Funktionale Sicherheit

ISO 26262 in der IC-Entwicklung – Bürokratismus oder echte Hilfe?

Seite: 4/4

Firmen zum Thema

Die FMEDA-Analyse zeigt den Ursprung der entdeckten Fehler

Die FMEDA-Analyse des in Bild 2 gezeigten Positionssensors, zeigte in der ersten Iteration, dass ein Großteil der gefährlichen und nicht entdeckten Fehler seinen Ursprung im EEPROM und dem Signalpfad vom Hallsensor zur CORDIC-Verarbeitungseinheit hatte – ein Pfad, der einen verhältnismäßig großen Bereich des Chips in Anspruch nimmt. Darüber hinaus konnten Fehler im geschützten Hochvolt-Ausgangstreiber nicht diagnostiziert werden.

Aufgrund der FMEDA Analyse war es notwendig eine Reihe von zusätzlichen Diagnosefunktionen zu implementieren um den IC im Fehlerfall in einen sicheren Zustand zu bringen:

Bildergalerie
  • Kontinuierliche Prüfung des EEPROM-Inhalts während des Betriebs durch Berechnung des CRC und Vergleich mit Referenz-CRC
  • Magnetischer Selbsttest der Signalverarbeitungskette. Eine Mikrospule dient zur Erzeugung eines Test-Magnetfelds. Die Testmessung wird im Hauptmesszyklus eingeplant. Der resultierende Ausgang wird mit einem gespeicherten Wert verglichen.
  • Zurücklesen des Status der Ausgangstreiber mit einem Komparator.

Wenn ein Fehler entdeckt wird, wird der Ausgang in einen Fehlerbereich geschaltet (PWM-Tastgrad 1 bis 4%).

Eine wiederholte Durchführung der FMEDA unter Berücksichtigung diese Massnahmen führte schließlich auf eine Primärfehlermetrik von >90% und zusammen mit der FIT rate und Sekundärfehlermetrik auf ASIL B.

Zusammenarbeit zwischen IC-Entwickler und Anwender

Entwicklung und Design nach ISO26262 werden zu einer Standardanforderung für ICs in sicherheitsrelevanten Kfz-Anwendungen. Im Gegensatz zu den traditionellen Designverfahren, die sich sehr viel mehr auf die ingenieurmäßige Einschätzung und Intuition verließen, hilft der Einsatz der FMEDA den Entwicklungsteams, sich auf die IC-Funktionsblöcke mit den höchsten Fehlerraten und den größten Chipflächen zu konzentrieren. Eine enge Zusammenarbeit zwischen dem IC-Entwickler und dem Anwender, z.B. durch Einsatz von Diagnosefunktionen außerhalb des Chips, verhilft zu einer wirtschaftlicheren Implementierung von Sicherheitsfunktionen.

* Thomas Müller ist Produktmanager für Automotive-ASICs bei der ams AG.

Artikelfiles und Artikellinks

(ID:44913142)