使用毫米波雷达传感器的功能安全兼容系统设计指南2（TI文档）

2.3 步骤3：平台选择

平台选择是设计生命周期中最关键的步骤之一。一旦从第二步完成了一个成熟的系统框图，重要的任务就是根据性能需求选择系统模块/子系统。TI广泛的毫米波雷达传感器产品组合可以帮助实现许多性能要求，如远程或中程、角度分辨率、距离分辨率、速度分辨率等。

为了开发符合FuSa标准的毫米波雷达传感器系统，TI毫米波雷达传感器成为客户的首选，因为它们具有广泛应用的通用性和必要的附属品的可用性。TI毫米波雷达传感器使用FMCW来感知多个目标的距离，速度和角度，具有更好的分辨率。TI毫米波雷达传感器根据终端应用主要分为汽车和工业产品。TI毫米波雷达传感器是利用安全元素脱离环境(SEooC)概念开发的，该概念允许TI独立开发系统，并考虑假设的危害，风险和适用于广泛安全关键应用的FuSa标准。毫米波雷达传感器的范围从高精度的前端类型到具有HWA的高度可集成的复杂SoC类型，以实现更快的计算。通过功能安全认证的毫米波雷达传感器支持硬件完整性级别高达ASIL-B或SIL-2。客户还可以使用具有非功能安全变体的毫米波雷达传感器。

TI毫米波雷达传感器的多功能性是可编程的，可根据客户的要求在规定的范围内检测目标，足以满足典型的汽车和工业应用。TI毫米波雷达传感器支持76-81GHz和57-64GHz的无线电频率范围，适用于符合FCC, ETSI和TRAI等政府法规的汽车和工业领域应用。高性能TI毫米波雷达传感器与HWA集成在设计中，以实现更快的计算，提高响应时间。TI毫米波雷达传感器支持许多外设通信接口(有些可能只调试)，如SPI, QSPI, I2C, CAN, LIN, RS232, GPIO, CSI2, PWM, GPADC, DMM, JTAG等，在毫米波雷达传感器数据表中指定。

TI毫米波雷达传感器还具有设备安全性的变体，包括由加密硬件加速器支持的硬件安全模块(HSM)，有助于安全认证和加密启动支持，以及具有密钥撤销功能的自定义可编程根密钥。因此，TI毫米波雷达传感器可以集成到各种高度集成的分布式系统应用中，如汽车制动和转向系统、汽车角雷达、工业自动化和驱动、用于更安全的人类存在检测的工业机器人传感器系统等。

例如，要设计用于安全应用的汽车角雷达，传感器系统硬件模块/子系统(如TI毫米波雷达传感器和电源模块)的功能安全合规性至关重要。毫米波雷达传感器必须具备一些用于FuSa兼容传感器系统的强制性特性。下面是FuSa兼容传感器系统中毫米波雷达传感器的几个强制特性与TI公司的AWR2944毫米波雷达传感器的最佳特性的对比表，以检验AWR2944是否可以用于汽车的角雷达。

AWR2944的所有特性看起来都符合下面表2-1中提到的强制性要求，这使得AWR2944适用于这种符合FuSa的角雷达传感器系统。

表2–1 角雷达系统与AWR2944毫米波雷达传感器需求对照表

	Corner Radar of a Car	AWR2944
AEC-Q100 Compliance	Yes	Yes
CAN-FD Interface	Yes	Yes (2 CAN-FD Interfaces available)
Device Security	Yes	Yes (Support through HSM and secure authenticated and encrypted boot )
Essential FuSa Collaterals	Yes	Available
Ethernet Interface	Yes	Yes (High speed 100Mbps Fast Ethernet)
FuSa Compliance per ISO 26262	ASIL-B	ASIL-B targeted (supports Hardware Integrity up to)
Operating Frequency	77-81GHz	76-81GHz supported
Range	150m (Medium Range)	<=253m
Range Resolution	0.075m	>=0.0375m (Best resolution for 4GHZ Bandwidth)
Operating Junction Temperature Range	-40°c to 125°c	Yes (supports -40°c to 125°c)
Maximum Velocity	140kmph	<=143kmph
Power Consumption	3W(typical at 25°c)	<3W(can support less than 3W at 25°c)

同样，为了设计一个更安全的人类存在检测的工业机器人传感器系统，系统应用需要安全相关的硬件元素/模块，如TI毫米波雷达传感器符合FuSa标准。与前一种情况类似，毫米波雷达传感器必须具有一些强制特性才能包含在符合FuSa的传感器系统中。例如，与TI的IWRL6432毫米波雷达传感器在系统应用中的最佳价值相比，对系统的强制要求很少。对比可以在下表中进行检查。

