Arm的汽车功能安全

安全就绪计划“Safety Ready”: 更安全的解决方案， 更快进入市场
减少设计工作 加速汽车应用部署 便于ISO26262的认证
帮助汽车供应链，加速进入市场时间
16 © 2018 Arm China
Cortex-A76AE: 世界上首个集成功能安全 的自动驾驶级处理器
变革性的安全创新，针对7nm制程优化
安全完整性等级 IEC 61508 SIL 1 低 ISO 26262 ASIL A SPF Nominal M Nominal LFM Nominal FIT
6 © 2018 Arm China
SIL 2
SIL 3 高
ASIL B 90% 60% <10-7 / h
ASIL C 97% 80% <10-7 / h
ASIL D 安全要求
ASIL B 安全要求
OEM 软件
信息安全
Tier-1 软件
Hypervisor（管理程序）
12 © 2018 Arm China
Arm的功能安全 “头条”
13
© 2018 Arm China
需求: 从IP到系统
IP 供应商 IP 集成商 e.g. MCU 设计者
要求, 前提条件
摄像头 激光雷达 雷达 ASIL C/D
Ethernet, CAN FD ECUs ECU ECU
9 © 2018 Arm China
2020年之后座舱的设计应用案例
Surround 环视信息显示 Information Display IVI主控单元 仪表 平视系统
座舱ECU
V2X/5G QM / ASIL A ASIL B ADAS ECU 摄像头 激光雷达 雷达
Arm 的汽车功能安全
• Arm Tech Symposia 2018-
概要
市场与应用 标准 Arm 的功能安全“头条“
安全就绪 Cortex-A76AE 软件测试库

认证
总结
2
© 2018 Arm China
市场与应用
3
© 2018 Arm China
功能安全市场的日益复杂化
使能共同的API框架
降低针对安全的硬件缓解的需求 为产品级软件集成准备好预认证特性 以90%的诊断覆盖率为目标 最小化的系统影响（比如：内存和WCET） 在多个故障容忍时间间隔（FTTI）里进行模组化测试 测试用例可以贯穿多个应用
19
© 2018 Arm China
STL 交付物
​STL 的安全包跟现有的硬件安全包类似：
23
© 2018 Arm China
总结
​“安全就绪”计划- 率先交付满足功能安全的IP ​正在扩充产品库，包括软件，工具和其他安全支持文档等 ​承诺支持评估与认证
24
© 2018 Arm China
Thank You Danke Merci 谢谢 ありがとう Gracias Kiitos 감사합니다 धन्यवाद ‫תודה‬
ASIL D 99% 90% <10-8 / h
功能安全控制风险
安全应用 随机失效
运行故障 防护 产品的 安全特 性
安全应用
系统失效
设计失误 软件故障
病人的给药系统
刹车系统
开发流程
7
© 2018 Arm China
失效类型
随机失效 硬故障 软故障 永久失效 瞬态失效 潜在失效 通过加入 故障检测与控制的特性来管理
汽车增强型
自动驾驶复合计算平台
18 © 2018 Arm China
软件测试库
针对Arm核优化过的STL具有最佳的诊断覆盖率
•
• • • • • •
CPU STL Cortex-R52 Cortex-M0+ Cortex-M3 Cortex-M4 Cortex-M33 Cortex-M23 Cortex-A53
• •
软件测试库 STL 安全手册
•
• •
STL 开发接口报告
STL FMEDA 报告与DFA 报告 STL 文档 (集成手册，用户手册，配置说明等)
•
发布说明
20
© 2018 Arm China
认证
21
© 2018 Arm China
认证策略与流程
​认证与评估是功能安全的核心部分
•
Arm的策略是独立评估越来越多的功能安全产品
​汽车
​自动驾驶
​工业控制 ​工厂自动化
​医疗 ​手术机器人
​交通
​火车控制系统
​航电
​飞行系统
​消费电子
​家用机器人
4
© 2018 Arm China
标准
5
© 2018 Arm China
各行业的相关功能安全标准
​
标准一般意味着大家对某个行业的共识
•
• •
标准的制定一般需要5~10年时间
通常也会落后于当前的最新技术 基于目标的或者以目标及方法论为导向的
Cortex-A76AE
DynamIQ Shared Unit
Cortex-A76AE
DynamIQ Shared Unit
MaliG76
• Arm V8.2 RAS 特性
• 用于ML/NN加速器的内存虚拟化及保护 • 用于汽车的机器学习
CoreLink CMN-600AE
• 支持多个客户操作系统
• 汽车的信息安全技术
自动驾驶级 算力性能 >250 KDMIPS <30W SoC
第一个带分核锁步功能的 应用处理器
专为汽车应用开发
<15W 复合计算*
支持ISO26262 ASIL D要求
一流的效能功耗
17
© 2018 Arm China
*16 个 Cortex-A76AE 搭配CMN-600互联总线，7nm制程
自动驾驶级复合计算平台
11
© 2018 Arm China
用单一处理器管理软件
• 单一处理器可以迅速在不同虚拟机间切换
• 虚拟机带有两级内存保护隔离并有对应的虚拟机ID
• 虚拟化的操作系统及其任务可以实现软件整合 • 中断可以由Hypervisor分配，也可以直接送至虚拟机
• Hypervisor（管理程序）可以处理安全与防护的各种活动
CoreLink GIC-600AE CoreSight SoC-600 Debug & Trace
ELA-600 ELA-600
汽车增强型系统IP使能针对ASIL D的应用设计
• 最多支持64个锁步核的复合计算 • 可升级多核系统的网格网络
Arm ML Processor CoreLink MMU-600AE
25 © 2018 Arm China
Thank you!
26 © 2018 Arm China
26
o o o
在我们自己的流程中提供置信度
减少认证时间和下游客户的工作投入
考虑成本并在生态系统中分享项目经验
• •
与多个独立的评估组织保持协作
正在影响行业标准
22
© 2018 Arm China
下一步工作计划?
• 持续投资，支持相关的垂直产品和标准 • 持续开发和扩充STL产品库 • 开发更多的解决方案：实现在安全系统中应用多种产品
© 2018 Arm China
系统失效 硬件错误 软件错误 不合理的产品规范 不完整的需求 不满足条件的假设
通过设计流程，验证和评测来管理
8
2020年之前座舱的设计应用案例
环视信息显示 平视系统
座舱控制器
V2X/LTE QM / ASIL A ASIL B
仪表
IVI主控单元
ADAS ECU
ASIL C/D
ECUs ECU ECU
10 © 2018 Arm China
复杂设计– 座舱控制器ECU
ASIL-B ASIL-QM ASIL-B ASIL-QM
仪表(IC)
车载信息系统
(IVI)
数字侧视镜
V2X 及网关
Leabharlann Baidu
安全认证过的 RTOS
Classic
Hypervisor (ASIL B 认证) ECU 硬件平台
ISO 26262
-1 -2 -3 -4 -5 -6 -7 -8 -9 -1 -2 -3 -4 -5 -6 -7 -8 -9
Tier 1
汽车OEM
ISO 26262
-1 -2 -3 -4 -5 -6 -7 -8 -9
ISO 26262
-1 -2 -3 -4 -5 -6 -7 -8 -9
ISO 26262
支持文档（“安全”的证据）
适用的要求 不适用的要求
14 © 2018 Arm China
在安全方面占得先机
领先的安全特性 和技术 软件组件和工具 鲁棒的方法论和认证
最多样的功能安全IP
认证过的软件组件
全面的安全文档
用于汽车的创新安全 特性
15 © 2018 Arm China
软件工具
针对ISO26262的系 统认证