Los automóviles actuales utilizan entre cientos y miles de semiconductores y otros componentes en una variedad cada vez mayor de aplicaciones, como interfaces táctiles, cargadores de a bordo, sistemas de gestión de baterías y muchas más. Las estrictas especificaciones de seguridad funcional 26262 de la International ISO-Organization for Standardization (Organización Internacional de Normalización) garantizan el funcionamiento seguro de estas aplicaciones cada vez más complejas y sofisticadas. Sin embargo, desarrollar diseños conformes y conseguir la certificación puede ser un proceso largo y costoso.

Estos retos se están superando a medida que la industria de semiconductores proporciona a los fabricantes de equipos originales (OEM) y proveedores de automoción, ecosistemas completos de seguridad funcional que minimizan el coste, el riesgo y el tiempo de desarrollo para completar este proceso de certificación

Comprensión de la norma ISO 26262
La norma ISO 26262 abarca especificaciones para la seguridad funcional de sistemas eléctricos y/o electrónicos que se instalan en vehículos de carretera de producción en serie (excluidos los ciclomotores). Publicada en 2011 y revisada en 2018 para incluir una sección sobre semiconductores, esta norma ISO ordena un proceso de desarrollo desde la especificación hasta el lanzamiento de la producción. Los fabricantes de equipos originales y los proveedores del sector de la automoción deben seguir y documentar este proceso a la hora de homologar dispositivos para su uso en vehículos de carretera que requieran seguridad funcional.
La certificación de los sistemas se consigue mediante la confirmación de un auditor independiente de que cumple los requisitos de la norma ISO 26262. Las aplicaciones dentro del automóvil se "clasifican" en varios niveles de integridad de la seguridad en automoción (ASIL) en función de su nivel de criticidad para la seguridad. Algunas aplicaciones tienen un mayor riesgo inherente de seguridad si se produce un fallo en un sistema eléctrico o electrónico. Los niveles, de la A a la D, se basan en la gravedad y probabilidad de las posibles lesiones y el grado en que pueden controlarse, y existen requisitos de seguridad asociados para los componentes subyacentes. ASIL D representa el grado más alto de peligrosidad en automoción para aplicaciones como airbags, frenos antibloqueo y dirección asistida. Los componentes como las luces traseras se clasifican como ASIL-A. Las luces delanteras y de freno suelen clasificarse como ASIL-B. Un sistema como el control de crucero se clasifica como ASIL-C. Normalmente, cuanto más alto es el nivel ASIL, mayores son los requisitos de redundancia del hardware.
Los proveedores de componentes pueden ayudar de muchas maneras a acelerar el diseño de una aplicación de seguridad y su certificación ISO 26262. Estos recursos de seguridad funcional se muestran en la Figura 1. En primer lugar, los dispositivos deben seleccionarse cuidadosamente para abarcar los recursos de seguridad funcional necesarios. Estos recursos incluyen informes de análisis modal de fallos, efectos y diagnósticos (FMEDA) y manuales de seguridad. Los dispositivos también deben contar con el apoyo de un ecosistema de desarrollo cualificado para crear aplicaciones críticas para la seguridad.

Figura 1: Recursos de seguridad funcional certificados y ecosistema de desarrollo

Preparación para la seguridad funcional
En los automóviles actuales se utilizan diversos circuitos integrados. Los microcontroladores (MCU) son especialmente frecuentes en una gran variedad de formas. Son necesarios para todas las unidades de control electrónico (ECU) y se utilizan en todo el automóvil para añadir funciones de comodidad como la conducción autónoma y otras muchas funciones sofisticadas. Van desde MCUs de 8 bits optimizadas para el rendimiento, la eficiencia energética y el control en tiempo real, a las que se añaden interfaces táctiles basadas en hardware, hasta MCUs de 32 bits que pueden ejecutar aplicaciones multihilo y disponen de funciones gráficas, de conectividad y de seguridad. Además, hay controladores de señales digitales (DSC) que combinan un MCU con un motor DSP para ofrecer un rendimiento determinista, robusto y rápido para sensores, motores o conversión de potencia. Cada uno de estos circuitos integrados debe cumplir primero las normas de cualificación para automoción en cuanto a fabricación y rendimiento establecidas por el AEC-Automotive Electronics Council (Consejo de Electrónica para Automoción). Las normas AEC-Q100 definen un proceso de cualificación basado en pruebas de resistencia a los mecanismos de fallo en distintos grados de temperatura. En función de las aplicaciones, un MCU deberá cumplir los requisitos de grado 2, grado 1 o grado 0 de AEC Q100. Grado 0 = 150C, Grado 1 = 125C y Grado 2 = 105C.
Más allá de la cualificación AEC, los requisitos adicionales para las características específicas de seguridad funcional dependen del dispositivo y la aplicación. Por ejemplo, los MCU de 8 bits suelen incluir CAN FD para la interfaz de automoción y redes de sensores inteligentes, y se suelen utilizar como controladores de interfaz de usuario (UI) para botones mecánicos y capacitivos en el habitáculo, el volante, la consola central o como parte de un sistema de entrada sin llave. Las funciones de seguridad de hardware integradas que necesitan estos MCU suelen aplicarse a la memoria, el reinicio del sistema, la ejecución segura de código, la comunicación segura y la protección de entradas y salidas de propósito general (GPIO). Éstas se añaden mediante la integración de periféricos independientes del núcleo (CIP) dedicados y otras funciones, como el reinicio de encendido (POR), el reinicio de apagado parcial (BOR), el temporizador de vigilancia con ventana (WWDT) y la comprobación de redundancia cíclica (CRC) para mejorar la seguridad y fiabilidad operativas (véase la Figura 2).

