Safety first Datenintegrität und ausfallsichere Funktionen in NOR-Flash-ICs

Riesige Datenmengen in mobiler Echtzeit sind auf einen leistungsstarken SoCs angewiesen.
Riesige Datenmengen in mobiler Echtzeit sind auf einen leistungsstarken SoCs angewiesen.

Beim automatisierten Fahren fallen riesige Datenmengen an, die in Echtzeit verarbeitet werden müssen. Hierbei kommen leistungsstarke SoCs zum Einsatz, die wiederum auf nichtflüchtige Speicher angewiesen sind. Diese NOR-Flash-ICs müssen dabei der ISO 26262 entsprechen.

Der Automobilsektor befindet sich im frühen Stadium eines radikalen Wandels der persönlichen Mobilität, weil neue Fahrzeuge eine größere Bandbreite an Fahrer-assistenzfunktionen erhalten. Dieser Trend wird letztendlich dazu führen, dass teil- und vollautonome Fahrzeuge den Neuwagenmarkt erreichen. Das wiederum bedeutet, dass in der Automobilelektronik leistungsfähige Systems-on-Chip (SoCs) benötigt werden, die in Echtzeit die großen Mengen an Sensordaten verarbeiten können, die von Kameras, Radar, Positionierungssystemen und anderen Geräten erzeugt werden (Bild 1). Derartige Prozessoren werden typischerweise mit modernen Prozessen der Halbleiterfertigung hergestellt, oft mit 16-nm-Technologieknoten oder darunter.

Allerdings hat das eine unbeabsichtigte Folge: Diesen fortgeschrittenen Prozessknoten fehlt eine nichtflüchtige Speicherlösung, die in den SoC eingebettet werden kann. Systementwickler, die bisher auf die in einem SoC integrierten internen Flash-Ressourcen angewiesen waren, müssen daher lernen, externe NOR-Flash-ICs zum Speichern von Code, Systemeinstellungen und Anwendungsdaten zu spezifizieren.

Für viele Automobilkonstrukteure hingegen ist die Entwicklungsarbeit von der Einhaltung der Norm ISO 26262 für funktionale Sicherheit geprägt. Das bedeutet, dass die Sicherheit und Zuverlässigkeit von NOR-Flash-Speicher-ICs für Fahrzeuge intensiver als je zuvor auf den Prüfstand gestellt wird.

Gemäß der ISO 26262 müssen Elektroniksystemhersteller die Art und Weise analysieren, wie ein System ausfallen kann, die Wahrscheinlichkeit des Auftretens jeder Art von Fehlern abschätzen, den potenziellen Schaden im Falle eines Ausfalls bewerten und geeignete Reaktions- oder Wiederherstellungsmechanismen bereitstellen, die einen sicheren Betrieb bei einem vorhersehbaren Systemausfall gewährleisten. Aus diesem Grund integrieren NOR-Flash-IC-Hersteller, die die Automobilindustrie beliefern, nun Prozesse und Produkt-eigenschaften, die die Konformität ihrer Kunden mit ISO 26262 unterstützen. Inwiefern beeinflusst die ISO 26262 das Design von NOR-Flash-Speicherbausteinen? Und welche Aspekte des Einsatzes von NOR-Flash haben den größten Einfluss auf die ISO-26262-Konformität eines Systems?

NOR-Flash-Speicherfehlermodi

Die NOR-Flash-Technologie wird in der Regel zu Recht als äußerst zuverlässig angesehen. Sie bietet eine Kombination aus langer Datenspeicherung – Gerätehersteller geben einen Datenerhalt von 20 Jahren an – und hoher Lebensdauer. NOR-Flash-Speicher werden üblicherweise für mindestens 100.000 Program/Erase (P/E) Zyklen spezifiziert.

Die bloße Tatsache, dass sie sich durch einen zuverlässigen Betrieb und eine lange Lebensdauer auszeichnen, erfüllt jedoch nicht die Anforderungen der ISO 26262, die strenge Anforderungen an die Sicherheitsanalyse und den sicheren Betrieb von elektronischen Systemen und Komponenten stellt.

