摘要

       功能安全标准规定了在系统中实施安全的要求，并有助于概括该系统要达到的安全目标。包括功能安全的系统设计不仅要降低操作不当的风险，还要检测故障并将其影响降到最低。随着汽车和工业系统的自主性越来越强，严格的功能安全要求被强制执行，以最大限度地减少系统和随机故障导致的设备故障和人员伤害。ISO 26262和IEC 61508等综合安全标准分别概述和定义了汽车和工业领域各种应用所需的过程、工件和合规性。

        安全性是TI毫米波雷达传感器产品不可或缺的一部分，它们使客户能够满足其应用的严格和关键安全认证;简单而全面。例如，凭借AWR2944单芯片毫米波传感器，TI提供高性能和功能安全使能器，帮助客户设计，认证和交付符合汽车市场安全标准的雷达解决方案。

        本设计指南将介绍开发功能安全兼容系统设计通常涉及的各个步骤。以汽车转角雷达和智能机器人传感系统为例进行了系统设计。本文档还讨论了应用程序的功能安全兼容认证所需的各种功能安全构件。

1 介绍

        功能安全(FuSa)是指系统中电气/电子元件的故障行为(例如:防抱死制动系统、电梯、手势识别、入侵检测、智能机器人传感系统、踢开门、转角雷达、汽车前雷达等)不存在因危险而造成的不合理风险。系统/子系统功能安全的目标是尽量减少因危险故障而造成人身伤害或对环境或财产造成损害的风险。TI将功能安全作为毫米波雷达传感器的一个组成部分。

       对于设计任何符合Fusa的雷达传感器系统，TI毫米波雷达传感器是一个很好的选择，因为它们具有可编程的多功能性和FuSa功能。TI毫米波雷达传感器有助于汽车和工业应用中的视觉传感挑战，可以承受恶劣的环境条件。TI毫米波雷达传感器具有快速可靠的3D存在检测功能，并通过降低系统/机器停机时间来最大限度地减少可能的碰撞。TI毫米波雷达传感器可用于高端成像雷达的低功耗精确运动检测。随着汽车和工业市场的自动化程度越来越高，它们越来越需要满足更严格的FuSa标准。TI毫米波雷达传感器的架构和设计采用FuSa认证的流程，分别符合汽车和工业领域的ISO 26262和IEC 61508安全标准。对于朝着系统自动方向发展的世界来说，感知目标对于探测至关重要。特别是对于符合FuSa标准的系统，毫米波雷达传感器应该只检测真阳性目标，TI毫米波雷达传感器可以发挥关键作用，提供更好，更可靠的结果，以帮助确定目标的距离，速度和角度，具有良好的分辨率。

图1-1 TI FuSa开发流程

       TI毫米波雷达传感器是使用TI FuSa开发流程中提到的FuSa认证流程开发的，该流程作为安全元素(SEooC)，具有应用假设，同时获得符合IEC 61508和ISO 26262级别的安全目标。TI毫米波雷达传感器通过第三方认证 (德国技术监督协会，TÜV)的FuSa合规设备认证。这些认证帮助客户快速实现目标应用的安全目标。TI毫米波雷达传感器可用于功能安全至关重要的应用，例如自动引导车辆，工业机器人等。TI所有汽车毫米波雷达传感器产品均符合AEC-Q100标准，该标准被汽车行业广泛接受，用于集成电路中基于失效机制的压力测试资格。少数TI毫米波雷达传感器具有低功耗模式操作等特殊功能;封装天线;具有边缘智能的设备安全性。

       基于安全标准ISO 26262和IEC 61508，硬件元件类别大致映射到TI的功能安全产品类别，如功能安全能力，功能安全质量管理和功能安全兼容。参考下图1-2后，要了解更多关于功能安全分类的详细信息，请访问此链接Functional safety | TI.com。