Figura 2: MCU de 8 bits con características de hardware de seguridad funcional.

Si se asciende en la escala hasta los DSC de 16 bits preparados para la seguridad funcional, las características de seguridad de hardware necesarias suelen incluir memoria con detección y corrección de errores, autodiagnóstico integrado en memoria (MBIST), control de reloj y oscilador redundante, etc., para la detección de fallos, capacidades de autodiagnóstico y diagnóstico del sistema y mitigación de fallos. Estos dispositivos preparados para la seguridad funcional permiten diseñar aplicaciones integradas, de interconexión de sensores, de alimentación digital y de control de motores de alto rendimiento y seguridad crítica. Las aplicaciones típicas incluyen sistemas CC/CC, cargadores de a bordo (OBC), actuadores y sensores (posición, presión), unidades táctiles y otras unidades de control que cumplen hasta ASIL B o ASIL C. La figura 3 muestra un ejemplo de las características de un DSC preparado para la seguridad funcional.

Figura 3: Ejemplo de DSC de 16 bits con seguridad funcional.
Al igual que todos los MCU preparados para la seguridad funcional, los MCU de 32 bits necesitan características de hardware que incluyan memoria con código de corrección de errores (ECC) e inyección de fallos, autocomprobación integrada en memoria (MBIST), sistemas temporizadores que incluyan osciladores de reserva y detección de fallos de reloj, y GPIO con protección contra descargas electrostáticas (ESD) (véase la Figura 4). También son importantes los monitores del sistema, que incluyen POR, BOR, WDT y funcionalidad CRC por hardware, así como una unidad de protección de memoria. Los MCU de 32 bits se utilizan en una amplia gama de aplicaciones, desde sistemas del habitáculo hasta sistemas avanzados de asistencia al conductor (ADAS) para seguridad funcional.

Figura 4: Ejemplo de MCU de 32 bits preparado para la seguridad funcional.
Es posible alcanzar incluso los niveles de seguridad ASIL C/D con MCU y DSC estándar, combinando el MCU o DSC principal con una secundaria o un coprocesador de seguridad. Esto se consigue utilizando el principio de descomposición ASIL: la combinación de dos subsistemas conformes con ASIL B puede utilizarse para alcanzar un ASIL superior como ASIL C/D:
ASIL C = ASIL B (C) + ASIL A (C)
ASIL D = ASIL B (D) + ASIL B (D) = ASIL C (D) + ASIL A (D)

La descomposición se consigue segmentando los requisitos de seguridad frente a los dispositivos reales.

