新聞中心

EEPW首頁 > 汽車電子 > 設(shè)計(jì)應(yīng)用 > 汽車電子為什么選擇ISO 26262?

汽車電子為什么選擇ISO 26262?

作者: 時(shí)間:2018-08-29 來源:網(wǎng)絡(luò) 收藏

  汽車半導(dǎo)體設(shè)備和電子系統(tǒng)的開發(fā)人員要小心:可能有些供應(yīng)商聲稱他們的產(chǎn)品符合ISO 26262安全標(biāo)準(zhǔn)要求,如果這些說法未能闡明用于制造汽車產(chǎn)品的人員和流程驗(yàn)證,則這些說法可能是不可靠的。如果系統(tǒng)設(shè)計(jì)人員未能仔細(xì)評(píng)估供應(yīng)商的資質(zhì),他們就很難在汽車供應(yīng)鏈中讓客戶接受其產(chǎn)品。

本文引用地址:http://m.butianyuan.cn/article/201808/391342.htm

  汽車供應(yīng)鏈的參與者負(fù)責(zé)對(duì)每個(gè)供應(yīng)商的產(chǎn)品進(jìn)行自己的功能安全評(píng)估,同時(shí)考慮供應(yīng)商記錄的使用假設(shè)(AoU),描述供應(yīng)商的產(chǎn)品如何用于汽車系統(tǒng)。供應(yīng)商根據(jù)特定配置和用例來定制自己的分析,這些配置和用例有望與其集成商客戶的配置相匹配。針對(duì)汽車系統(tǒng)中使用的元件的第三方ISO 26262認(rèn)證可以幫助系統(tǒng)集成商執(zhí)行此分析,但它不會(huì)取代集成商在其自己的使用環(huán)境中分析其供應(yīng)商產(chǎn)品的義務(wù)。

  本文探討了ISO 26262認(rèn)證的基本原理,該認(rèn)證涉及設(shè)計(jì)功能安全的汽車電子系統(tǒng)所涉及的人員,流程和產(chǎn)品。最終目標(biāo)是讓開發(fā)團(tuán)隊(duì),管理人員和投資者更加了解遵守汽車安全標(biāo)準(zhǔn)細(xì)節(jié)所涉及的責(zé)任。反過來,這將提供有關(guān)合規(guī)性的工作和成本的更多信息,還將使供應(yīng)鏈成員之間的溝通更加有效。

  不斷變化的汽車行業(yè):新電子設(shè)備和新進(jìn)入者

  所有乘用車電子系統(tǒng)在集成到汽車制造商的產(chǎn)品之前必須滿足嚴(yán)格的安全要求。該行業(yè)的供應(yīng)商已經(jīng)建立了一個(gè)復(fù)雜的供應(yīng)鏈,以提供這些系統(tǒng),以及產(chǎn)品滿足這些安全要求的能力的證明。這種信息共享系統(tǒng)需要IP供應(yīng)商、半導(dǎo)體SoC開發(fā)人員、零組件供應(yīng)商、軟件提供商、電子系統(tǒng)設(shè)計(jì)師和許多其他相關(guān)人員之間的詳細(xì)交流,以確保所有關(guān)鍵組件符合ISO 26262指南、程序、培訓(xùn)水平、審核和評(píng)估。



  圖1:以半導(dǎo)體為中心的供應(yīng)鏈,用于奧迪zFAS中央駕駛輔助控制器的關(guān)鍵部件(來源:奧迪; IHS Markit; Arteris IP)

  然而,隨著越來越多的機(jī)械部件轉(zhuǎn)變?yōu)殡娮酉到y(tǒng),汽車工業(yè)正在迅速發(fā)生變化。其結(jié)果是,過去由人類駕駛員執(zhí)行的功能正在由先進(jìn)的駕駛員輔助系統(tǒng)()補(bǔ)充和替代,其正在演變?yōu)?a class="contentlabel" href="http://m.butianyuan.cn/news/listbylabel/label/自動(dòng)駕駛">自動(dòng)駕駛系統(tǒng)。這兩個(gè)趨勢(shì)正在推動(dòng)汽車行業(yè)的經(jīng)濟(jì)增長(zhǎng)和技術(shù)創(chuàng)新浪潮。市場(chǎng)快速增長(zhǎng)的希望正在刺激新進(jìn)入者,參與到汽車電子系統(tǒng)的浪潮之中。