图1-2 TI功能安全分类

        在本文档中，我们将讨论使用TI毫米波雷达传感器开发FuSa认证的雷达传感器系统设计。本文档详细介绍了功能安全兼容系统的典型设计生命周期，可以帮助客户根据其目标终端系统需求设计符合FuSa的雷达传感器系统。为了开发任何符合FuSa的系统，客户可以遵循与建议的设计生命周期并行的验证和验证(V&V)生命周期过程(按照IEEE标准1012-2016)。V&V流程通过在系统上执行各种任务和活动(需求评估、危害分析、安全性分析、风险分析、临界性分析等)，检查系统开发过程，确保集成系统完成终端设备要求。为了更好地理解，我们将参考基于TI的AWR2944毫米波雷达传感器的汽车转角雷达和基于IWRL6432毫米波雷达传感器的智能机器人传感系统等示例，以便在整个设计生命周期内根据适用的FuSa标准为FuSa认证的系统设计做准备。

        备注：根据ISO 26262标准，汽车应用的安全完整性等级为ASIL-A/B/C/D，其中ASIL-D最严格。同样，对于工业应用，根据IEC 61508标准的安全完整性等级是SIL-1/2/3/4，其中SIL-4是最严格的。

2 功能安全设计生命周期

        在设计任何符合功能安全标准的系统时，建议遵循拟议的功能安全设计生命周期，这将帮助客户更安全、更快、更有效地设计符合FuSa标准的系统。雷达传感器系统用于安全关键应用，如车辆防抱死制动系统，真空机器人等，使FuSa标准合规尤为重要。提出的FuSa设计生命周期是典型的FuSa系统设计流程，有助于创建可靠的符合FuSa标准的雷达传感器系统设计，满足目标终端设备要求(EER)。创建符合FuSa标准的系统的建议设计流程包括五个步骤，这些步骤可以最大限度地降低与可能导致物理伤害或环境或财产损害的故障相关的风险。

图2-1 典型功能安全系统设计生命周期流程

2.1 步骤1:终端设备要求

        任何系统的开发都始于客户理解目标应用和产品需求定义(PRD)，也称为系统的目标终端设备需求。目标系统应用可以是踢到打开系统(启动打开)，儿童存在检测，安全带提醒，汽车领域和手势识别系统的角落雷达，侧面雷达和长距雷达，交通监控系统，安全监控系统，占用检测，工业领域更安全的人类存在检测。系统的目标终端设备要求包括:

• 安全和安保要求

        - FuSa合规完整性等级(ASIL- A/B/C/D, SIL- 1/2/3/4)

        -基本FuSa脉络

        -设备安全(加密硬件加速器，安全认证和加密启动支持)

• 控制雷达处理算法的终端设备/应用性能要求需要符合ISO 21448标准的预期功能安全(SOTIF)，以保证汽车应用在没有故障的情况下的预期功能。

• 技术和逻辑需求(功能需求)

        -天线

        -电源模块(电源)

        -通信接口

        -Flash接口

        -调试和开发接口

        -电源管理组件

        -外形尺寸

        -工作频率范围

        -工作结温范围

        -最大射程(LRR/MRR/SRR)

        -距离分辨率

        -最大速度

        -速度分辨率

        -方位视场(FOV)

        -方位角分辨率

        -高度视场(FOV)

        -仰角分辨率

        -功耗(在空闲和chirp时间)

        -成本

        -反应时间

        客户必须充分了解所有目标终端设备要求和系统应用程序的预期功能行为。理解系统的功能行为会导致对系统中要使用的块/子系统的意识。让我们考虑为汽车和工业机器人传感器系统设计角雷达系统的例子，以更安全地检测机器人周围的人类存在。

图2–2 汽车雷达(汽车)和工业机器人(更安全的人类存在检测)

        这些应用程序的一些目标EER可能是:

• 角雷达系统

        -中距离雷达(MRR)

        -ASIL-B FuSa符合ISO 26262

        -工作结温范围-40°c ~ 125°c

        -AEC-Q100资质

        -小尺寸

• 工业机器人传感器系统

        -近程雷达(SRR)

        -SIL-2 FuSa符合IEC 61508

        -低功耗

        -小尺寸

        备注：目标EER包括应用性能需求、功能需求、安全和安保需求。

       “第一步:终端设备需求”的关键交付成果是客户对构成PRD的终端设备需求和系统应用程序的预期功能行为的理解。这一步为下一步开发系统的框图铺平了道路，该框图具有在系统应用中使用的模块/子系统的意识。