表2–2 工业机器人传感器系统需求与IWRL6432毫米波雷达传感器对比表

	Industrial Robot Sensor System	IWRL6432
CAN-FD Interface	Yes	Yes (CAN-FD Interface available)
FuSa Compliance per IEC 61508	SIL-2	SIL-2 targeted
High Speed Data Interface	Yes	Yes (supported by RDIF)
JTAG	Yes	Yes (supported for debug/development)
Maximum Range	5m	<=12m
Operating Frequency	57-64GHz	57-64GHz
SPI Interface	Yes	Yes (supported for control/communication)
Operating Junction Temperature Range	-40°c to 125°c	Yes (supports -40°c to 125°c)
UART Interface	Yes	Yes (2 UART's supported)

IWRL6432雷达传感器满足毫米波雷达传感器对更安全的人体存在检测的要求，上述要求如表2-2所示。由于工业机器人可能连续工作更长时间，TI的IWRL6432作为一种低功耗设备成为该系统的一个额外优势。请注意，毫米波雷达传感器的距离、速度、角度及其分辨率等参数也取决于系统的天线设计。到目前为止，我们一直在讨论FuSa系统中毫米波雷达传感器平台的选择。以类似的方式，必须将系统的其余模块与系统需求进行比较，并明智地做出选择平台的决定。传感器系统的所有安全硬件模块必须符合安全标准，才能成功通过系统的FuSa认证。所有组件都应该有必要的附属品，这些附属品对于系统的安全认证过程是强制性的。请注意，目前AWR2944和IWRL6432是针对FuSa的，作者有信心该设备的FuSa认证将在短时间内可用。

以下文件属于必要的附属品，可用于FuSa投诉TI毫米波雷达传感器，如：

•FMEDA(故障模式、影响和诊断分析)

•安全分析报告(SAR)

•功能安全手册(FSM)

•功能安全证书

•固件块的测试报告

•遵从性支持包

对于符合FuSa标准的传感器系统，系统/子系统的所有硬件、软件和固件块都必须符合FuSa标准，并且必须提供必要的FuSa附属品。例如，应该检查毫米波雷达传感器的FuSa合规性和基本FuSa附属品的可用性。图2-6简要介绍了系统成功通过FuSa认证所需的系统模块的基本附属品。

图2-6 必要附属品

与软件相关的安全启用工具，如功能安全诊断软件库、安全编译器资格认证工具包和安全软件序列文件，只有在客户要求时才会通过https://www.ti.com/securesoftware向客户披露。随着所有FuSa要求的实现，TI的毫米波雷达传感器成为雷达传感器系统应用中传感目标的绝佳选择。有关TI毫米波雷达传感器功能安全使能器，请访问此处Radar Functional Safety Enablers (Rev. B)。TI毫米波雷达传感器的所有必要附属品都通过TI网站上各自的产品页面提供给客户，或者通过https://www.ti.com/securesoftware提供机密的FuSa附属品。同样，对于系统的各个模块，TI广泛的产品组合可能是一个解决方案。例如，TI PMIC(LP87745-Q1)是FuSa系统中更好的电源选择，因为它符合FuSa标准，并且具有必要的FuSa附属品。

“步骤3:平台选择”的关键交付成果是选择符合FuSa标准的传感器系统的每个模块或组件，满足终端设备功能和行为要求，符合适用的FuSa标准，并提供支持FuSa系统认证的必要FuSa附属品。

2.4 步骤4：设计和分析

一旦在平台选择步骤中为系统的所有模块选择了平台，就必须对毫米波雷达传感器系统的设计进行FuSa合规性分析。这一步是全面的，重要的，并且可能是所提出的FuSa设计生命周期中耗时的一部分，因为系统设计在这里进行了适当的分析，并通过解决故障来改进，以满足FuSa认证级别的基准。在此步骤中，按照设计和分析流程检查传感器系统设计中FuSa的可靠性。流程从对系统设计执行故障模式、影响和诊断分析(FMEDA)开始，并将结果指标与适用的FuSa认证级别基准进行比较，以最终确定传感器系统设计的拓扑结构。在此步骤中，通过更新/配置系统的安全挂钩/机制来解决系统中可能出现的功能安全问题。