  最近進(jìn)入者可能缺乏根據(jù)ISO 26262功能安全標(biāo)準(zhǔn)開發(fā)和交付產(chǎn)品的經(jīng)驗(yàn)。雖然這些供應(yīng)商可能聲稱其產(chǎn)品已準(zhǔn)備好符合汽車安全標(biāo)準(zhǔn),但供應(yīng)鏈中的公司仍需要對(duì)產(chǎn)品開發(fā)過程中涉及的人員和程序進(jìn)行廣泛、仔細(xì)的審查和評(píng)估,然后才能將其集成到更大的系統(tǒng)中。

  汽車電子供應(yīng)鏈參與者主動(dòng)解決此問題的一種方法是從認(rèn)可的評(píng)估機(jī)構(gòu)獲得ISO 26262認(rèn)證。然而,大多數(shù)針對(duì)汽車用途的電子產(chǎn)品并非完整的獨(dú)立系統(tǒng),可以通過ISO 26262標(biāo)準(zhǔn)認(rèn)證,并完全了解產(chǎn)品如何在車輛中集成和使用。因此,對(duì)于認(rèn)真服務(wù)于該市場(chǎng)的任何開發(fā)團(tuán)隊(duì)而言,重要的是探索其供應(yīng)商關(guān)于功能安全的聲明,無論是否聲明了認(rèn)證。雖然第三方產(chǎn)品認(rèn)證可以成為重要參考,但對(duì)任何組件的評(píng)估必須更深入,并且必須通過公司使用和集成產(chǎn)品來完成考察與認(rèn)證。如果未能對(duì)供應(yīng)商的人員,流程和產(chǎn)品進(jìn)行評(píng)估,則可能導(dǎo)致客戶拒絕。

  為什么選擇ISO 26262?

  國(guó)際標(biāo)準(zhǔn)組織(ISO)聲明如下:

  ISO 26262旨在應(yīng)用于安全相關(guān)系統(tǒng),其包括一個(gè)或多個(gè)電氣或電子(E / E)系統(tǒng)并且安裝在批量生產(chǎn)的乘用車中。

  ISO 26262解決了E / E安全相關(guān)系統(tǒng)故障行為可能造成的危害,包括這些系統(tǒng)的相互作用。

  第一原則:信息共享是關(guān)鍵

  汽車系統(tǒng)的電氣化在快速進(jìn)行。這一趨勢(shì)推動(dòng)著創(chuàng)新,同時(shí)也吸引了更多投資、更多研發(fā)工作,以及汽車市場(chǎng)的新進(jìn)入者。

  許多新進(jìn)入者可能不知道的是,遵守汽車安全標(biāo)準(zhǔn)要求通過供應(yīng)鏈的每個(gè)部分共享信息。各級(jí)經(jīng)驗(yàn)豐富的開發(fā)團(tuán)隊(duì)都受到這些標(biāo)準(zhǔn)的挑戰(zhàn),因?yàn)樾枨笤诓粩嘧兓麄€(gè)行業(yè)中只有少數(shù)專家可以指導(dǎo)項(xiàng)目完成這一過程。此外,半導(dǎo)體和軟件供應(yīng)鏈的參與者通常對(duì)其IP的開發(fā)方式及其工作原理保密。


  圖2:系統(tǒng)價(jià)值鏈以半導(dǎo)體為中心

  供應(yīng)商必須提供的信息包括具有安全目標(biāo)的系統(tǒng)的每個(gè)元件的分析,教育和文檔。供應(yīng)鏈的每個(gè)成員都必須提供這些信息。半導(dǎo)體IP供應(yīng)商向SoC的開發(fā)人員提供此信息,芯片設(shè)計(jì)團(tuán)隊(duì)使用這些信息來分析他們的定制系統(tǒng),并將結(jié)果傳遞給Tier-1電子系統(tǒng)供應(yīng)商。然后,這些一級(jí)供應(yīng)商執(zhí)行自己的分析并將結(jié)果發(fā)送給車輛制造商及其客戶。

