轿车半导体设备和电子体系的开发人员要当心:或许有些供货商宣称他们的产品契合ISO 26262安全规范要求,假如这些说法未能阐明用于制作轿车产品的人员和流程验证,则这些说法或许是不可靠的。假如体系规划人员未能细心评价供货商的资质,他们就很难在轿车供应链中让客户承受其产品。
轿车供应链的参加者担任对每个供货商的产品进行自己的功用安全评价,一同考虑供货商记载的运用假定(AoU),描绘供货商的产品怎么用于轿车体系。供货商依据特定装备和用例来定制自己的剖析,这些装备和用例有望与其集成商客户的装备相匹配。针对轿车体系中运用的元件的第三方ISO 26262认证能够协助体系集成商履行此剖析,但它不会代替集成商在其自己的运用环境中剖析其供货商产品的职责。
本文探讨了ISO 26262认证的根本原理,该认证触及规划功用安全的轿车电子体系所触及的人员,流程和产品。终究方针是让开发团队,办理人员和出资者愈加了解恪守轿车安全规范细节所触及的职责。反过来,这将供给有关合规性的作业和本钱的更多信息,还将使供应链成员之间的沟通愈加有用。
不断改动的轿车职业:新电子设备和新进入者
一切乘用车电子体系在集成到轿车制作商的产品之前有必要满意严厉的安全要求。该职业的供货商现已树立了一个杂乱的供应链,以供给这些体系,以及产品满意这些安全要求的才干的证明。这种信息同享体系需求IP供货商、半导体SoC开发人员、零组件供货商、软件供给商、电子体系规划师和许多其他相关人员之间的具体沟通,以保证一切要害组件契合ISO 26262攻略、程序、培训水平、审阅和评价。
图1:以半导体为中心的供应链,用于奥迪zFAS中心驾驭辅佐操控器的要害部件(来历:奥迪; IHS Markit; Arteris IP)
可是,跟着越来越多的机械部件转变为电子体系,轿车工业正在敏捷发生改动。其成果是,曩昔由人类驾驭员履行的功用正在由先进的驾驭员辅佐体系(ADAS)弥补和代替,其正在演变为主动驾驭体系。这两个趋势正在推动轿车职业的经济增加和技能立异浪潮。商场快速增加的期望正在影响新进入者,参加到轿车电子体系的浪潮之中。
最近进入者或许缺少依据ISO 26262功用安全规范开发和交给产品的经历。虽然这些供货商或许宣称其产品已预备好契合轿车安全规范,但供应链中的公司仍需求对产品开发进程中触及的人员和程序进行广泛、细心的查看和评价,然后才干将其集成到更大的体系中。
轿车电子供应链参加者主动处理此问题的一种办法是从认可的评价安排取得ISO 26262认证。可是,大大都针对轿车用处的电子产品并非完好的独立体系,能够通过ISO 26262规范认证,并完全了解产品怎么在车辆中集成和运用。因而,关于仔细服务于该商场的任何开发团队而言,重要的是探究其供货商关于功用安全的声明,不管是否声明晰认证。虽然第三方产品认证能够成为重要参阅,但对任何组件的评价有必要更深化,而且有必要通过公司运用和集成产品来完结查询与认证。假如未能对供货商的人员,流程和产品进行评价,则或许导致客户回绝。
为什么挑选ISO 26262?