Herramientas de desarrollo y soporte a la certificación
Los paquetes de herramientas de diseño certificados para la seguridad funcional como parte de un ecosistema de desarrollo completo pueden facilitar el cumplimiento de los requisitos de verificación y validación especificados en la norma ISO 26262. Esto es especialmente cierto en el caso de los diseños basados en MCU y DSC. Los proveedores de herramientas trabajan con agencias independientes de evaluación y certificación para certificar los compiladores de seguridad funcional. Esto suele ir acompañado de documentación adicional, como un certificado, un manual de seguridad funcional, un plan de seguridad e informes de clasificación y cualificación de herramientas para los compiladores, el entorno de desarrollo integrado (IDE) y los depuradores y programadores. Este paquete de documentación de seguridad funcional simplifica la cualificación de las herramientas y la certificación de la aplicación final.
Lo ideal sería utilizar también una herramienta de cobertura de código en el proceso de diseño para medir lo bien que se ha comprobado el código y determinar qué partes del software se han ejecutado o no. La herramienta de cobertura del código también debe incluirse en los informes de clasificación y cualificación. Busque una herramienta que pueda probar en una sola pasada sin dividir el código en bloques y que requiera una gran cantidad de modificaciones de hardware, software caro y un esfuerzo significativo buscando información pertinente en grandes archivos de datos. La certificación de aplicaciones requiere datos de pruebas de código, por lo que las herramientas de cobertura de código de una sola pasada desempeñan un papel importante a la hora de agilizar el proceso y acelerar el tiempo de comercialización.
Para desarrollar una aplicación de automoción que cumpla la norma ISO 26262, un ingeniero necesitará varios recursos adicionales del proveedor de semiconductores, además de la hoja de datos del dispositivo. La disponibilidad de paquetes de seguridad funcional ofrece a los fabricantes de equipos originales y proveedores de automoción lo que necesitan en las distintas fases del ciclo de evaluación y diseño. Estos paquetes deben incluir manuales de seguridad certificados, informes FMEDA y, en algunos casos, software de diagnóstico como bibliotecas de autocomprobación certificadas para los ASIL pertinentes.
El informe FMEDA cuantifica los modos de fallo del dispositivo, su distribución de la tasa de fallos en el tiempo (FIT) y los métodos de detección correspondientes para ayudar a crear un plan de cobertura. Otro recurso importante es el Manual de seguridad (SM). Proporciona información detallada sobre los métodos de detección de fallos mencionados en el informe FMEDA y ofrece recomendaciones sobre cómo debe utilizarse el dispositivo para un funcionamiento más seguro. Incluye una descripción de los fallos dependientes y de las características del hardware para detectar fallos sistemáticos, que puede utilizarse para desarrollar bibliotecas de diagnóstico. Las bibliotecas de diagnóstico de seguridad funcional pueden ayudar a evaluar el estado operativo de un sistema en condiciones de fallo, detectar fallos aleatorios del sistema y alcanzar los objetivos de seguridad funcional. Seleccionar un dispositivo que ofrezca un informe FMEDA y un manual de seguridad certificados por terceros, además de bibliotecas de diagnóstico, simplifica los esfuerzos de certificación de una aplicación de seguridad crítica.
El desarrollo de una aplicación de seguridad crítica empieza por definir los objetivos de seguridad y el nivel de seguridad que se desea alcanzar. Un paquete básico de seguridad funcional proporciona recursos básicos como FMEDA, manual de seguridad y certificación para empezar con la evaluación de los niveles de seguridad funcional objetivo y el diseño de una aplicación de automoción crítica para la seguridad.
Un paquete básico de seguridad funcional para un diseño basado en MCU incluiría idealmente una FMEDA certificada ASIL B Ready, un manual de seguridad y bibliotecas de diagnóstico conformes con ASIL B/C, en combinación con una aplicación de referencia que ayude a los diseñadores a comprender cómo pueden utilizarse estos recursos para desarrollar una aplicación de seguridad crítica siguiendo el proceso ISO 26262. Un paquete de iniciación ayuda a acelerar el ciclo de diseño y a desarrollar una aplicación conforme a ASIL B o C.
Un paquete completo de seguridad funcional puede ampliar la oferta para incluir bibliotecas de diagnóstico certificadas que contengan código fuente e informes de análisis de seguridad pertinentes para diseños hasta ASIL B/C. Dado que muchos de los clientes finales solicitan que se certifique una aplicación de seguridad crítica, el paquete completo acelera el proceso de certificación.
Los automóviles son cada vez más sofisticados y su nivel de electrónica va en aumento. Cada vez es más importante que los productos actuales centrados en la seguridad funcional para aplicaciones de automoción admitan ecosistemas de desarrollo que ofrezcan recursos de seguridad funcional certificados para cumplir los requisitos de la norma ISO 26262. Los proveedores de circuitos integrados también pueden ayudar a los clientes de automoción a proteger su inversión a largo plazo en este riguroso proceso de desarrollo y certificación. Pueden garantizar que las piezas utilizadas en un sistema certificado seguirán suministrándose mientras el cliente desee encargarlas, eliminando el riesgo de un rediseño forzoso debido a que una pieza llegue inesperadamente al final de su vida útil (EOL). Esto aumenta la confianza en que la certificación no sólo se completará de forma rápida y sencilla, sino que además sólo tendrá que hacerse una vez.

AUTOR: Por Jacob Lunn Lassen, Ingeniero técnico, Seguridad funcional con Microchip Technology

Microchip Technology Incorporated