An exploration of options to increase functional safety in the AVR core

Abstract

Målet med denne oppgaven er å velge kostnadseffektive metoder for å endre en Microchip-mikrokontroller slik at den følger standardene for {functional safety} som har blitt satt av bilindustrien.

Mikrokontrollere blir brukt i stadig mer sikkerhetskritiske oppgaver i kjøretøy. Derfor har minsking av konsekvensene av at disse komponentene bryter sammen blitt et hovedfokus i deres design. Man kan potensielt redde flere liv ved å detektere og ta hånd om interne feil.

Denne oppgavens hovedmål er å sørge for at AVR-prosessoren, en komponent som brukes i mange av Microchips mikrokontrollere, oppnår sikkerhetsnivået ASIL-B, som definert i ISO-26262, den internasjonale standarden for {functional safety} i kjøretøy.

Velkjente metoder for å oppnå {functional safety} i elektroniske komponenter ble sammenliknet, og én av disse ble valgt basert på an analyse av kostnad og nytte assosiert med hver av metodene. Den valgte metoden, duplisering av CPU-en, ble implementert og testet for å estimere dens innvirkning på ytelse, produksjons- og operasjonskostnader. I tillegg ble metodens oppnådde nivå av {functional safety} verifisert.

Duplisering av CPU-en førte til en deteksjon av 47.3% av alle enbits {stuck-at-faults} som ble injisert i CPU-en. Selv om dette tallet virker lavt, viser denne oppgaven at det ikke er en indikasjon på dårlig {functional safety}. Det ble argumentert at dette tallet er en funksjon av programmet som kjører på de dupliserte CPU-ene, siden programmet dikterer hvilke feil som sendes ut av CPU-en og kan bli detektert.

Denne oppgaven handler om feildeteksjon på en CPU, som er én av mange komponenter i en mikrokontroller. De resterene komponentene må bli tatt hånd om før hele systemet kan følge standarden for {functional safety}. Oppgaven har ikke tatt opp spørsmålet om hva som skal gjøres når en feil har blitt detektert. Systemet må skifte til en trygg tilstand. Denne tilstanden må defineres i samarbeid med kunden.

This thesis aims to select cost effective measures to modify a Microchip micro-controller, in order to make it comply with functional safety requirements set by the automobile industry.

As micro-controllers are used for increasingly safety critical tasks in road vehicles, mitigating the consequences of these components breaking down becomes a major focus in their design. Detecting and addressing internal faults has the potential to save multiple lives.

The main objective of this thesis is getting the AVR processor, a component on many Microchip micro-controllers, to comply with the ASIL-B safety integrity level, as defined by the ISO 26262 international standard for functional safety in road vehicles.

Well known approaches for achieving functional safety in electronic components were compared, and one was selected based on an analysis of the costs and benefits associated with each. The selected approach, duplicating the CPU, was implemented and tested to estimate its impact on performance, production and operating cost as well as verify the level of functional safety provided by the approach.

Duplicating the CPU lead to the detection of 47.3% of all single bit stuck-at-faults injected into the CPU. While this number seems low, the argument of this thesis is that it does not actually indicate poor functional safety. It was determined that this figure is a function of the program running on the duplicated CPUs, as the program determines which faults propagate out of the CPU to be detected.

While this thesis covered fault detection in the CPU, this is only one component of many contained in the micro-controller. These remaining components must be addressed before the system as a whole can comply with the functional safety standard. Further, this thesis does not address the question of what to do if a fault is detected. The system must transition to a safe state, the nature of which should be defined in collaboration with customers.