  汽車供應(yīng)鏈中的這些關(guān)系正變得越來越復(fù)雜,因?yàn)橹圃旎蛟O(shè)計(jì)應(yīng)用芯片的傳統(tǒng)半導(dǎo)體供應(yīng)商現(xiàn)在有時(shí)與Tier-1電子系統(tǒng)設(shè)計(jì)人員和OEM競(jìng)爭(zhēng),他們可能正在自己制造或設(shè)計(jì)芯片。此外,Uber,Waymo和Apple等新進(jìn)入者正在設(shè)計(jì)自己的整套系統(tǒng),盡管他們?cè)谄囆袠I(yè)缺乏經(jīng)驗(yàn)。ISO 26262要求整個(gè)價(jià)值鏈中的高水平協(xié)作和信息共享,新進(jìn)入者可能不熟悉這些。

  復(fù)雜性要求更好的分析

  整個(gè)汽車行業(yè)日益復(fù)雜,需要加強(qiáng)這些系統(tǒng)的安全性。現(xiàn)代汽車使用“線控”系統(tǒng),例如線控油門,駕駛員推動(dòng)加速器和傳感器。踏板將電信號(hào)發(fā)送到電子控制單元(ECU),該電子系統(tǒng)取代了過去使用連接在加速踏板和機(jī)械節(jié)流控制板上的金屬電纜。ECU比機(jī)械方法更智能,因?yàn)樗梢宰龈喾治龉ぷ?,如發(fā)動(dòng)機(jī)轉(zhuǎn)速,車速和踏板位置,然后將命令傳遞給油門。

  我們也可以看到,測(cè)試和驗(yàn)證線控油門系統(tǒng)比測(cè)試舊機(jī)械版本更困難。隨著我們用電子系統(tǒng),電動(dòng)傳動(dòng)系統(tǒng)以及為汽車增加和自動(dòng)駕駛功能取代機(jī)械系統(tǒng),復(fù)雜性呈現(xiàn)爆炸式增長(zhǎng)。ISO 26262的目標(biāo)是建立一個(gè)統(tǒng)一的功能安全標(biāo)準(zhǔn),以滿足所有汽車電子系統(tǒng)的需求。

  駕駛員輔助,電力推進(jìn),車載動(dòng)態(tài)控制以及主動(dòng)和被動(dòng)安全系統(tǒng)等新功能越來越多地涉及系統(tǒng)安全工程領(lǐng)域。更大的技術(shù)復(fù)雜性、軟件內(nèi)容和機(jī)電一體化實(shí)施帶來了系統(tǒng)硬件故障的更大風(fēng)險(xiǎn),系統(tǒng)硬件故障是由系統(tǒng)開發(fā)期間的人為錯(cuò)誤產(chǎn)生的。ISO 26262提供了如何通過規(guī)定要求和流程來最小化風(fēng)險(xiǎn)的指導(dǎo)。

  對(duì)于半導(dǎo)體SoC器件和IP的設(shè)計(jì)人員來說,與完整系統(tǒng)的指南相比,ISO 26262合規(guī)性的要求更加抽象。因此,IP開發(fā)人員必須對(duì)許多假設(shè)進(jìn)行額外的分析,以確定集成到功能安全的汽車系統(tǒng)中的IP準(zhǔn)備情況。

  功能安全

  ISO 26262的目標(biāo)是為所有汽車電子系統(tǒng)提供統(tǒng)一的安全標(biāo)準(zhǔn)。實(shí)現(xiàn)系統(tǒng)安全要求在機(jī)械、液壓、氣動(dòng)、電氣和電子系統(tǒng)等各種技術(shù)中實(shí)施若干安全措施,并且這些安全措施應(yīng)用于開發(fā)過程的各個(gè)層面。

  ISO 26262定義了各種汽車安全完整性等級(jí)(ASIL)——QM,A,B,C和D-,以幫助將所需的流程、開發(fā)工作和產(chǎn)品內(nèi)功能安全機(jī)制映射到可接受的風(fēng)險(xiǎn)等級(jí)。這五個(gè)級(jí)別的嚴(yán)格范圍涵蓋從基本質(zhì)量管理到故障可導(dǎo)致致命事故的系統(tǒng)的廣泛范圍。在后一種情況下,ASIL D要求汽車系統(tǒng)中的單點(diǎn)故障量(SPFM)小于1%。下面的表1提供了有關(guān)ASIL水平與故障指標(biāo)的更多信息。