Ausgangspunkt für ein System mit einem NOR-Flash-IC ist eine umfassende Fehlermöglichkeits- und Einflussanalyse (FMEA). So zuverlässig die NOR-Flash-Technologie auch ist, weist sie dennoch Fehlermodi auf. Diese lassen sich grob in drei Kategorien einteilen:

  • Ausfälle auf Systemebene, wie das fehlerhafte Hochfahren des Flash-ICs oder die Beeinträchtigung der Speicherregister des Chips durch Stromversorgungsfehler.
  • Speicherbetriebsfehler – die häufigsten sind Lese-, Programmier- oder Löschfehler, bei denen ein oder mehrere Bitfehler einen gespeicherten Datensatz beschädigen, entweder beim Schreiben in einen Speicherblock oder beim Lesen aus dem Speicher. Aber auch Fehler beim Datenerhalt spielen eine Rolle, bei dem ein Bit nach einer gewissen Zeit wegen des Ladungsverlustes in einer Speicherzelle „verloren“ geht. Ladungsverluste sind eine inhärente Eigenschaft der Flash-Speichertechnologie. Darüber hinaus ist das Risiko¬ von latenten Zuverlässigkeitsausfällen umso größer, je mehr P/E-Zyklen ein Gerät durchläuft. P/E-Zyklen verursachen Verschleiß in den Speicherzellen und erhöhen die Wahrscheinlichkeit von Lese- oder Schreibfehlern.
  • Schnittstellenfehler, bei denen Daten oder Befehle beschädigt werden, während sie über eine Schnittstelle zwischen einem Flash-Speicher-IC und einer externen Komponente übertragen werden.

Diese Fehlermodi sind charakteristisch für jedes Flash-Speicher-IC. Bei sorgfältig entwickelten und hergestellten NOR-Flash-ICs ist das Risiko, dass einer dieser Fehler auftritt, sehr gering. Tatsächlich betten Endgerätehersteller NOR-Flash gerne ein, ohne Maßnahmen zur funktionalen Sicherheit zu implementieren, weil die Erfahrung zeigt, dass Flash-ICs fast nie die Ursache für einen vorzeitigen Systemausfall sind.

Beim Design im Automobilbereich ist jedoch eine größere Sorgfalt erforderlich, sowohl wegen der hohen Ausfallkosten als auch wegen der langen erwarteten Lebensdauer eines Fahrzeugs – typischerweise mehr als 20 Jahre. Der Design-Prozess eines Fahrzeugsystems, das der ISO 26262 entsprechen soll, muss

  • das Risiko eines Systemausfalls quantifizieren. Die ISO 26262 wendet Risikokennzahlen wie die Failure-in-Time-Rate (FIT) an. Für jede der vier Automotive-Safety-Integrity-Level-Klassen (ASIL) von A bis D gibt es eine maximale FIT-Rate auf Systemebene, die eine niedrigere FIT-Rate auf Komponentenebene erfordert.
  • robuste Schutz- und Gegenmaßnahmen implementieren, um die Systemsicherheit im Fehlerfall zu gewährleisten.
  • die Rückverfolgbarkeit des internen Entwicklungsprozesses sicherstellen.

Bild 2 zeigt eine typische Sicherheitsarchitektur für ein System, das der ASIL-D-Spezifikation für die sicherheitskritischsten Systeme entspricht. In dieser Architektur müssen NOR-Flash-ICs für Fahrzeuge dem Host-System detaillierte Diagnoseinformationen, Mechanismen zur Reduzierung des Fehlerrisikos und robuste Wiederherstellungsmaßnahmen im Fehlerfall bereitstellen.

Erfreulicherweise für Automobilhersteller hat der Druck zur Einhaltung der ISO 26262 zu einer Innovationswelle auf dem Flash-Speichermarkt geführt, bei der Halbleiterhersteller konkurrieren, um die attraktivsten Konzepte für sicherheitskritische Fahrzeugsysteme anzubieten. Diese neuen NOR-Flash-IC-Angebote müssen auch die Anforderungen der Fahrzeugbetriebsumgebung berücksichtigen, wie einen weiten Betriebstemperaturbereich von –40 bis 125 °C, hohe EMV-Werte und das Risiko von plötzlichen, unerwarteten Stromausfällen durch Batterieversagen.

Cypress Semiconductor hat auf diese Nachfrage reagiert und neue Technologien und Merkmale in seine NOR-Flash-Produktfamilie Semper eingeführt, die für Automotive-Anwendungen ausgelegt ist, bei denen es um funktionale Sicherheit geht. Die Bausteine bieten nun Diagnose-, Schutz- und Wiederherstellungsfunktionen in jedem der oben genannten Fehler¬modi: Systemausfall, Speicherbetriebsfehler und Schnittstellenfehler. Die neuartige Architektur der Semper-Familie be¬inhaltet einen CPU-Kern (Arm Cortex-M0) für die Verwaltung des komplexen Betriebs des Speicherbausteins und zur Übertragung von Status und Flags an den Host-SoC (Bild 3).