图2-7 设计和分析

1）执行FMEDA

FMEDA是一种常用的功能安全分析技术，用于确定功能安全架构的有效性。FMEDA通过提供系统的定量安全指标来根据适用的FuSa标准ISO 26262/IEC 61508测量设计的随机硬件故障指标，从而提供有关系统中安全相关部件满足的安全目标的深刻信息。TI已经为毫米波雷达设备创建了一个FMEDA，允许用户根据其特定用例定制指标，这些指标基于哪些特性或设计模块被用作安全功能的一部分。该工具还允许用户修改影响原始(基本)FIT率的环境因素、设备功耗和其他因素。利用TI FMEDA工具，我们可以通过任务轮廓剪裁、引脚电平剪裁、功能和诊断剪裁来配置传感器系统。

•任务概况定制:此表允许用户控制以下参数以相应地更新计算:封装类型，设备的生命周期(以小时计)最长可达20年，每种组件类型的安全与非安全控制，环境温度等。

•引脚水平裁剪:此表采用原始(基础)封装FIT率，并将其平均分配给设备的每个引脚(或球)。用户应使用FMEDA和安全手册来确定哪些设备引脚在其应用程序中用于与安全相关的功能。未使用的设备引脚必须从FIT计算中删除。

•功能和诊断定制:此表捕获永久，瞬态和潜在故障的原始FIT率，并将其分配到设备的每个设计块(有时称为硬件元件或IP块)中。每行表示该分析的最低部分，每行根据其晶体管数量或内存大小获得FIT的百分比。用户应参考安全手册和本FMEDA，以确定在其应用中使用哪些设计模块来实现与安全相关的功能。未使用的设计块必须从FIT计算中删除。

2）分析指标

FMEDA主要用于了解系统的诊断覆盖率(DC)和故障时间(FIT)。对于工业应用，根据IEC 61508, FMEDA报告安全指标安全故障分数(SFF)和每小时故障概率(PFH)。同样，对于汽车应用，根据ISO 26262, FMEDA报告了硬件故障概率度量(PMFH)，单点故障度量(SPFM)和潜在故障度量(LFM)的安全度量。对系统/设备引脚执行引脚失效模式和影响分析，以检查可能导致系统/设备故障的引脚损坏。

3）认证级别基准

根据FuSa标准ISO26262/IEC61508，将FMEDA工具的传感器系统指标与安全完整性级别基准进行比较，以检查设计的安全能力。如果度量满足目标安全级别基准，那么系统设计就可以成为最终的系统拓扑。否则，客户可以进入步骤4和步骤5，以提高系统的安全性。ISO 26262和IEC 61508的认证等级基准分别如表2-3和表2-4所示。

表2–3 根据ISO 26262-5的认证水平基准

ASIL Level	SPFM	LFM	PMHF (in FIT; Failures in Time)
ASIL-B	≥90%	≥60%	≤100 FIT
ASIL-C	≥97%	≥90%	≤100 FIT
ASIL-D	≥99%	≥90%	≤10 FIT

表2–4 根据ISO 26262-5的认证水平基准

SIL Level	SFF	PFH (in FIT; Failures in Time)
SIL-2	≥90%	≤100 FIT
SIL-3	≥99%	≤10 FIT

4）SM的启用/禁用或其他基于软件的安全挂钩

如果没有达到认证级别的基准，客户可以配置可用的安全机制(启用/禁用)来降低系统的故障。在配置更改之后，客户必须重复此流程的步骤1、2和3。为了进一步提高故障的诊断覆盖率，减少系统的故障，客户可能会增加一些额外的软件安全机制。然而，步骤1、2和3必须再重复一遍。

5）修改硬件原理图设计

为了提高系统的安全性，客户也可以在软件安全挂钩步骤的同时，从微小的变化开始修改系统硬件设计。为了进一步提高安全性和减少故障，客户可能必须通过执行平台选择来替换该硬件部分，有时甚至更改系统框图。更新这些更改后，系统设计指标预计将满足FuSa认证级别基准。

6）最终系统拓扑

一旦FMEDA指标满足目标FuSa认证级别基准(SIL-1/2/3/4或ASIL-A/B/C/D)，系统框图可称为最终传感器系统拓扑。这个最终的传感器系统拓扑现在将为FuSa认证步骤做好准备。

请注意：

•故障可以是随机的，也可以是系统的。IEC 61508和ISO 26262在计算随机硬件度量时都排除了系统故障。在硬件开发、软件开发和设计系统时使用的工具中，由人为错误导致的错误是系统错误，可以通过遵循最佳设计实践来避免。

•用于各自TI毫米波雷达传感器的FMEDA工具可以根据与TI的NDA与客户共享。

•故障率的估计通常根据故障时间(FIT)来定义- 10^9小时运行的故障。然而，对于军事应用，FIT率可能被称为每10^6小时的操作失败。客户在使用数据时必须小心。