  表1要實(shí)現(xiàn)ASIL D,系統(tǒng)中99%以上的單點(diǎn)故障必須由安全機(jī)制覆蓋。ASIL B和C需要較少的覆蓋范圍。(資料來源:ISO 26262-5:2011,表4和表5內(nèi)容來自ISO 26262-1:2011)


  汽車SoC通過特定的硬件功能提供診斷覆蓋,以確保符合ISO 26262標(biāo)準(zhǔn)。這些片上功能安全機(jī)制包括糾錯(cuò)碼(ECC)、數(shù)據(jù)鏈路和內(nèi)部存儲(chǔ)器的奇偶校驗(yàn)保護(hù)等技術(shù),通過智能互連結(jié)構(gòu)智能復(fù)制處理元件,內(nèi)置自測(cè)(BIST)和錯(cuò)誤報(bào)告機(jī)制。

  盡管ISO 26262關(guān)注的是E / E系統(tǒng)的功能安全性,但它實(shí)際上提供了一個(gè)框架,可以解決安全相關(guān)系統(tǒng)的整個(gè)生命周期。ISO 26262提供以下指導(dǎo):

  生命周期管理,產(chǎn)品開發(fā),生產(chǎn),運(yùn)營(yíng),服務(wù),退役以及在這些生命周期階段定制必要的活動(dòng)

  根據(jù)危險(xiǎn)的嚴(yán)重程度,暴露概率和可控性來應(yīng)用安全要求,以避免不合理的風(fēng)險(xiǎn)

  驗(yàn)證和確認(rèn)措施,以確保足夠和可接受的安全水平

  與供應(yīng)商關(guān)系的要求

  所有這些看起來很復(fù)雜,但是通過關(guān)注三個(gè)主要方面,即“3P”,可以簡(jiǎn)化對(duì)ISO 26262的要求的理解:

  人(People)

  流程(Process)

  產(chǎn)品(Product)

  供應(yīng)商必須向客戶提供文檔,詳細(xì)說明其為準(zhǔn)備符合標(biāo)準(zhǔn)的人員,流程和產(chǎn)品所采取的措施。有了“3P”在半導(dǎo)體IP市場(chǎng)中所起作用這一視角,SoC架構(gòu)師和設(shè)計(jì)團(tuán)隊(duì)可以在選擇合適的IP時(shí)做出明智的選擇。了解IP供應(yīng)商的組織和運(yùn)營(yíng)特征可以實(shí)現(xiàn)更好的芯片、更安全的汽車,以及更高效的開發(fā)能力。


  圖3:人員、流程和產(chǎn)品是ISO 26262功能安全活動(dòng)的基礎(chǔ)

  功能安全涉及開發(fā)過程的所有部分,包括規(guī)范,設(shè)計(jì),實(shí)現(xiàn),集成,認(rèn)證和驗(yàn)證,還包括生產(chǎn),管理和服務(wù)流程。由于安全標(biāo)準(zhǔn)的特定要求,構(gòu)建為汽車SoC設(shè)計(jì)IP的組織存在很大困難??蛻糍Y格認(rèn)證和第三方ISO 26262認(rèn)證所需的額外培訓(xùn)、評(píng)估、分析和文檔可能會(huì)使汽車電子的IP開發(fā)增加大量費(fèi)用。

  必須在供應(yīng)鏈上傳達(dá)這些功能安全活動(dòng)的證據(jù)。因此,為汽車半導(dǎo)體市場(chǎng)提供產(chǎn)品的每個(gè)組織都必須記錄符合標(biāo)準(zhǔn)的開發(fā)活動(dòng)。該文檔內(nèi)容必須涵蓋相關(guān)人員、用于開發(fā)解決方案的流程,以及符合ISO 26262標(biāo)準(zhǔn)所需產(chǎn)品的分析。