2.2 步骤2:典型的系统框图

        在功能安全设计生命周期的第二步中，客户将根据最终应用程序参考典型的系统框图，了解PRD和模块/子系统。有关符合FuSa标准的雷达传感器系统的参考框图，客户可以参考TI毫米波雷达EVM和TI参考设计。该步骤包括危害和风险分析，这是确定安全完整性级别(ASIL-A/B/C/D, SIL-1/2/3/4)的关键和必要部分，为系统FuSa旅程奠定了基调。

        危害和风险分析在参考方框图上进行。汽车系统应用的安全要求是根据ISO 26262标准要求制定的危害分析和风险评估(HARA)，使用度量标准暴露(E)，可控性(C)和严重性(S)。对于工业领域系统应用中的安全目标，根据IEC 61508标准，没有特定的过程/评估要遵循。因此，典型的HARA流程可以使用指标E、C和S来确定安全目标。

       请注意，符合AEC-Q100标准对于正在开发用于汽车应用的电子系统也很重要。典型的HARA流程如图2-3所示。

图2-3 典型HARA流程

        任何符合FuSa的传感器系统的典型系统框图将包括：

• 毫米波雷达传感器

• 射频块

        -天线

        -外部晶体振荡器

• 电源- PMIC /基于离散DC的功率电平转换器

• 通信接口

• 调试和开发接口

• Flash接口

• PM组件

       毫米波雷达传感器系统应支持不同的接口，如用于数据传输的通信接口、用于调试的调试和开发接口以及用于设备外部闪烁的闪存接口。射频天线用于发射和接收用于检测的chirp信号。射频模块中的振荡器用于产生时钟频率。电源供应使用电源模块，如PMIC或分立的基于直流的功率电平转换器为不同的电源轨道。

       例如，为了设计高性能角雷达系统，可以使用AWR2944毫米波雷达传感器，PMIC和CAN接口。典型系统框图客户可参考TI设计的AWR2944 EVM，如图2-4所示。

图2-4 AWR2944 EVM

        同样，为了创建一个更安全的人类存在检测的智能机器人传感系统，可以参考IWRL6432 EVM作为典型系统框图，使用IWRL6432毫米波雷达传感器，如图2-5所示。在这个例子中，我们考虑的是单个传感器的覆盖。为了360°更安全的人类存在检测，可以使用多个IWRL6432毫米波雷达传感器覆盖工业机器人的整个周长。

图2-5 IWRL6432 EVM

       通过评估系统框图来确定安全目标。可以在其设计中添加一些额外的硬件安全机制，以满足目标安全目标。如果修改方框图后，安全目标仍未达到目标安全要求，则客户必须查找对安全端设备要求进行细化。

       除了安全需求和目标识别之外，还需要从系统级集成的角度进行某些额外的关键分析(例如，DFA和共存分析)。对系统进行相关故障分析(DFA)，以识别系统中的共因故障(CCF)和级联故障(Cascading Failures)。对于最具成本效益的FuSa合规系统，系统中实施的多种安全机制可能具有不同的适用安全完整性级别(ASIL-A/B/C/D或SIL-1/2/3/4)。对系统进行共存分析，检测或防止高故障率（例如SIL-1，ASIL-A）子系统对低故障率（例如SIL-3，ASIL-C）子系统的干扰，实现无干扰(FFI)。FFI是通过防止系统中的级联故障来实现的，这通常是通过对系统进行块分区来定位故障起源并防止其传播到其他系统/子系统来实现的。拟议的FuSa设计流程的前两个步骤将处于一个循环过程中，从终端设备要求开始，以满足目标终端设备要求的成熟系统框图结束。当系统框图满足终端设备要求，包括安全要求时，系统框图才算成熟。

       FuSa设计生命周期的“Step-2:典型系统框图”是一个成熟的系统级框图，可满足目标终端设备的要求。这一步通过在方框图上执行典型的HARA推导出系统的安全目标。此步骤是设计功能安全系统的最关键步骤之一，并通过推导系统应用程序的安全目标，为系统FuSa旅程奠定基调。