国际规范安排(ISO)声明如下:
ISO 26262旨在运用于安全相关体系,其包含一个或多个电气或电子(E / E)体系而且安装在批量出产的乘用车中。
ISO 26262处理了E / E安全相关体系毛病行为或许形成的损害,包含这些体系的相互作用。
榜首准则:信息同享是要害
轿车体系的电气化在快速进行。这一趋势推动着立异,一同也招引了更多出资、更多研制作业,以及轿车商场的新进入者。
许多新进入者或许不知道的是,恪守轿车安全规范要求通过供应链的每个部分同享信息。各级经历丰富的开发团队都受到这些规范的应战,因为需求在不断改动,整个职业中只要少量专家能够辅导项目完结这一进程。此外,半导体和软件供应链的参加者一般对其IP的开发办法及其作业原理保密。
图2:ADAS和主动驾驭体系价值链以半导体为中心
供货商有必要供给的信息包含具有安全方针的体系的每个元件的剖析,教育和文档。供应链的每个成员都有必要供给这些信息。半导体IP供货商向SoC的开发人员供给此信息,芯片规划团队运用这些信息来剖析他们的定制体系,并将成果传递给Tier-1电子体系供货商。然后,这些一级供货商履行自己的剖析并将成果发送给车辆制作商及其客户。
轿车供应链中的这些联系正变得越来越杂乱,因为制作或规划主动驾驭运用芯片的传统半导体供货商现在有时与Tier-1电子体系规划人员和OEM竞赛,他们或许正在自己制作或规划芯片。此外,Uber,Waymo和Apple等新进入者正在规划自己的整套体系,虽然他们在轿车职业缺少经历。ISO 26262要求整个价值链中的高水平协作和信息同享,新进入者或许不熟悉这些。
杂乱性要求更好的剖析
整个轿车职业日益杂乱,需求加强这些体系的安全性。现代轿车运用“线控”体系,例如线控油门,驾驭员推动加快器和传感器。踏板将电信号发送到电子操控单元(ECU),该电子体系代替了曩昔运用连接在加快踏板和机械节省操控板上的金属电缆。ECU比机械办法更智能,因为它能够做更多剖析作业,如发动机转速,车速和踏板方位,然后将指令传递给油门。
咱们也能够看到,测验和验证线控油门体系比测验旧机械版别更困难。跟着咱们用电子体系,电动传动体系以及为轿车增加ADAS和主动驾驭功用代替机械体系,杂乱性出现爆破式增加。ISO 26262的方针是树立一个共同的功用安全规范,以满意一切轿车电子体系的需求。
驾驭员辅佐,电力推动,车载动态操控以及主动和被迫安全体系等新功用越来越多地触及体系安全工程范畴。更大的技能杂乱性、软件内容和机电一体化施行带来了体系硬件毛病的更大危险,体系硬件毛病是由体系开发期间的人为过错发生的。ISO 26262供给了怎么通过规则要求和流程来最小化危险的辅导。
关于半导体SoC器材和IP的规划人员来说,与完好体系的攻略比较,ISO 26262合规性的要求愈加笼统。因而,IP开发人员有必要对许多假定进行额定的剖析,以承认集成到功用安全的轿车体系中的IP预备状况。
功用安全
ISO 26262的方针是为一切轿车电子体系供给共同的安全规范。完结体系安全要求在机械、液压、气动、电气和电子体系等各种技能中施行若干安全办法,而且这些安全办法运用于开发进程的各个层面。
ISO 26262界说了各种轿车安全完好性等级(ASIL)——QM,A,B,C和D-,以协助将所需的流程、开发作业和产品内功用安全机制映射到可承受的危险等级。这五个等级的严厉规模包含从根本质量办理到毛病可导致丧命事端的体系的广泛规模。在后一种状况下,ASIL D要求轿车体系中的单点毛病量(SPFM)小于1%。下面的表1供给了有关ASIL水平与毛病方针的更多信息。
表1要完结ASIL D,体系中99%以上的单点毛病有必要由安全机制掩盖。ASIL B和C需求较少的掩盖规模。(材料来历:ISO 26262-5:2011,表4和表5内容来自ISO 26262-1:2011)