  人

  朝著半導(dǎo)體IP的ISO 26262合規(guī)邁出的第一步是培訓(xùn)參與IP開發(fā)的人員。許多公司采取培訓(xùn)一小群人的“捷徑”,通常是ISO 26262要求的功能安全管理員(FSM)和少數(shù)“安全工程師”。

  然而,由于ISO 26262第2部分“功能安全管理”的要求,特別是條款5.4.2“安全文化”和5.4.3“權(quán)限管理”,要確??沙掷m(xù)的安全文化,團(tuán)隊(duì)成員具有與其職責(zé)相對(duì)應(yīng)的足夠技能、能力和資格,就要求在整個(gè)組織中廣泛了解功能安全知識(shí)。這需要大量的員工培訓(xùn)。

  ISO 26262個(gè)人培訓(xùn)和認(rèn)證

  雖然培訓(xùn)的主要對(duì)象是工程師,但還需要包括組織內(nèi)參與產(chǎn)品開發(fā)和支持的其他人員,包括高管、營(yíng)銷人員、工程人員、文檔團(tuán)隊(duì)、質(zhì)量保證經(jīng)理和應(yīng)用工程師等。該組織指定和培訓(xùn)的職能安全經(jīng)理(FSM)的任務(wù)是在所有參與產(chǎn)品開發(fā)的人員中推廣安全文化,而FSM通常負(fù)責(zé)為所有這些員工提供內(nèi)部或第三方培訓(xùn)。客戶通常需要在ISO 26262中稱為“集成商”的半導(dǎo)體IP以及第三方ISO 26262評(píng)估員提供員工功能安全培訓(xùn)證明。

  作為實(shí)際實(shí)施的一個(gè)例子,超過50人的Arteris IP員工已通過ISO 26262咨詢公司exida的ISO 26262功能安全從業(yè)者(FSP)培訓(xùn)和認(rèn)證,該公司也是ANSI認(rèn)證的ISO 26262標(biāo)準(zhǔn)認(rèn)證機(jī)構(gòu)。Arteris IP擁有經(jīng)驗(yàn)豐富的FSM員工,不僅通過其廣泛的ISO 26262培訓(xùn)計(jì)劃,還通過建立功能安全流程來確保安全文化,確保整個(gè)半導(dǎo)體IP開發(fā)過程的質(zhì)量。

 流程

  良好的流程對(duì)于避免系統(tǒng)故障至關(guān)重要。系統(tǒng)故障以可預(yù)測(cè)的方式與特定原因相關(guān)聯(lián),只能通過改變?cè)O(shè)計(jì)、制造、操作程序、文檔或系統(tǒng)的其他相關(guān)因素來消除。簡(jiǎn)而言之,系統(tǒng)故障通常是被“設(shè)計(jì)到”系統(tǒng)中的,而質(zhì)量流程有助于避免將故障設(shè)計(jì)到系統(tǒng)中。

  因?yàn)槲覀兪枪こ處煟詫?duì)ISO 26262流程的大部分注意力都集中在使用技術(shù)和軟件工具來解決ISO 26262 Part 8稱為“支持流程”的細(xì)節(jié)上。然而,這是錯(cuò)誤的方法。

  良好的安全流程或任何產(chǎn)品開發(fā)流程的關(guān)鍵不是專家使用和集成需求管理,變更管理,驗(yàn)證和開發(fā)過程的其他部分的工具,而是由所有員工持續(xù)使用質(zhì)量管理系統(tǒng)(QMS)。

  質(zhì)量管理體系(QMS)

  符合ISO 26262第8部分質(zhì)量管理體系要求的任何流程都符合ISO 26262標(biāo)準(zhǔn)。但是,現(xiàn)有的軟件、硬件和汽車系統(tǒng)開發(fā)QMS是最先進(jìn)的,可以作為供應(yīng)商流程的基礎(chǔ)。

  下面的表2提供了一些例子:


  表2:符合ISO 26262的質(zhì)量管理體系(QMS)的示例。資料來源:ISO 26262-8:2011

  第三方評(píng)估公司為每個(gè)質(zhì)量管理體系提供認(rèn)證。然而,作為汽車供應(yīng)鏈中的供應(yīng)商,無論您是否已獲得第三方流程認(rèn)證,您的客戶都將對(duì)您的流程進(jìn)行獨(dú)立審核。雖然伴隨第三方流程認(rèn)證的報(bào)告可以幫助您的客戶評(píng)估您的流程,但您的客戶仍有義務(wù)確認(rèn)您是否符合ISO 26262。

