用在 A53 内核上运行的 DMS 算法的其他软件实现进行程序流监控或互惠式比较。 注意 – ISO 26262:2018-5 中建议使用软件机制,例如程序流监控和软件互惠式比较 |
| 5.使用经典视觉技术运行且基于 CPU 的 DMS 算法 (可选 – 可用于交叉检查 C7x 内核执行) |
A53 内核 程序执行错误导致算法做出错误决策 |
硬件机制 – MMU、存储器上的 ECC、用于隔离的器件防火墙、专用看门狗 软件机制 – 软件实现的程序流监控或互惠式比较、ARM 提供的 STL 机制。 注意 – ISO 26262:2018-5 中建议使用软件机制,例如程序流监控和软件互惠式比较 |
| 6.AUTOSAR 和 CAN 与外部 ECU 通信、PMIC 控制、IR 照明控制 | MCU 通道 – MCU R5 内核、MCU 专用 CAN 由于内核无响应而在与外部 ECU 通信时发生故障 消息损坏 主域中的 ASIL 功能降低导致干扰 MCU 域功能 程序执行错误 |
硬件机制 – MCU R5 上的 ECC、CAN 存储器、MCU R5 内核上的 LBIST、CAN 协议特定的错误检测、用于隔离的 SOC 防火墙、主域和 MCU 域之间的隔离机制。 软件机制 – CAN 消息中的 CRC、内核上的程序序列监控、使用器件上另一个内核的互惠式比较 |