目前，汽车上的电子电气架构越来越复杂，对汽车电子的安全性要求也越来越高，为了满足汽车的安全性需求，汽车功能安全越来越受到重视。提到功能安全，大家首先想到的是功能安全的标准ISO26262。其中，ISO 26262-5(2018) Clause 8中介绍了2个度量：Single-point fault metric(单点故障度量)和Latent-fault metric(潜伏故障度量)。根据不同的ASIL等级要求，单点故障度量和潜伏故障度量需要达到相应的等级。

对于微控制器(MCU，以下简称MCU)，在电子电气系统中，作为SEooC(safety element out of context)进行设计开发。MCU为了满足以上提到的2个度量要求，需要实现相应的安全机制。而安全机制可以分配到硬件和软件模块中。MCU的Safety Frame安全库就是实现分配到软件上的安全机制。      

1.产品特点

Ø  可作为复杂驱动集成到AUTOSAR中

Ø  可集成到非AUTOSAR软件架构中，灵活适配

Ø  支持多核测试及应用

Ø  Safety Frame具有内部程序流监控

Ø  高扩展性：各模块可配置满足不同客户的应用需求

2.配置工具

运行阶段为了满足客户的不同项目需求，提高SafetyFrame的扩展性，RH850F1KM SafetyFrame实现了各个模块可配置性，并且实现了SafetyFrame的配置工具。客户可根据不同需求，在配置工具上完成SafetyFrame各个模块的配置工作，可生成配置代码文件，将生成的配置文件集成到工程中即可。

3.运行阶段

Ø  预运行阶段

此阶段是对MCU的安全机制进行测试，一般此阶段在OS启动之前进行。

Ø  运行阶段

此阶段是在任务运行时进行，在OS运行时进行，同时部分MCU的安全机制在此阶段进行测试。

4.过程文档

RH850F1KM SafetyFrame用于帮助客户实现基于RENESAS RH850F1KM平台的功能安全要求。SafetyFrame具有高扩展性，可以根据不同的客户项目要求进行配置和再开发，最终满足客户的功能安全需求。

RH850F1KM SafetyFrame用于实现RH850F1KM系列的软件安全机制 ，包括MCU内部模块的故障测试和硬件安全机制的驱动功能。

RH850F1KM SafetyFrame可应用于有功能安全等级需求的控制器。

例如：

Ø  电池管理系统(BMS)

Ø 智能驾驶控制器(ADAS)

Ø 智能网关控制器(Gateway)

Ø 智能刹车系统(iBooster)

Ø 车身稳定控制(ESC/Onebox)

Ø 电动助力转向(EPS)

Ø 车身控制器(BCM)

Ø 发动机管理系统(EMS)

Ø 底盘域线控系统应用

Ø 区域控制器

通过将Safety Frame集成到基于RH850F1KM的控制中，可达到ISO26262 ASIL-D的等级要求。

软件架构Software Architecture

实现的功能模块：

满足的RH850F1KM Safety Application Note中的Safety Mechanism：

注: 标注颜色部分安全机制由BIST模块实现.

功能安全证书

证书

点击下载产品手册