  可追溯性

  可追溯性有助于實(shí)現(xiàn)ISO 26262合規(guī)性。

  在芯片設(shè)計(jì)領(lǐng)域,大多數(shù)設(shè)計(jì)團(tuán)隊(duì)已經(jīng)擁有最先進(jìn)的系統(tǒng),可以通過實(shí)施跟蹤規(guī)范項(xiàng)目,然后再進(jìn)行驗(yàn)證測(cè)試。但是,ISO 26262要求從安全相關(guān)要求及其實(shí)施的雙向可追溯性,從概念階段——ISO 26262第3部分到生產(chǎn)和操作——ISO 26262第7部分。這意味著質(zhì)量保證(QA)測(cè)試結(jié)果可以通過其驗(yàn)證測(cè)試、實(shí)施、規(guī)范和要求來追溯。此外,配置、更改和文檔需要保持最新,并且是可跟蹤性信息鏈的一部分。

  對(duì)于尚未開發(fā)出服務(wù)于汽車產(chǎn)品的半導(dǎo)體設(shè)計(jì)團(tuán)隊(duì)來說,這種可追溯性通常是陌生的。這些團(tuán)隊(duì)很難改變過去運(yùn)作良好的規(guī)范實(shí)施和驗(yàn)證系統(tǒng),以采用支持更廣泛可追溯性的新系統(tǒng)。一種解決方案是實(shí)現(xiàn)可追溯性系統(tǒng),該系統(tǒng)通過工程集成并“包裝”現(xiàn)有的開發(fā)系統(tǒng),以提供所需的可追溯性水平。

  例如,Arteris IP一直使用Atlassian Jira問題跟蹤工具作為其半導(dǎo)體IP和相關(guān)IP可配置軟件的產(chǎn)品開發(fā)規(guī)范實(shí)施驗(yàn)證流程的核心。過去,基于Microsoft Word的市場(chǎng)需求文檔(MRD),產(chǎn)品需求文檔(PRD)和規(guī)范中的項(xiàng)目被用作Jira系統(tǒng)的輸入并與工程開發(fā)任務(wù)相關(guān)聯(lián),跟蹤其狀態(tài),并自動(dòng)驗(yàn)證測(cè)試生成并記錄。


  圖4:自動(dòng)可追溯性工具提供了前向和后向可追溯性的方法,有助于變更管理

  ISO 26262流程的底線是大多數(shù)針對(duì)汽車市場(chǎng)的公司必須執(zhí)行以下操作:

  選擇符合ISO 26262標(biāo)準(zhǔn)的質(zhì)量管理體系,使用它,并能夠向第三方評(píng)估員和客戶評(píng)估員解釋您對(duì)它的使用。

  實(shí)現(xiàn)更廣泛的自動(dòng)化可追溯性,涵蓋質(zhì)量保證、交付和支持的所有要求。

  產(chǎn)品

  如果供應(yīng)商聲稱其產(chǎn)品“符合ISO 26262的安全要求”而沒有首先培訓(xùn)其員工并記錄其流程,那么它就不符合要求。一旦人員接受培訓(xùn)并且質(zhì)量流程到位并正在使用,下一步就是根據(jù)ISO 26262分析產(chǎn)品,并向半導(dǎo)體集成商提供分析文檔。對(duì)于半導(dǎo)體和半導(dǎo)體IP供應(yīng)商而言,執(zhí)行此分析需要記錄一組商定的假設(shè),因?yàn)樾酒騃P供應(yīng)商不會(huì)完全了解它將成為系統(tǒng)的一部分。

  汽車芯片和IP:SEooC,AoU和ASIL定制

  簡(jiǎn)而言之,ISO 26262分析的前提是“系統(tǒng)”是正在開發(fā)和分析的實(shí)體,而ISO 26262的第1部分將系統(tǒng)定義為“一組至少與傳感器,控制器和執(zhí)行器彼此相關(guān)的元件”。顯然,芯片和用于制造它的IP不是符合ISO 26262標(biāo)準(zhǔn)的系統(tǒng)。那么,它們是什么呢?