•系统的基本故障率(BFR)基于IEC 62380标准，该标准量化了半导体组件在正常环境条件下运行时的内在可靠性。

•在开发任何系统时，系统框图的设计和细化应该并行进行，以避免以后可能发生的架构更改。细化可以在硬件设计或软件设计中进行，也可以在两者中进行。

从角雷达的例子来看，在平台选择步骤中选择了传感器系统的所有模块后，必须对系统设计进行分析，以确保其在安全应用中的可靠使用。通过对系统设计执行FMEDA，检查拐角雷达系统的诊断覆盖范围和FIT率。让我们考虑一下，客户从良好的工程判断和FMEDA指标推断，系统中由供电轨道引起的大多数故障都没有让系统达到认证级基准。为了提高安全性，客户可以选择在发现某块电源低于最小运行范围时，增加复位整个系统等软件安全钩。或者，客户可以添加硬件电源管理组件，如VMON，用于在检测到这些故障时断言复位信号。如前所述，更新后的设计必须再次经过设计和分析流程的1、2和3个步骤。更新设计后的FMEDA结果可能满足认证级别基准，然后设计可以作为该系统应用的最终系统拓扑。

“步骤4:设计和分析”的主要交付成果是准备最终的传感器系统拓扑，为FuSa认证做好准备。这可能是FuSa设计生命周期中最关键也是最耗时的一步。通过分析对系统设计进行细化，可以通过软件更改或硬件更改或两者同时进行，以满足适用的FuSa标准基准。这一步验证了最终传感器系统设计的可靠性与FuSa合规水平基准。

2.5 步骤5:认证

FuSa认证是FuSa设计生命周期的最后一步。最终的系统拓扑以及模块的所有基本安全附属品现已准备好进行FuSa认证过程。通过遵循FuSa认证的系统开发流程，合格的功能安全专家(FSE)在构建符合FuSa标准的传感器系统中起着至关重要的作用。

根据适用的FuSa标准，系统对安全目标的遵守情况将由第三方认证机构进行评估，如德国技术监督协会(TÜV)进行FuSa合规级别认证。系统开发过程(硬件和软件)的基本资料、日志、版本、FuSa证书和系统设计的安全计划应与FuSa认证机构共享，证据由系统集成商的FSE保管。FSE在检查过程中从认证机构那里获得反馈，以提高系统的安全性，直到达到FuSa认证的目标基准。认证机构通过执行FuSa系统测试，审查系统文档附带材料，验证系统开发过程并评估系统设计。FuSa认证机构检查成功后，根据评估结果，根据FuSa标准对系统进行相应的安全完整性等级认证，并出具证书报告。一旦系统通过了FuSa合规认证，传感器系统就可以根据FuSa认证的安全完整性级别，用于汽车和工业等安全应用中。认证步骤的流程如图2-8所示。

图2-8 FuSa认证步骤流程

例如，客户根据汽车FuSa标准ISO 26262开发的拐角雷达系统的FuSa认证必须由TÜV等第三方认证机构进行认证。系统的基本附属品、版本、日志、遵循的系统开发过程和系统的安全计划必须随时可用，以便与FuSa合规级别认证的认证方共享。同样，对于根据工业FuSa标准IEC 61508进行的更安全的人存在检测的智能机器人传感系统的FuSa认证，客户必须向认证机构提供必要的资料、版本、系统设计日志、安全计划和随后的系统开发过程，以评估系统并向系统认证安全完整性等级(SIL-1/2/3/4)。

请注意：

•TI或其他公司的组件也被用于安全系统，其作用只是分享该组件可能支持客户的基本抵押品。用户对系统的设计及其在安全应用中的使用负有全部责任。

•有时，作为FuSa认证机构的反馈，客户可能会被要求在系统中添加安全挂钩，这可能会导致硬件变化，而不仅仅是软件。在此阶段的每次设计更新之后，必须再次重复设计和分析流程。

“第5步:认证”的主要交付成果是根据适用的FuSa标准，由FuSa认证机构对系统设计进行安全完整性级别(ASIL-A/B/C/D或SIL-1/2/3/4)认证。在此FuSa认证步骤中，FuSa认证机构通过执行测试，评估所有抵押品并验证系统开发过程(日志，版本和计划)来评估系统。FSE在FuSa认证的系统设计过程中起着至关重要的作用。一旦客户的系统设计根据适用的FuSa标准获得安全完整性级别合规认证，FuSa证书就可以作为系统设计在适当的安全关键应用中的使用许可。