轿车SoC通过特定的硬件功用供给确诊掩盖,以保证契合ISO 26262规范。这些片上功用安全机制包含纠错码(ECC)、数据链路和内部存储器的奇偶校验维护等技能,通过智能互连结构智能仿制处理元件,内置自测(BIST)和过错陈述机制。
虽然ISO 26262注重的是E / E体系的功用安全性,但它实践上供给了一个结构,能够处理安全相关体系的整个生命周期。ISO 26262供给以下辅导:
生命周期办理,产品开发,出产,运营,服务,退役以及在这些生命周期阶段定制必要的活动
依据危险的严峻程度,露出概率和可控性来运用安全要求,以防止不合理的危险
验证和承认办法,以保证满意和可承受的安全水平
与供货商联系的要求
一切这些看起来很杂乱,可是通过注重三个首要方面,即“3P”,能够简化对ISO 26262的要求的了解:
人(People)
流程(Process)
产品(Product)
供货商有必要向客户供给文档,具体阐明其为预备契合规范的人员,流程和产品所采纳的办法。有了“3P”在半导体IP商场中所起作用这一视角,SoC架构师和规划团队能够在挑选适宜的IP时做出正确的挑选。了解IP供货商的安排和运营特征能够完结更好的芯片、更安全的轿车,以及更高效的开发才干。
图3:人员、流程和产品是ISO 26262功用安全活动的根底
功用安全触及开发进程的一切部分,包含规范,规划,完结,集成,认证和验证,还包含出产,办理和服务流程。因为安全规范的特定要求,构建为轿车SoC规划IP的安排存在很大困难。客户资历认证和第三方ISO 26262认证所需的额定培训、评价、剖析和文档或许会使轿车电子的IP开发增加许多费用。
有必要在供应链上传达这些功用安全活动的依据。因而,为轿车半导体商场供给产品的每个安排都有必要记载契合规范的开发活动。该文档内容有必要包含相关人员、用于开发处理方案的流程,以及契合ISO 26262规范所需产品的剖析。
人
朝着半导体IP的ISO 26262合规迈出的榜首步是培训参加IP开发的人员。许多公司采纳培训一小群人的“捷径”,一般是ISO 26262要求的功用安全办理员(FSM)和少量“安全工程师”。
可是,因为ISO 26262第2部分“功用安全办理”的要求,特别是条款5.4.2“安全文明”和5.4.3“权限办理”,要保证可继续的安全文明,团队成员具有与其职责相对应的满意技能、才干和资历,就要求在整个安排中广泛了解功用安全常识。这需求许多的职工培训。
ISO 26262个人培训和认证
虽然培训的首要对象是工程师,但还需求包含安排内参加产品开发和支撑的其他人员,包含高管、营销人员、工程人员、文档团队、质量保证司理和运用工程师等。该安排指定和培训的功用安全司理(FSM)的使命是在一切参加产品开发的人员中推行安全文明,而FSM一般担任为一切这些职工供给内部或第三方培训。客户一般需求在ISO 26262中称为“集成商”的半导体IP以及第三方ISO 26262评价员供给职工功用安全培训证明。
作为实践施行的一个比如,超越50人的Arteris IP职工现已过ISO 26262咨询公司exida的ISO 26262功用安全从业者(FSP)培训和认证,该公司也是ANSI认证的ISO 26262规范认证安排。Arteris IP具有经历丰富的FSM职工,不只通过其广泛的ISO 26262培训方案,还通过树立功用安全流程来保证安全文明,保证整个半导体IP开发进程的质量。
流程
杰出的流程关于防止体系毛病至关重要。体系毛病以可猜测的办法与特定原因相关联,只能通过改动规划、制作、操作程序、文档或体系的其他相关因从来消除。简而言之,体系毛病一般是被“规划到”体系中的,而质量流程有助于防止将毛病规划到体系中。
因为咱们是工程师,所以对ISO 26262流程的大部分注意力都会集在运用技能和软件东西来处理ISO 26262 Part 8称为“支撑流程”的细节上。可是,这是过错的办法。
杰出的安全流程或任何产品开发流程的要害不是专家运用和集成需求办理,改动办理,验证和开发进程的其他部分的东西,而是由一切职工继续运用质量办理体系(QMS)。
