本發(fā)明提供一種面向車規(guī)級(jí)芯片功能安全的故障管理系統(tǒng)，包括：芯片外部系統(tǒng)（out of chip）和車規(guī)級(jí)芯片，所述車規(guī)級(jí)芯片包括：處理器（CPU）、系統(tǒng)控制器（System Controller）、系統(tǒng)配置模塊（System Configure）、故障管理器（Fault Management）、芯片內(nèi)功能模塊（IP₁……IP_n）；所述故障管理器（Fault Management）配置有故障分類管理模型。本發(fā)明提供的面向車規(guī)級(jí)芯片功能安全的系統(tǒng)故障管理系統(tǒng)，能夠通過細(xì)粒度的故障分類體系，確保系統(tǒng)軟件準(zhǔn)確定位并響應(yīng)各種故障，有效、及時(shí)地采取合理的故障響應(yīng)措施，提高系統(tǒng)在故障發(fā)生時(shí)的可用性。

技術(shù)領(lǐng)域

本發(fā)明涉及一種乘用車系統(tǒng)故障管理系統(tǒng)，特別涉及一種面向車規(guī)級(jí)芯片功能安全的系統(tǒng)故障管理系統(tǒng)。

背景技術(shù)

功能安全(Functional Safety)對(duì)于汽車領(lǐng)域的安全相關(guān)的電子電氣系統(tǒng)(諸如，動(dòng)力控制系統(tǒng))至關(guān)重要。這些功能安全(Functional Safety)應(yīng)用可以對(duì)系統(tǒng)施加嚴(yán)格的約束以在復(fù)雜的系統(tǒng)環(huán)境下安全且可靠地執(zhí)行。目前，汽車功能安全(Functional Safety)設(shè)計(jì)普遍遵循ISO(國際標(biāo)準(zhǔn)化組織)26262標(biāo)準(zhǔn)(針對(duì)汽車，2011年第一次發(fā)布，2018年發(fā)布第二版)，其是從電子、電氣及可編程器件功能安全基本標(biāo)準(zhǔn)IEC(國際電工委員會(huì))61508(1998年第一次發(fā)布，2010年發(fā)布最新版本)派生出來的，主要定位在汽車行業(yè)中特定的電氣器件、電子設(shè)備、可編程電子器件等專門用于汽車領(lǐng)域的部件，旨在提高汽車電子、電氣產(chǎn)品功能安全的國際標(biāo)準(zhǔn)。

ISO 26262標(biāo)準(zhǔn)通過危害分析與風(fēng)險(xiǎn)評(píng)估(HARA)及V模型設(shè)計(jì)架構(gòu)，使功能安全需求等級(jí)得到一致性的分析結(jié)果，并借由設(shè)計(jì)開發(fā)、查證(Verification)及確認(rèn)(Validation)等能力成熟度模型集成流程加以實(shí)現(xiàn)，并根據(jù)安全風(fēng)險(xiǎn)程度對(duì)系統(tǒng)或系統(tǒng)某組成部分劃分所需汽車安全完整性等級(jí)(ASIL)，使得產(chǎn)品功能安全符合汽車安全要求。ASIL有四個(gè)等級(jí)，分別為A，B，C，D，其中A是最低的等級(jí)，D是最高的等級(jí)。然后，針對(duì)每種危害確定至少一個(gè)安全目標(biāo)，安全目標(biāo)是系統(tǒng)的最高級(jí)別的安全需求，由安全目標(biāo)導(dǎo)出系統(tǒng)級(jí)別的安全需求，再將安全需求分配到硬件和軟件。ASIL等級(jí)決定了對(duì)系統(tǒng)安全性的要求，ASIL等級(jí)越高，對(duì)系統(tǒng)的安全性要求越高，為實(shí)現(xiàn)安全付出的代價(jià)越高，意味著硬件的診斷覆蓋率越高，開發(fā)流程越嚴(yán)格，相應(yīng)的開發(fā)成本增加、開發(fā)周期延長，技術(shù)要求嚴(yán)格。例如，ISO 26262功能安全(Functional Safety)標(biāo)準(zhǔn)要求單點(diǎn)故障度量指標(biāo)(SPFM)大于或等于99％以實(shí)現(xiàn)最高的安全完整性水平ASIL D。因此，滿足功能安全對(duì)于實(shí)時(shí)系統(tǒng)可以是復(fù)雜且困難的。

為了滿足ASIL要求，車規(guī)級(jí)芯片內(nèi)部會(huì)集成眾多安全機(jī)制(Safety Mechanism)，包括IP(芯片內(nèi)部某個(gè)設(shè)計(jì)好的模塊)內(nèi)部的安全機(jī)制以及系統(tǒng)層面的安全機(jī)制。當(dāng)故障發(fā)生并被相應(yīng)安全機(jī)制檢測(cè)到時(shí)，這些安全機(jī)制需要及時(shí)報(bào)告故障的發(fā)生，以便系統(tǒng)根據(jù)故障類型以及程度做出相應(yīng)的故障響應(yīng)，從而避免故障的潛藏或者故障所直接帶來的功能失效。

然而，現(xiàn)有的具有功能安全要求的車規(guī)級(jí)芯片設(shè)計(jì)通常會(huì)存在以下兩類問題：

1.在芯片內(nèi)部缺少集中化的故障管理模塊的情況中，給系統(tǒng)軟件的故障識(shí)別、分類以及處理都帶來了很大的負(fù)荷，也不利于芯片實(shí)現(xiàn)快速、高覆蓋率、可個(gè)性化配置的上電(Power-on)、下電(Power-down)自檢；

2.在芯片內(nèi)部集成故障管理模塊并對(duì)故障進(jìn)行了分類的情況中，但是分類粒度很大(目前故障分為兩類：致命(Fatal)和錯(cuò)誤(Error))，造成系統(tǒng)不能有效、及時(shí)地采取合理的故障響應(yīng)措施，從而降低了系統(tǒng)在故障發(fā)生時(shí)的可用性。

因此，需要優(yōu)化現(xiàn)有的車規(guī)級(jí)芯片功能安全系統(tǒng)故障管理系統(tǒng)，以有效地解決上面提到的兩類問題。

發(fā)明內(nèi)容