  芯片及其IP通常被看作(通常在設(shè)計(jì)時(shí)未知)系統(tǒng)的“元素”。雖然他們最終將成為整個(gè)系統(tǒng)的一部分,但其相關(guān)知識(shí)很難被100%理解,所以,芯片和IP被歸類為ISO 26262中的特殊類型的元素,稱為“SEooC”(Safety Elements out of Context)。SEooC要求IP提供商或集成商記錄使用假設(shè)(AoU),其反映了IP的集成商/用戶將使用的預(yù)期安全概念、安全要求和安全機(jī)制。

  由于有很多關(guān)于SEooC、AoU以及芯片和IP定制的假設(shè),ISO 26262要求IP供應(yīng)商和芯片集成商就開發(fā)接口協(xié)議(DIA)達(dá)成一致,該協(xié)議定義了雙方使用的假設(shè)和責(zé)任。DIA文件將解釋來自IP供應(yīng)商的ASIL定制以及這種定制背后的原因,以及對(duì)所有使用假設(shè)的解釋。

  故障模式和安全機(jī)制

  產(chǎn)品內(nèi)功能安全機(jī)制用于檢測(cè)、緩解和糾正系統(tǒng)運(yùn)行時(shí)由隨機(jī)錯(cuò)誤引起的故障。單事件效應(yīng)(SEE)——由宇宙射線引起的電磁干擾和當(dāng)它們與半導(dǎo)體相互作用時(shí)發(fā)射的電離能量——是產(chǎn)生隨機(jī)錯(cuò)誤的原因。這些隨機(jī)錯(cuò)誤可能具有瞬態(tài)或永久性影響。隨機(jī)瞬態(tài)效應(yīng)也稱為“軟錯(cuò)誤”,包括單個(gè)位翻轉(zhuǎn)(SBU),例如存儲(chǔ)器單元或邏輯觸發(fā)器中的“位翻轉(zhuǎn)”,以及單個(gè)事件瞬變(SET),它們可能是電壓故障,可能不會(huì)導(dǎo)致錯(cuò)誤。還存在這些可以同時(shí)發(fā)生的情況,導(dǎo)致多個(gè)位擾亂(MBU)。由SEE引起的“硬錯(cuò)誤”導(dǎo)致永久性損壞,包括單事件閂鎖(SEL)、單事件燒毀(SEB)等。


  圖5:?jiǎn)问录?yīng)(SEE)錯(cuò)誤層次圖

  由于導(dǎo)致這些錯(cuò)誤的原因是自然物理現(xiàn)象,并且是隨機(jī)發(fā)生,因此檢測(cè)并減輕其影響以實(shí)現(xiàn)和維持系統(tǒng)安全非常重要。為此,工程團(tuán)隊(duì)在其產(chǎn)品中開發(fā)特定安全技術(shù)特性。以下是這些功能的示例,也稱為功能安全機(jī)制:

  添加和檢查添加到片上通信流量的奇偶校驗(yàn)或ECC位

  復(fù)制邏輯并比較結(jié)果

  三模冗余(TMR)或多數(shù)表決

  通訊超時(shí)

  驗(yàn)證操作正確性的硬件檢查程序

  安全控制器從整個(gè)系統(tǒng)收集錯(cuò)誤消息,并在系統(tǒng)中進(jìn)行更高級(jí)的通信

  內(nèi)置自檢(BIST),適用于所有功能安全機(jī)制


  圖6:故障模式影響和診斷分析(FMEDA)包括使用故障注入分析安全機(jī)制,如BIST

  我們已經(jīng)描述了分析IP和芯片所需的假設(shè),以及它們的故障模式和安全機(jī)制,下面將討論實(shí)際的分析過程。

  首先進(jìn)行定性分析(FMEA),然后進(jìn)行定量分析(FMEDA)