质量办理体系(QMS)
契合ISO 26262第8部分质量办理体系要求的任何流程都契合ISO 26262规范。可是,现有的软件、硬件和轿车体系开发QMS是最先进的,能够作为供货商流程的根底。
下面的表2供给了一些比如:
表2:契合ISO 26262的质量办理体系(QMS)的示例。材料来历:ISO 26262-8:2011
第三方评价公司为每个质量办理体系供给认证。可是,作为轿车供应链中的供货商,不管您是否已取得第三方流程认证,您的客户都将对您的流程进行独立审阅。虽然随同第三方流程认证的陈述能够协助您的客户评价您的流程,但您的客户仍有职责承认您是否契合ISO 26262。
可追溯性
可追溯性有助于完结ISO 26262合规性。
在芯片规划范畴,大大都规划团队现已具有最先进的体系,能够通过施行盯梢规范项目,然后再进行验证测验。可是,ISO 26262要求从安全相关要求及其施行的双向可追溯性,从概念阶段——ISO 26262第3部分到出产和操作——ISO 26262第7部分。这意味着质量保证(QA)测验成果能够通过其验证测验、施行、规范和要求来追溯。此外,装备、更改和文档需求坚持最新,而且是可盯梢性信息链的一部分。
关于没有开宣布服务于轿车产品的半导体规划团队来说,这种可追溯性一般是生疏的。这些团队很难改动曩昔运作杰出的规范施行和验证体系,以选用支撑更广泛可追溯性的新体系。一种处理方案是完结可追溯性体系,该体系通过工程集成并“包装”现有的开发体系,以供给所需的可追溯性水平。
例如,Arteris IP一向运用Atlassian Jira问题盯梢东西作为其半导体IP和相关IP可装备软件的产品开发规范施行验证流程的中心。曩昔,依据Microsoft Word的商场需求文档(MRD),产品需求文档(PRD)和规范中的项目被用作Jira体系的输入并与工程开发使命相关联,盯梢其状况,并主动验证测验生成并记载。
图4:主动可追溯性东西供给了前向和后向可追溯性的办法,有助于改动办理
ISO 26262流程的底线是大大都针对轿车商场的公司有必要履行以下操作:
挑选契合ISO 26262规范的质量办理体系,运用它,并能够向第三方评价员和客户评价员解说您对它的运用。
完结更广泛的主动化可追溯性,包含质量保证、交给和支撑的一切要求。
产品
假如供货商宣称其产品“契合ISO 26262的安全要求”而没有首要培训其职工并记载其流程,那么它就不契合要求。一旦人员承受培训而且质量流程到位并正在运用,下一步便是依据ISO 26262剖析产品,并向半导体集成商供给剖析文档。关于半导体和半导体IP供货商而言,履行此剖析需求记载一组商定的假定,因为芯片或IP供货商不会完全了解它将成为体系的一部分。
轿车芯片和IP:SEooC,AoU和ASIL定制
简而言之,ISO 26262剖析的条件是“体系”是正在开发和剖析的实体,而ISO 26262的第1部分将体系界说为“一组至少与传感器,操控器和履行器互相相关的元件”。明显,芯片和用于制作它的IP不是契合ISO 26262规范的体系。那么,它们是什么呢?
芯片及其IP一般被看作(一般在规划时不知道)体系的“元素”。虽然他们终究将成为整个体系的一部分,但其相关常识很难被100%了解,所以,芯片和IP被归类为ISO 26262中的特别类型的元素,称为“SEooC”(Safety Elements out of Context)。SEooC要求IP供给商或集成商记载运用假定(AoU),其反映了IP的集成商/用户将运用的预期安全概念、安全要求和安全机制。
因为有许多关于SEooC、AoU以及芯片和IP定制的假定,ISO 26262要求IP供货商和芯片集成商就开发接口协议(DIA)达到共同,该协议界说了两边运用的假定和职责。DIA文件将解说来自IP供货商的ASIL定制以及这种定制背面的原因,以及对一切运用假定的解说。
毛病形式和安全机制