  一旦設(shè)計(jì)團(tuán)隊(duì)了解其故障模式和功能安全機(jī)制,就可以執(zhí)行并記錄定性安全分析,稱為故障模式影響和分析(FMEA)。FMEA是一種漸進(jìn)的方法,用于識(shí)別設(shè)計(jì)中的所有可能的故障方式(故障模式)以及這些故障產(chǎn)生的后果。設(shè)計(jì)團(tuán)隊(duì)往往沒有足夠重視對(duì)其項(xiàng)目的定性分析,而是傾向于直接進(jìn)入定量分析。這是錯(cuò)誤的!正確執(zhí)行FMEA是正確定義如何減輕故障的關(guān)鍵,也是用于驗(yàn)證FMEA定量分析的基礎(chǔ)。

  完成FMEA后,設(shè)計(jì)團(tuán)隊(duì)必須使用稱為故障模式影響診斷分析(FMEDA)的定量分析進(jìn)一步分析故障模式和安全機(jī)制。盡管可以估計(jì)大多數(shù)功能安全機(jī)制的診斷覆蓋范圍(即“保護(hù)”)的假設(shè),但大多數(shù)半導(dǎo)體集成商都堅(jiān)持使用故障注入技術(shù)來驗(yàn)證項(xiàng)目中實(shí)施的功能安全措施的診斷覆蓋范圍。需要詳細(xì)了解IP實(shí)施,以確定必須注入故障的位置,以觸發(fā)功能安全機(jī)制,以及最有效地觀察機(jī)制輸出的位置。

  盡管故障注入分析對(duì)于驗(yàn)證FMEA很重要,但僅靠FMEDA是不夠的。需要將其他技術(shù)一起用于驗(yàn)證使用故障注入無法輕易證明的診斷覆蓋率。一個(gè)示例是驗(yàn)證使用假設(shè),該假設(shè)定義了客戶必須與元素一起集成的安全機(jī)制。這對(duì)于駐留在IP塊之外的安全機(jī)制(例如時(shí)鐘和電壓監(jiān)視器)非常常見。除了故障注入以驗(yàn)證FMEA之外,還可以使用的其他技術(shù)包括故障樹分析(FTA)、相關(guān)故障分析(DFA)和引腳級(jí)FMEA。

  由IP開發(fā)團(tuán)隊(duì)創(chuàng)建的FMEDA報(bào)告允許經(jīng)過全面培訓(xùn)的安全管理人員審查有關(guān)遵守ISO 26262的所有信息。由IP提供商或半導(dǎo)體集成商聘請(qǐng)的第三方評(píng)估公司或咨詢公司也可以審查分析和開發(fā)過程,以幫助評(píng)估功能安全合規(guī)性。

  結(jié)論

  在ISO 26262下滿足汽車功能安全組件的標(biāo)準(zhǔn)是一個(gè)涉及供應(yīng)商的人員,流程和產(chǎn)品的艱巨過程。創(chuàng)建滿足這些需求的產(chǎn)品和技術(shù)需要運(yùn)營(yíng)和工程重點(diǎn)、強(qiáng)大的安全文化、管理承諾以及對(duì)時(shí)間和金錢的重大投資。如果供應(yīng)商提供此類產(chǎn)品,則由集成商決定是否已采取超出產(chǎn)品級(jí)別的所有步驟來確定索賠是否有效。未能進(jìn)一步調(diào)查將使集成商面臨使用不符合評(píng)估和審核要求的組件的風(fēng)險(xiǎn),這些組件是客戶在供應(yīng)鏈中進(jìn)一步遵守ISO 26262要求所必需的。

  依賴于有關(guān)安全目標(biāo)的產(chǎn)品開發(fā)中涉及的人員、流程和分析的不完整信息的項(xiàng)目可能使進(jìn)入新興的乘用車電子系統(tǒng)設(shè)計(jì)的努力無效,包括ADAS和自動(dòng)駕駛汽車的設(shè)計(jì)。電子系統(tǒng)集成商必須向汽車制造商提供證據(jù),證明系統(tǒng)的所有組件都經(jīng)過徹底評(píng)估,以驗(yàn)證其安全可靠的說法。如果不遵守標(biāo)準(zhǔn)、不傳達(dá)如何遵循標(biāo)準(zhǔn),可能會(huì)導(dǎo)致汽車供應(yīng)商的額外工作或返工。



關(guān)鍵詞: ADAS 自動(dòng)駕駛

評(píng)論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