产品内功用安全机制用于检测、缓解和纠正体系运行时由随机过错引起的毛病。单事情效应(SEE)——由宇宙射线引起的电磁搅扰和当它们与半导体相互作用时发射的电离能量——是发生随机过错的原因。这些随机过错或许具有瞬态或永久性影响。随机瞬态效应也称为“软过错”,包含单个位翻转(SBU),例如存储器单元或逻辑触发器中的“位翻转”,以及单个事情瞬变(SET),它们或许是电压毛病,或许不会导致过错。还存在这些能够一同发生的状况,导致多个位打乱(MBU)。由SEE引起的“硬过错”导致永久性损坏,包含单事情闩锁(SEL)、单事情焚毁(SEB)等。
图5:单事情效应(SEE)过错层次图
因为导致这些过错的原因是天然物理现象,而且是随机发生,因而检测并减轻其影响以完结和保持体系安全十分重要。为此,工程团队在其产品中开发特定安全技能特性。以下是这些功用的示例,也称为功用安全机制:
增加和查看增加到片上通讯流量的奇偶校验或ECC位
仿制逻辑并比较成果
三模冗余(TMR)或大都表决
通讯超时
验证操作正确性的硬件查看程序
安全操控器从整个体系搜集过错音讯,并在体系中进行更高档的通讯
内置自检(BIST),适用于一切功用安全机制
图6:毛病形式影响和确诊剖析(FMEDA)包含运用毛病注入剖析安全机制,如BIST
咱们现已描绘了剖析IP和芯片所需的假定,以及它们的毛病形式和安全机制,下面将评论实践的剖析进程。
首要进行定性剖析(FMEA),然后进行定量剖析(FMEDA)
一旦规划团队了解其毛病形式和功用安全机制,就能够履行并记载定性安全剖析,称为毛病形式影响和剖析(FMEA)。FMEA是一种渐进的办法,用于辨认规划中的一切或许的毛病办法(毛病形式)以及这些毛病发生的结果。规划团队往往没有满意注重对其项目的定性剖析,而是倾向于直接进入定量剖析。这是过错的!正确履行FMEA是正承认义怎么减轻毛病的要害,也是用于验证FMEA定量剖析的根底。
完结FMEA后,规划团队有必要运用称为毛病形式影响确诊剖析(FMEDA)的定量剖析进一步剖析毛病形式和安全机制。虽然能够估量大大都功用安全机制的确诊掩盖规模(即“维护”)的假定,但大大都半导体集成商都坚持运用毛病注入技能来验证项目中施行的功用安全办法的确诊掩盖规模。需求具体了解IP施行,以承认有必要注入毛病的方位,以触发功用安全机制,以及最有用地查询机制输出的方位。
虽然毛病注入剖析关于验证FMEA很重要,但仅靠FMEDA是不行的。需求将其他技能一同用于验证运用毛病注入无法容易证明的确诊掩盖率。一个示例是验证运用假定,该假定界说了客户有必要与元素一同集成的安全机制。这关于驻留在IP块之外的安全机制(例如时钟和电压监视器)十分常见。除了毛病注入以验证FMEA之外,还能够运用的其他技能包含毛病树剖析(FTA)、相关毛病剖析(DFA)和引脚级FMEA。
由IP开发团队创立的FMEDA陈述答应通过全面培训的安全办理人员查看有关恪守ISO 26262的一切信息。由IP供给商或半导体集成商延聘的第三方评价公司或咨询公司也能够查看剖析和开发进程,以协助评价功用安全合规性。
定论
在ISO 26262下满意轿车功用安全组件的规范是一个触及供货商的人员,流程和产品的艰巨进程。创立满意这些需求的产品和技能需求运营和工程要点、强壮的安全文明、办理许诺以及对时间和金钱的严重出资。假如供货商供给此类产品,则由集成商决议是否已采纳超出产品等级的一切过程来承认索赔是否有用。未能进一步查询将使集成商面对运用不契合评价和审阅要求的组件的危险,这些组件是客户在供应链中进一步恪守ISO 26262要求所必需的。
依赖于有关安全方针的产品开发中触及的人员、流程和剖析的不完好信息的项目或许使进入新式的乘用车电子体系规划的尽力无效,包含ADAS和主动驾驭轿车的规划。电子体系集成商有必要向轿车制作商供给依据,证明体系的一切组件都通过完全评价,以验证其安全可靠的说法。假如不恪守规范、不传达怎么遵从规范,或许会导致轿车供货商的额定作业或返工。